EKŁE a przepisy o e-Prywatności i RODO Warszawa, dnia 24 czerwca 2019 r.
Przepisy o e-Prywatności (1) aktualny stan prawny Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r., dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), zmieniona dyrektywą 2009/136/WE z dnia 25 listopada implementacja przepisów Dyrektywy 2002/58/WE do polskiego porządku prawnego nastąpiła w ustawie-Prawo telekomunikacyjne oraz ustawie o świadczeniu usług drogą elektroniczną przyszły stan prawny Rozporządzenie UE o Prywatności i Łączności Elektronicznej (projekt Komisji Europejskiej z dnia 10.1.2017 COM(2017) 10 final) – regulacja sektorowa w stosunku do RODO Rozporządzenie uchyli przepisy dyrektywy 2002/58/WE
EKŁE a przepisy o e-Prywatności (1) zgodnie z art.2 dyrektywy 2002/58/WE do zawartych w niej regulacji stosuję się definicje z dyrektywy ramowej 2002/21/WE zgodnie z art.125 EKŁE, dotychczasowe odesłania do uchylonych z dniem 21 grudnia 2020 r. dyrektyw (w tym dyrektywy 2002/21/WE), zawarte w innych aktach prawnych (w tym w dyrektywie 2002/58/WE, należy odczytywać jako odesłanie do dyrektywy o EKŁE wniosek: definicje zawarte w EKŁE będą miały bezpośrednie zastosowanie do - już obowiązujących, jak i przyszłych - przepisów o e-Prywatności
EKŁE a przepisy o e-Prywatności (2) zgodnie z EKŁE jednym z rodzajów usługi łączności elektronicznej jest usługa interpersonalna (art.2 pkt 5), rozumiana jako: „usługa łączności interpersonalnej” oznacza usługę zazwyczaj świadczoną za wynagrodzeniem, która umożliwia bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci łączności elektronicznej między skończoną liczbą osób, w ramach której osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, istota zmiany – objęcie przepisami o łączności elektronicznej usług OTT1 (over-the- top) tj. świadczonych przez Internet usług funkcjonalnie równoważnych tradycyjnym usługom telekomunikacyjnym: telefonia internetowa (VoIP), usługi przekazywania wiadomości (instant messaging apps) i usługi poczty elektronicznej (m.in. Webmail) tako samo w Rozporządzeniu o e-Prywatności – takie samo rozumienie usługi łączności elektronicznej jak w EKŁE (art.4 ust.1 pkt b projektu) przykłady aplikacji, których świadczenie będzie objęte przepisami EKŁE: Facebook Messenger, WhatsApp, Skype, FaceTime, Signal, Telegram, Gmail etc.
EKŁE a przepisy o e-Prywatności (2) zgodnie z art.2 pkt 5 pojęciem usługi interpersonalnej nie są objęte usługi, które umożliwiają interpersonalną i interaktywną komunikację wyłącznie jako podrzędną funkcję dodatkową, która jest nieodłącznie związana z inną usługą doprecyzowanie wyłączenia w motywie 17 EKŁE: Funkcję łączności interpersonalnej można uznać za nieznaczną, w przypadku gdy jej obiektywna przydatność dla użytkownika końcowego jest bardzo ograniczona i gdy w rzeczywistości jest ona ledwie wykorzystywana przez użytkowników końcowych. Przykładem funkcji, która mogłaby zostać uznana za nie objętą zakresem stosowania definicji usługi łączności interpersonalnej może być zasadniczo kanał komunikacyjny w grach internetowych, w zależności od funkcji narzędzia do komunikacji wykorzystywanego w usłudze. w art.4 pkt 2 projektu Rozporządzenia o e-Prywatności „poboczne usługi” są natomiast objęte pojęciem „usługi interpersonalnej”: „……..the definition of ‘interpersonal communications service’ shall include services which enable interpersonal and interactive communication merely as a minor ancillary feature that is intrinsically linked to another service.”
EKŁE a przepisy o e-Prywatności (3) jedną z konsekwencji rozszerzenia stosowania przepisów EKŁE na dostawców usług OTT1 (dostawców usług interpersonalnych) jest obowiązek dostosowania ich działalności do wymogów dyrektywy 2002/58/WE art.5 dyrektywy 2002/58/WE (poufność komunikacji) - zakaz podsłuchiwania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników; zakaz będzie miał wpływ m.in. w zakresie usług poczty elektronicznej, w trakcie których dochodzi do „skanowania” treści wiadomości w celu przesyłania spersonalizowanych reklam. W nowym stanie prawnym konieczne będzie uzyskanie uprzedniej zgody użytkowników;
EKŁE a przepisy o e-Prywatności (4) ograniczenia wykorzystywania danych transmisyjnych i danych o lokalizacji dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu (art.6 ust.1 dyrektywy 2002/58/WE) co celów wprowadzania na rynek usług łączności elektronicznej lub świadczenia usług tworzących wartość wzbogaconą, dostawca publicznie dostępnych usług łączności elektronicznej może przetwarzać dane określone w ust. 1, w zakresie i przez czas niezbędny dla tego rodzaju usług lub wprowadzania ich na rynek, jeżeli abonent lub użytkownik, których dane dotyczą, uprzednio wyraził na to zgodę (art.6 ust.3 dyrektywy 2002/58/WE) e przypadku gdy dane dotyczące lokalizacji inne niż dane o ruchu, odnoszące się do użytkowników lub abonentów publicznych sieci łączności lub publicznie dostępnych usług łączności elektronicznej, mogą być przetwarzane, przetwarzanie może mieć miejsce tylko wówczas gdy dane te są anonimowe, lub za zgodą użytkowników lub abonentów, w zakresie i przez okres niezbędny do świadczenia usługi tworzącej wartość dodaną (art.9 ust.1 dyrektywy 2002/58/WE)
EKŁE a przepisy o e-Prywatności (5) konsekwencja prawna objęcia usług OTT1 przepisami EKŁE z punktu widzenia ochrony prywatności: dostawcy usług OTT1 (usług łączności interpersonalnej) będą mieli ograniczoną, w stosunku do obecnego stanu prawnego, możliwość wykorzystywania danych o ruchu i/lub danych lokalizacyjnych (konieczność uzyskania zgody użytkownika, konieczność wykorzystania w związku ze świadczeniem usług tworzących wartość dodaną)
Przepisy o e-Prywatności a RODO Art.95 RODO – „Niniejsze rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE.” przepisy o e-Prywatności mają charakter lex specialis względem przepisów RODO jako norm legi generali: w zakresie w jakim przepisy sektorowe będą ograniczać – względem RODO – możliwości przetwarzania danych pochodzących z łączności elektronicznej, będą one „względniejsze”. Sytuacja taka może mieć miejsce w szczególności w przypadku ograniczenia – w stosunku do RODO – możliwości posługiwania się poszczególnymi podstawami prawnymi przetwarzania danych (tylko opt-in, brak możliwości stosowania opt-out) charakter RODO jako lex generali w stosunku do PT, przesądza o stosowaniu przepisów Rozporządzenia w zakresie, w którym przepisy sektorowe nie regulują danego rodzaju obowiązków (np. w zakresie realizacji praw podmiotów danych)
EKŁE a przepisy o bezpieczeństwie sieci i usług przepisy EKŁE wprowadzają „własne” przepisy o obowiązkach bezpieczeństwa, niezależne od obowiązków bezpieczeństwa przewidzianych w innych przepisach – „przepisy niniejszego rozporządzenia Przepisy niniejszego artykułu nie naruszają przepisów rozporządzenia (UE) 2016/679 oraz dyrektywy 2002/58/WE” (art.40 ust.4) „bezpieczeństwo sieci i usług” oznacza zdolność sieci i usług łączności elektronicznej do odpierania, na danym poziomie pewności, wszelkich działań naruszających (art.2 pkt ) rozumienie bezpieczeństwa w EKŁE szersze niż w RODO (art.32 i n.) ujęcie bezpieczeństwa w EKŁE szersze niż w dotychczasowych przepisach o e-Prywatności obowiązki w zakresie bezpieczeństw w EKŁE – m.in.: m.in. obowiązek stosowania, w stosownych przypadkach szyfrowania(art.40 ust.1), obowiązek powiadamiania bez zbędnej zwłoki właściwego organu o incydentach związanych z bezpieczeństwem, które miały znaczący wpływ na funkcjonowanie sieci lub usług (art.40 ust.2) obowiązek informowania użytkowników o wszelkich możliwych środkach ochronnych lub naprawczych, które użytkownicy mogą podjąć w przypadku szczególnego i znacznego zagrożenia wystąpieniem incydentu związanego z bezpieczeństwem w publicznych sieciach łączności elektronicznej lub w ramach dostępnych publicznie usług łączności elektronicznej (art.40 ust.3)
EKŁE a przepisy o e-Prywatności i RODO - podsumowanie w zakresie ochrony danych dostawcy usług łączności elektronicznej powinni stosować: przepisy o e-Prywatności (obecnie dyrektywa 2002/58/WE), z uwzględnieniem poszerzenia zakresu przedmiotowego pojęcia usługi łączności elektronicznej w EKŁE w zakresie nieuregulowanym w przepisach implementujących dyrektywę 2002/58/WE, przepisy RODO przepisy EKŁE dotyczące bezpieczeństwa sieci i usług
Dziękuję za uwagę Xawery Konarski Starszy Partner, Adwokat e-mail: xawery.konarski@traple.pl tel.: (+48) 22 850 10 10