LexDigital

ePrivacy — czyli co wiemy o Rozporządzeniu zwanym RODO-2 i czy powinniśmy przygotować się na jego wejście w życie?

O rozporządzeniu ePrivacy pierwszy raz usłyszeliśmy 5 lat temu, jednak przez ten okres regulacja i tak nie weszła w życie. Nowe technologie natomiast cały czas prężnie się rozwijają i sytuacja na rynku danych osobowych również zmienia się w bardzo dynamicznym tempie. Czy ePrivacy zmieni wiele dla każdego z nas i kiedy możemy go oczekiwać?

ePrivacy — czyli co wiemy o Rozporządzeniu zwanym RODO-2 i czy powinniśmy przygotować się na jego wejście w życie?

W tym artykule:

  • Rys historyczny ePrivacy
  • Porządek pojęciowy
  • Co i dla kogo się zmienia?
  • Jak ePrivacy ma się do RODO?
  • Czy ePrivacy nałoży nowe wymogi na administratorów?
  • Kiedy ePrivacy zacznie być stosowane?

Rys historyczny

Rys historyczny, e-privacy, RODO

Pełna nazwa rozporządzenia ePrivacy to Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego i ochrony danych osobowych w łączności elektronicznej oraz uchylające dyrektywę 2002/58 / WE (rozporządzenie o prywatności i łączności elektronicznej). EPrivacy pierwotnie miało zacząć obowiązywać równolegle z RODO. Oba rozporządzenia były przygotowywane w ramach Strategii Jednolitego Rynku Cyfrowego w celu zwiększenia bezpieczeństwa i zbudowania zaufania użytkowników do usług cyfrowych.

Jednym z nadrzędnych celów rozporządzenia jest podniesienie poziomu przejrzystości w odniesieniu do plików cookies oraz objęcie ochroną metadanych, takich jak informacje o lokalizacji czy odwiedzinach stron internetowych.

Pierwszy projekt rozporządzenia przedstawiono w styczniu 2017 roku. Jednak po publikacji okazało się, że materia, którą reguluje ePrivacy, budzi dużo kontrowersji. Potrzebne były zatem kolejne ustalenia i konsultacje.

We wrześniu 2018 roku Parlament Europejski wprowadził następne zmiany do projektu, natomiast w lipcu 2021 roku przyjęto ostateczną wersję odstępstwa ePrivacy.

Obecnie zakończono już zbieranie uwag do projektu i są one w ostatniej fazie negocjacji pomiędzy instytucjami Unii Europejskiej.

Porządek pojęciowy

Rozporządzenie poza ePrivacy nazywane jest także RODO2 lub rozporządzeniem ciasteczkowym.

Porządek pojęciowy

  1. Dlaczego ePrivacy? Ponieważ rozporządzenie dotyczy kwestii szeroko rozumianej prywatności. Ten akt prawny ma zapewnić wysoki poziom ochrony danych pochodzących z łączności elektronicznej oraz prywatności użytkowników tzw. urządzeń końcowych (m.in. komputerów, telefonów komórkowych, tabletów).
  2. Dlaczego RODO II? Po pierwsze dlatego, że miało wejść w życie razem z RODO w 2018 roku. Po drugie, ponieważ reguluje kwestie związane z ochroną danych osobowych i ich prywatnością, z tym, że RODO odnosi się wyłącznie do danych osobowych, a w RODO II kwestia danych osobowych to tylko wycinek. Rozporządzenie ma dotyczyć wszelkich rodzajów danych, metadanych i treści przetwarzanych w związku z usługami łączności elektronicznej — tych osobowych, jak i nieosobowych.
  3. Rozporządzenie ciasteczkowe - takie określenie przyjęło się, ponieważ większość osób kojarzy to rozporządzenie z plikami cookies. Rozporządzenie rzeczywiście częściowo poświęcone jest właśnie plikom cookies i jest to najbardziej medialna gałąź, ponieważ dotyczy ona wszystkich firm i przedsiębiorstw korzystających z cookies.

     

Co i dla kogo się zmienia?

Co i dla kogo zmienia ePrivacy?

Najbardziej adekwatna, lecz jednocześnie najmniej lubiana odpowiedź na pytanie, co i dla kogo zmienia ePrivacy, brzmi "to zależy".

1. Dostawcy usług internetowych

Dla dostawców usług łączności elektronicznej tj. dostawców usług internetowych, poczty elektronicznej, komunikatorów ePrivacy będzie niezwykle istotnym aktem prawnym, ponieważ znajdą się w nim szczegółowe opisy zasad przechowywania i usuwania danych pochodzących z takiego rodzaju komunikacji elektronicznej.

Zgodnie z art. 7 ePrivacy dostawcy usług łączności elektronicznej muszą usunąć lub zanonimizować dane po otrzymaniu treści łączności elektronicznej przez docelowego odbiorcę. Rozporządzenie dopuszcza możliwość zapisywania lub przechowywania tych danych przez użytkowników końcowych, lub przez osoby trzecie, którym powierzono zapisywanie, przechowywanie lub przetwarzanie tych danych w innych sposób, zgodnie z RODO.

Projekt ePrivacy zakłada, że wyjątkowo dostawcy będą mogli przechowywać metadane niezbędne do naliczania płatności do czasu zakończenia okresu, w jakim można zakwestionować rachunek lub w jakim można egzekwować płatność zgodnie z prawem krajowym.

Sprawdź także: Akta osobowe pracownika. Jedno z najważniejszych narzędzi w dziedzinie zarządzania zasobami ludzkimi.

2. Aktywny marketing

ePrivacy wprowadzi nowe zasady prowadzenia marketingu bezpośredniego. Jeśli dany przedsiębiorca w ramach marketingu wykonuje telefony lub wysyła maile, to musi liczyć się z wpływem ePrivacy na jego biznes, ponieważ rozporządzenie będzie regulować m.in. kwestie zgód marketingowych czy oznaczeń telefonów, z którego będą wykonywane połączenia marketingowe.

Zgodnie z przyjętym założeniem sformułowanie marketing bezpośredni będzie odnosić się do „wszelkich form reklamy, w ramach których osoba fizyczna lub prawna wysyła materiały do celów marketingu bezpośredniego, kierując je bezpośrednio do jednego zidentyfikowanego użytkownika końcowego lub większej liczby zidentyfikowanych użytkowników końcowych, lub do możliwych do zidentyfikowania użytkowników końcowych przy użyciu usług łączności elektronicznej”.

Ważny jest również fakt, iż projekt ePrivacy rozróżnia komunikację B2C – czyli adresowaną do użytkowników indywidualnych, jak i B2B – czyli taką, której odbiorcą będą firmy. W przypadku komunikacji B2C nadawca wiadomości będzie musiał mieć wyraźną zgodę od odbiorcy na dostarczanie mu reklam. Sposób komunikacji B2B prawodawca unijny pozostawił w gestii państw członkowskich, zastrzegając jednak, że należy zapewnić określony poziom ochrony przed niechcianymi wiadomościami.

Należy mieć na względzie, że zgoda będzie musiała zostać wyrażona przez klienta przed wysłaniem mu komunikatu marketingowego i będzie musiała spełniać określone w RODO warunki, czyli musi być dobrowolna, wyraźna, świadoma, jasna, łatwa do odwołania w każdym dowolnym momencie i wyrażona odrębnie w odniesieniu do poszczególnych celów, które jej wymagają. Co istotne, zgoda będzie mogła być wyrażona poprzez wybór odpowiednich ustawień oprogramowania, a o możliwości jej wycofania będzie trzeba przypominać użytkownikom końcowym nie rzadziej niż co 12 miesięcy.

Kolejnym istotnym wymogiem, które wprowadzi rozporządzenie ePrivacy, będzie wyraźny zakaz świadczenia usług w zamian za pozyskanie zgody na marketing bezpośredni. Obecnie taka praktyka jest bardzo powszechna. Znaczna część przedsiębiorców, świadczących usługi serwisów internetowych lub "darmowych" aplikacji mobilnych, robi to w zamian za możliwość sprzedaży reklamodawcom danych o aktywności użytkowników. ePrivacy wprowadzi zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi.

Rozporządzenie dopuszcza tzw. „zgodę miękką” w zakresie danych dotyczących poczty elektronicznej. Zgodnie z brzmieniem projektu, jeżeli dany administrator pozyskuje od klienta dane dotyczące poczty elektronicznej w związku ze sprzedażą produkty lub usługi, to może wykorzystać te informacje do celów marketingu bezpośredniego własnych produktów lub usług. Należy jednak zapewnić klientom prawo złożenia sprzeciwu (w tym również w momencie nabywania pierwotnego produktu lub usługi).

W przypadku marketingu telefonicznego, podmioty, które korzystają z takiej formy kontaktu, powinny poinformować o:

  • swoich danych identyfikujących,
  • swoim adresie e-mail i numerze telefonu,
  • o tym, że rozmowa ma charakter marketingowy.

Państwa członkowskie mogą nałożyć obowiązek korzystania ze specjalnego prefiksu albo numeru identyfikującego, który określa marketingowy charakter komunikacji.

3. Stosowanie plików cookies

Jeśli podmiot monitoruje ruch na swojej stronie internetowej i w tym celu wykorzystuje nieco bardziej zaawansowane metody analityczne, wykorzystuje na dużą skalę pliki cookies albo metadane – to powinien przygotować się na zmiany. Dużą część regulacji obejmą właśnie metadane (dane o danych). Wcześniej metadane nie były chronione prawem, a rozporządzenie ePrivacy określa, w jakich sytuacjach będzie potrzebna zgoda użytkownika, a kiedy przetwarzanie będzie mogło odbywać się bez zgody.

Art. 8 ust. 1 projektu ePrivacy zakłada, że „korzystanie z możliwości urządzenia końcowego do przetwarzania i przechowywania oraz gromadzenie informacji z urządzenia końcowego użytkowników końcowych, w tym informacji o oprogramowaniu i sprzęcie, inne niż dokonywane przez użytkownika końcowego, którego dotyczą, jest zakazane”. Te działania będą możliwe po uprzednim uzyskaniu zgody, która będzie zgodna z RODO. Oznacza to, że zgoda nie będzie mogła być milcząca – nie będzie mogła wynikać z braku aktywności użytkownika. Konieczne będzie sprecyzowanie celu wykorzystywania tej technologii. A użytkownik wyrazi na to zgodę (lub nie) przez konkretne działanie i będzie miał możliwość ewentualnego wycofania zgody w każdym czasie.

Projekt zakłada, że wymóg zgody nie będzie dotyczył operacji, których wyłącznym celem jest umożliwienie lub ułatwienie komunikacji drogą elektroniczną. Wykorzystywane do tego są ciasteczka, które nie wkraczają w sferę prywatności użytkownika. Zaliczamy do nich pliki cookies tzw. preferencyjne tj. służące do dostosowywania interfejsu użytkownika. Przykładowo, mogą być to ciasteczka wykorzystywane do zapamiętywania wybranego wcześniej języka strony. W związku z czym dla podmiotów, które prowadzą stronę internetową, wykorzystując wyłącznie podstawowe pliki cookies ePrivacy nie będzie rewolucją, ale podmioty te i tak muszą liczyć się z wprowadzeniem pewnych modyfikacji na swojej stronie internetowej.

Rozporządzenie wprowadzi także konieczność zmiany sposobu informowania przez dostawców usług internetowych o zapisywaniu i korzystaniu z ciasteczek, czyli tzw. polityki cookies. Aktualnie wiele stron wprowadziło tzw. cookie walls, dzięki którym użytkownik nie wejdzie na stronę internetową, dopóki nie zaakceptuje banneru informującego o cookies. Rozporządzenie dopuszcza stosowanie takich praktyk, o ile instalowane pliki cookies nie będą zanadto ingerowały w prywatność użytkowników (np. nie będą to cookies marketingowe).

CIEKAWOSTKA:-)

Dla wszystkich obawiających się zmian związanych z plikami cookies — dużo wskazuje na to, że pliki cookies niedługo w ogóle przestaną być wykorzystywane. Chęć odejścia od nich deklaruje nie kto inny jak internetowy gigant Google. – Zamiast plików cookies zachowanie internautów ma być monitorowane bezpośrednio przez serwery, na których hostowane są strony internetowe. Przykład — serwery googla. Takie monitorowanie będzie mniej precyzyjne, ale też bezpieczniejsze dla naszej prywatności.

4. Twórcy rozwiązań IoT

ePrivacy nałoży obowiązki na twórców przeglądarek internetowych, polegające na obowiązku informowania o zasadach wyrażania zgód, ryzykach itp. Zgodnie z założeniami projektu przeglądarki powinny automatycznie reagować na stosowanie cookies, w zależności od wcześniej ustawionych zasad prywatności przez użytkownika.

Jak ePrivacy ma się do RODO?

Przede wszystkim należy pamiętać, że oba akty prawne są poświęcone danym osobowym. RODO w całości, ePrivacy częściowo.

Oba rozporządzenia przewidują podobną wysokość kar finansowych przewidzianych za łamanie przepisów. Maksymalny wymiar administracyjnej kary finansowej to 20 mln Euro lub 4% całkowitego światowego rocznego obrotu.

W obu przypadkach przepisy są ogólne, ale zostawiają pole do interpretacji przepisów przez dany kraj członkowski. Ogólność wymuszona jest bardzo dynamicznym rozwojem technologii komunikacyjnych, które służą do przetwarzania danych osobowych. Tworzenie zbyt szczegółowych przepisów, w tak szybko zmieniającej się materii, wymagałoby częstej aktualizacji aktów prawnych. A jak widać na przykładzie ePrivacy taka aktualizacja mogłaby potrwać bardzo wiele lat i w między czasie mogłoby dochodzić do kolejnych milowych kroków w rozwoju technologii.

Czy ePrivacy nałoży nowe wymogi na administratorów?

Rozporządzenie wprowadzi zmiany przede wszystkim dla administratorów branż intensywnie działających w Internecie. EPrivacy z pewnością w największym stopniu dotknie tzw. cyfrowych gigantów, takich jak Facebook czy Google. Jednakże mniejsze firmy, głównie z branży reklamowej również powinny przygotować się na wejście w życie wymogów rozporządzenia.

Przedsiębiorcy, świadczący usługi związane z komunikacją elektroniczną, również powinni śledzić informacje związane z obowiązywaniem ePrivacy. Będą zobowiązani oni wprowadzić zabezpieczenia połączeń, które zapewnią poufność danych przekazywanych tą drogą — jakakolwiek interwencja w dane (słuchanie, monitorowanie) przez kogokolwiek poza użytkownikiem końcowym będzie zakazana. W myśl rozporządzenia operatorzy usług telekomunikacyjnych (np. poczta elektroniczna) będą zobligowani do zagwarantowania użytkownikom pełnej prywatności. Poczta elektroniczna będzie musiała być więc szyfrowana przez operatorów, a nie przez użytkowników.

Jeśli chodzi o dostawców oprogramowania umożliwiającego wyszukiwanie i przedstawianie informacji w Internecie, to w myśl wymogów rozporządzenia będą oni musieli działać zgodnie z zasadą Privacy by default, która mówi, że domyślnie przetwarzane powinny być wyłącznie te dane, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. W związku z czym takie podmioty również powinny przeanalizować kwestie związane z zakresem przetwarzanych danych i dostosować je do wymagań ePrivacy.

Kiedy ePrivacy zacznie być stosowane?

Kiedy zacznie obowiązywać?ePrivacy - od kiedy zacznie obowiązywać

Na to pytanie, póki co na próżno szukać odpowiedzi, można natomiast wyjaśnić, dlaczego proces ten tak długo trwa:

  1. Po pierwsze chodzi o możliwość odszyfrowywania komunikacji elektronicznej. Twórcy ePrivacy chcą, aby służby państwowe np. wywiadowcze miały możliwość wglądu w przesyłane wiadomości na komunikatorach internetowych np. WhatsApp czy Signal. Obecnie komunikacja jest szyfrowana w taki sposób, że jedyna możliwość na zapoznanie się z treścią wysyłanych wiadomości to przeczytanie ich na tzw. urządzeniu końcowym tj. smartfonie/tablecie.
  2. Po drugie chodzi o klasyczny konflikt wartości – z jednej strony chodzi o zachowanie swobód obywatelskich i wolności komunikowania się, a z drugiej zaś o walkę z przestępczością.
  3. Trzecim powodem opóźnienia jest konflikt biznesu i użytkowników internetu. Biznes chce wiedzieć o nas jak najwięcej, a użytkownik chce mieć zapewnione maksimum anonimowości – chodzi głównie o śledzące internautów pliki cookies. Problem z cookiesami jest taki, że wymykają się one regulacjom RODO, jednocześnie stanowią ważne informacje i jak wiemy w niektórych sytuacjach, mogą być danymi osobowymi. Jeśli pliki cookies i informacje dzięki nim pozyskiwane w całości uznamy za dane osobowe, wówczas funkcjonowanie wielu serwisów internetowych mogłoby być bardzo utrudnione, ale pozostawienie plików cookies poza ramami regulacji może być niebezpieczne dla samego użytkownika końcowego – rozwiązaniem dla tego obszaru ma być właśnie ePrivacy.

Niemniej jednak zgodnie z założeniami, rozporządzenie miałoby wejść w życie 20 dni po ogłoszeniu w Dzienniku Urzędowym UE, a zaczęłoby obowiązywać 2 lata później — podobnie jak RODO.

Należy pamiętać, że rozporządzenia unijne stosowane są bezpośrednio, nie będzie więc potrzeby jakiejkolwiek implementacji w porządku prawnym państw członkowskich. Państwa członkowskie będą jednak miały możliwość pewnej modyfikacji niektórych jego wymogów, przy uwzględnieniu podstawowych praw i wolności oraz zasady proporcjonalności.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk