Opublikowany przez Komisję Europejską projekt rozporządzenia ePrivacy zaostrza przepisy dotyczące ochrony prywatności w Internecie.
Opublikowany w styczniu br. przez Komisję Europejską projekt rozporządzenia ePrivacy zaostrza przepisy dotyczące ochrony prywatności w Internecie. Nowe regulacje w największym stopniu dotkną branżę telekomunikacyjną i internetową, znacznie ograniczając możliwości inwazyjnych działań marketingowych. Wymóg ich przestrzegania ma zapewnić groźba kary sięgająca nawet do 20 milionów euro lub 4 proc. rocznego obrotu firmy.
Rozporządzenie ePrivacy ma wejść w życie 25 maja 2018 roku wspólnie z innymi przepisami dotyczącymi ochrony danych osobowych, które są znane pod skrótem GDPR (General Data Protection Regulation) lub RODO (Rozporządzenie o Ochronie Danych Osobowych). ePrivacy ma zastąpić dyrektywę Komisji Europejskiej dotyczącą prywatności i łączności elektronicznej z 2002 roku. Wpływ tego rozporządzenia na branżę internetową i telekomunikacyjną przenalizowali specjaliści z firmy Onwelo SA, która zajmuje się m.in. usługami doradczymi i wykonawczymi w zakresie cyberbezpieczeństwa.
Operatorzy VoIP i komunikatory na takich samych prawach jak tradycyjne telekomy
Obecnie obowiązująca unijna dyrektywa w sprawie prywatności w Internecie dotyczy wyłącznie tradycyjnych operatorów telekomunikacyjnych. Nowe przepisy mają to zmienić, bo zostaną nimi objęci także wszyscy inni dostawcy usług łączności online, w tym operatorzy VoIP, komunikatory czy dostawcy usług e-mail. W praktyce dotyczy to takich marek, jak np. WhatsApp, Facebook Messenger, Skype czy Gmail. Rozporządzenie będzie dotyczyć zarówno przedsiębiorstw mających swoją siedzibę na terenie UE, jak i poza nią, o ile firma świadczy swoje usługi (płatne lub darmowe) obywatelom któregoś z krajów UE.
„Proponowane przepisy gwarantują poufność zarówno treści wiadomości, jak również metadanych, takich jak np. informacje o czasie wysyłania czy odbierania danych oraz lokalizacji użytkownika. O ile użytkownik nie wyrazi na to zgody, po wejściu nowych przepisów w życie, dane te będą musiały zostać usunięte lub zanonimizowane, chyba że operator będzie ich potrzebował do ściśle określonych celów, np. wystawienia faktury. Dla takich firm, jak np. sieci społecznościowe czy reklamowe, oznacza to poważne konsekwencje, bo bardzo ogranicza możliwości w zakresie targetowania reklam. To może przełożyć się na mniejsze zainteresowanie reklamodawców usługami takich firm” – tłumaczy Rafał Głąb, odpowiedzialny za usługi w zakresie bezpieczeństwa danych w Onwelo.
Telemarketerzy będą mieli trudniej
Projekt rozporządzenia wprowadza też całkowity zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi: e-mailem, SMS-em, a także telefonicznie. Rozporządzenie nie narzuca państwom członkowskim UE, jak należy wyegzekwować ten zakaz. Podpowiada jednak pewne rozwiązania.
„Państwa unijne mogą się np. zdecydować na prowadzenie specjalnych rejestrów, gdzie każdy użytkownik będzie mógł zastrzec swój numer telefonu lub adres e-mail. Bardzo ciekawym planowanym rozwiązaniem jest także wprowadzenie specjalnego prefiksu, którym mają zostać oznaczone numery telefonów wykorzystywanych w celach marketingowych. Oznacza to, że będzie można łatwo rozpoznać, jeśli będzie do nas dzwonił ktoś w ofertą marketingową, a potem po prostu nie odebrać takiego połączenia” – mówi Marcin Baranowski, ekspert ds. bezpieczeństwa IT w firmie Onwelo.
Zmiany dla branży direct e-marketingu
Rozporządzenie ePrivacy wprowadza także pewne zmiany dla firm działających w branży e-marketingu. Przede wszystkim nowe prawo rozszerza definicję e-marketingu. Według niej w jego ramach możemy wyróżnić komunikację B2C – czyli adresowaną do indywidualnych użytkowników, i B2B – czyli taką, której odbiorcą są firmy. W przypadku komunikacji B2C, nadawca wiadomości będzie musiał mieć wyraźną zgodę od odbiorcy na otrzymywanie jego wiadomości. Kwestię komunikacji B2B Komisja Europejska pozostawia w gestii państw członkowskich, zastrzegając jednak, że te mają zapewnić określony poziom ochrony przed niechcianymi wiadomościami.
„Podobnie jak we wcześniejszej dyrektywie, również w obecnym rozporządzeniu zgoda użytkowników nie będzie wymagana przy sprzedaży podobnych produktów i usług. Użytkownik jednocześnie cały czas ma prawo do wyrażenia sprzeciwu i łatwego wypisania się z listy adresatów wiadomości marketingowych przesyłanych e-mailem, czyli powinno to funkcjonować w podobny sposób, jak dotychczas” – mówi Rafał Głąb.
Cookies i inne zmiany
W myśl nowych przepisów uproszczone zostaną też zasady dotyczące plików cookies. Te, które nie stanowią zagrożenia dla prywatności i mają ułatwiać użytkownikowi korzystanie ze strony (np. zapamiętując zawartość jego koszyka w sklepie internetowym) nie będą już wymagały zgody użytkownika. Z kolei inne cookies będzie można zaakceptować wprowadzając odpowiednie ustawienia w przeglądarce internetowej. W praktyce najprawdopodobniej oznacza to koniec wyświetlania powiadomień o plikach cookies na stronach internetowych.
Ciekawą proponowaną zmianą w rozporządzeniu ePrivacy jest też umożliwienie operatorom telekomunikacyjnym świadczenia nowych usług w oparciu o zanonimizowane dane ich użytkowników, o ile ci wyrażą zgodę na ich przetwarzanie. Przykładem takich usług jest opracowywanie tzw. map termicznych przez operatorów, które mogłyby pokazywać, ile osób gromadzi się w określonej lokalizacji w danym czasie. Zastosowanie takich map obejmuje np. planowanie nowych projektów infrastrukturalnych czy komunikacyjnych przez samorządy lub przewoźników.
Silne poparcie obywateli krajów UE dla proponowanych zmian
Z opublikowanego w grudniu 2016 roku przez Komisję Europejską raportu z badań opinii publicznej wynika, że obywatele UE chcą zdecydowanie większej ochrony swoich danych osobowych w sieci. Dotyczy to takich obszarów, jak komunikacja przez e-mail i komunikatory, ochrona danych na urządzeniach, monitorowanie zachowania w sieci czy otrzymywanie niechcianych wiadomości i telefonów z ofertą marketingową.
Wedle tych badań 7 na 10 osób uważa, że powinna być zagwarantowana poufność komunikacji przez e-maile oraz za pośrednictwem komunikatorów internetowych. Dla 8 z 10 badanych ważne jest, aby dostęp do prywatnych danych przechowywanych na komputerze, smartfonie czy tablecie był możliwy jedynie za zgodą ich właściciela. Prawie dwie trzecie respondentów uważa, że niedopuszczalne jest, aby ich aktywność online była monitorowana w zamian za swobodny dostęp do niektórych stron. 6 na 10 Europejczyków skarży się też, że otrzymuje zbyt wiele niechcianych telefonów z ofertami handlowymi.
Badania zostały przeprowadzone przez Komisję Europejską w okresie od kwietnia do lipca 2016 roku w ramach prac nad nowymi regulacji w zakresie ochrony danych osobowych i bezpieczeństwa informacji w Internecie. Stanowią one podstawę do tworzenia nowych unijnych regulacji w tym obszarze.