Poznaliśmy projekt unijnego rozporządzenia o e-prywatności. Co ma się zmienić?

Artykuł

Komisja Europejska od miesięcy pracuje nad rewizją tzw. dyrektywy o e-prywatności (ang. e-privacy). Oficjalny projekt ma się pojawić dopiero w styczniu, ale za sprawą (kontrolowanego?) wycieku właśnie poznaliśmy jego nieoficjalną wersję! Jeśli projekt Komisji oprze się agresywnej kampanii firm żyjących z reklamy internetowej i zostanie przyjęty, po wejściu w życie nowego rozporządzenia o e-prywatności obudzimy się w lepszym Internecie. Co konkretnie ma się zmienić? 

Przez 14 lat obowiązywania dyrektywy o prywatności i łączności elektronicznej z 12 lipca 2002 r. w Internecie zmieniło się niemal wszystko. Dość powiedzieć, że w 2002 r. podstawowym narzędziem śledzenia aktywności użytkowników były ciasteczka (ang. cookies), rozwój usług wideo i komunikatorów głosowych ograniczał wolny przesył danych i nikomu jeszcze nie przychodziło do głowy, by do Internetu podłączyć swoją lodówkę czy sterować za jego pomocą oświetleniem w domu. Dziś Internet rzeczy to dynamicznie rozwijający się rynek, komunikacja przez gry wideo czy portale społecznościowe wielu osobom z powodzeniem zastępuje maila, a śledzące nas firmy nie muszą się już schylać po prymitywne ciasteczka, bo do dyspozycji mają lepsze narzędzia (np. skrypty śledzące i wtyczki, jakie sami instalujemy w przeglądarkach). Dzięki nim wiedzą nie tylko, że wróciliśmy na ich stronę, ale też skąd przychodzimy i gdzie za chwilę pójdziemy…

Prawo nie ma szans nadążyć za zmieniającą się technologią, to pewne. Jednak od czasu do czasu regulatorzy powinni przynajmniej dostosować swoją siatkę pojęciową do otaczającej ich rzeczywistości. Takim regulacyjnym upgradem jest przyjęte w ubiegłym roku ogólne rozporządzenie o ochronie danych osobowych (RODO). Rewizja dyrektywy o e-prywatności, która również ma się przeobrazić w rozporządzenie (czyli prawo bezpośrednio obowiązujące w całej Unii, nie wymagające wdrożenia w poszczególnych państwach) to kolejny krok w ramach tej samej reformy. Po analizie (na razie nieoficjalnej wersji) tekstu, który wypracowała Komisja Europejska, możemy stwierdzić, że to krok w dobrym kierunku.

Poufność komunikacji, także między urządzeniami

Komisja Europejska proponuje konsekwentne, szczelne podejście do zabezpieczenia poufności naszej komunikacji w sieci. Nie chodzi tylko o te komunikaty, które aktywnie i świadomie wysyłamy do innych użytkowników, ale również o te, które przesyłają sobie podłączone do sieci przedmioty, jeśli zawierają one nasze dane osobowe (według definicji zawartej w RODO). Projekt Komisji wyraźnie przewiduje ochronę metadanych związanych z komunikacją  elektroniczną – np. danych wskazujących na lokalizację konkretnego urządzenia. Takie podejście oznacza przejście na wyższy poziom ochrony prywatności i zastosowanie zasad wynikających z RODO w obszarze tzw. Internetu rzeczy – czyli wszędzie tam, gdzie przedmioty i urządzenia zbierają informacje o nas i mogą ujawniać potencjalnie wrażliwe dane, np. o naszym stanie zdrowia, osobistych kontaktach, schematach poruszania się.

Twórcy projektu rozporządzenia dostrzegli problem słabo zabezpieczonych sieci Wi-Fi i zawarli w nim konkretne zalecenia, które mają skuteczniej zabezpieczyć poufność komunikacji w tego typu sieciach.

I nie tylko: zgodnie z projektem, każdy komunikat przesyłany drogą elektroniczną, który może zawierać dane osobowe, powinien być traktowany jako poufny i odpowiednio chroniony przed bezprawnym przechwyceniem. Tak sformułowany standard dotyczy zarówno przechwycenia komunikatu przez osobę (na przykład pracownika firmy lub funkcjonariusza państwowego działającego bez podstawy prawnej), jak i maszyny (np. robotów, które skanują zawartość elektronicznej korespondencji). Projekt rozporządzenia wyraźnie przewiduje również obowiązek usuwania lub skutecznego anonimizowania metadanych, jakie są generowane w toku komunikacji elektronicznej. Oczywiście, od tej zasady projekt rozporządzenia przewiduje wyjątki, zgodne z ogólnymi zasadami przetwarzania danych osobowych. A więc przetwarzanie i analiza samych komunikatów elektronicznych lub metadanych nadal będzie możliwa w oparciu o przepis prawa, zgodę osoby, której to dotyczy, czy uzasadniony interes administratora danych.

Wreszcie, projekt rozporządzenia przerzuca odpowiedzialność za praktyczne wdrożenie tych zasad ochrony prywatności na producentów urządzeń i projektantów usług. Zasada privacy by design w świecie komunikacji elektronicznej oznacza takie zaprojektowanie i domyślne skonfigurowanie urządzeń końcowych, za pomocą których łączymy się z siecią, aby zapobiec niekontrolowanym wyciekom danych i uniemożliwić nieautoryzowany dostęp jakimkolwiek podmiotom zewnętrznym – czy to organom państwa, czy firmom (np. zdalny dostęp do mikrofonu czy kamery w urządzeniu bez wiedzy i zgody użytkownika).

Dość śledzenia bez naszej wiedzy i zgody

Propozycja Komisji Europejskiej przewiduje lepsze, bardziej precyzyjne reguły, które ograniczą śledzenie użytkowników Internetu bez ich wiedzy i zgody. Dyrektywa o e-prywatności również przewidywała ochronę przed śledzeniem, ale wyraźnie odnosiła się tylko do ciasteczek – a więc tylko jednego z mechanizmów – i dopuszczała domyślną zgodę użytkownika (np. wynikająca z nigdy nie modyfikowanych ustawień przeglądarki). Projektowane rozporządzenie jasno stwierdza, że końcowe urządzenie, za pomocą którego podłączamy się do sieci i komunikujemy ze światem, to sfera naszej prywatności i jako taka powinna podlegać ochronie przed niechcianym przez nas śledzeniem, bez względu na technologię, jaka jest do tego wykorzystywana (skrypty śledzące, wtyczki, ukryte identyfikatory, ciasteczka etc.).

Wbrew larum, jakie już podniosły firmy żyjące z reklamy internetowej, nowa regulacja nie jest wymierzona w reklamę behawioralną: ani jej nie zakazuje, ani nie ogranicza. Komisja Europejska wychodzi jedynie z – bardzo słusznego – założenia, że to każdy użytkownik ma prawo sam zdecydować, czy chce, by ktokolwiek śledził jego zachowanie w sieci w celach reklamowych, a jeśli tak – to w jakim zakresie i w jakim celu. Czym innym jest przecież reklama dobrana do naszych preferencji modowych czy aktualnego hobby, a czym innym profil zdradzający nasz stan zdrowia czy nałogi.

Propozycja Komisji Europejskiej nie dotyczy w żadnym stopniu  ciasteczek, które są potrzebne, by prawidłowo wyświetlić stronę internetową czy rozpoznać zalogowanego klienta (te są jak najbardziej dopuszczalne). Nie należy jej również mylić z promowaniem  irytujących pop-upów, które wymuszają „zgodę na ciasteczka” na każdej stronie internetowej. Celem nowego rozporządzenia ma  być zapewnienie – jako standardu – przejrzystych ustawień prywatności (np. na poziomie przeglądarki czy serwisu społecznościowego) które pozwolą nam zdecydować, komu i w jakim celu przekazujemy swoje dane – również w kontekście reklamy internetowej.  

Katarzyna Szymielewicz

 

Nieoficjalny projekt rozporządzenia o e-prywatności  [PDF 3134,36 KB]

Stanowisko koalicji European Digital Rights (w tym Fundacji Panoptykon) w sprawie rewizji dyrektywy o e-prywatności [PDF 414,93 KB]

Komentarze

Witam!
Słyszałeś/słyszałaś o kursach za darmo. Jest to możliwe.Wystarczy wejść na stronę www.szkolimyzadarmo.pl

Dodaj komentarz