Rozporządzenie ePrivacy – uboższy krewny RODO, którego (niedociągnięcia) warto poznać bliżej

Kto z Was słyszał o tzw. rozporządzeniu ePrivacy, czyli projekcie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (…)(rozporządzenie w sprawie prywatności i łączności elektronicznej)? Zakładam, że jest nas niewiele. Co więcej, moje doświadczenia wskazują, że projekt ePrivacy nie jest znany nawet w kręgach osób żywo zainteresowanych tematem ochrony prywatności w sieci. 

Zapraszam na szybki przegląd wybranych aspektów.

Rozporządzenie ePrivacy miało wejść w życie (a w zasadzie rozpocząć stosowanie, ale darujmy sobie prawniczą gadkę) razem z RODO, tymczasem kilka miesięcy temu RODO obchodziło swoją pierwszą rocznicę, a ePrivacy wciąż jest w powijakach. Oba rozporządzenia były bowiem przygotowywane w ramach Strategii Jednolitego Rynku Cyfrowego i miały na celu poprawę bezpieczeństwa oraz zaufania użytkowników do tzw. usług cyfrowych. Niestety, prace nad ePrivacy były wielokrotnie przerywane, wydłużając proces legislacyjny. Ponieważ jednak temat od września powrócił na unijne salony, myślę, że warto w kilku słowach o nim opowiedzieć. 

Rozporządzenie ePrivacy ma stanowić swoiste uzupełnienie RODO w stricte w obszarze usług cyfrowych, w tym telekomunikacyjnych. Zgodnie z art. 2 ust. 1 projektu rozporządzenia (na dzień popełnienia tego wpisu) ePrivacy ma mieć zastosowanie do przetwarzania danych pochodzących z łączności elektronicznej prowadzonej w związku ze świadczeniem usług łączności elektronicznej i korzystaniem z tych usług oraz do informacji związanych z urządzeniem końcowym użytkowników końcowych (kocham język prawny). Podobnie jak w przypadku RODO, ePrivacy ma obejmować nie tylko przedsiębiorców zarejestrowanych w UE, ale wszystkich, którzy przetwarzają dane użytkowników znajdujących się w Unii. Projektowane przepisy mają być stosowane także do komunikacji maszyna-maszyna (Internetu Rzeczy) oraz danych pochodzących np. z hotspotów. 

Naczelną dyrektywą ePrivacy jest zgoda użytkownika końcowego. Inaczej niż w przypadku RODO, które w art. 6 przewiduje sześć samodzielnych podstaw prawnych przetwarzania danych osobowych, ePrivacy niemalże każdą aktywność uzależnia od zgody użytkownika. Jednocześnie najświeższy projekt art. 6 ePrivacy, wzorem RODO, wprowadza ogólną zasadę, zgodnie z którą dane użytkownika końcowego mogą być przetwarzane tylko przez okres niezbędny do realizacji dozwolonych celów oraz jeżeli cele te nie mogą zostać osiągnięte poprzez przetwarzanie zanonimizowanej informacji.

W tym miejscu może pojawić się pierwsza generalna wątpliwość. Czy objęcie całej komunikacji maszynowej zakresem ePrivacy (a więc obowiązkiem pozyskania zgody użytkownika) nie jest nadmiarowe? Zauważmy, że nie każda wymiana komunikatów w ramach Internetu Rzeczy zawiera dane osobowe. Co więcej, zaryzykowałabym stwierdzenie, że dane ze smartwatcha o tym, ile dziś zrobiłam kroków i jakie miałam tętno (w świetle prawa potencjalnie dane szczególnych kategorii, bowiem dotyczące mojego zdrowia) są z mojej perspektywy, w przypadku ewentualnego ataku, znacznie mniej wrażliwe niż 10 moich ostatnich wyników wyszukiwania w Google (gdzie możemy znaleźć zarówno informację o tym skąd zamówiłam dzisiaj burgera na obiad i czy nie szukam przypadkiem psychiatry lub wenerologa w pobliżu swojego miejsca zamieszkania). A jednak rygory prawne mają być niemal tożsame. Co więcej, mamy już funkcjonujące (gorzej lub lepiej, ale jednak) RODO, które całościowo, systemowo adresuje kwestie przetwarzania danych osobowych. 

Projekt rozporządzenia wprowadza definicję metadanych pochodzących z łączności elektronicznej. Zgodnie z art. 4 ust. 3 lit. c ePrivacy metadane pochodzące z łączności elektronicznej to dane przetwarzane w sieci łączności elektronicznej do celów przesyłania, dystrybuowania lub wymiany treści łączności elektronicznej; w tym dane służące do śledzenia i zidentyfikowania źródła i miejsca docelowego przypadku łączności, dane dotyczące lokalizacji urządzenia wygenerowane w związku ze świadczeniem usług łączności elektronicznej oraz daty, godziny, czasu trwania oraz rodzaju łączności.

Potencjalnie mówimy zatem o dość wrażliwych informacjach. Tymczasem rozporządzenie ePrivacy co do zasady pozwala na przetwarzanie takich niezanonimizowaychmetadanych „w odniesieniu do ograniczonej liczby czynności” lub jeśli użytkownik końcowy wyraził zgodę. Mamy zatem pierwszą furtkę – „ograniczoną liczbę czynności”, która mogłaby uzasadniać zarówno świetnie zorganizowane przetwarzanie wielkich zbiorów metadanych (pochodzących ze śledzenia użytkownika) przez giganta pokroju Google’a, jak i bezrefleksyjne, bezkrytyczne rejestrowanie metadanych użytkowników „jak leci” (najlepiej przechowując jeszcze w łatwo dostępnym miejscu) bez zgody użytkownika. 

Warto w tym miejscu sięgnąć do motywu 17 rozporządzenia, który w obecnej formie wskazuje, że wymóg dotyczący stosowania podstaw prawnych przetwarzania danych z art. 6 ust. 2 ePrivacy dotyczyłby tylko… metadanych pochodzących z usług łączności elektronicznej, pozostawiając luzem przetwarzanie metadanych dotyczących lokalizacji pochodzących z innych źródeł (niż świadczenie usług łączności elektronicznej). Takie dane również mogłyby być przetwarzane bez zgody użytkownika. Podczas ostatnich prac na dokładkę dodano także motyw 17aa, zgodnie z którym metadane geolokalizacyjne zbierane na potrzeby statystyczne, badawcze czy potrzeby tworzenia innowacyjnych produktów oraz usług, które mogą przyczynić się do wzrostu bezpieczeństwa obywateli, poprawy sprawności ruchu miejskiego, czy jakości życia, również mogą być przetwarzane bez zgody użytkownika.Jednocześnie w przypadku ww. celów rozporządzenie daje użytkownikowi prawo sprzeciwu wobec takiego przetwarzania (opt-out). Prawo do sprzeciwu należy ocenić jak najbardziej pozytywnie, natomiast musimy mieć świadomość, że w przypadku danych przetwarzanych w celach badawczych czy statystycznych, możliwość złożenia przez użytkownika sprzeciwu w dowolnym czasie sprawia, że wyniki prowadzonych badań mogą nie spełniać kryteriów reprezentatywności, skazując na wylądowanie w koszu wiele sensownych prac badawczych. Kwestia może być istotna choćby w kontekście prac nad 5G.

Znalazła się i ciekawostka typowo bezpiecznikowa. Zgodnie z treścią nowego art. 8 da ePrivacy tylko dostawcy usług społeczeństwa informacyjnego uzyskiwaliby możliwość zbierania i wykorzystywania danych z urządzeń końcowych (end-users’ terminal equipment information) do celów związanych z utrzymaniem/przywróceniem bezpieczeństwa usług, zapobieganiu fraudom i wykrywania błędów technicznych.

Co mamy na dziś?

Groch z kapustą. I sporo dziur. 

Przede wszystkim wydaje się, że ePrivacy zbyt mocno próbuje wejść w buty RODO, uparcie orbitując wokół kwestii danych osobowych, zamiast skoncentrować się tylko i aż na ogólnym bezpieczeństwie komunikacji elektronicznej, zapewnieniu wysokiego standardu z jednej strony poufności danych użytkowników, z drugiej strony transparentności informacji o tym, w jaki sposób dane te są przetwarzane i po co. 

Na dokładkę, na początku września prawdopodobnie uczyniono znaczący krok w tył, koncentrując się na… telemarketingu. Pierwotna propozycja zakładała, że przedsiębiorcy powinni używać możliwego do zidentyfikowania numeru lub stosować specjalny, dedykowany prefiks wskazujący na to, że dana rozmowa ma charakter marketingowy. W najnowszej wersji projektu preambuła zachęca już jednak kraje UE do tego, by same wprowadziły określony prefiks wskazujący, że połączenie wykonywane jest w celu marketingowym. Choć wciąż telefony z ofertami zakupu wypasionych garnków są istotną bolączką – zarówno „zwykłych” osób fizycznych, jak i przedsiębiorców, to w mojej ocenie jest to niepotrzebny skok w bok rozpraszający prace nad zasadniczymi kwestiami, jak definicje czy zakresy i punkty styku RODO oraz ePrivacy. 

Dodaj komentarz

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.

%d blogerów lubi to: