Propozycja PIIT nowej wersji Art 173_2012.06.01
Transkrypt
Propozycja PIIT nowej wersji Art 173_2012.06.01
Propozycja PIIT nowej pełnej wersji Art.173 zastępującej w całości wersję dotychczasową uzupełnioną proponowanymi poprawkami. Art. 173. 1. Podmiot świadczący usługę drogą elektroniczną może zapamiętywać, przechowywać i wykorzystywać informacje zapisane w urządzeniu, pod warunkiem, że jego użytkownik końcowy najpóźniej w momencie rozpoczęcia powyższych czynności zostanie jednoznacznie i bezpośrednio poinformowany w sposób łatwy i zrozumiały o celu przechowywania i wykorzystywania tych informacji oraz wyrazi na to zgodę. 2. Użytkownik końcowy może również wyrazić zgodę, o której mowa w ust.1, poprzez dokonanie stosownych ustawień w oprogramowaniu zainstalowanym w wykorzystywanym przez niego urządzeniu. 3. Warunków, o których mowa w ust. 1 i 2, nie stosuje się, jeżeli informacje, o których mowa w ust. 1: 1) są niezbędne w celu wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej; 2) są niezbędne w celu dostarczania usługi, żądanej przez użytkownika końcowego, 3) dotyczą decyzji o zgodzie, o której mowa w ust. 1. 4. Podmioty, o których mowa w ust.1, mogą instalować w urządzeniu użytkownika końcowego oprogramowanie przeznaczone do korzystania z tych usług lub korzystać z tego oprogramowania pod warunkiem, że użytkownik przed rozpoczęciem instalacji zostanie jednoznacznie i bezpośrednio poinformowany w sposób łatwy i zrozumiały o celu przechowywania i wykorzystywania informacji pozyskiwanych przez to oprogramowania, o sposobie usunięcia tego oprogramowania z urządzenia oraz wyrazi na zgodę na instalację tego oprogramowania. Uzasadnienie: Przyjmując zasadę uprzedniego poinformowania użytkownika urządzenia o celu zapamiętywania, przechowywania i wykorzystywania informacji oraz konieczności wyrażenia zgody opt-in, proponujemy prostszy i bardziej zgodny z technologią informatyczną zapis tego artykułu. W związku z tym proponujemy w stosunku do proponowanej wersji pełnego Art. 173 : 1. W całym Art. pominąć „przedsiębiorcy telekomunikacyjnego”, gdyż ten nie ma dostępu do oprogramowania urządzenia przy realizacji dostępu do internetu. Z kolei świadcząc usługę drogą elektroniczną staje się wtedy takim podmiotem, zresztą jak podmioty administracji publicznej, fundacje, stowarzyszenia oraz osoby prywatne. 2. Dokładniej określić, jakie rodzaje operacji „zapamiętywać, przechowywać i wykorzystywać” może dokonywać podmiot z „informacjami” – zamiast „danymi informatycznymi”. Pojęcie „informacje” występuje w dyrektywie i jest bardziej zrozumiałe dla przeciętnego użytkownika. 3. Pominąć odniesienie „w szczególności do plików tekstowych”, gdyż pliki są zbiorem danych informatycznych i zawsze muszą być obsłużone przez program, a dodatkowo mogą to być też pliki binarne. Nie ma potrzeby zagłębiać się w sposób opisu miejsca przechowywania tych danych (informacji), gdyż obecnie mogą być one przechowywane w różny sposób. 4. Pominąć pojęcie „abonenta” (chociaż występuje w dyrektywie) gdyż trudno jest wskazać jakikolwiek przypadek, aby to abonent mógł – na przykład w chwili podpisania umowy lub potem poprzez konsultanta przedsiębiorcy telekomunikacyjnego wyrażać lub nie zgodę na przetwarzanie danych informatycznych. Propozycja PIIT nowej wersji Art. 173, 2012-06-01 Strona 1 5. Pozostawić pojęcie „użytkownika końcowego” – tak jak jest to zdefiniowane w ustawie prawo telekomunikacyjne – chociaż wygląda to śmiesznie. Dla tego zapisu istotne jest, bowiem kto w danym momencie dysponuje/używa tego urządzenia. 6. Zamiast „urządzanie końcowe”, dla którego nie istnieje definicja, a więc nie wiadomo, jakie to są urządzania, lepiej użyć powszechnie znanego pojęcia „urządzenie”. I tak pozostaje pytanie, jakich to rzeczywistych urządzeń dotyczy to pojęcie – komputera, laptopa, tableta, telefonu komórkowego, smartfonu, ??? 7. Dokładniej opisać moment przedstawienia opisu tych informacji oraz oczekiwania na zgodę. 8. Pominąć zbyt rozwlekły opis dotyczący danych i ich zawartości, bo dana jest już tą wartością. 9. Pominąć zapis dotyczący blokujący zmiany konfiguracyjne, gdyż każda zmiana informacji (danej), a nawet zapisanie wyrażenia zgody przez użytkownika jest zmianą konfiguracyjną, a więc nie ma możliwości unikania zmian konfiguracyjnych. Nie ma też możliwości zmiany poprzez sieć konfiguracji urządzenia, bo zawsze to będzie zmiana wartości jakiejś danej przetworzonej przez oprogramowanie urządzenia. 10. Zamiast dwóch ust. 1a i 1b wystarczy sformułować jeden punkt w uproszczonym zapisie (tutaj podany, jako ust.2 – po ich przenumerowaniu), który precyzyjniej opisuje prawo użytkownika do ustawienia czasowej zgody w oprogramowaniu na przetwarzanie danych określonych w ust.1. Prawo do wycofania zgody jest zapisane w Art.174. 11. Uproszczenie ust.2 (obecnie, jako ust.3) polega tylko na edycyjnym wyjęciu frazy „przechowywanie oraz dostęp do danych, o których mowa w ust.1”. Pominięto też frazy „ułatwienia”, bo trudno to zdefiniować, gdyż transmisja musi być zawsze wykonana jak najprościej i jak najszybciej przez publiczną sieć telekomunikacyjną. 12. Dodano w tym ust.3 punkt 3) zezwalający na przechowywanie na stałe informacji, czy użytkownik już wyraził zgodę na przetwarzanie określonych informacji – początkowo ta informacja wskazuje brak zgody użytkownika. 13. Uproszczenie zapisu ust.4 (uprzednio ust.3) polega na jego dopasowaniu do zapisu ust.1 z dodaniem „o sposobie usunięcia tego oprogramowania ”. Przedstawiony nowy zapis Art. 173 jest prostszy i łatwiejszy oraz bardziej zrozumiały, a także jest zgodny terminologicznie z technologią teleinformatyczną. Stąd rekomendujemy taki nowy zapis. Został on opracowany na podstawie zapisu brytyjskiego (jego treść jest podana poniżej) z uwzględnieniem naszych pojęć. 6.—(1) Subject to paragraph (4-- Nothing in these Regulations shall relieve a person of his obligations under the Data Protection Act 1998 in relation to the processing of personal data.), a person shall not use an electronic communications network to store information, or to gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met. (2) The requirements are that the subscriber or user of that terminal equipment— (a) is provided with clear and comprehensive information about the purposes of the storage of, or access to, that information; and (b) is given the opportunity to refuse the storage of or access to that information. (3) Where an electronic communications network is used by the same person to store or access information in the terminal equipment of a subscriber or user on more than one occasion, it is sufficient for the purposes of this regulation that the requirements of paragraph (2) are met in respect of the initial use. (4) Paragraph (1) shall not apply to the technical storage of, or access to, information— (a) for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network; or (b) where such storage or access is strictly necessary for the provision of an information society service requested by the subscriber or user. Propozycja PIIT nowej wersji Art. 173, 2012-06-01 Strona 2