Uwagi PIIT do e-privacy_MC_09.01.2017

UWAGI
Polskiej Izby Informatyki i Telekomunikacji [PIIT]
dotyczące roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w
sektorze łączności elektronicznej, zastępującego Dyrektywę 2002/58/WE (rozporządzenie o
prywatności i łączności elektronicznej)
Na wstępie pragniemy podkreślić, iż z dużym zaniepokojeniem przyjmujemy pojawienie się
nieoficjalnego projektu nowego rozporządzenia odnoszącego się m.in. do ochrony danych
osobowych w sytuacji, gdy nie zostało jeszcze wdrożone Rozporządzenie 2016/679 UE (zwane dalej
RODO), które w sposób kompleksowy i cross-sektorowy reguluje szeroko pojęte kwestie związane z
ochroną danych osobowych i zasadami przetwarzania tychże danych, także z uwzględnieniem
specyfiki usług świadczonych drogą elektroniczną i środowiska on-line. Implementacja przepisów
RODO będzie dla przedsiębiorców dużym wyzwaniem pod względem prawnym, organizacyjnym i
finansowym oraz wymagać będzie ogromnego zaangażowania, szczególnie w kontekście bardzo
wysokich kar przewidzianych w przypadku naruszeń, czy niedopełnienia obowiązków. Dlatego,
propozycja wprowadzenia kolejnej regulacji, która jest miejscami nie tylko niespójna z RODO, lecz
wprowadza jeszcze dalej idące restrykcje i obowiązki dla przedsiębiorców budzi nasz sprzeciw.
Ponadto, pragniemy wskazać, iż kwestie ochrony prywatności użytkowników i poufności komunikacji
zostały już ujęte w Dyrektywie 2013/40/UE o cyberprzestępczości, która wyraźnie przewiduje zakaz
bezprawnego (czyli bez zgody właściciela lub osoby uprawnionej) dostępu do systemów
informatycznych, w tym urządzeń końcowych.
Propozycja zastąpienia dyrektywy e-privacy proponowanym rozporządzeniem stoi, zatem w
sprzeczności z zasadą stanowienia jasnego i przewidywalnego prawa, programem REFIT oraz
zapewnieniami Komisji Europejskiej o podejmowaniu działań deregulacyjnych. Nie uwzględnia także
możliwości posiłkowania się mechanizmami samoregulacji lub współregulacji, które mogłyby bardziej
efektywne godzić interes ochrony prywatności użytkowników z interesami przedsiębiorców
działających w różnych modelach biznesowych, w tym przy udziale stron trzecich.
Pragniemy wyrazić nadzieję, że w toku dalszych prac i wraz z pojawieniem się oficjalnej wersji
projektu rozporządzenia, przedstawiciele Izby będą mieli możliwość spotkania się z przedstawicielami
Ministerstwa Cyfryzacji celem dalszego szczegółowego omówienia proponowanych przepisów oraz
ich implikacji biznesowych, ekonomicznych oraz społecznych. Z tego względu przedstawiany uwagi
wstępne.
Zaproponowane w projekcie przepisy stworzą zagrożenie dla funkcjonowania powszechnie
przyjętych i dominujących w Internecie modeli biznesowych, w których użytkownik nie musi płacić za
dostęp do treści/usług on-line. Użytkownicy przyzwyczaili się do takiego eko-systemu działania
Internetu i nie będą chcieli z niego zrezygnować. Niestety wielu użytkowników wciąż nie ma
świadomości, że bezpłatny dostęp do treści/usług będzie niemożliwy, jeżeli zniknie finansowanie z
reklam. Wraz z podejmowanymi przez niektórych wydawców internetowych działaniami
polegającymi na blokowaniu dostępu do treści dla użytkowników stosujących tzw. „adblockers” i
wyświetlaniu prośby o zaprzestanie blokowania reklam dla danej witryny wraz ze stosownym
wyjaśnieniem, jak również pozytywnymi efektami działań przedsiębiorców o naturze
samoregulacyjnej, powoli taka świadomość wzrasta. Modele reklamowe dostępu do treści wspierają
©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w
sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17)
Strona 1 z 4
pluralizm mediów, bogactwo wartościowych treści oraz łatwy i powszechny dostęp użytkowników do
informacji i treści rozrywkowych. Modele te oparte są w głównej mierze na wykorzystaniu
targetowanych reklam, dopasowanych od preferencji użytkowników i uwzględniają stosowanie tzw.
„third party cookies”. Przepisy zawarte w projekcie rozporządzenia drastycznie ograniczą takie
praktyki oraz bardzo utrudnią m.in. stosowanie plików cookies do rejestracji ilości odsłon treści
chronionych prawami autorskimi/licencjami na potrzeby rozliczeń z OZZ/licencjodawcami, czy też
prowadzenie niezależnych badań oglądalności będących gwarantem funkcjonowania rynku reklamy i
usług on-line.
Z punktu widzenia przedsiębiorców oferujących dostęp do treści on-line lub usług bez konieczności
ponoszenia przez klienta opłaty, bardzo niepokoi zawarta w motywie (22) projektu koncepcja,
zgodnie, z którą dostawca treści/wydawca/usługodawca nie będzie mógł uzależnić dostępu do
treści/usługi od zgody klienta na przetwarzanie jego metadanych, czy też, że będzie zobligowany do
oferowania alternatywy w postaci usług płatnych – i to w dodatku w przystępnych cenach
(„affordable prices”). W ocenie członków PIIT zapis ten narusza art. 16 i 17 Europejskiej Karty Praw
Podstawowych, odnoszące się do wolności prowadzenia działalności gospodarczej oraz do prawa
własności.
Jednocześnie pozytywnie oceniamy art.3 „Territorial scope”, który podobnie jak ma to miejsce w
RODO, nakłada takie same obowiązki na podmioty świadczące usługi klientom na terenie UE, bez
względu na kraj siedziby tych podmiotów, czy miejsce przetwarzania danych. Podejście takie, zgodne
z zasadą „same service, same rules” wyrównuje pozycję konkurencyjną przedsiębiorców w
odniesieniu do przepisów dot. ochrony danych osobowych i prywatności oraz chroni klientów na
terenie UE bez względu na ich obywatelstwo.
Należy także podkreślić, iż przedstawiona regulacja będzie miała negatywny wpływ na przetwarzania
metadanych na potrzeby statystyczne/analityczne, co w praktyce uniemożliwi rozwój narzędzi Big
Data w Europie oraz wielu projektów związanych z tzw. Smart Cities lub ITS.
Poniżej przedstawiamy również szczegółowe wątpliwości dotyczące wybranych aspektów i zapisów
projektowanej regulacji:
1. Wskazane byłoby wyraźniejsze wyjaśnienie relacji pomiędzy Rozporządzeniem a
Rozporządzeniem 2016/679 (GDPR). Np. art. 6 ust. 2 odsyła do dwóch przepisów GDPR. Czy
znaczy to, że pozostałe przepisy nie mają mieć zastosowania do Rozporządzenia? Należałoby
wyraźnie określić, które przepisy GDPR nie mają zastosowania w związku z regulacją
Rozporządzenia. W przeciwnym wypadku będzie istniała duża niejasność, jak stosować te
rozporządzenia równolegle.
2. Przykładem tej niejasnej relacji jest art. 9 ust. 2 i jego relacja z art. 9 ust. 1. Nie jest jasne, czy
przy zbieraniu zgody przez ustawienia oprogramowania należy spełnić obowiązek
informacyjny z GDPR i czy inne obowiązki z GDPR dotyczące zgody stosują się do zgody tak
wyrażanej. Należałoby wskazać, wprost, że w tej sytuacji ograniczeniu ulegają pozostałe
wymogi GDPR dotyczące zgody.
3. Niejasna jest relacja pomiędzy art. 2 ust. 2 pkt. d oraz artykułem 11. Zgodnie z art. 2
przetwarzanie danych telekomunikacyjnych w związku z bezpieczeństwem publicznym
powinno być wyjęte spod regulacji Rozporządzenia (a zatem objęte RODO). Wydaje się, że
jednak artykuł 11 dotyczy także takiego przetwarzania.
©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w
sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17)
Strona 2 z 4
4. Definicja „metadanych” z art. 4 lit. d) nie wskazuje wprost, czy objęte są nią również dane o
lokalizacji urządzenia, nawet, jeśli nie są niezbędne do wykonania połączenia. Dla uniknięcia
wątpliwości, dobrze byłoby jednoznacznie wpisać te dane do definicji metadanych.
5. Definicja „direct marketing communication” z art. 4 lit. g) zawiera sformułowanie “electronic
mail and SMS”, które jest niepoprawne, gdyż SMS mieści się w zakresie pojęcia “electronic
mail” zdefiniowanego w art. 4 lit. f. SMS jest traktowany, jako przykład „electronic mail”
również w dzisiejszej dyrektywie e-privacy i, dbając o możliwie neutralne technologicznie
definicje, należałoby to utrzymać.
6. W art. 6 brak jest wskazania wprost przetwarzania metadanych w celu wykonania usługi
łączności elektronicznej. Wydaje się, że jest to najważniejszy cel przetwarzania takich danych
i należałoby go dodać.
7. Wymóg z art. 6 (e), że przedsiębiorca telekomunikacyjny może przetwarzać dane za zgodą
klienta tylko, jeśli nie może osiągnąć tego celu z użyciem danych anonimowych, jest bardzo
problematyczny. Zapewne często można zaoferować klientowi usługę podobną, choć mniej
dokładną, realizującą - choć częściowo - dany cel. Proponowane w projekcie sformułowanie
pozostawia ryzyko dla przedsiębiorcy, czy właściwie uznał, że faktycznie potrzebuje danych
niezanonimizowanych. Wydaje się, że to zawężenie nie jest potrzebne w Rozporządzeniu,
gdyż z GDPR wynika już obowiązek minimalizacji danych przetwarzanych i zasady privacy by
default. Przetwarzanie danych nadmiarowych mogłoby być oceniane, zatem z użyciem
narzędzi z GDPR.
8. Rozporządzenie nie umożliwia przetwarzania metadanych na potrzeby wykonania usług bez
wyrażania zgody. Wydaje się, że jeśli klient jest poinformowany o tym, że dana usługa (np.
nawigacyjna) obiektywnie wymaga przetwarzania danych o jego położeniu, to zbieranie w
tym celu jego zgody można traktować, jako nadmiarowe. Takie dane byłyby, bowiem
niezbędne do wykonania umowy o korzystanie z takiej usługi (zgodnie z art. 6 ust. 1 b GDPR).
Nie wiadomo także, co dziać się powinno z istnieniem takiej umowy w razie cofnięcia przez
klienta zgody. Proponujemy umożliwienie przetwarzania metadanych do wykonania usług,
do świadczenia, których dane są niezbędne, pod warunkiem przedstawienia klientowi jasnej
informacji na ten temat przed aktywacją usługi.
9. Użycie w art. 6 e) pojęcia value added services wydaje się niepotrzebne. Pojęcie to nie jest
zdefiniowane w Rozporządzeniu.
10. Nieumożliwienie przetwarzania metadanych na potrzeby statystyczne / analityczne w
praktyce uniemożliwi rozwój narzędzi Big Data w Europie. Rozwiązaniem zabezpieczającym
interesy podmiotów danych byłoby albo (1) zastosowanie przepisy GDPR o celu
statystycznym, gwarantujące ochronę, albo (2) dookreślenie takich warunków w
Rozporządzeniu, albo (3) wprowadzenie wymogu określenia takich warunków przez Państwa
Członkowskie. Wydaje się, że przetwarzanie spseudonimizowanych danych w celu stworzenia
anonimowych agregatów nie narusza prywatności podmiotów danych, dlatego nie powinno
wymagać udzielania przez podmiotów danych zgody.
11. W artykule 7 ust. 4 nie określono, czy obie strony, czy tylko jedna ma mieć „sole control” nad
użyciem danych o połączeniach.
12. Artykuł 9 ust. 2 dotyczy ustawień oprogramowania umożliwiającego dostęp do Internetu, a
nie do innej sieci, z której korzystać może klient. Należałoby to rozszerzyć na dostęp do sieci
telekomunikacyjnej, niezależnie od jej rodzaju.
13. Niezrozumiałe wydaje się narzucenie na operatora obowiązku umożliwienia klientowi
wycofania zgody „on periodic intervals of 6 months”. Wyjątkowo niekorzystne dla
przedsiębiorcy jest sugerowanie klientowi, co pół roku, że może cofnąć zgodę (nawet, jeśli
przez ostatnie kilka miesięcy przedsiębiorca nie przetwarzał danych w oparciu o otrzymaną
©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w
sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17)
Strona 3 z 4
14.
15.
16.
17.
18.
19.
zgodę). Przy udzielaniu zgody klient jest informowany o tym, że udzielił zgodę i w jaki sposób
może ją cofnąć. Nawet w odniesieniu do przetwarzania danych sensytywnych GDPR nie
przewiduje takiego obowiązku.
Nie wiadomo, na kim mają spoczywać obowiązki określone w art. 10 - czy na producencie,
importerze, czy dystrybutorze urządzenia. Wydaje się, że obowiązki te powinny spoczywać na
producencie i importerze. Przepis ten w znaczny sposób wpływa na zakres Rozporządzenia i
powinno być uwzględnione w początkowych przepisach Rozporządzenia.
Sformułowanie art. 16 ust. 1 rodzić może wiele wątpliwości. Zgody wymaga używanie usług
telekomunikacyjnych w celu transmitowania przekazów marketingu bezpośredniego.
Należałoby dookreślić, czy używa usług telekomunikacyjnych np. podmiot zlecający wysyłkę
komunikatów marketingowych, czy też podmiot bezpośrednio je wysyłający na rzecz innego
podmiotu lub pracownik takiego podmiotu.
Art. 16 ust. 1 powinien wprost wskazywać, że dotyczy użytkowników końcowych będących
osobami fizycznymi. Niezasadne byłoby uzależnianie kierowanie komunikacji
marketingowych do osób innych niż osoby fizyczne, od wymogu udzielenia ich zgody.
Wymogi dotyczące zgody (dobrowolność, świadomość) w przypadku osób prawnych będą
trudne do spełnienia. Do wyjaśnienia pozostaje kwestia, kto - w przypadku klientów
biznesowych operatora - miałby wyrażać zgodę: czy użytkownik urządzenia, czy abonent.
Art. 16 ust. 2 nie umożliwia wykorzystania „electronic mail”, który przedsiębiorca powierza
klientowi w umowie, a tylko tych, które klient podał w kontekście sprzedaży produktu.
Oznacza to, że w sytuacji, której przedsiębiorca nie wymaga od klienta podania „electronic
mail”, a zapewnia klientowi działanie takiego „electronic mail”, nie może przesyłać tam
informacji dotyczących jego usług. Należałoby rozszerzyć przepis, aby umożliwiał także
wykorzystanie „electronic mail” zapewniany przez przedsiębiorcę klientowi.
Słuszne jest umożliwienie „voice-to-voice” live call w modelu opt-out. Tego typu telefony nie
są wykonywane na tak masową skalę jak wysyłki e-maili, SMS-ów, a przez to nie ingerują w
prywatność odbiorcy.
Wskazany byłby dłuższy termin na wdrożenie niż 6 miesięcy (co najmniej 9 miesięcy). Zmiany
przewidziane rozporządzeniem w znaczny sposób mogą wpłynąć na przetwarzanie
metadanych i na zbieranie zgód na przetwarzanie takich danych (zebranie takich zgód przez
przedsiębiorcę zgodnie z wymogami GDPR i Rozporządzenia wymaga czasu).
Deklarujemy nasz dalszy udział na kolejnych etapach prac nad projektem Rozporządzenia.
©PIIT: Uwagi do roboczej wersji projektu rozporządzenia o ochronie prywatności i danych osobowych w
sektorze łączności elektronicznej, 2017.01.09 (PIIT/43/17)
Strona 4 z 4