Rozporządzenie dotyczące e-prywatności, nazywane także RODO 2, miało wejść w życie razem z obowiązującymi od 2018 r. przepisami o ochronie danych osobowych. Zamiast tego mamy już 14. wersję tego projektu, co najlepiej świadczy o tym, że nie są to proste przepisy i będą miały ogromny wpływ na ochronę prywatności w internecie. Słowenia, która właśnie przejęła przewodnictwo w Radzie UE, planuje doprowadzić do zakończenia prac nad rozporządzeniem w tej sprawie jeszcze w tym roku.

W Kancelarii Prezesa Rady Ministrów został już powołany specjalny zespół do przygotowania przepisów wdrażających te rozwiązania w Polsce. Wszystko wskazuje więc na to, że już niedługo rozpocznie się odliczanie dwuletniego okresu, w którym państwa UE będą przygotowywały się do wdrożenia tych nowych regulacji.

Jakie zmiany proponuje Komisja Europejska?

Nowe przepisy o e-prywatności stanowią uzupełnienie RODO w przetwarzaniu danych zebranych w związku ze świadczeniem różnych usług łączności elektronicznej. Ucywilizują zasady gromadzenia i wykorzystywania danych użytkowników internetu zgodnie z zasadami znanymi z przepisów o ochronie danych osobowych, np. obowiązkiem informowania, w jakich konkretnie celach będą wykorzystywane zbierane w sieci informacje. Mają przede wszystkim na celu podniesienie ochrony prywatności użytkowników internetu, ale będą miały również zastosowanie do takich działań jak telemarketing czy używanie automatycznych systemów do interaktywnej obsługi osoby dzwoniącej (IVR). Najbardziej odczuwalna powinna być zmiana dotycząca spersonalizowanych reklam w internecie wykorzystujących informacje o użytkownikach sieci gromadzone w plikach cookies. Nowością jest objęcie przepisami rozporządzenia o e-prywatności przetwarzania informacji o sposobie korzystania przez użytkownika z takich usług jak poczta elektroniczna czy komunikatory internetowe. Do tej pory, w tym zakresie zastosowanie znajdowały bowiem tylko przepisy RODO. E-privacy jest bardziej rygorystyczna niż RODO i ogranicza gromadzenie pozornie nieistotnych danych o użytkownikach internetu. Chodzi o tzw. metadane, które nieraz nazywane są „cichym zabójcą prywatności”. Ten podwyższony poziom ochrony wyraża się między innymi obowiązkiem podania użytkownikowi większej ilości informacji, a także uzyskania zgody na większość sposobów przetwarzania danych zebranych przy dostarczaniu mu usługi łączności elektronicznej.

Nowelizacja ustawy o e-doręczeniach od 3.7.2021 r. - w Iuscase masz to pod kontrolą! Sprawdź

Ale już teraz RODO chroni prywatność, ograniczając dostęp do danych osobowych.

Przyjmuje się obecnie, że np. cookies zawierają dane osobowe użytkowników, więc podlegają regulacjom dotyczącym ochrony danych osobowych. RODO niedostatecznie chroni jednak przed wieloma technologiami wykorzystywanymi obecnie w internecie, jak np. śledzeniem czy przetwarzaniem pozornie nieistotnych metadanych. Przykład poczty elektronicznej jest bardzo dobry, aby to pokazać. Okazuje się bowiem, że już tylko na podstawie zdjęć dołączanych do maili można bardzo dużo dowiedzieć się o nadawcach takich wiadomości. W metadanych zdjęcia zawarte są dane o tym, jakim aparatem zostało wykonane to zdjęcie, co może ujawniać informacje o zamożności takiej osoby. Z kolei dane geolokalizacyjne ze zdjęcia (tzw. koordynaty GPS) mogą pokazywać miejsca, które ta osoba odwiedziła w ostatnim czasie. I w ten sposób powstaje baza bardzo cennych informacji o użytkownikach danego programu pocztowego. Zmiany dotkną także dostawców bezpłatnego internetu w publicznie dostępnych hotspotach. Śledząc aktywność w internecie użytkowników podłączonych do tych hotspotów, tzn. jakie strony odwiedzają, czego szukają, dostawcy tej usługi zbierają o nich bardzo dużo informacji, które później wykorzystują głównie w celach reklamowych. Za pozornie bezpłatne usługi płacimy własną prywatnością. Pokazuje to, że w internecie nie ma nic za darmo. Po zmianach zostanie to znacznie ograniczone. Komisja Europejska uznała, że skoro te informacje są przetwarzane w sieci, to nasza prywatność jest bardziej zagrożona. Co ważne, zmiany mają także dotyczyć internetu rzeczy, czyli wszystkich informacji przetwarzanych przez podłączone do sieci urządzenia, takie jak np. smartwatche czy tzw. połączone samochody przetwarzające bardzo specyficzne informacje o swoich użytkownikach, jak ich aktywność fizyczna, stan zdrowia czy sposób prowadzenia samochodu.

Pewnie skończy się na kolejnej zgodzie na przetwarzanie prywatnych danych, którą trzeba będzie kliknąć, aby skorzystać z urządzenia monitorującego naszą aktywność czy usługi w internecie.

To bardzo ciekawa kwestia, która jest obecnie przedmiotem prac nad finalną wersją Rozporządzenia. Po tym jak w życie weszły zmienione przepisy o ochronie danych osobowych pojawiło się bardzo dużo dodatkowych pytań o zgodę na przetwarzanie danych. Wszystko wskazuje, że wdrożenie przepisów o e-privacy dołoży kolejne wyskakujące okienka do zaakceptowania (np. dotyczące metadanych), czego wszyscy chcą uniknąć. Zobaczymy jak będą ustalenia w ramach prac nad ostateczną wersją przepisów, w której w tzw. procedurze trilogu bierze udział Komisja Europejska, Parlament Europejski i Rada UE.

Na czym będzie polegało wdrożenie tych nowych przepisów do polskiego porządku prawnego?

Nowe przepisy muszą przede wszystkim określić jaki urząd w Polsce zajmie się egzekwowaniem nowych regulacji i nakładaniem kar za ich naruszenie. A będą to kary równie dotkliwe jak w przypadku RODO, czyli sięgające nawet 20 mln euro lub 4 proc. światowego obrotu firmy. W tej są chwili rozpatrywane dwie koncepcje. Aby te uprawnienia przekazać do Urzędu Komunikacji Elektronicznej lub połączyć je z kompetencjami dotyczącymi RODO w Urzędzie Ochrony Danych Osobowych. Do rozstrzygnięcia jest także nie mniej istotna kwestia, czy odwołania od decyzji administracyjnych wydanych przez organ do spraw e-Prywatności mają być rozpatrywane przez sądy cywilne, czy administracyjne. Przedsiębiorcy nie ukrywają, że woleliby, aby takimi sprawami zajmowały się sądy cywilne, które nie oceniają odwołań wyłącznie pod kątem zgodności z prawem, ale również poprawności merytorycznej. Statystyki pokazują, że w procedurze cywilnoprawnej uchylanej jest znacznie więcej decyzji niż w postępowaniu sądowo-administracyjnym. Dużo jednak wskazuje na to, że nowe rozwiązania zostaną dopasowane do już obowiązujących i zadania związane z ochroną prywatności w większości trafią do PUODO i odwołaniami od jego decyzji zajmą się jednak sądy administracyjne.

Xawery Konarski jest adwokatem, starszym partnerem i współzałożycielem kancelarii Traple Konarski Podrecki i Wspólnicy.

Więcej treści z Rzeczpospolitej po zalogowaniu. Nie posiadasz dostępu? Przetestuj. Sprawdź