O autorze
Bartosz Mendyk, ukończył Wydział Prawa i Administracji Uniwersytetu Warszawskiego, doktor nauk prawnych. kontakt: www.drmendyk.pl

Czy i jak nowe rozporządzenie w sprawie e-prywatności zmieni prowadzenie e-biznesu?

Reforma prywatności staje się faktem. Nowe Rozporządzenie unijne w sprawie ochrony danych osobowych wchodzi w życie. Trwają również prace nad nowelizacją ustawy o ochronie danych osobowych. Unia Europejska rozszerza jednak katalog zmian: postanowiła znowelizować przepisy dotyczące marketingu bezpośredniego, ciasteczek i innych form monitorowania online.

Przyczyn nowelizacji jest kilka. Po pierwsze obecne przepisy bazują na regulacji Dyrektywy dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej z 2002 r. Zmiany są tym bardziej uzasadnione, że od nowelizacji wskazanej dyrektywy z 2009 r. usługodawcy dostarczają coraz to nowe usługi. W szczególności tacy giganci jak Skype, Gmail, WhatsApp nie są objęci przepisami unijnymi. Nowe Rozporządzenie ma to zmienić.



Nowe przepisy powinny być dostosowane do Rozporządzenia z zakresu Ochrony Danych Osobowych (RODO), które zacznie obowiązywać w 2018 r (poprzez używanie wspólnych definicji i pojęć). Oba rozporządzenia ze względu na bezpośrednią skuteczność nie będą wymagały implementacji do porządku krajowego.
Komisja Europejska uzasadniając projekt wskazała chęć opracowania Rozporządzenia w sprawie e-prywatności do 25 maja 2018 r., ale jest to termin raczej trudny do spełnienia. Opóźnienie jest tym bardziej prawdopodobne, że już obecnie europosłowie zgłaszają swoje zastrzeżenia do projektu.

Nowe rozporządzenie, podobnie jak RODO będzie miało zasięg eksterytorialny oraz będzie miało zastosowanie w związku z dostarczaniem i korzystaniem z usług łączności elektronicznej w Unii, niezależnie od tego czy przetwarzanie [danych] odbywa się na terytorium UE.
Przepisy rozporządzenia obejmą szersze (w stosunku do obecnej dyrektywy) kategorie podmiotów oraz świadczonych przez nich usług: oprócz usług głosowych, tekstowych, e-maili, przepisy obejmą np. operatorów VoIP, komunikatory, wiadomości w mediach społecznościowych, o ile informacje lub metadane przekazywane będą zawierały dane osobowe. Wymusi to nową szeroką definicję „usługi łączności elektronicznej” która rozumiana będzie jako wszystkie usługi związane z komunikacją elektroniczną.

Nowe Rozporządzenie będzie miało więc zastosowanie do ciasteczek, robaków, spyware, narzędzi służących do odczytów linii papilarnych. Pobieranie takich danych nie będzie dopuszczalne dopóki nie zostanie wyrażona zgoda, lub wystąpią inne przesłanki legalizacyjne. Zgoda będzie zresztą miała taką samą konstrukcję, jak to zostało określone w RODO.
Strony internetowe, które będą używać ciasteczek, śledzenia oraz zbierać zachowania behawioralne będą musiały uzyskać zgodę użytkownika. Nie wiadomo, czy uzyskiwanie takiej zgody będzie wyglądać tak jak obecnie.

Co istotne takie powiadomienia mają być wyświetlane na podstawie ustandaryzowanych ikon, które mają zostać opracowanie zgodnie z aktami wykonawczymi do rozporządzenia, aby taka informacja była przyjazna i intuicyjna dla użytkownika.

Rozporządzenie przewiduje również, aby dostarczyciele przeglądarek internetowych konstruowali w możliwie jasny oraz przystępny sposób ustawienia prywatności, tak aby użytkownicy mogli wybierać poziom bezpieczeństwa spośród poziomów. I tak poziom najwyższy oznacza, że użytkownik nigdy nie akceptuje plików cookies. Z kolei najniższy- zawsze akceptuje ciasteczka.

Rozporządzenie nie reguluje, czy internauci będą mogli stosować ad- bloki dlatego należy przyjąć, że będzie to legalne. Właściciele stron internetowych będą mogli natomiast sprawdzać, czy końcowi użytkownicy końcowi są w stanie odbierać treści reklamowe bez zgody użytkownika końcowego- jest to więc znaczące doprecyzowane. Usługodawcy będą mogli więc pytać się użytkowników czy wyrażają zgodę, aby wyłączyć ad-bloka na określonej stronie.

Dostawca usług internetowych będzie mógł przetwarzać treść wiadomości elektronicznej tylko w przypadku:
• świadczenia konkretnej usługi dla użytkownika końcowego, jeżeli użytkownik końcowy lub użytkownicy końcowi wyrażą zgodę oraz świadczenie takiej usługi nie może być spełnione bez przetwarzania takich treści
• wszyscy użytkownicy końcowi wyrazili zgodę na przetwarzanie ich wiadomości elektronicznych a cel przetwarzanie nie może zostać osiągnięty gdy są one anonimowe oraz gdy dostawca zasięgnął opinii organu nadzorczego- czyli Generalnego Inspektora Ochrony Danych Osobowych.

Oficjalny projekt nie zmieni w sposób istotny zasad e-marketingu. E-marketing będzie jeszcze wymagać zgody opt-in, chyba że dane kontaktowe określonej osoby zostały otrzymane w kontekście sprzedaży - w takim przypadku rezygnacja będzie możliwa. Istnieją jednak nieznaczne nowe wymogi w zakresie przejrzystości w porównaniu z obowiązującym prawem.
Podobnie jak w przypadku RODO zostaną podniesione kary za naruszenia.

Naruszenie niektórych zasad może doprowadzić do nałożenia kar administracyjnych powyżej 10 mln euro lub 2% całkowitego rocznego obrotu na całym świecie. Są to:
• zasady informacyjne oraz zgody na „ciasteczka”
• obowiązki „privacy by design”
• zasady dotyczące niezamówionych komunikatów (tj. nieprzestrzeganie zasady opt-in)

Przewidziano również zasady, za złamanie których może doprowadzić do nałożenia kar administracyjnych powyżej 20 mln euro lub 4% całkowitego rocznego obrotu na całym świecie. Są to następujące zasady:
• zasada poufności komunikacji
• niezgodnego z prawem przetwarzania danych osobowych
• przekroczenie czasu na skasowanie danych
Wnioski Komisji zostaną przeanalizowane przez prawodawców UE, w Parlamencie Europejskim i Radzie.

Źródła:
http://datonomy.eu/2017/01/16/the-new-eprivacy-regulation-how-will-it-impact-your-business/
http://privacylawblog.
Trwa ładowanie komentarzy...