O epopei związanej z przygotowywaniem unijnego rozporządzenia E-privacy pisałem już kilka razy (np. tutaj). Wygląda na to, że będę jeszcze wracał do tego tematu wielokrotnie. Nadal nie mamy bowiem przyjętego tekstu rozporządzenia, pojawił się natomiast kolejny projekt, zawierający sporo zmian w stosunku do jego poprzedniej wersji. Ten najnowszy projekt wywołał strach osób zajmujących się ochroną prywatności w sieci niczym halloweenowa zjawa.
Ale najpierw podsumujmy to, o czym już wiemy od jakiegoś czasu:
Rozporządzenie E-privacy dotyczy ochrony prywatności w sieci i wszędzie tam, gdzie komunikujemy się za pomocą różnych urządzeń elektronicznych. Jego adresatami będą dziesiątki podmiotów, od firm telekomunikacyjnych, poprzez call-center i podmioty marketingowe aż po twórców stron internetowych.
Rozporządzenie uzupełnia i doprecyzowuje kwestię ochrony danych osobowych w Internecie – w niektórych kwestiach odwołuje się do RODO, w innych zmienia delikatnie te ogólne zasady ochrony danych osobowych, które są przetwarzane w sieci.
E-privacy różni się od RODO tym, że może być stosowane także wobec osób prawnych.
E-privacy miało wejść w życie 25 maja 2018 r., a więc wraz z RODO. Z uwagi na opóźnienie w pracach legislacyjnych nie zostało jednak uchwalone na czas.
Ostatnia wersja projektu wywołała kontrowersje głównie z uwagi na kwestię informowania o stosowaniu plików cookies na stronach internetowych oraz pozyskiwaniu zgód na ich korzystanie. Obecnie, z uwagi na to, iż przepisy E-privacy jeszcze nie obowiązują, stosujemy w takiej sytuacji ogólne wymogi znane z RODO. Z uwagi na to, iż adres IP, dane o urządzeniu jak również inne informacje, zbierane przez stronę w momencie wejścia użytkownika na taką stronę, są uważane za dane osobowe, administratorzy stron powinni spełniać obowiązek informacyjny dotyczący przetwarzania danych osobowych.
Ma to szczególne znaczenie w przypadku gdy pliki cookies są wykorzystywane nie tylko w przypadku analizy samego ruchu na stronie lub prawidłowego jej wyświetlania, ale także późniejszego śledzenia użytkownika i wyświetlania mu spersonalizowanych reklam. Oznacza to bowiem, że dane są przetwarzane również później, w związku z naszą dalszą aktywnością w sieci. Tym samym zakres przetwarzanych danych jest szerszy, a ingerencja w naszą prywatność – większa. Stąd też liczne obowiązki informacyjne na stronach internetowych.
Niejednokrotnie użytkownicy muszą też wyrazić zgodę na działanie takich śledzących plików cookies – chociaż tutaj kwestią sporną jest to, czy i na ile taka zgoda rzeczywiście jest wymagana i na ile twórca strony może oprzeć się tutaj na swoim prawnie uzasadnionym interesie administratora danych.
W interpretacji tych wszystkich regulacji nie pomaga również przepis art. 173 Prawa telekomunikacyjnego, który mówi, że zgoda na pliki cookies może być wyrażona m.in. poprzez odpowiednie ustawienie przeglądarki internetowej. Zresztą, wielu użytkowników sieci przyznaje, że ma serdecznie dość ciągłego klikania zgód na stronach internetowych i nie czyta zamieszczonych obowiązków informacyjnych, bo po prostu ich to nie interesuje.
I E-privacy ma właśnie tę kwestię doprecyzować. W najnowszej wersji projektu znalazły się zapisy liberalizujące kwestię zapisywania plików cookies na urządzeniu użytkownika – także tych śledzące. Wykorzystywanie takich plików będzie możliwe m.in. w sytuacji gdy jest to niezbędne do tego aby świadczyć usługi społeczeństwa informacyjnego na rzecz użytkownika. Nie będzie w takiej sytuacji wymagana zgoda jeżeli strona jest utrzymywana głownie z reklam wyświetlanych na podstawie tego śledzenia. Innymi słowy, zamiast płacić pieniędzmi za wejście na stronę, płacimy po prostu swoimi danymi – o ile użytkownik zostanie o tym odpowiednio poinformowany. O kontrowersjach związanych z tym dokumentem napisała już m.in. Fundacja Panoptykon.
Wydawałoby się, że rozporządzenie nie odkrywa nowego lądu – płacenie swoimi danymi, umożliwienie dopasowywania reklam do naszej aktywności w sieci jest powszechne. Ale zwolennicy zwiększania prywatności w sieci wskazują, że przecież nie chodzi o to aby utrzymać obecny stan, ale zwiększyć bezpieczeństwo naszych danych. Z drugiej strony – prowadzi to do konieczności klikania w kolejne zgody (czego też nie chcemy). Dobrego wyjścia z tej sytuacji jak na razie nie znaleziono. I szkoda, że w nowej wersji rozporządzenia brakuje wymogu aby twórcy przeglądarek internetowych umożliwiali wybór tego, jakie pliki cookies będą akceptowane przez przeglądarkę. Wiele przeglądarek już posiada takie mechanizmy a ich dalszy rozwój mógłby być najrozsądniejszym rozwiązaniem, umożliwiającym komfortowe korzystanie z sieci, przy jednoczesnym zagwarantowaniu bezpieczeństwa naszych danych.
Na koniec jeszcze jedna konkluzja – nie wydaje mi się aby obecna wersja projektu była tą ostateczną – przepisy, które będą uchwalone zapewne jakoś będą się różniły od tego, co dziś opisałem. O zmianach oczywiście Was poinformuję 😊
