Ramy prawne dla technik śledzących w Internecie – o czym należy pamiętać?
Śledzenie użytkownika w Internecie to nie tylko kwestie związane z ochroną danych osobowych. To także szerzej rozumiana ochrona prywatności w sieci, która obejmuje ochronę poufności i integralności informacji przechowywanych na urządzeniach użytkowników.
Dyrektywa o prywatności i łączności elektronicznej (tzw. dyrektywa ePrivacy)[6] z 2002 roku jako pierwsza wprowadziła obowiązek dla witryn regulujący kwestię informowania użytkowników o tym, jakie dane są śledzone i umożliwienia im rezygnacji ze śledzenia. Nie była ona jednak całkowicie skuteczna.
Dopiero jej zmiana[7] podjęta w 2009 roku wprowadziła konkretne rozwiązania, uniemożliwiające umieszczanie plików podmiotów trzecich na urządzeniu użytkownika bez jego wcześniejszej zgody. Szczególne znaczenie w tym kontekście ma art. 5 ust. 3 dyrektywy ePrivacy, który dopuszcza takie działanie wyłącznie w określonych okolicznościach.
Trzeba pamiętać, że dyrektywa podjęta na szczeblu unijnym nie wywołuje skutków wprost w lokalnym porządku prawnym – konieczna jest jej implementacja przez Państwo Członkowskie. Polska dokonała implementacji ww. przepisu w art. 173 Prawa telekomunikacyjnego[8].
Czy zgoda zawsze niezbędna?
Zgodnie z art. 5 ust. 3 dyrektywy ePrivacy, co do zasady przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika jest dozwolone, jeżeli:
- dany abonent lub użytkownik wyraził zgodę, oraz
- zgoda jest wyrażona po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.
Ochrona, o której mowa w ww. przepisie, została przyznana nie tylko osobom fizycznym, ale również osobom prawnym.
Niewątpliwie dyrektywa odniosła swój skutek wobec plików cookie. Jednak w praktyce pojawiły się wątpliwości, czy ma on zastosowanie także do innych technik śledzenia.
Najnowsze wytyczne dotyczące zakresu technicznego art. 5 ust. 3 dyrektywy ePrivacy, wydane przez Europejską Rady Ochrony Danych[9], rozwiewają wątpliwości. W wytycznych został przywołany główny cel regulacji, którym jest przede wszystkim ochrona urządzeń końcowych – jako stanowiących część sfery prywatnej użytkownika. EROD potwierdza, że przepisy dyrektywy ePrivacy nie ograniczają się wyłącznie do plików cookie, ale uwzględniają także inne „podobne technologie”, przy czym na dziś nie istnieje ich wyczerpujący wykaz.
Wyjaśnienie pojęć z art. 5 ust.3 dyrektywy ePrivacy:
- Informacja - operacje dotyczą "informacji" - pojęcie szersze niż dane osobowe, obejmuje wszelkie informacje dotyczące użytkownika.
- Urządzenie końcowe - operacje prowadzone są przy wykorzystaniu "urządzenia końcowego" użytkownika, które może składać się z pojedynczych elementów lub pełnego urządzenia (np. smartfon, laptop).
- Publicznie dostępne usługi łączności elektronicznej - operacje dokonywane są w kontekście "świadczenia publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności" - niezależnie od technologii transmisji.
- Dostęp lub przechowywanie - operacje polegają na "dostępie"do informacje lub "przechowywaniu" informacji na urządzeniu końcowym
Przykładowo, w niektórych przypadkach śledzenie wyłącznie w oparciu o adres IP również uruchomi zastosowanie art. 5 ust. 3 dyrektywy ePrivacy. Stanie się tak w sytuacji, gdy informacja o adresie IP jest pozyskana z urządzenia końcowego użytkownika. Jeśli podmiot nie może wykazać, że adres IP nie pochodzi z urządzenia końcowego, będzie musiał podjąć kroki wymagane zgodnie z dyrektywą ePrivacy.
Nowe wyzwania przed przedsiębiorcami
Choć pliki cookie dostarczane przez podmioty trzecie mogą niedługo zniknąć – nie zniknie zainteresowanie wymianą danych posiadanych przez różnych graczy na rynku. Tym razem przedsiębiorcy będą musieli dopasować stosowane technologie do daleko idących, precyzyjnych wymogów, coraz częściej nakładanych przez regulatorów nie tylko w Europie. Z uwagi na ryzyko wysokich kar, warto zachować szczególną ostrożność przy podejmowaniu decyzji o zainwestowaniu w nowe rozwiązania. Nie wszystkie bowiem przetrwają próbę sprostania warunkom zapewnienia prywatności użytkowników.