Rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (ePrivacy) miało wejść w życie dnia 25 maja 2018 r., zastępując tym samym Dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej. Od głosowania w Parlamencie Europejskim upłynął już prawie rok, a od listopada 2017 nad projektem pracuje Rada Unii Europejskiej.
Dnia 4 grudnia 2018 r., w Brukseli odbyło się posiedzenie Rady Unii Europejskiej ds. Transportu, Telekomunikacji i Energii. Podsumowano na niej pracę nad różnymi inicjatywami na rzecz rozwoju sektora cyfrowego w UE wykonaną w drugim semestrze 2018 r., m.in. odbyła się debata nt. projektu rozporządzenia ePrivacy. W związku z tym, że większość państw członkowskich sprzeciwiła się przyspieszeniu negocjacji w kwestii tego rozporządzenia, nie został osiągnięty kompromis w Radzie UE, który umożliwiłby rozpoczęcie rozmów trójstronnych z Parlamentem Europejskim i Komisją. W rezultacie nie wiadomo jakie będzie ostateczne brzmienie nowej regulacji.
Rozporządzenie ePrivacy stanowić ma lex specialis względem ogólnego rozporządzenia o ochronie danych, uszczegóławiać je i uzupełniać w kwestii danych pochodzących z łączności elektronicznej w tym takich, które można zakwalifikować jako dane osobowe.
Jakie są cele rozporządzenia ePrivacy?
Od ostatniego przeglądu dyrektywy o prywatności i łączności elektronicznej minęło 9 lat, w tym czasie na rynku doszło do ważnych zmian technologicznych i gospodarczych. Nowa regulacja ma za zadanie dostosować przepisy do postępu technologicznego i obecnych realiów rynkowych, zwiększyć zaufanie do usług cyfrowych oraz zapewnić ochronę użytkowników urządzeń końcowych przed nadmierną ingerencją w ich prywatność. Rozporządzenie rozszerzy definicję marketingu elektronicznego oraz rozróżni dwie formy komunikacji w sieci na B2B (ang. Business to Business) czyli model relacji między przedsiębiorcami oraz B2C (ang. Business to Consumer) czyli relacji pomiędzy przedsiębiorcami a konsumentami.
Do kogo jest skierowane?
Nowa regulacja wpłynie na działalność m.in. podmiotów:
- zbierających i wykorzystujących informacje o urządzeniach końcowych (np. komputerach) w celach marketingowych,
- zajmujących się marketingiem z wykorzystaniem telefonu czy e-maila, dostawców Internetu, usług telekomunikacyjnych oraz oprogramowania umożliwiającego łączność elektroniczną.
Nowe rozporządzenie zapewni ochronę w sieci zarówno osobom fizycznym, jak też osobom prawnym. Inaczej jest natomiast w przypadku RODO, którego regulacje chronią tylko osoby fizyczne, co jest konsekwencją definicji danych osobowych jako informacji o człowieku.
Nowe obowiązki
- Podmioty objęte zakresem rozporządzenia zobowiązane będą udzielić informacji użytkownikowi w sposób jasny i zrozumiały o konkretnych celach przetwarzania jego danych oraz o sposobie w jakim zostaną wykorzystane.
- Rozporządzenie zobowiąże firmy telekomunikacyjne oraz agencje marketingowe do uzyskania zgody klienta przed przesłaniem mu komunikatu marketingowego np. drogą e-mailową czy SMS. Ponadto klient będzie musi mieć możliwość bezpłatnie i w łatwy sposób cofnąć zgodę. Zgoda musi spełniać przesłanki określone w RODO, a więc być dobrowolna, jednoznaczna oraz świadoma. Uzyskanie dostępu do informacji takich jak zdjęcia w telefonie czy kontakty, też będzie musiało być poprzedzone zgodą użytkownika urządzenia.
- Nowa regulacja nałoży na operatorów i właścicieli komunikatorów konieczność anonimizacji wiadomości wysyłanych przez użytkowników drogą elektroniczną.
- Telemarketerzy obowiązani będą wykonywać połączenia ze zidentyfikowanych numerów lub też z użyciem specjalnego prefiksu lub kodu, który pozwoli rozpoznać, że połączenie ma charakter marketingowy.
- Przed instalacją oprogramowania użytkownikowi powinny zostać przedstawione dostępne opcje prywatności, tak aby mógł on je skonfigurować według swojego uznania oraz wyłączenia możliwości używania narzędzi śledzących.
- Ochroną prywatności objęto także metadane, dostarczające szczególnie chronione informacje takie jak na przykład lokalizacja użytkownika, historia przeglądarki, godzina połączenia bądź czas wysłania wiadomości. Wedle zasady privacy by design (zasada prywatności w fazie projektowania) właściciele komunikatorów jak i producenci urządzeń stale podłączonych do Internetu, będą obowiązani we własnym zakresie wdrożyć rozwiązania zapewniające prywatność na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie.
Co dalej z plikami cookies?
Zmianie ulegną również zasady dotyczące cookies, które między innymi służą do zapamiętywania preferencji i personalizowania stron internetowych w zakresie wyświetlanych treści. Zgodnie z rozporządzeniem przeglądarki powinny być wyposażone w dodatkowe ustawienia do uzyskiwania jednoznacznych zgód na wykorzystanie cookies w odniesieniu do skonkretyzowanego celu przetwarzania danych osobowych. Jedynie w odniesieniu do plików cookies, które nie stanowią zagrożenia dla prywatności użytkownika końcowego nie będzie potrzeby wyrażenia zgody. Ponadto rozporządzenie ma podnieść poziom przejrzystości plików cookies.