Uwagi PIIT do e-privacy_MC_09.01.2017
Transkrypt
Uwagi PIIT do e-privacy_MC_09.01.2017
UWAGI Polskiej Izby Informatyki i Telekomunikacji [PIIT] dotyczące roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w sektorze łączności elektronicznej, zastępującego Dyrektywę 2002/58/WE (rozporządzenie o prywatności i łączności elektronicznej) Na wstępie pragniemy podkreślić, iż z dużym zaniepokojeniem przyjmujemy pojawienie się nieoficjalnego projektu nowego rozporządzenia odnoszącego się m.in. do ochrony danych osobowych w sytuacji, gdy nie zostało jeszcze wdrożone Rozporządzenie 2016/679 UE (zwane dalej RODO), które w sposób kompleksowy i cross-sektorowy reguluje szeroko pojęte kwestie związane z ochroną danych osobowych i zasadami przetwarzania tychże danych, także z uwzględnieniem specyfiki usług świadczonych drogą elektroniczną i środowiska on-line. Implementacja przepisów RODO będzie dla przedsiębiorców dużym wyzwaniem pod względem prawnym, organizacyjnym i finansowym oraz wymagać będzie ogromnego zaangażowania, szczególnie w kontekście bardzo wysokich kar przewidzianych w przypadku naruszeń, czy niedopełnienia obowiązków. Dlatego, propozycja wprowadzenia kolejnej regulacji, która jest miejscami nie tylko niespójna z RODO, lecz wprowadza jeszcze dalej idące restrykcje i obowiązki dla przedsiębiorców budzi nasz sprzeciw. Ponadto, pragniemy wskazać, iż kwestie ochrony prywatności użytkowników i poufności komunikacji zostały już ujęte w Dyrektywie 2013/40/UE o cyberprzestępczości, która wyraźnie przewiduje zakaz bezprawnego (czyli bez zgody właściciela lub osoby uprawnionej) dostępu do systemów informatycznych, w tym urządzeń końcowych. Propozycja zastąpienia dyrektywy e-privacy proponowanym rozporządzeniem stoi, zatem w sprzeczności z zasadą stanowienia jasnego i przewidywalnego prawa, programem REFIT oraz zapewnieniami Komisji Europejskiej o podejmowaniu działań deregulacyjnych. Nie uwzględnia także możliwości posiłkowania się mechanizmami samoregulacji lub współregulacji, które mogłyby bardziej efektywne godzić interes ochrony prywatności użytkowników z interesami przedsiębiorców działających w różnych modelach biznesowych, w tym przy udziale stron trzecich. Pragniemy wyrazić nadzieję, że w toku dalszych prac i wraz z pojawieniem się oficjalnej wersji projektu rozporządzenia, przedstawiciele Izby będą mieli możliwość spotkania się z przedstawicielami Ministerstwa Cyfryzacji celem dalszego szczegółowego omówienia proponowanych przepisów oraz ich implikacji biznesowych, ekonomicznych oraz społecznych. Z tego względu przedstawiany uwagi wstępne. Zaproponowane w projekcie przepisy stworzą zagrożenie dla funkcjonowania powszechnie przyjętych i dominujących w Internecie modeli biznesowych, w których użytkownik nie musi płacić za dostęp do treści/usług on-line. Użytkownicy przyzwyczaili się do takiego eko-systemu działania Internetu i nie będą chcieli z niego zrezygnować. Niestety wielu użytkowników wciąż nie ma świadomości, że bezpłatny dostęp do treści/usług będzie niemożliwy, jeżeli zniknie finansowanie z reklam. Wraz z podejmowanymi przez niektórych wydawców internetowych działaniami polegającymi na blokowaniu dostępu do treści dla użytkowników stosujących tzw. „adblockers” i wyświetlaniu prośby o zaprzestanie blokowania reklam dla danej witryny wraz ze stosownym wyjaśnieniem, jak również pozytywnymi efektami działań przedsiębiorców o naturze samoregulacyjnej, powoli taka świadomość wzrasta. Modele reklamowe dostępu do treści wspierają ©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17) Strona 1 z 4 pluralizm mediów, bogactwo wartościowych treści oraz łatwy i powszechny dostęp użytkowników do informacji i treści rozrywkowych. Modele te oparte są w głównej mierze na wykorzystaniu targetowanych reklam, dopasowanych od preferencji użytkowników i uwzględniają stosowanie tzw. „third party cookies”. Przepisy zawarte w projekcie rozporządzenia drastycznie ograniczą takie praktyki oraz bardzo utrudnią m.in. stosowanie plików cookies do rejestracji ilości odsłon treści chronionych prawami autorskimi/licencjami na potrzeby rozliczeń z OZZ/licencjodawcami, czy też prowadzenie niezależnych badań oglądalności będących gwarantem funkcjonowania rynku reklamy i usług on-line. Z punktu widzenia przedsiębiorców oferujących dostęp do treści on-line lub usług bez konieczności ponoszenia przez klienta opłaty, bardzo niepokoi zawarta w motywie (22) projektu koncepcja, zgodnie, z którą dostawca treści/wydawca/usługodawca nie będzie mógł uzależnić dostępu do treści/usługi od zgody klienta na przetwarzanie jego metadanych, czy też, że będzie zobligowany do oferowania alternatywy w postaci usług płatnych – i to w dodatku w przystępnych cenach („affordable prices”). W ocenie członków PIIT zapis ten narusza art. 16 i 17 Europejskiej Karty Praw Podstawowych, odnoszące się do wolności prowadzenia działalności gospodarczej oraz do prawa własności. Jednocześnie pozytywnie oceniamy art.3 „Territorial scope”, który podobnie jak ma to miejsce w RODO, nakłada takie same obowiązki na podmioty świadczące usługi klientom na terenie UE, bez względu na kraj siedziby tych podmiotów, czy miejsce przetwarzania danych. Podejście takie, zgodne z zasadą „same service, same rules” wyrównuje pozycję konkurencyjną przedsiębiorców w odniesieniu do przepisów dot. ochrony danych osobowych i prywatności oraz chroni klientów na terenie UE bez względu na ich obywatelstwo. Należy także podkreślić, iż przedstawiona regulacja będzie miała negatywny wpływ na przetwarzania metadanych na potrzeby statystyczne/analityczne, co w praktyce uniemożliwi rozwój narzędzi Big Data w Europie oraz wielu projektów związanych z tzw. Smart Cities lub ITS. Poniżej przedstawiamy również szczegółowe wątpliwości dotyczące wybranych aspektów i zapisów projektowanej regulacji: 1. Wskazane byłoby wyraźniejsze wyjaśnienie relacji pomiędzy Rozporządzeniem a Rozporządzeniem 2016/679 (GDPR). Np. art. 6 ust. 2 odsyła do dwóch przepisów GDPR. Czy znaczy to, że pozostałe przepisy nie mają mieć zastosowania do Rozporządzenia? Należałoby wyraźnie określić, które przepisy GDPR nie mają zastosowania w związku z regulacją Rozporządzenia. W przeciwnym wypadku będzie istniała duża niejasność, jak stosować te rozporządzenia równolegle. 2. Przykładem tej niejasnej relacji jest art. 9 ust. 2 i jego relacja z art. 9 ust. 1. Nie jest jasne, czy przy zbieraniu zgody przez ustawienia oprogramowania należy spełnić obowiązek informacyjny z GDPR i czy inne obowiązki z GDPR dotyczące zgody stosują się do zgody tak wyrażanej. Należałoby wskazać, wprost, że w tej sytuacji ograniczeniu ulegają pozostałe wymogi GDPR dotyczące zgody. 3. Niejasna jest relacja pomiędzy art. 2 ust. 2 pkt. d oraz artykułem 11. Zgodnie z art. 2 przetwarzanie danych telekomunikacyjnych w związku z bezpieczeństwem publicznym powinno być wyjęte spod regulacji Rozporządzenia (a zatem objęte RODO). Wydaje się, że jednak artykuł 11 dotyczy także takiego przetwarzania. ©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17) Strona 2 z 4 4. Definicja „metadanych” z art. 4 lit. d) nie wskazuje wprost, czy objęte są nią również dane o lokalizacji urządzenia, nawet, jeśli nie są niezbędne do wykonania połączenia. Dla uniknięcia wątpliwości, dobrze byłoby jednoznacznie wpisać te dane do definicji metadanych. 5. Definicja „direct marketing communication” z art. 4 lit. g) zawiera sformułowanie “electronic mail and SMS”, które jest niepoprawne, gdyż SMS mieści się w zakresie pojęcia “electronic mail” zdefiniowanego w art. 4 lit. f. SMS jest traktowany, jako przykład „electronic mail” również w dzisiejszej dyrektywie e-privacy i, dbając o możliwie neutralne technologicznie definicje, należałoby to utrzymać. 6. W art. 6 brak jest wskazania wprost przetwarzania metadanych w celu wykonania usługi łączności elektronicznej. Wydaje się, że jest to najważniejszy cel przetwarzania takich danych i należałoby go dodać. 7. Wymóg z art. 6 (e), że przedsiębiorca telekomunikacyjny może przetwarzać dane za zgodą klienta tylko, jeśli nie może osiągnąć tego celu z użyciem danych anonimowych, jest bardzo problematyczny. Zapewne często można zaoferować klientowi usługę podobną, choć mniej dokładną, realizującą - choć częściowo - dany cel. Proponowane w projekcie sformułowanie pozostawia ryzyko dla przedsiębiorcy, czy właściwie uznał, że faktycznie potrzebuje danych niezanonimizowanych. Wydaje się, że to zawężenie nie jest potrzebne w Rozporządzeniu, gdyż z GDPR wynika już obowiązek minimalizacji danych przetwarzanych i zasady privacy by default. Przetwarzanie danych nadmiarowych mogłoby być oceniane, zatem z użyciem narzędzi z GDPR. 8. Rozporządzenie nie umożliwia przetwarzania metadanych na potrzeby wykonania usług bez wyrażania zgody. Wydaje się, że jeśli klient jest poinformowany o tym, że dana usługa (np. nawigacyjna) obiektywnie wymaga przetwarzania danych o jego położeniu, to zbieranie w tym celu jego zgody można traktować, jako nadmiarowe. Takie dane byłyby, bowiem niezbędne do wykonania umowy o korzystanie z takiej usługi (zgodnie z art. 6 ust. 1 b GDPR). Nie wiadomo także, co dziać się powinno z istnieniem takiej umowy w razie cofnięcia przez klienta zgody. Proponujemy umożliwienie przetwarzania metadanych do wykonania usług, do świadczenia, których dane są niezbędne, pod warunkiem przedstawienia klientowi jasnej informacji na ten temat przed aktywacją usługi. 9. Użycie w art. 6 e) pojęcia value added services wydaje się niepotrzebne. Pojęcie to nie jest zdefiniowane w Rozporządzeniu. 10. Nieumożliwienie przetwarzania metadanych na potrzeby statystyczne / analityczne w praktyce uniemożliwi rozwój narzędzi Big Data w Europie. Rozwiązaniem zabezpieczającym interesy podmiotów danych byłoby albo (1) zastosowanie przepisy GDPR o celu statystycznym, gwarantujące ochronę, albo (2) dookreślenie takich warunków w Rozporządzeniu, albo (3) wprowadzenie wymogu określenia takich warunków przez Państwa Członkowskie. Wydaje się, że przetwarzanie spseudonimizowanych danych w celu stworzenia anonimowych agregatów nie narusza prywatności podmiotów danych, dlatego nie powinno wymagać udzielania przez podmiotów danych zgody. 11. W artykule 7 ust. 4 nie określono, czy obie strony, czy tylko jedna ma mieć „sole control” nad użyciem danych o połączeniach. 12. Artykuł 9 ust. 2 dotyczy ustawień oprogramowania umożliwiającego dostęp do Internetu, a nie do innej sieci, z której korzystać może klient. Należałoby to rozszerzyć na dostęp do sieci telekomunikacyjnej, niezależnie od jej rodzaju. 13. Niezrozumiałe wydaje się narzucenie na operatora obowiązku umożliwienia klientowi wycofania zgody „on periodic intervals of 6 months”. Wyjątkowo niekorzystne dla przedsiębiorcy jest sugerowanie klientowi, co pół roku, że może cofnąć zgodę (nawet, jeśli przez ostatnie kilka miesięcy przedsiębiorca nie przetwarzał danych w oparciu o otrzymaną ©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17) Strona 3 z 4 14. 15. 16. 17. 18. 19. zgodę). Przy udzielaniu zgody klient jest informowany o tym, że udzielił zgodę i w jaki sposób może ją cofnąć. Nawet w odniesieniu do przetwarzania danych sensytywnych GDPR nie przewiduje takiego obowiązku. Nie wiadomo, na kim mają spoczywać obowiązki określone w art. 10 - czy na producencie, importerze, czy dystrybutorze urządzenia. Wydaje się, że obowiązki te powinny spoczywać na producencie i importerze. Przepis ten w znaczny sposób wpływa na zakres Rozporządzenia i powinno być uwzględnione w początkowych przepisach Rozporządzenia. Sformułowanie art. 16 ust. 1 rodzić może wiele wątpliwości. Zgody wymaga używanie usług telekomunikacyjnych w celu transmitowania przekazów marketingu bezpośredniego. Należałoby dookreślić, czy używa usług telekomunikacyjnych np. podmiot zlecający wysyłkę komunikatów marketingowych, czy też podmiot bezpośrednio je wysyłający na rzecz innego podmiotu lub pracownik takiego podmiotu. Art. 16 ust. 1 powinien wprost wskazywać, że dotyczy użytkowników końcowych będących osobami fizycznymi. Niezasadne byłoby uzależnianie kierowanie komunikacji marketingowych do osób innych niż osoby fizyczne, od wymogu udzielenia ich zgody. Wymogi dotyczące zgody (dobrowolność, świadomość) w przypadku osób prawnych będą trudne do spełnienia. Do wyjaśnienia pozostaje kwestia, kto - w przypadku klientów biznesowych operatora - miałby wyrażać zgodę: czy użytkownik urządzenia, czy abonent. Art. 16 ust. 2 nie umożliwia wykorzystania „electronic mail”, który przedsiębiorca powierza klientowi w umowie, a tylko tych, które klient podał w kontekście sprzedaży produktu. Oznacza to, że w sytuacji, której przedsiębiorca nie wymaga od klienta podania „electronic mail”, a zapewnia klientowi działanie takiego „electronic mail”, nie może przesyłać tam informacji dotyczących jego usług. Należałoby rozszerzyć przepis, aby umożliwiał także wykorzystanie „electronic mail” zapewniany przez przedsiębiorcę klientowi. Słuszne jest umożliwienie „voice-to-voice” live call w modelu opt-out. Tego typu telefony nie są wykonywane na tak masową skalę jak wysyłki e-maili, SMS-ów, a przez to nie ingerują w prywatność odbiorcy. Wskazany byłby dłuższy termin na wdrożenie niż 6 miesięcy (co najmniej 9 miesięcy). Zmiany przewidziane rozporządzeniem w znaczny sposób mogą wpłynąć na przetwarzanie metadanych i na zbieranie zgód na przetwarzanie takich danych (zebranie takich zgód przez przedsiębiorcę zgodnie z wymogami GDPR i Rozporządzenia wymaga czasu). Deklarujemy nasz dalszy udział na kolejnych etapach prac nad projektem Rozporządzenia. ©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17) Strona 4 z 4