Rozporządzenie RODO 2, czyli e-Privacy

W jakim celu opracowano rozporządzenie e-Privacy?

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie prywatności i łączności elektronicznej, określane inaczej jako RODO 2 lub e-Privacy Regulation¹ stanowi odpowiedź unijnego ustawodawcy na zmieniające się otoczenie technologiczne. Zasadniczym celem tego aktu prawnego jest zwiększenie zaufania do usług cyfrowych oraz poprawa ich bezpieczeństwa przy zapewnieniu jednolitych warunków dostępu do rynku do usługodawców.

Uczestnicy rynku coraz częściej zamiast klasycznych form komunikacji wybierają technologie takie, jak VoIP, komunikatory internetowe, pocztę elektroniczną zbiorczo określane jako usługi OTT (ang. Over-The-Top). Polegają one na przekazie treści za pośrednictwem sieci internetu bez bezpośredniego zaangażowania dostawcy usług sieciowych. Dzisiaj trudno wyobrazić sobie współpracę biznesową bez wykorzystania poczty e-mail, różnego rodzaju systemów ERP, CRM, czy platform typu work-management, jak Asana, ClickUp lub inne, podobne rozwiązania.

W praktyce sporo wątpliwości i trudności budzą takie kwestie, jak poufność komunikacji elektronicznej, zgoda na pliki Cookies, czy przetwarzanie danych o ruchu sieciowym. Obecne przepisy nie nadążały za potrzebami społecznymi, co wymuszało wydawanie interpretacji przez lokalne organy nadzorcze oraz sądownictwo. To z kolei prowadziło do braku spójności wykładni przepisów na terytorium Unii Europejskiej. Tę lukę miało właśnie wypełnić rozporządzenie e-Privacy. Obecnie dostępny jest jego projekt, który pozwala jednak uchwycić główne założenia legislacyjne. Czy nowy akt prawny nadąża za zmianami, jakie powodują nowe technologie?

Rozporządzenie e-Privacy stanowi uzupełnienie i uszczegółowienie RODO w zakresie:

zasad dotyczących ochrony podstawowych wolności osób fizycznych i prawnych w odniesieniu do świadczenia usług łączności elektronicznej i korzystania z takich usług,
swobodnego przepływu danych pochodzących z łączności elektronicznej i usług łączności elektronicznej.

Obu rozporządzeń nie da się stosować niezależnie od siebie, ponieważ e-Privacy wykorzystuje definicje stosowane w rozporządzeniu RODO. Zasadniczo rozporządzenie RODO 2 znajduje zastosowanie do każdego przetwarzania danych w związku z usługami łączności elektronicznej, za wyjątkiem:

działań nieobjętych zakresem prawa Unii Europejskiej,
zagadnień uregulowanych w rozdziale II tytule V Traktatu o Funkcjonowaniu Unii Europejskiej (czyli kwestie związane ze wspólną polityką zagraniczną i bezpieczeństwa),
usług łączności elektronicznej, które nie są powszechnie dostępne (np. usługi świadczone na potrzeby wojska lub służb ratowniczych),
działań prowadzonych przez właściwe organy do celów zapobiegania przestępczości.

We wszystkich przypadkach, kiedy e-Privacy obowiązuje, należy stosować je do użytkowników w Unii niezależnie od tego, czy korzystają z usług abonamentowych, czy typu prepaid.

Uznaje się, że rozporządzenie e-Privacy będzie stanowiło lex specialis względem RODO. Oznacza to, że znajdzie ono zastosowanie wszędzie tam, gdzie dane pochodzą z łączności elektronicznej. Co istotne, w przeciwieństwie do RODO, e-Privacy obejmuje zarówno osoby fizyczne, jak i prawne.

Jakich dokładnie usług dotyczy RODO 2?

Rozporządzenie RODO 2 dotyczy usług łączności elektronicznej, odsyłając w tym zakresie do treści Europejskiego Kodeksu Łączności Elektronicznej². Akt ten definiuje usługi łączności elektronicznej jako świadczone za wynagrodzeniem i za pośrednictwem internetu następujące rodzaje usług:

dostęp do internetu,
łączność interpersonalną, czyli aktywną wymianę informacji między uczestnikami za wyjątkiem sytuacji, kiedy taka funkcja ma charakter podrzędny względem funkcjonalności systemu,
usługi polegające całościowo lub w części na przekazywaniu sygnałów w łączności maszyna-maszyna oraz na potrzeby sieci nadawania.

Usługodawcy są zobowiązani – analogicznie jak w przypadku RODO do przeprowadzenia oceny skutków w zakresie ochrony danych, a – w określonych sytuacjach – również analizy DPIA.

Trzeba pamiętać, że RODO 2 obejmuje swoim zakresem także infrastrukturę Internetu Rzeczy, czyli właśnie łączność maszyna-maszyna. Będą to wszystkie urządzenia, które mogą przesyłać dane przez sieć, np. autonomiczne urządzenia medyczne, jak pompa insulinowa, ale też czujniki montowane w samochodach.

Kiedy dopuszczalne jest przetwarzanie danych pochodzących z łączności elektronicznej?

Podobnie jak w przypadku RODO, rozporządzenie e-Privacy wprowadza przesłanki legalizacyjne, których spełnienie jest niezbędne, aby dostawca usług mógł zgodnie z prawem przetwarzać dane zagregowane w wyniku świadczenia usług. Są to:

konieczność realizacji przesyłu komunikatu – wyłącznie na czas potrzebny do realizacji tego celu,
konieczność utrzymania lub przywrócenia bezpieczeństwa sieci lub usług – na czas prac naprawczych,
konieczność zapewnienia zgodności z Kodeksem Łączności Elektronicznej lub innymi przepisami UE,
naliczanie opłat za korzystanie z usług lub przeciwdziałanie oszustwom lub nadużyciom,
zgoda użytkownika końcowego na wykorzystanie jego metadanych, chyba że możliwe było wykonanie usługi z wykorzystaniem anonimizacji.

Z kolei przetwarzanie treści łączności elektronicznej zawsze wymaga zgody użytkownika końcowego, chyba że jest możliwe świadczenie usługi bez przetwarzania treści lub dostawca usługi skonsultował się z organem nadzorczym i niemożliwe było zastosowanie anonimizacji.

Zasadniczo celem unijnego ustawodawcy jest zapewnienie wysokiego poziomu ochrony prywatności tak, aby dostawca usług nie miał możliwości zapoznania się z treścią komunikatów umieszczanych w systemach przez jego użytkowników. Po otrzymaniu wiadomości przez docelowych odbiorców wiadomości mają zostać usunięte lub zanonimizowane. Taka operacja polega na przetworzeniu informacji taki sposób, aby nie było możliwe połączenie ich z konkretną osobą lub też takie połączenie było niewspółmiernie kosztowne i czasochłonne. Metod anonimizacji jest kilka, wśród nich można wymienić np. randomizację lub pseudonimizację. Dostawcy usług cyfrowych muszą więc wdrożyć odpowiednie algorytmy kryptograficzne.

Z kolei metadane mają być usunięte po zakończeniu przesyłu komunikatu. To ważne, ponieważ często to właśnie metadane będą ułatwiały identyfikację nadawcy wiadomości. Są to m.in. dane śledzenia i zidentyfikowania źródła i miejsca łączności oraz dane dotyczące lokalizacji urządzenia.

Usługodawcy zobowiązani do stosowania e-Privacy muszą stosować koncepcje privacy-by-default. Oznacza to konieczność domyślnego zastosowania wysokich standardów ochrony danych. Jednocześnie na potrzeby świadczenia usług muszą oni wybierać rozwiązania spełniające założenie privacy-by design, czyli oferujące zabezpieczenia już od samego początku wdrożenia.

Jak ma wyglądać ochrona urządzeń końcowych użytkownika?

Poza koniecznością legalizowania przetwarzania danych dotyczących usług cyfrowych, rozporządzenie e-Privacy wprowadza daleko idącą ochronę informacji przechowywanych na sprzęcie służącym do korzystania z usług. Zasadniczo więc – bez wykazania właściwych przesłanek – usługodawca nie może gromadzić żadnych danych poza tymi, które użytkownik sam udostępnił.

Nie jest także dopuszczalne gromadzenie danych, które pozwoliłyby na połączenie jednego urządzenia z innym (poza sytuacjami, kiedy jest to niezbędne np. w celu konfiguracji). W ten sposób unijny ustawodawca zmniejsza ryzyko, kiedy dane te mogłyby zostać wykorzystane w celu sprzecznym z prawem, np. włamania do systemu.

W motywie 20 rozporządzenia e-Privacy wskazano, że obecnie dane o urządzeniu mogą być gromadzone na wiele różnych sposobów bez wiedzy użytkownika – w tym poprzez pliki cookies, oprogramowanie szpiegujące, robaki internetowe i różnego rodzaju trwałe identyfikatory. Dlatego m.in. użytkownicy końcowi powinni mieć możliwość stopniowania swojej zgody na cookies (od „Zaakceptuj wszystko”, po „Odrzuć wszystko”, w tym możliwość selektywnego wyrażenia zgody).

Z uwagi na fakt, że przeglądarki internetowe pośredniczą w wymianie informacji między użytkownikiem końcowym a serwerem, na którym zapisana jest strona internetowa, niezbędne jest wyposażenie ich w funkcję blokady, która zadziała również w witrynach www oraz zapobiegnie gromadzeniu informacji na urządzeniu (np. smartfonie).

Regulacje dotyczące rozmów przychodzących i wychodzących, czyli zabezpieczenie przed vishingiem

Zgodnie z art. 12 rozporządzenia e-Privacy dostawcy usług łączności interpersonalnej wykorzystujących numery muszą zapewnić bezpłatną i prostą w użytku możliwość:

wywołującemu użytkownikowi końcowemu zablokowania wyświetlania identyfikacji rozmów przychodzących w odniesieniu do rozmowy, do połączenia lub na stałe,
wywoływanemu użytkownikowi końcowemu możliwość zablokowania wyświetlania identyfikacji rozmów przychodzących
wywoływanemu użytkownikowi końcowemu możliwość odrzucenia rozmów przychodzących,
wywoływanemu użytkownikowi końcowemu możliwość zablokowania wyświetlania identyfikacji rozmów wychodzących wywołującemu użytkownikowi końcowemu

Usługi te mają być dostępne także dla połączeń wychodzących z UE do państw trzecich oraz przychodzących z państw trzecich do UE. Warto wspomnieć, że unijny ustawodawca nakłada na dostawców usług łączności interpersonalnej obowiązek zastosowania najnowocześniejszych rozwiązań technicznych pozwalających wywoływanemu użytkownikowi końcowemu na blokowanie rozmów z numerów przychodzących oraz z anonimowych źródeł, a także zatrzymanie automatycznego przekierowywania połączeń.

W tym przypadku chodzi o zapobieganie próbom tzw. vishingu, czyli podszycia się przez przestępcę pod instytucję godną zaufania, np. bank lub firmę pożyczkową. Celem regulacji jest eliminacja popularnego kilka lat temu oszustwa polegającego na wykonywaniu telefonów z zagranicy ( często były to numery afrykańskie). Połączenia trwały bardzo krótko, zaś oszuści liczyli, że ofiara oddzwoni, co wygenerują bardzo wysoką opłatę.

Czy za pośrednictwem usług łączności elektronicznej można wysyłać komunikaty marketingowe?

Przypadki połączeń z linii oferujących różnego rodzaju produkty – karty kredytowe, usługi hostingu, zmianę sprzedawcy energii elektrycznej – zna każdy z nas. W świetle przepisów e-Privacy niezbędne jest uzyskanie w tym celu zgody osoby fizycznej. W sytuacji, kiedy firmy korzystają do celów marketingowych z adresów mailowych, które otrzymały od innego podmiotu, odbiorca komunikatu musi mieć jasną i wyraźną możliwość wyrażenia sprzeciwu wobec takiego wykorzystania danych.

Państwa członkowskie mogą ograniczyć możliwość wysyłania komunikatów marketingowych wyłącznie do tych odbiorców, którzy nie wyrazili na to sprzeciwu. Dzięki temu wprowadza się danej idącą ochronę odbiorców przed spamem, ponieważ muszą oni aktywnie zaznaczyć zgodę na treści sprzedażowe (wyłączyć sprzeciw).

Niezależnie od tego, czy podmiot przekazuje informacje sprzedażowe w swoim imieniu, czy w imieniu innego podmiotu, ma obowiązek powiadomić osobę fizyczną o:

marketingowym charakterze materiałów,
tożsamości osoby prawnej lub fizycznej, w której imieniu przekazywane są komunikaty,
możliwościach wykonania przez odbiorcę prawa do wycofania komunikatu.

Wycofanie zgody na marketing można zrealizować np. poprzez kliknięcie odpowiedniego linku, przycisku „Anuluj subskrypcję” lub też wysłanie wiadomości e-mail na adres dedykowany obsłudze marketingu.

Kto będzie odpowiedzialny za stosowanie przepisów RODO 2 w Polsce?

Podobnie jak w przypadku RODO, za kontrolę stosowania przepisów RODO 2 odpowiedzialny będzie Prezes Urzędu Ochrony Danych Osobowych. Niezależnie od tego, zgodnie z art. 5 Europejskiego Kodeksu Łączności Elektronicznej właściwy organ regulacyjny (w tym przypadku jest to Prezes Urzędu Komunikacji Elektronicznej) będzie sprawował kontrolę nad regulacją rynku, w tym m.in.:

rozstrzyganiem sporów między przedsiębiorcami,
prowadzeniem spraw związanych z widmem radiowym, czyli dostępem do częstotliwości, na której można świadczyć usługi,
wspieraniem praw użytkowników końcowych,
oceną kosztu obciążenia użytkownika końcowego kosztami wynikającymi z usługi,
zapewnieniem przenoszenia numerów między ich dostawcami (z jednej sieci do innej).

Czy firmy telekomunikacyjne z siedzibą poza terytorium UE muszą stosować e-Privacy?

Nowe przepisy dotyczące standardów bezpieczeństwa komunikacji obowiązują wszystkich usługodawców, którzy świadczą usługi na rzecz podmiotów mających miejsce zamieszkania lub siedzibę w Unii Europejskiej.

W przypadku przedsiębiorstw z siedzibą w państwie trzecim (np. USA), niezbędne jest wyznaczenie przedstawiciela w jednym z państw UE, w którym świadczy on swoje usługi. Zadaniem przedstawiciela jest udzielanie odpowiedzi na pytania oraz udzielanie informacji organom nadzorczym i użytkownikom w związku z przetwarzaniem danych pochodzących z łączności elektronicznej.

Jak wyglądają warunki dostępu przedsiębiorców do rynku usług telekomunikacyjnych?

Warunkiem świadczenia usług łączności elektronicznej jest uzyskanie zezwolenia wydawanego przez organ regulacyjny. Zasadniczo wprowadzanie dalszych ograniczeń jest bardzo utrudnione i za każdym razem musi być zgłoszone do Komisji Unii Europejskiej. Jednocześnie zgłoszenie przedsiębiorcy musi być możliwie najkrótsze. Wystarczy, że na podstawie podanych informacji będzie dało się prowadzić rejestr (zbliżoną rolę odgrywa obecnie RPT, czyli Rejestr Przedsiębiorców Telekomunikacyjnych). Wśród informacji wymaganych przez regulatora wymienia się m.in.

dane rejestrowe przedsiębiorcy,
siedziba geograficzna,
adres strony internetowej, jeżeli jest ona związana ze świadczoną usługą,
osobę wyznaczoną do kontaktu,
krótki opis sieci oraz usług, które przedsiębiorca zamierza świadczyć,
wskazanie państw członkowskich, na których terytorium mają być świadczone usługi,
planowana data rozpoczęcia działalności.

Czy możliwe jest ograniczenie dostępu do rynku usług cyfrowych?

Unijny ustawodawca stoi na stanowisku, że dostęp do rynku usług cyfrowych powinien być równy, niedyskryminacyjny i przejrzysty dla wszystkich podmiotów ubiegających się o zezwolenie. Wprawdzie możliwe jest wprowadzenie dodatkowych warunków uzupełniających konieczność uzyskania zezwolenia, ale ich lista jest ograniczona i została wymieniona jako katalog zamknięty w załączniku I do Kodeksu Łączności Elektronicznej. Wśród nich można wymienić:

nałożenie obowiązku uiszczenia opłat administracyjnych,
konieczność udostępnienia sieci organom publicznym do celu ogłaszania ludności informacji dotyczących kataklizmów i innych, poważnych zagrożeń,
konieczność zapewnienia łączności między władzami a służbami ratunkowymi na wypadek sytuacji kryzysowej,
wygospodarowanie przez usługodawcę środków na potrzeby zapewnienia compliance branżowego,

Dodatkowe wymagania powinny być proporcjonalne, nie powinny stanowić nadmiernego obciążenia dla przedsiębiorców.

Łatwo zauważyć, że tych wymagań jest znacząco mniej, niż w przypadku chociażby instytucji płatniczych, gdzie konieczne jest przygotowanie dokładnego opisu technicznych aspektów działalności, planu biznesowego i wielu innych dokumentów.

Sankcje za naruszenie przepisów rozporządzenia e-Privacy

Odpowiedzialność za naruszenie przepisów rozporządzenia RODO 2 prezentuj się bardzo podobnie do regulacji RODO. Oznacza to, że usługodawcy muszą liczyć się z bardzo wysokimi sankcjami finansowymi nawet do 20 milionów euro lub 4% całkowitego światowego obrotu – niezależnie od możliwości wytoczenia powództwa odszkodowawczego przez użytkowników usługi.

Rozporządzenie RODO 2 – Co możemy dla Ciebie zrobić?

Wejście w życie rozporządzenia e-Privacy generuje zupełnie nowe obowiązki dla usługodawców operujących w sferze nowych technologii. Warto skorzystać ze wsparcia kancelarii prawnej, która zadba o zgodność modelu biznesowego z wymaganiami unijnego ustawodawcy. Jak możemy Ci pomóc?

Przeprowadzamy audyt wewnętrznej dokumentacji oraz procesów w poszukiwaniu luk w świetle nowych przepisów,
opracowujemy sugestie dotyczące poprawy bezpieczeństwa biznesu od strony prawnej i technicznej,
przygotowujemy i aktualizujemy dokumentację wymaganą rozporządzeniem – wzory zgód na przetwarzania danych osobowych, polityki prywatności, polityki cookies, klauzule informacyjne,
przeprowadzamy szkolenia pracowników organizacji z zakresu RODO 2,
zapewniamy bieżącą obsługę prawną, zapewniając bezpieczeństwo na co dzień,
reprezentujemy klientów w postępowaniach kontrolnych prowadzonych przez organ nadzorczy.

¹ https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX%3A52017PC0010

²https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=celex%3A32018L1972

Pytania i odpowiedzi

Czy oprogramowanie służące do nawiązywania łączności musi posiadać możliwość konfiguracji ustawień prywatności?

Każde oprogramowanie umożliwiające łączność elektroniczną (w tym wyszukiwanie informacji w internecie) musi umożliwiać wyłączenie funkcji przechowywania informacji przez osoby trzecie na urządzeniu końcowym użytkownika końcowego lub przetwarzaniu przez osoby trzecie informacji przechowywanych już na tym urządzeniu. Dodatkowo podczas instalacji użytkownik końcowy musi otrzymać szczegółowe informacje dotyczące ustawień prywatności i wyrazić na nie zgodę.

Czy państwo członkowskie UE może złagodzić wymagania dotyczące ochrony prywatności dla oprogramowania?

Jest to możliwe pod warunkiem, że zostanie zagwarantowana wystarczająco silna ochrona podstawowych praw i wolności i jednocześnie będzie to środek, który będzie konieczny, właściwy i proporcjonalny ze względu na interes publiczny (np. ochronę bezpieczeństwa obywateli).

Firma świadcząca usługi poczty elektronicznej poprzez niewłaściwą konfigurację serwera doprowadziła do wycieku danych użytkowników. Czy w takiej sytuacji możliwe jest żądanie odszkodowania?

Zgodnie z art. 22 rozporządzenia e-Privacy w przypadku naruszenia przepisów aktu prawnego każdy użytkownik końcowy ma prawo uzyskać rekompensatę z tytułu szkody majątkowej lub niemajątkowej. Dostawca usługi może bronić się przed odpowiedzialnością wskazując, że nie ponosi winy za powstanie szkody.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam

5/5 - (liczba głosów: 2)