Sytuacja może wydawać się ironiczna – wyciekł projekt propozycji Komisji Europejskiej dotyczący reformy dyrektywy o e-prywatności. Według przewidywań ostateczna wersja pojawić powinna się w okolicach 11 stycznia 2017.
Joanna Mazur, Młodszy Analityk DELab UW
Część przepisów prawnych obowiązujących w Unii Europejskiej od wielu lat nie odnosi się do problemów, które pojawiły się w wyniku rozwoju i upowszechnienia nowych technologii. Komisja Europejska stopniowo dostosowuje rozwiązania, m.in. dotyczące ochrony danych, do wyzwań związanych z nowymi technologiami, jak np. w przyjętym ostatnio Ogólnym rozporządzeniu o ochronie danych (RODO), które wejdzie w życie 25 maja 2018 r. Dyrektywa o e-prywatności obowiązuje od 14 lat i zapowiedzi dotyczące dokonania jej przeglądu pojawiały się od dawna. Chociaż w projekcie, który pojawił się 12 grudnia w internecie, mogą zajść jeszcze dość duże zmiany, to warto przyjrzeć się, jakie propozycje są proponowane na ten moment:
1) Pierwszą zmianą jest wybór instrumentu w postaci rozporządzenia, nie zaś dyrektywy, dla planowanych zmian. Jest to konsekwentne, w kontekście przyjęcia rozporządzenia o ochronie danych, podejście wzmacniające jednolite regulacje, które będą bezpośrednio stosowane we wszystkich państwach członkowskich. W wypadku rozporządzeń – w przeciwieństwie do dyrektyw – na państwach nie ciąży obowiązek implementacji rozwiązań do krajowych porządków prawnych: rozporządzenia obowiązują bezpośrednio. To jednak nie koniec podobieństw: projekt zawiera równie szeroki, co w wypadku RODO, zakres terytorialnego oddziaływania – dotyczy więc również podmiotów oferujących usługi użytkownikom na terytorium UE. Ponadto taki sama jest wysokość proponowanych w projekcie sankcji – 20 milionów euro lub 4% rocznych obrotów.
2) Proponowane rozporządzenie odnosić ma się nie tylko do telefonów, maili czy sms-ów, ale również do tzw. dostawców usług OTT (over-the-top) – Facebook Messengera, WhatsApp’a, Skype’a, FaceTime etc. Istotnym elementem projektu jest uwzględnienie nie tylko komunikatów wysyłanych przez użytkowników internetu, lecz również tych, które przepływają między podłączonymi do internetu przedmiotami. W kontekście rozwoju Internet of Things i ogromnego wzrostu liczby urządzeń podłączonych do sieci ochrona danych osobowych przesyłanych w takich konfiguracjach wydaje się kluczowe dla skutecznej realizacji praw jednostek do prywatności.
3) W projekcie zawarte zostały regulacje nakazujące przyjęcie strategii privacy by default – stąd z założenia ustawienia prywatności np. w przeglądarkach internetowych musiałyby uniemożliwiać śledzenie zachowań użytkownika. Proponowany jest również podział metod śledzenia użytkowników (takich jak np. cookies) – na takie, które używane są jedynie do celu dokonania poprawnej konfiguracji, o których zbieraniu nie ma potrzeby informować użytkownika; oraz na takie, które używane są w celu śledzenia zachowań użytkownika w sieci – co do których automatycznym ustawień powinien być brak zgody na ich wykorzystywanie. Nie oznacza to zakazu stosowania reklamy behawioralnej, lecz jedynie konieczność uprzedniej uzyskania zgody użytkownika na stosowanie takich metod.
4) W projekcie sformułowany został również nakaz usuwania lub anonimizacji metadanych w momencie, w którym przestają być one potrzebne. Proponowana forma przepisów w tym aspekcie może okazać się jednak niewystarczająca (por.: komentarze na ten temat w analizach Jennifer Baker oraz Matthew White’a – źródła poniżej).
Część z proponowanych zmian – jak chociażby objęcie regulacją danych osobowych przepływających między urządzeniami czy komunikatów przekazywanych w ramach usług OTT – wydaje się adekwatna w kontekście rosnącej obecności tego typu technologii w życiu codziennym Europejczyków. Podobnie odczytywać można przyjęcie strategii opartej na privacy by default, jako kroku w stronę bardziej skutecznej ochrony danych osobowych użytkowników internetu. Oczywiście pozostaje jednak czekać na oficjalną wersję proponowanych rozwiązań i obserwować dalszy przebieg prac nad – jak się na ten moment wydaje – rozporządzeniem.
Źródła i więcej informacji:
Link do projektu: tutaj
Analiza Matthew White’a: tutaj
Analiza Katarzyny Szymielewicz: tutaj
Analiza Łukasza Olejnika: tutaj
Analiza Jennifer Baker: tutaj
Analiza na blogu Gruen-digital.de: tutaj
Analiza Madhumita Murgia i Duncana Robinsona: tutaj
Notatka EDRi: tutaj
Analiza EDRi dotycząca postulowanych zmian: tutaj