Przeciek o e‑prywatności w internecie – projekt zmian w E‑privacy directive

Sytu­acja może wyda­wać się iro­nicz­na – wyciekł pro­jekt pro­po­zy­cji Komi­sji Euro­pej­skiej doty­czą­cy refor­my dyrek­ty­wy o  e‑prywatności. Według prze­wi­dy­wań osta­tecz­na wer­sja poja­wić powin­na się w oko­li­cach 11 stycz­nia 2017.

Joan­na Mazur, Młod­szy Ana­li­tyk DELab UW

Część prze­pi­sów praw­nych obo­wią­zu­ją­cych w Unii Euro­pej­skiej od wie­lu lat nie odno­si się do pro­ble­mów, któ­re poja­wi­ły się w wyni­ku roz­wo­ju i upo­wszech­nie­nia nowych tech­no­lo­gii. Komi­sja Euro­pej­ska stop­nio­wo dosto­so­wu­je roz­wią­za­nia, m.in. doty­czą­ce ochro­ny danych, do wyzwań zwią­za­nych z nowy­mi tech­no­lo­gia­mi, jak np. w przy­ję­tym ostat­nio Ogól­nym roz­po­rzą­dze­niu o ochro­nie danych (RODO), któ­re wej­dzie w życie 25 maja 2018 r. Dyrek­ty­wa o e‑prywatności obo­wią­zu­je od 14 lat i zapo­wie­dzi doty­czą­ce doko­na­nia jej prze­glą­du poja­wia­ły się od daw­na. Cho­ciaż w pro­jek­cie, któ­ry poja­wił się 12 grud­nia w inter­ne­cie, mogą zajść jesz­cze dość duże zmia­ny, to war­to przyj­rzeć się, jakie pro­po­zy­cje są pro­po­no­wa­ne na ten moment:

1) Pierw­szą zmia­ną jest wybór instru­men­tu w posta­ci roz­po­rzą­dze­nia, nie zaś dyrek­ty­wy, dla pla­no­wa­nych zmian. Jest to kon­se­kwent­ne, w kon­tek­ście przy­ję­cia roz­po­rzą­dze­nia o ochro­nie danych, podej­ście wzmac­nia­ją­ce jed­no­li­te regu­la­cje, któ­re będą bez­po­śred­nio sto­so­wa­ne we wszyst­kich pań­stwach człon­kow­skich. W wypad­ku roz­po­rzą­dzeń – w prze­ci­wień­stwie do dyrek­tyw – na pań­stwach nie cią­ży obo­wią­zek imple­men­ta­cji roz­wią­zań do kra­jo­wych porząd­ków praw­nych: roz­po­rzą­dze­nia obo­wią­zu­ją bez­po­śred­nio. To jed­nak nie koniec podo­bieństw: pro­jekt zawie­ra rów­nie sze­ro­ki, co w wypad­ku RODO, zakres tery­to­rial­ne­go oddzia­ły­wa­nia – doty­czy więc rów­nież pod­mio­tów ofe­ru­ją­cych usłu­gi użyt­kow­ni­kom na tery­to­rium UE. Ponad­to taki sama jest wyso­kość pro­po­no­wa­nych w pro­jek­cie sank­cji – 20 milio­nów euro lub 4% rocz­nych obrotów.

2) Pro­po­no­wa­ne roz­po­rzą­dze­nie odno­sić ma się nie tyl­ko do tele­fo­nów, maili czy sms-ów, ale rów­nież do tzw. dostaw­ców usług OTT (over-the-top) – Face­bo­ok Mes­sen­ge­ra, What­sAp­p’a, Skype’a, Face­Ti­me etc. Istot­nym ele­men­tem pro­jek­tu jest uwzględ­nie­nie nie tyl­ko komu­ni­ka­tów wysy­ła­nych przez użyt­kow­ni­ków inter­ne­tu, lecz rów­nież tych, któ­re prze­pły­wa­ją mię­dzy pod­łą­czo­ny­mi do inter­ne­tu przed­mio­ta­mi. W kon­tek­ście roz­wo­ju Inter­net of Things i ogrom­ne­go wzro­stu licz­by urzą­dzeń pod­łą­czo­nych do sie­ci ochro­na danych oso­bo­wych prze­sy­ła­nych w takich kon­fi­gu­ra­cjach wyda­je się klu­czo­we dla sku­tecz­nej reali­za­cji praw jed­no­stek do prywatności.

3) W pro­jek­cie zawar­te zosta­ły regu­la­cje naka­zu­ją­ce przy­ję­cie stra­te­gii pri­va­cy by default - stąd z zało­że­nia usta­wie­nia pry­wat­no­ści np. w prze­glą­dar­kach inter­ne­to­wych musia­ły­by unie­moż­li­wiać śle­dze­nie zacho­wań użyt­kow­ni­ka. Pro­po­no­wa­ny jest rów­nież podział metod śle­dze­nia użyt­kow­ni­ków (takich jak np. cookies) – na takie, któ­re uży­wa­ne są jedy­nie do celu doko­na­nia popraw­nej kon­fi­gu­ra­cji, o któ­rych zbie­ra­niu nie ma potrze­by infor­mo­wać użyt­kow­ni­ka; oraz na takie, któ­re uży­wa­ne są w celu śle­dze­nia zacho­wań użyt­kow­ni­ka w sie­ci – co do któ­rych auto­ma­tycz­nym usta­wień powi­nien być brak zgo­dy na ich wyko­rzy­sty­wa­nie. Nie ozna­cza to zaka­zu sto­so­wa­nia rekla­my beha­wio­ral­nej, lecz jedy­nie koniecz­ność uprzed­niej uzy­ska­nia zgo­dy użyt­kow­ni­ka na sto­so­wa­nie takich metod.

4) W pro­jek­cie sfor­mu­ło­wa­ny został rów­nież nakaz usu­wa­nia lub ano­ni­mi­za­cji meta­da­nych w momen­cie, w któ­rym prze­sta­ją być one potrzeb­ne. Pro­po­no­wa­na for­ma prze­pi­sów w tym aspek­cie  może oka­zać się jed­nak nie­wy­star­cza­ją­ca (por.: komen­ta­rze na ten temat w ana­li­zach Jen­ni­fer Baker oraz Mat­thew Whi­te­’a – źró­dła poniżej).

Część z pro­po­no­wa­nych zmian – jak cho­ciaż­by obję­cie regu­la­cją danych oso­bo­wych prze­pły­wa­ją­cych mię­dzy urzą­dze­nia­mi czy komu­ni­ka­tów prze­ka­zy­wa­nych w ramach usług OTT – wyda­je się ade­kwat­na w kon­tek­ście rosną­cej obec­no­ści tego typu tech­no­lo­gii w życiu codzien­nym Euro­pej­czy­ków. Podob­nie odczy­ty­wać moż­na przy­ję­cie stra­te­gii opar­tej na pri­va­cy by default, jako kro­ku w stro­nę bar­dziej sku­tecz­nej ochro­ny danych oso­bo­wych użyt­kow­ni­ków inter­ne­tu. Oczy­wi­ście pozo­sta­je jed­nak cze­kać na ofi­cjal­ną wer­sję pro­po­no­wa­nych roz­wią­zań i obser­wo­wać dal­szy prze­bieg prac nad – jak się na ten moment wyda­je – rozporządzeniem.

Źró­dła i wię­cej informacji:

Link do pro­jek­tu: tutaj

Ana­li­za Mat­thew Whi­te­’a: tutaj

Ana­li­za Kata­rzy­ny Szy­mie­le­wicz: tutaj

Ana­li­za Łuka­sza Olej­ni­ka: tutaj

Ana­li­za Jen­ni­fer Baker: tutaj

Ana­li­za na blo­gu Gruen-digital.de: tutaj

Ana­li­za Madhu­mi­ta Mur­gia i Dun­ca­na Robin­so­na: tutaj

Notat­ka EDRi: tutaj

Ana­li­za EDRi doty­czą­ca postu­lo­wa­nych zmian: tutaj

Scroll to Top