Czym jest rozporządzenie e-privacy?

Rozporządzenie e-privacy to rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej).

Rozporządzenie e-privacy miało pierwotnie być stosowane od 25 maja 2018 r. – łącznie z RODO, niemniej daty tej nie udało się dotrzymać. Aktualnie nie znamy jeszcze jego finalnego kształtu (choć jesteśmy go już prawdopodobnie bardzo blisko), jest jednak szansa, że rozporządzenie zostanie przyjęte jeszcze w 2018 r. Według obecnego kształtu wejść w życie ma ono w terminie 20 dni od dnia publikacji w Dzienniku Urzędowym Unii Europejskiej, niemniej rozpoczęcie jego stosowania zostanie odroczone o rok od dnia wejścia w życie – ma to być okres, który da adresatom rozporządzenia czas na przygotowanie się do jego stosowania (art. 29 tekstu ujednoliconego projektu rozporządzenia z dnia 04 maja 2018 r., sygn. 8537/18). Wg ostrożnych szacunków przewidywać możemy więc, że rozporządzenie e-privacy zacznie obowiązywać mniej więcej na przełomie 2019/20 r.

Rozporządzenie stanowi lex specialis (a więc przepisy szczególne, precyzujące) w stosunku do RODO. Zgodnie z zasadą lex specialis derogat legi generali, rozporządzenie e-privacy ma więc pierwszeństwo nad RODO w zakresie przez siebie uregulowanym. Rozporządzenie e-privacy jest również następcą dyrektywy 2002/58/WE (dyrektywy o prywatności i łączności elektronicznej) i w przeciwieństwie do dyrektywy, rozporządzenie e-privacy będzie bezpośrednio stosowane – bez potrzeby implementacji jego postanowień przez państwa członkowskie.

Poufność komunikacji i ingerencja w dane z łączności elektronicznej.

W pkt. 1 preambuły rozporządzenie e-privacy wskazuje, iż zasada poufności komunikacji – kluczowa dla rozporządzenia – obowiązywać powinna w stosunku do obecnych i przyszłych środków komunikacji, w tym rozmów, dostępu do internetu, komunikatorów internetowych, poczty elektronicznej, rozmów telefonii internetowej oraz wiadomości przesyłanych przed media społecznościowe.

Art. 5 rozporządzenia e-privacy statuuje zakaz wszelkiej ingerencji w dane pochodzące z łączności elektronicznej (w tym przechowywania lub innego przetwarzania tych danych). Ingerencja w dane pochodzące z łączności elektronicznej dopuszczalna jest zasadniczo jedynie w sytuacjach wskazanych w art. 6 rozporządzenia e-privacy. Przepis ten jest mocno rozbudowany i jego omówieniu poświęcimy osobny wpis. Zasadniczo jednak, z pewnym wyjątkiem przewidzianym w ust.1, przetwarzanie treści łączności elektronicznej dozwolone będzie jedynie w oparciu o zgodę użytkownika końcowego i jest to podstawowa zasada, którą warto zapamiętać. Nieco inne zasady dotyczą natomiast przetwarzania metadanych pochodzących z łączności elektronicznej, o czym więcej powiemy w odrębnym wpisie.

Przechowywanie danych z łączności elektronicznej.

Art. 7 ust.1 rozporządzenia e-privacy stanowi, iż z zastrzeżeniem zapisów art. 6 ust.1 pkt a i b oraz art. 6 ust.3 rozporządzenia, dostawca elektronicznych usług komunikacyjnych zobowiązany będzie usunąć treści pochodzące z łączności elektronicznej lub zanonimizować je po otrzymaniu tych treści przez adresata. Oznacza to, iż jeśli nie jesteśmy adresatem jakiejś wiadomości a jedynie pośredniczymy w jej przekazaniu (np. prowadząc portal umożliwiający wzajemną komunikację użytkowników portalu), nie możemy bez zgody nadawcy przechowywać przesłanych przez niego treści. Jest to bardzo ważny przepis, mogący stanowić poważne wyzwanie dla dostawców np. aplikacji mobilnych umożliwiających wzajemną komunikację użytkowników. Aplikacje powinny być tak projektowane by umożliwiać archiwizację korespondencji użytkowników (wg ich świadomego wyboru) również na ich urządzeniach końcowych – może dojść bowiem do sytuacji, w której dostawca usługi będzie musiał usunąć treści wysłane przez użytkownika z własnych serwerów, co uniemożliwi dalszy dostęp do korespondencji prowadzonej np. w ramach czatu pozostałym jej uczestnikom.

Ochrona danych z komputerów, smartfonów i tabletów.

Art. 8 rozporządzenia e-privacy mówi o ochronie urządzeń końcowych wykorzystywanych przez użytkowników oraz informacji zgromadzonych na tych urządzeniach. Zgodnie z art. 8 ust.1 rozporządzenia, korzystanie z możliwości urządzenia końcowego do przetwarzania i przechowywania oraz gromadzenie informacji z urządzenia końcowego, w tym informacji o oprogramowaniu i sprzęcie, inne niż dokonywane przez użytkownika końcowego, którego dotyczą, jest zakazane – za wyjątkiem konkretnych sytuacji przewidzianych w art. 8 rozporządzenia e-privacy.

Wymagania w stosunku do przeglądarek i aplikacji mobilnych.

Zgodnie z art. 10 rozporządzenia e-privacy, wszelkie wprowadzane na rynek oprogramowanie umożliwiające łączność elektroniczną, musi zawierać opcję umożliwiającą zabronienie komukolwiek innemu niż użytkownik końcowy przechowywania jakichkolwiek informacji na jego urządzeniu końcowym lub wykorzystywania informacji już zgromadzonych na tym urządzeniu. Przepis ten dotyczyć będzie w szczególności twórców aplikacji mobilnych i przeglądarek internetowych. Ma on na celu centralizację zarządzania swoją prywatnością w internecie i przeniesienie ustawień kontrolnych z poziomu strony internetowej na poziom wyższy: przeglądarki lub aplikacji służącej do przeglądania internetu. Oprogramowanie takie musi ponadto umożliwiać łatwe zarządzanie ustawieniami prywatności przez użytkownika końcowego. Zgodnie z aktualną wersją projektu rozporządzenia e-privacy przepis ten dotyczyć ma również istniejącego już oprogramowania, o ile jest jeszcze wspierane (a więc de facto zarządzane i wykorzystywane przez właściciela).

Cookies.

Rozporządzenie e-privacy zmierza w związku z powyższym w stronę przeniesienia ciężaru pozyskiwania zgód na wykorzystanie plików cookie i podobnych technologii na dostawców przeglądarek internetowych. Rozporządzenie e-privacy może więc znieść obowiązek wyświetlania banerów informujących o cookies i podobnych technologiach przez administratorów stron internetowych – co byłoby z całą pewnością rozsądną i pożądaną zmianą.

Inne kwestie.

Rozporządzenie e-privacy reguluje też szereg innych kwestii - dotyczących w szczególności prowadzenia marketingu bezpośredniego, w tym telemarketingu, a także zasad prowadzenia publicznie dostępnych katalogów użytkowników końcowych. Kwestie te będą tematem odrębnych wpisów.  

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

e-privacy | Kancelaria prawna Poznań