Przewiduje się, że w drugiej połowie 2024 roku zostanie przyjęte Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (dalej: „Rozporządzenie ePrivacy”). Choć prace nad tym aktem prawnym rozpoczęły się już w 2017 roku, a Rozporządzenie ePrivacy miało być przyjęte łącznie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), to jednak negocjacje nad jego kształtem przesunęły datę publikacji. Rozporządzenie ePrivacy wywrze wpływ na kilka obszarów funkcjonowania przedsiębiorstw, w szczególności tych działających w przestrzeni on-line, które zostaną opisane w poniższym artykule.

1. Dotychczasowy stan prawny

W obecnym stanie prawnym regulacją odnoszącą się do szeroko pojętej prywatności w przestrzeni elektronicznej jest Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (dalej: „Dyrektywa ePrivacy”). Rozporządzenie ePrivacy zmierza do zastąpienia regulacji wprowadzonych Dyrektywą ePrivacy. Dla uniknięcia wątpliwości należy podkreślić różnicę pomiędzy unijną dyrektywą a rozporządzeniem – podczas, gdy pierwsze wymaga implementacji na poziomie krajowym w każdym Państwie Członkowskim, drugi akt prawny stosowany jest bezpośrednio. Zgodnie z tymi zasadami postanowienia implementujące Dyrektywę ePrivacy do polskiego porządku prawnego zostały umieszczone w Ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2022 r. poz. 1648 z późn. zm.). Obowiązywanie regulacji dotyczących prywatności w postaci dyrektywy powoduje zatem występowanie różnic pomiędzy prawodawstwem poszczególnych Państw Członkowskich, co utrudnia funkcjonowanie jednolitego rynku. Ustawodawca unijny zauważył ponadto, że postanowienia Dyrektywy ePrivacy nie nadążają w pełni za rozwojem technologicznym i nową cyfrową rzeczywistością, co negatywnie wpływa na poziom ochrony prywatności i poufności w związku z łącznością elektroniczną. W obliczu tych zmian niezbędne jest wprowadzenie nowego aktu prawnego, który zagwarantuje jednolitą ochronę użytkowników w całej UE.

2. Rozporządzenie ePrivacy a RODO

Jak zostało wspomniane powyżej, zgodnie z pierwotnym założeniem, Rozporządzenie ePrivacy oraz RODO miały wejść w życie w tym samym momencie, co nie zostało jednak zrealizowane. Intencją ustawodawcy unijnego było wprowadzenie w ramach Strategii Jednolitego Rynku Cyfrowego komplementarnych aktów prawnych, które wspólnie zwiększą bezpieczeństwo użytkowników usług cyfrowych. Przepisy RODO poświęcone zostały jednak wyłącznie danym osobowym, natomiast Rozporządzenie ePrivacy będzie miało zastosowanie do wszystkich kategorii danych (w tym pobieranych przez tzw. cookies). Rozporządzenie ePrivacy będzie pełniło tym samym funkcję lex specialis w stosunku do RODO, w zakresie w jakim dane będą pochodziły z łączności elektronicznej. Warto zaznaczyć, że ustawodawca unijny w Rozporządzeniu ePrivacy wielokrotnie sięga po mechanizmy wynikające z przepisów RODO – np. wskazując na konieczność przeprowadzenia oceny skutków w zakresie ochrony danych na podstawie art. 35 i 36 RODO (gdy rodzaj przetwarzania metadanych pochodzących z łączności elektronicznej może skutkować dużym zagrożeniem dla praw i wolności osób fizycznych) czy konieczność stosowania zasad „privacy by design” oraz „privacy by default” przy projektowaniu rozwiązań związanych z łącznością elektroniczną. 

3. Zakres Rozporządzenia ePrivacy

Zgodnie z projektem Rozporządzenie ePrivacy będzie miało zastosowanie do wszystkich podmiotów świadczących usługi łączności elektronicznej w UE, niezależnie od tego czy usługa jest odpłatna. Oznacza to, że projektowane przepisy obejmą np. strony internetowe za pośrednictwem których nie jest świadczona „namacalna” usługa, a jedynie są prezentowane informacje (np. o działalności danej firmy). Ponadto, w przypadku, gdy dostawca usług nie ma siedziby w UE będzie zobowiązany do ustanowienia pełnomocnika w kraju, w którym znajdują się odbiorcy oferowanej usługi. Jeżeli chodzi o beneficjentów projektowanych przepisów, odmiennie niż w RODO, ustawodawca postanowił objąć ochroną nie tylko osoby fizyczne, ale także osoby prawne. Rozporządzenie ePrivacy wprowadza zasady mające zapewnić równoważny poziom ochrony wszystkim użytkownikom z UE w odniesieniu do ich danych.
 

•   Pliki cookie

Akt prawny ureguluje kompleksowo korzystanie z plików cookie – ich stosowanie będzie nadal wymagało uzyskania zgody użytkownika (co do zasady, ponieważ Rozporządzenie ePrivacy wprowadza także kilka innych podstaw przetwarzania, w których zgoda nie jest konieczna, np. w przypadku, gdy przetwarzanie jest konieczne do świadczenia usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego lub w celu dokonania transmisji komunikatu elektronicznego za pośrednictwem sieci łączności elektronicznej). Do pojęcia „zgody” zastosowanie znajdą przepisy RODO, co oznacza że będzie ona musiała zostać wyrażona w sposób dobrowolny, konkretny, świadomy i jednoznaczny. Dodatkowo w preambule odnajdujemy wskazówki dotyczące wprowadzania komunikatów cookie – ustawodawca wskazuje, że użytkownicy powinni mieć możliwość wyboru spośród kilku stopniowalnych ustawień (np. od „nigdy nie akceptuj plików cookie” poprzez „akceptuj tylko pliki cookie administratora” do „akceptuj wszystkie pliki cookie”). Korzystając z „ciasteczek” dostawca usług będzie także zobowiązany do poinformowania użytkownika o możliwości wyboru ustawień oraz zagrożeniach związanych z wyrażeniem zgody na wykorzystanie plików cookie.

Ustawodawca unijny zauważył mnogość komunikatów, którymi obciążany jest użytkownik. W związku z tym Rozporządzenie ePrivacy narzuca na producentów przeglądarek internetowych obowiązek zapewnienia użytkownikom możliwości zapobiegania przechowywaniu informacji poprzez zastosowanie odpowiednich ustawień przeglądarki, które następnie będą stosowane na stronach osób trzecich. Jak zasugerowano w preambule, przeglądarki powinny zacząć działać jak „blokady”, które chronią przed zbyt szerokim dostępem do informacji dotyczących użytkowników.
 

•   Marketing bezpośredni

W Rozporządzeniu ePrivacy zawarte są również przepisy odnoszące się do marketingu bezpośredniego. Podobnie jak w przypadku plików cookie, wysyłanie komunikatów w tym celu może odbywać się wyłącznie za zgodą użytkownika. Dostawcy usług powinni zapewnić możliwość łatwego wycofania takiej zgody (np. za pomocą linku lub za pośrednictwem wiadomości wysłanej na dedykowany adres e-mail). Wyjątkiem od opisywanej zasady jest wykorzystanie danych kontaktowych klienta do marketingu bezpośredniego własnych podobnych produktów lub usług. Warunkiem takiego działania jest jednak zapewnienie użytkownikowi możliwości zgłoszenia sprzeciwu wobec wykorzystania jego danych. Rozporządzenie ePrivacy dotyka również problematyki marketingu prowadzonego drogą telefoniczną – kontakt ma być podjęty w taki sposób, aby użytkownik mógł rozpoznać, że dane połączenie ma charakter reklamowy (np. poprzez wyświetlenie odpowiedniego identyfikatora przy połączeniu).
 

•   Kontrola połączeń

Rozporządzenie ePrivacy dąży do zapewnienia użytkownikom urządzeń możliwości kontrolowania połączeń przychodzących. Dostawcy usług będą zobowiązani do eliminowania tzw. głuchych telefonów czy połączeń stanowiących oszustwa (vishing). W celu spełnienia tych obowiązków dostawcy usług powinni wdrożyć odpowiednią technologię i bezpłatnie zapewnić użytkownikom ochronę przed tego rodzaju zagrożeniami.

4. Sankcje

W Rozporządzeniu ePrivacy przewidziano sankcje wzorowane na karach ustanowionych w przepisach RODO. W zależności od przedmiotu naruszenia projekt przewiduje karę pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) lub do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). Ustawodawca krajowy będzie zobowiązany do wskazania organu odpowiedzialnego za kontrolę przestrzegania Rozporządzenia ePrivacy. W Polsce ta rola może przypaść Prezesowi Urzędu Komunikacji Elektronicznej lub Prezesowi Urzędu Ochrony Danych Osobowych. 

5. Podsumowanie

Pomimo, że Rozporządzenie ePrivacy nie zostało jeszcze przyjęte, przedsiębiorcy działający na rynku unijnym powinni rozpocząć stopniowe przygotowania do wejścia w życie tego aktu prawnego. Z uwagi na swój zakres przedmiotowy, Rozporządzenie ePrivacy obejmie w szczególności wszystkie podmioty świadczące usługi za pośrednictwem Internetu. Niezbędne będzie zatem odpowiednie dostosowanie dokumentacji na stronach oraz opracowanie procedur wewnętrznych. 

Jak możemy pomóc w omawianym obszarze?

Kancelaria KPMG Law oferuje:

  • identyfikację i analizę luk w zakresie przestrzegania wymogów Rozporządzenia ePrivacy przez poszczególnych klientów;
  • wsparcie w zakresie dostosowania stron internetowych do wymogów Rozporządzenia ePrivacy, w tym Polityki prywatności i Polityki cookies;
  • opinie prawne dotyczące poszczególnych problemów prawnych na tle stosowania Rozporządzenia ePrivacy;
  • szkolenia dla klientów dotyczące przepisów Rozporządzenia ePrivacy.
Wyślij zapytanie ofertowe

Zobacz także