Dyrektywa e-Privacy, tak jak Rozporządzenie o Ochronie Danych Osobowych, została utworzona w celu uaktualnienia prawa technologicznego z roku 2002 roku. Nowe zapisy skupiają się na branży telekomunikacyjnej oraz firmach zajmujących się marketingiem internetowym. Czy zapisy dyrektywy są uzupełnieniem już obowiązującego RODO? Jak e-Privacy i RODO oddziałują na siebie?
Sprawdź Ochronę Danych z LOG System
Nowe zapisy w opinii specjalistów miały pozytywny odbiór. Do głównych zalet zaliczano: ujednolicenie standardów w ramach Unii, ochronę treści wymienianych w komunikacji i metadanych. Także zapisy dotyczące zgody użytkownika analogiczne do wymagań RODO zyskały dużo pozytywnych głosów.
Dyrektywa e-Privacy – najważniejsze zmiany
Do głównych aktualizacji, które wprowadza dyrektywa e-Privacy, jest rozbudowana definicja marketingu prowadzonego z wykorzystaniem kanałów elektronicznych. Dyrektywa e-Privacy określa dwie formy komunikacji marketingowej:
- B2B – (z ang. business-to-business) treści marketingowe wysyłane do firm;
- B2C – (ang. business-to-consumer) treści wysyłane z firmy do klienta końcowego.
Wejście w życie dyrektywy e-Privacy sprawi, że firmy do wysłania komunikatu marketingowego będą potrzebowały wyraźnej zgody odbiorcy. Dokładne zasady ustalić mają państwa Unii. Dyrektywa określa także, że tradycyjni dostawcy usług telekomunikacyjnych, jak i nowi dostawcy usług (VOIP, komunikatory – np. Messenger, Skype, poczta elektroniczna) podlegają pod te same przepisy. Aby zapewnić pełną prywatność przesyłanych wiadomości, operatorzy mają obowiązek ich anonimizacji (np. poprzez usuwanie metadanych, takich jak geolokalizacja użytkownika, czas wysyłania danych).
Dyrektywa ma także wpływ na producentów urządzeń z tzw. Internetu Rzeczy i twórców komunikatorów, którzy już na etapie produkcji muszą zadbać o zagwarantowanie prywatności i wdrożenie odpowiednich zabezpieczeń. Nowe zapisy mogą również wpłynąć na handel elektroniczny (ang. e-commerce), który wykorzystuje dokładne targetowanie reklam w internecie w celu zwiększenia swoich przychodów. Wraz z dyrektywą i wprowadzeniem anonimizacji, takie targetowanie będzie znacznie trudniejsze, a użytkownik będzie musiał wyrazić jednoznacznie zgody na przetwarzanie swoich danych.
E-privacy i RODO – wzajemne oddziaływanie
Dyrektywa e-Privacy i RODO mają funkcjonować na zasadzie eksterytorialności. To znaczy, że dyrektywa jak i rozporządzenie obejmują wszystkie usługi komunikacji elektronicznej, gdzie użytkownik końcowy znajduje się na terenie Unii Europejskiej lub przetwarzanie informacji zachodzi na jej terenie. W związku z tym, sugeruje się, że wszystkie podmioty i organizacje spoza Wspólnoty Europejskiej przetwarzające dane obywateli Unii, powinny utworzyć swoje oddziały lub oddelegować przedstawiciela ds. przetwarzania danych na terenie Wspólnoty.
Dyrektywa przewiduje także, identyczne jak w RODO, sankcje za nieprzestrzeganie jej zapisów. Wysokość kar ma wynieść do 4% całkowitego rocznego światowego dochodu w przypadku przedsiębiorcy lub do 20 000 000 euro. Organy, które monitorują RODO, będą również zobowiązane do sprawdzanie, czy podmioty stosują się do dyrektywy e-Privacy.
Tekst rozporządzenia uzupełnia i uszczegóławia zapisy RODO. Jednym z takich elementów jest zakres ochrony. W e-Privacy zabezpiecza się interesy, zarówno osób fizycznych, jak i podmiotów prawnych (np. tajemnice przedsiębiorstwa lub inne dane szczególnie chronione o wartości ekonomicznej oraz podmioty prawne jako użytkownicy końcowi). Zgoda użytkownika w e-Privacy jest udzielana na tych samych warunkach co w RODO, poza technologią cookies, gdzie zgodę można udzielić poprzez odpowiednie ustawienie techniczne oprogramowania zapewniającego dostęp do internetu (ustawienia przeglądarek internetowych).
E-privacy i RODO – na co zwrócić uwagę?
Dyrektywa e-Privacy podtrzymuje w mocy zapis dyrektywy 2002/58/WE, która zasadą ochrony poufności danych obejmuje: wiadomości tekstowe, głosowe, dźwiękowe, za pomocą obrazu, jak i metadane użytkownika (data, godzina, czas trwania rozmowy, dane nt. lokalizacji). Przyjęcie rozporządzenia e-Privacy jest jednak źródłem niepewności, głównie dla podmiotów przetwarzających dane osobowe – dostawców usług telekomunikacyjnych, konsumentów i organów regulacyjnych. Jednakże, między RODO a e-Privacy istnieje kilka nieścisłości, które mogą wpływać na różnice interpretacyjne. Oto najważniejsze z nich:
- Zakres terytorialny – czyli podstawy na jakich dostawca usług telekomunikacyjnych ma obowiązek przestrzegania przepisów. Dyrektywa o łączności elektronicznej odnosi się do przetwarzania danych w ramach Unii, natomiast e-Privacy dotyczy przetwarzania danych poza Unią Europejską;
- Powiadomienia o naruszeniu danych – w ramach RODO, administrator ma 72 godziny na powiadomienie o naruszeniu danych organ DPA. Natomiast, zgodnie z dyrektywą e-Privacy (oraz rozporządzeniem (UE) nr 611/2010) dostawca usług telekomunikacyjnych ma obowiązek powiadomienie organu krajowego w ciągu 24 godzin;
- RODO obejmuje ochronę danych osobowych, natomiast e-Privacy obejmuje prawo osoby do życia prywatnego.
- Zapisy e-Privacy nie ingerują bezpośrednio w przepisy dyrektywy o handlu elektronicznym, w tym zapisów poświęconych odpowiedzialności pośredników za przetwarzane dane.
Choć końcowy kształt dyrektywy e-Privacy jest już praktycznie nakreślony, zapisy nowego dokumentu będa wymagały dodatkowych prac nad zgodnością z zapisami RODO. W obecnej chwili, wydaje się, że e-Privacy będzie odgrywało większą (bardziej dotkliwą dla podmiotów) rolę niż RODO. Zachęcamy do tego, aby firmy przygotowały się do integracji działań i procedur z zapisami tych dwóch dokumentów, m.in. poprzez śledzenie aktualizacji nt. rozporządzeń i przestrzegania kluczowych zapisów dotyczących przetwarzania danych osobowych.
Sprawdź Ochronę Danych z LOG System
Źródła:
https://uodo.gov.pl/pl/138/766
https://www.gov.pl/web/cyfryzacja/rodo-informator