wtorek, 20 grudnia 2016

Guest Post: Przeciek o e-prywatności w Internecie - projekt zmian w E-privacy directive

12 grudnia wyciekł projekt propozycji Komisji dotyczący reformy dyrektywy o e-prywatności. Według przewidywań ostateczna wersja pojawić powinna się w okolicach 11 stycznia 2017, chociaż same zapowiedzi dotyczące projektu pojawiały się od dawna. Zważywszy na przyjęcie Ogólnego rozporządzenia o ochronie danych (dalej: RODO), które wejdzie w życie 25 maja 2018 r. oczywista wydaje się konieczność dostosowania również dyrektywy do najnowszych technologii. 

Chociaż w dostępnym projekcie mogą zajść jeszcze dość duże zmiany, to warto przyjrzeć się jaki kierunek jest obecnie proponowany:

1) Pierwszą zmianą jest wybór instrumentu w postaci rozporządzenia, nie zaś dyrektywy, dla planowanych zmian. Jest to konsekwentne, w kontekście przyjęcia Rozporządzenia o ochronie danych, podejście. Zatrzymanie procesu ujednolicania w wypadku regulacji szczegółowych na poziomie dyrektywy byłoby niekonsekwentne i stanowiło przeszkodę w dokonaniu rzeczywistego ujednolicenia poziomu, zakresu i mechanizmów ochrony użytkowników Internetu. To jednak nie koniec podobieństw: projekt zawiera równie szeroki co RODO zakres terytorialnego oddziaływania - dotyczy więc również podmiotów oferujących usługi użytkownikom na terytorium UE. Ponadto taka sama jest wysokość proponowanych w projekcie sankcji - 20 milionów euro lub 4% rocznych obrotów.

2) Proponowane rozporządzenie odnosić ma się nie tylko do telefonów, maili czy sms-ów, ale również do tzw. dostawców usług OTT (over-the-top) - Facebook Messengera, WhatsApp'a, Skype’a, FaceTime itp. Usługi OTT, które polegają na dostarczaniu treści wideo czy audio abonamentom bez udziału i kontroli operatorów udostępniających usługę, do tej pory nie były obejmowane regulacjami dotyczącymi ochrony danych. Ich szybki rozwój wymaga jednak ustosunkowania się na płaszczyźnie prawnej do przesyłanych za ich pomocą danych, na którą to potrzebę odpowiadać ma projekt rozporządzenia.

3) Istotnym elementem projektu jest uwzględnienie nie tylko komunikatów wysyłanych przez użytkowników Internetu, lecz również tych, które przepływają między podłączonymi do Internetu przedmiotami. W kontekście rozwoju Internet of Things (Internetu rzeczy) i ogromnego wzrostu liczby urządzeń podłączonych do sieci ochrona danych osobowych przesyłanych w takich konfiguracjach wydaje się kluczowe dla skutecznej realizacji praw jednostek do prywatności. Projekt rozporządzenia dotyczyć ma zatem sytuacji, w których do przesyłania danych osobowych dochodziłoby zatem między inteligentnymi urządzeniami podłączonymi do sieci - np. smartzegarkami czy nawet smartlodówką i smartphonem, w ramach automatycznego zamawiania produktów, które kończą się w lodówce. 

4) W projekcie zawarte zostały regulacje nakazujące przyjęcie strategii privacy by default - stąd z założenia ustawienia prywatności np. w przeglądarkach Internetowych musiałyby uniemożliwiać śledzenie zachowań użytkownika. Proponowany jest również podział metod śledzenia użytkowników (takich jak np. cookies) - na takie, które używane są jedynie do celu dokonania poprawnej konfiguracji, o których zbieraniu nie ma potrzeby informować użytkownika; oraz na takie, które używane są w celu śledzenia zachowań użytkownika w sieci - co do których automatycznym ustawień powinien być brak zgody na ich wykorzystywanie. Nie oznacza to zakazu stosowania reklamy behawioralnej, lecz jedynie konieczność uprzedniej uzyskania zgody użytkownika na stosowanie takich metod.

5) W projekcie sformułowany został również obowiązek usuwania lub anonimizacji metadanych (czyli np. informacji dotyczących daty, godziny, czasu trwania czy typu przesyłanego komunikatu) w momencie, w którym przestają być one potrzebne. Proponowana forma przepisów w tym aspekcie może okazać się jednak niewystarczająca. Komentarze na ten temat w autorstwa Jennifer Baker oraz Matthew White'a wskazują w tym aspekcie na wyrok w połączonych sprawach C-203/15 i C-698/15 Watson i Tele2, który ma pojawić się 21 grudnia b.r., a który wpłynąć może na nastawienie w stosunku do retencji danych w UE. Sam projekt natomiast pod względem sformułowania nakazu usuwania lub anonimizacji metadanych może budzić wątpliwości, np. ze względu na trudności wynikające z technicznych aspektów potencjalnej anonimizacji metadanych. 

Część z proponowanych zmian - jak chociażby objęcie regulacją danych osobowych przepływających między urządzeniami czy komunikatów przekazywanych w ramach usług OTT - wydaje się adekwatna w kontekście rosnącej obecności tego typu technologii w życiu codziennym Europejczyków. Podobnie odczytywać można przyjęcie strategii opartej na privacy by default, jako kroku w stronę skuteczniejszej ochrony danych osobowych użytkowników Internetu. Oczywiście pozostaje jednak czekać na oficjalną wersję proponowanych rozwiązań i obserwować dalszy przebieg prac nad - jak się na ten moment wydaje - rozporządzeniem.

Autorka: Joanna Mazur - młodszy analityk w DELab UW - transdyscyplinarnym instytucie zajmującym się gospodarką cyfrową, utworzonym na Uniwersytecie Warszawskim stanowiącym platformę współpracy między akademią, biznesem i instytucjami publicznymi. Absolwentka Kolegium Artes Liberales UW i studentka V roku WPiA UW.

Brak komentarzy: