W komisjach europarlamentu trwa spór o ewentualne złagodzenie projektu rozporządzenia, które ma przenieść ogólne zasady ochrony prywatności wynikające z RODO na poziom szczegółowy.
Komisja Europejska w projekcie nowego rozporządzenia o e-prywatności (ang. e-Privacy) zaproponowała wprowadzenie daleko idących zmian w standardzie ochrony danych osobowych. Przede wszystkim dokument zakłada, że wszystkie urządzenia końcowe, czyli telefony komórkowe, komputery i inne sprzęty z grupy internetu rzeczy należą do strefy prywatnej użytkownika. Zasada ta ma obejmować wszelkie dane przechowywane lokalnie i eksportowane z urządzeń. Warto zaznaczyć, że nowe przepisy mają wymusić na producentach przeglądarek i podobnych platform, by te zapewniały przyjazne dla użytkownika ustawienia już w wersji domyślnej.
Projekt wprowadza także pojęcie poufności. Wszystkie dane komunikacji elektronicznej oraz metadane mają być zastrzeżone – chyba że użytkownik zgodzi się na ich przetwarzanie lub będą one potrzebne do prawidłowej pracy aplikacji. Ten sam standard ma też dotyczyć danych lokalizujących – od tych zbieranych przez GPS, do historii logowania się do sieci Wi-Fi.
– Do zautomatyzowanego profilowania marketingowego potrzebna będzie zgoda. To da się odczuć, najpierw RODO, potem e-privacy, duże firmy będą się buntować – mówi Michał Sztąberek, partner zarządzający z firmy iSecure.
Zakazane ma być również stawianie tzw. cookie walli. Popularne ciasteczka pomagają stworzyć administratorom witryn obraz użytkownika, który je odwiedza. Niektóre z witryn nie życzą sobie gości, którzy nie akceptują takich praktyk i nie zgadzają się na zbieranie przez ciasteczka informacji o swojej aktywności. Jeśli e-privacy wejdzie w życie, w przypadku odrzucenia cookies administrator nie będzie mógł odmówić dostępu do strony.
Dokument zakłada także, że wszystkie rodzaje niezamówionych komunikatów, łącznie z reklamą dobieraną pod użytkownika w mediach społecznościowych i marketingiem bezpośrednim przez urządzenia mobilne, wymagają jednoznacznej, aktywnie wyrażonej zgody.
– To krok w dobrym kierunku. Potrzebujemy regulacji, która wyeliminuje nieetyczne, inwazyjne i ukryte techniki śledzenia. Każdy, kto nosi ze sobą smartfon, jest dziś na nie narażony i nawet o tym nie wie – mówi Katarzyna Szymielewicz, prezes fundacji Panoptykon, organizacji broniącej praw człowieka w społeczeństwie nadzorowanym. – To nie jest rewolucja, ale ewolucja. Zmieniają się nie tyle zasady, ile ich interpretacja i sposób egzekwowania. Do tej pory firmy śledzące nas w celach reklamowych mogły się opierać na zgodzie domniemanej z ustawień przeglądarki. Teraz będą musiały wyjść z cienia i nawiązać z nami otwarty dialog – dodaje.
Tępienie ostrza regulacji
Rozporządzenie przeszło już przez trzy komisje Parlamentu Europejskiego, z których każda opowiedziała się za złagodzeniem pierwotnego projektu. Komisja Rynku Wewnętrznego i Ochrony Konsumentów pod koniec września zaproponowała, by dane komunikacyjne były chronione tylko podczas transferu, a nie, jak w wersji KE, cały czas. W opinii gremium znalazła się także sugestia, że informacje o lokalizacji, czasie komunikowania się z innymi użytkownikami oraz inne metadane nie powinny wymagać od użytkownika zgody na ich przetwarzanie.
Z kolei Komisja Przemysłu, Badań Naukowych i Energii wysunęła postulat, by regulacja nie odnosiła się do komunikacji maszyna-maszyna (czyli internetu rzeczy) niewpływającej na pogwałcenie prywatności, czyli takiej, jak np. wymiana danych pomiędzy serwerami.
Jak zauważa EDRi – organizacja zajmująca się prawami użytkowników w internecie – powyższe uwagi zupełnie mijają się z celem procedowanego aktu. – Wiele zaproponowanych zmian podważa sens obostrzeń, które e-Privacy ma wprowadzić – mówi nam Diego Naranjo z EDRi. – Pozwalając na przetwarzanie danych i osłabiony charakter ochrony prywatności, rozporządzenie będzie o wiele mniej skuteczne niż obecnie obowiązująca dyrektywa – dodaje.
W Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, której głos jest w tej sprawie decydujący, trwa ucieranie stanowisk. Do tej pory odbyło się już kilka spotkań, głosowanie nad ostateczną opinią zaplanowano na 19 października.
Jak mówi nam Michał Boni, członek komisji, spór wewnątrz gremium dotyczy trzech kwestii: analizowania dużych partii danych big data, stawiania cookie walli oraz tego, jak powinien zachować się podmiot, któremu użytkownik odmówił zbierania danych na jego temat.
Boni zwraca uwagę na to, że całkowite odcięcie dostępu do spseudonimizowanych (czyli poddanych niepełnej anonimizacji) danych osobowych, takich jak np. lokalizacja, będzie szkodliwe choćby dla infrastruktury. – Big data pozwala analizować np. częstotliwość ruchu drogowego na danym obszarze. Odpowiednie metadane mogą posłużyć do jego usprawnienia – tłumaczy europoseł.
Rynek wart miliardy
Kolejnym punktem spornym jest ustawianie blokad dla użytkowników, którzy nie akceptują plików cookie. Komisja Europejska w swoim projekcie zarekomendowała usunięcie takich blokad, jednak według niektórych członków komisji i branżowych firm może to doprowadzić do spadku atrakcyjności biznesowej małych przedsiębiorstw internetowych. – Te firmy nie będą w stanie zebrać dokładnych danych lub zbiorą ich mniej. Będą musiały korzystać z usług dużych agregatorów, najczęściej z USA – podkreśla Dominik Karbowski z firmy Selectivv, badającej użytkowników urządzeń mobilnych.
Różnica zdań występuje także w odniesieniu do tego, jak powinien zachować się usługodawca, któremu użytkownik odmawia zbierania danych osobowych. Według projektu rozporządzenia nie może w takiej sytuacji zabronić korzystania ze swojej oferty. Mielibyśmy więc do czynienia z sytuacją, w której internauta korzysta z usługi za darmo, bowiem walutą w sieci są głównie dane o nas samych. Ten rynek jest duży i ciągle rośnie. Według obliczeń Komisji Europejskiej do roku 2020 będzie wart 739 mld euro.
– Chcemy chronić dane, ale chcemy też racjonalnie rozwijać usługi w internecie. Trzeba szukać kompromisu – mówi Michał Boni. – Potrzebna nam merytoryczna analiza, a nie ideologizowany spór – dodaje.
Dominik Karbowski dostrzega kolejne niejasności w projekcie rozporządzenia.
– Czy adres reklamowy użytkownika zalicza się do danych osobowych? W tym momencie nie znamy odpowiedzi, to trochę przypomina Dziki Zachód – zaznacza.
Przedstawiciel Selectivv zauważa także, że niektóre aplikacje są pisane w taki sposób, by zbierały jak największą liczbę informacji. Firma widzi potrzebę zmiany, jednak uważa za nierealne, aby użytkownik programu wyrażał osobne zgody na przetwarzanie danych osobowych dla każdej firmy, która ma zamiar z nich skorzystać.
– Wyobraźmy sobie, że użytkownika cały czas atakują okienka, które proszą go o zgodę. To nie będzie funkcjonalne. Póki co rynek wstrzymał oddech. Bo na razie trudno ocenić, jak to nowe prawo uderzy w nasz sektor – podsumowuje Karbowski.