Od 25 maja 2018 roku stosowane będzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej RODO lub ang. GDPR (General Data Protection Regulation). Nie jest to jednak jedyna poważna zmiana w przepisach dotyczących przetwarzania danych osobowych, która szykuje się w tym okresie. Trwają bowiem intensywne prace nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (dalej jako ePrivacy). Planowana data rozpoczęcia stosowania nowego rozporządzenia ePrivacy to 25 maja 2018 r. (zgodnie z art. 29 ust. 2 projektu ePrivacy), a zatem jeśli wszystko pójdzie zgodnie z planem stosowanie rozporządzenia ePrivacy zbiegnie się z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych od 25 maja 2018 roku. Termin wydaje się raczej trudny do zachowania, należy mieć przy tym także na uwadze, że projekt który aktualnie jest dostępny w Internecie może ulec jeszcze licznym zmianom. Niemniej jednak obydwa rozporządzenia są ze sobą powiązane i wpisują się wspólnie w realizowaną w UE strategię jednolitego rynku cyfrowego, przy czym ePrivacy stanowić ma w założeniu lex specialis wobec GDPR (poprzez jego uszczegółowienie i uzupełnienie odnośnie danych pochodzących z łączności elektronicznej, które mogą być uznane za dane osobowe). Podstawowe założenia rozporządzenia ePrivacy skupiają się przede wszystkim na konieczności zapewnienia prawa do poszanowania życia prywatnego i komunikowania się w związku z przetwarzaniem danych osobowych, ze szczególnym uwzględnieniem konieczności zapewnienia poufności komunikacji elektronicznej oraz szeroko pojętej prywatności użytkowników Internetu.

Rynek cyfrowy cały czas ewoluuje, a rozwiązania prawne zaproponowane jeszcze kilkanaście lat temu nie przewidywały tak dynamicznego rozwoju różnego rodzaju usług internetowych (wystarczy zauważyć, że początki portalu Facebook to rok 2004 a aktualnie obowiązująca dyrektywa 2002/58/WE jest z 2002 roku). Mając powyższe na względzie, w obliczu rychłego rozpoczęcia stosowania przepisów RODO, Komisja Europejska dokonała przeglądu przepisów Dyrektywy 2002/58/WE. W uzasadnieniu wniosku w sprawie rozporządzenia ePrivacy wskazano w szczególności, że od czasu ostatniego przeglądu dyrektywy o prywatności i łączności elektronicznej, który miał miejsce w 2009 roku doszło do istotnych zmian technologicznych i gospodarczych. Wskazano przy tym, że dyrektywa nie nadąża za rozwojem technologicznym, co m. in. skutkuje brakiem ochrony komunikacji przekazywanej za pośrednictwem nowych usług. (https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications)

Na niektóre zapisy które pojawiły się w projekcie ePrivacy z pewnością warto zwrócić szczególną uwagę. Rozporządzenie ePrivacy przewiduje m.in.:

1. Konieczność stosowania przepisów rozporządzenia zarówno wobec osób fizycznych jak i osób prawnych. W motywie 3 projektu ePrivacy wskazano, iż: „Dane pochodzące z łączności elektronicznej mogą również ujawniać informacje dotyczące podmiotów prawnych, takie jak tajemnice przedsiębiorstwa lub inne dane szczególnie chronione o wartości ekonomicznej. Z tego względu przepisy niniejszego rozporządzenia powinny mieć zastosowanie zarówno do osób fizycznych, jak i do osób prawnych. Ponadto niniejsze rozporządzenie powinno zapewniać, aby przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/6794 miały zastosowanie również do użytkowników końcowych będących osobami prawnymi. Dotyczy to również definicji zgody zawartej w rozporządzeniu (UE) 2016/679 (…) Ponadto osobom prawnym powinny przysługiwać takie same prawa w kwestii organów nadzorczych jak użytkownikom końcowym będącym osobami fizycznymi. Co więcej, organy nadzorcze powinny – zgodnie z niniejszym rozporządzeniem – odpowiadać również za monitorowanie stosowania niniejszego rozporządzenia w stosunku do osób prawnych”. Przy tym zaznaczono w motywie 5, że przepisy rozporządzenia ePrivacy stanowią uszczegółowienie i uzupełnienie RODO w odniesieniu do danych pochodzących z łączności elektronicznej kwalifikujących się jako dane osobowe, zatem z założenia nie obniżają poziomu ochrony przysługującego osobom fizycznym na mocy GDPR.
2. Objęcie zakresem rozporządzenia wszystkich dostawców usług łączności elektronicznej. Zgodnie z motywem 8 projektu ePrivacy: „Niniejsze rozporządzenie powinno mieć zastosowanie do dostawców usług łączności elektronicznej, dostawców publicznie dostępnych spisów numerów oraz dostawców oprogramowania umożliwiającego łączność elektroniczną, łącznie z odzyskiwaniem i przedstawianiem informacji w internecie. Niniejsze rozporządzenie powinno również mieć zastosowanie do osób fizycznych i prawnych, które korzystają z usług łączności elektronicznej, aby wysyłać materiały handlowe do celów marketingu bezpośredniego, lub gromadzą informacje związane z urządzeniem końcowym użytkowników końcowych bądź przechowywane na takim urządzeniu”. Rozporządzenie powinno zatem objąć także dostawców komunikatorów internetowych (a nie tylko operatorów telekomunikacyjnych, jak obecna dyrektywa). W motywie 11 projektu rozporządzenia trafnie zauważono, że użytkownicy końcowi coraz częściej zastępują tradycyjną telefonię głosową, czy wiadomości SMS oraz usługi elektronicznego przekazywania poczty usługami internetowymi będącymi ich funkcjonalnymi odpowiednikami (np. komunikatorami internetowymi). Ponadto rozporządzenie ma swoim zakresem objąć także przesyłanie komunikatów w trybie maszyna-maszyna (tzw. Internet rzeczy). Istotny jest także eksterytorialny zasięg rozporządzenia ePrivacy, które podobnie jak RODO ma mieć zastosowanie w związku z dostarczaniem i korzystaniem z usług łączności elektronicznej w Unii, niezależnie od tego czy samo przetwarzanie danych będzie odbywać się na terytorium Unii czy nie.
3. Modyfikacja przepisów dotyczących plików cookies. W projekcie ePrivacy zauważono, że z uwagi na wszechobecność trwałych plików cookies oraz innych technik umożliwiających śledzenie, użytkownicy końcowi są coraz częściej proszeni o wyrażenie zgody na przechowywanie takich trwałych plików cookie na ich urządzeniach końcowych, co skutkuje zasypywaniem ich prośbami o wyrażenie zgody (motyw 22 projektu ePrivacy). Stąd w odniesieniu do niektórych cookies, w szczególności nie stanowiących zagrożenia dla prywatności (np. służących do pomiaru ruchu w sieci na stronie internetowej) nie będzie wymogu udzielenia zgody przez użytkownika końcowego. W odniesieniu do pozostałych plików cookies rozporządzenie ma zapewnić, iż użytkownicy będą mieli możliwość wyrażenia zgody poprzez zastosowanie odpowiednich ustawień przeglądarki internetowej lub innych aplikacji. Wybór użytkownika ma być wiążący wobec osób trzecich.
4. Podtrzymanie ochrony przed SPAM-em. Projekt rozporządzenia ePrivacy jako zasadę przewiduje konieczność uzyskania zgody użytkownika końcowego na prowadzenie działań marketingowych niezależnie od wykorzystywanego kanału komunikacji (mailing, sms, marekting telefoczniczny, etc.). Oczywiście tak jak obecnie zgoda ma mieć charakter odwołalny, przy czym powinna być zapewniona możliwość jej łatwego wycofania (motyw 33 i 34 projektu ePrivacy). Jako przykład zapewniania łatwego wycofania zgody podany został link zamieszczony w wiadomości elektronicznej lub działający adres e-mail na który można zgłosić stosowne żądanie. Jednocześnie rozwiązanie zawarte w art. 16 ust. 2 ePrivacy sugeruje, że adresy e-mail pozyskane od klienta w związku ze sprzedażą produktu lub usługi mogą być wykorzystywane następnie przez podmiot który usługę/produkt sprzedał do celów marketingu bezpośredniego własnych podobnych produktów lub usług jedynie wówczas, gdy klienci mają jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych. Stanowiłoby to pewnego rodzaju złagodzenie aktualnie obowiązujących regulacji – bowiem stosownie do wymogów wskazanych obecnie w art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną wysyłanie wiadomości marketingowych na adres poczty elektronicznej możliwe jest wyłącznie po uzyskaniu uprzedniej zgody na takie działanie. Warto przy tym mieć na uwadze, że w projekcie ePrivacy wyraźnie ograniczono możliwość prowadzenia takich działań do klientów. Wobec wszystkich innych osób (a więc np. potencjalnych klientów) nadal niezbędne byłoby pozyskanie odrębnej zgody na konkretne działania marketingowe. Zgoda ma być wyrażona na zasadach określonych w GDPR (art. 9 projektu ePrivacy). Ponadto projekt wprowadza nowe rozwiązanie dotyczące telemarketingu, zgodnie z którym podmiot, który będzie wykonywał połączenia w ramach marketingu bezpośredniego będzie miał obowiązek podać idnetyfikator linii, pod którą można się z nim skontaktować lub obowiązek podania konkretnego kodu lub prefiksu umożliwiającego rozpoznanie, że połącznie jest połączeniem marketingowym (art. 16 ust. 3 projektu ePrivacy).
5. Wprowadzenie dotkliwszych kar za naruszenia. Podobnie jak zostało to uregulowane w RODO naruszenie niektórych przepisów ePrivacy (art. 23 ust. 2 projektu) może skutkować nałożeniem administracyjnej kary pieniężnej w kwocie do 10 mln. euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma mieć kwota wyższa. Ponadto naruszenie niektórych zasad takich jak poufność komunikacji, legalność przetwarzania danych pochodzących z łączności elektronicznej, czy naruszenie terminów usuwania danych na podstawie art. 5, 6 i 7 może skutkować nałożeniem wyższej kary (do 20 mln. euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Niezależnie od tego projekt ePrivacy w art. 21 ust. 1 przewiduje możliwość skorzystania przez użytkowników końcowych z środków przewidzianych w art. 77,78 i 79 RODO (prawo do wniesienia skargi do organu nadzorczego, prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu oraz przeciwko podmiotowi dopuszczającemu się naruszeń). Projekt przewiduje także możliwość uzyskania rekompensat z tytułu poniesionej szkody majątkowej lub niemajątkowej na zasadach określonych w art. 82 RODO. Możliwość wytaczania powództw przez inne podmioty niż użytkownicy końcowi, na które naruszenie rozporządzenia miałoby negatywny wpływ i które miałyby w tym uzasadniony interes przewiduje art. 21 ust. 2 projektu.
6. Wprowadzenie szerszych uprawnień dla organu nadzorczego właściwego w zakresie ochrony danych osobowych powołanego na podstawie przepisów RODO. Projekt ePrivacy przewiduje, że organ nadzorczy odpowiedzialny za monitorowanie GDPR (w Polsce następca prawny GIODO, którym prawdopodobnie będzie Prezes Urzędu Ochrony Danych Osobowych) będzie także odpowiadał za monitorowanie stosowania ePrivacy.  Rozdziały VI i VII RODO (dotyczące m. in. właściwości, zadań czy uprawnień właściwego organu) mają być stosowane odpowiednio. Szeroki katalog uprawnień przewidzianych w art. 58 RODO (w tym możliwość nakładania wysokich administracyjnych kar pieniężnych) oznaczałby z pewnością istotny wzrost pozycji nowego organu.

Henryk Hoser

audytor JDS Consulting sp. z o.o. sp.k., aplikant adwokacki