Przedsiębiorcy protestują przeciwko projektowi ePrivacy. „Nie przystaje do obecnego rozwoju technologii”

Nad projektem rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej uchylającego dyrektywę 2002/58/WE, zwanym w skrócie ePrivacy Unia Europejska pracowała równolegle z przepisami RODO, które weszły w życie na terenie wspólnoty 25 maja br.

Przepisy ePrivacy korzystne dla użytkowników

Obecnie rozporządzenie ePrivacy jest wciąż w trakcie przygotowań, a w założeniach ma lepiej niż do tej pory chronić obywateli UE przed dowolnym przetwarzaniem ich danych w internecie. W praktyce po wejściu nowych przepisów użytkownicy mogą zostać poproszeni przez niektórych dostawców usług internetowych o udzielenie dodatkowych zgód na przetwarzanie danych, podobne pozwolenia mogą się też pojawić we współpracy pomiędzy samymi firmami internetowymi m.in. w zakresie wykorzystania metadanych.

Katarzyna Szymielewicz, prezes Fundacji Panoptykon w rozmowie z serwisem Wirtualnemedia.pl przybliża ideę wprowadzenia projektu ePrivacy wyjaśniając szczegóły i przekonując, że planowane regulacje będą korzystne dla użytkowników.

- Rozporządzenie ePrivacy opiera się zdroworozsądkowej zasadzie, która w prawie europejskim obowiązuje od dawna: człowieka nie można śledzić bez jego zgody – tłumaczy Katarzyna Szymielewicz. - Dodatkowo pojawi się jednak ważne zastrzeżenie: taka zgoda wymaga świadomej i aktywnie podjętej decyzji użytkownika. A więc nie wystarczy zgoda na śledzenie w celach reklamowych domniemana z ustawień przeglądarki, do których większość użytkowników nie zagląda. Ani zgoda wymuszona przez irytujące okienko, zasłaniające dostęp do treści na stronie internetowej.

Szefowa Fundacji Panoptykon podkreśla, że to ograniczenie nie dotyczy marketingu własnych produktów, czyli sytuacji w której firma, z którą już nawiązaliśmy relację (np. bank, w którym prowadzimy rachunek czy operator telekomunikacyjny, u którego wykupiliśmy abonament) chce nam zaproponować coś nowego.

- Na taki komunikat nie musimy się zgadzać i w tym zakresie nic się nie zmieni - zapowiada Szymielewicz. - Rozporządzenie ePrivacy nie uderza zatem w samą koncepcję profilowanej reklamy i marketingu bezpośredniego, ale nakazuje wyjście z cienia firmom, które pełnią funkcję pośredników w relacji między reklamodawcą (bankiem czy sklepem z butami) i jego celem („targetem”). Obok wiodących potentatów - Google i Facebooka, którzy wiedzą bardzo dużo o swoich użytkownikach, a zarazem kontrolują dużą część internetowej powierzchni reklamowej - na tym rynku istotną rolę odgrywają agencje mediowe, giełdy reklam i rozmaici brokerzy danych (np. Axciom, Datalogic czy Experian). Ze względu na swoją centralną pozycję w ekosystemie reklamowym to właśnie oni wiedzą o nas  więcej, niż sami bylibyśmy gotowi im powiedzieć. Przy czym do tej pory eksploatowali tę wiedzą poza naszą kontrolą i nie musieli się z nią ujawniać.

Ekspertka zaznacza, że unijna regulacja nie przesądza, w jaki sposób pośrednicy w handlu naszą uwagą powinni się ujawniać i pytać o zgodę na śledzenie czy profilowanie naszych zachowań.

- Zastrzega jednak, że takie działania nie powinny być natarczywe i nie powinny ograniczać użytkownikom dostępu do poszukiwanych treści - przypomina Szymielewicz. - Najprostszym rozwiązaniem byłoby zarządzanie preferencjami reklamowymi poprzez jedno miejsce w sieci - np. specjalnie w tym celu zaprojektowany portal. Użytkownik nie musiałby na każdym kroku mierzyć się z pytaniem, czy zgadza się na przetwarzanie danych przez firmę X czy Y. Wystarczyłoby, że raz poświęciłby chwilę na przejrzenie listy firm, które pełnią funkcję pośredników w ekosystemie reklamowym, i zdecydował, której chce przekazać swoje dane. W tym samym miejscu mógłby zdecydować, jakie rodzaje reklam chce oglądać i jakie potrzeby czy preferencje jest gotowy w tym celu ujawnić: czy reklama usług finansowych może wykorzystać wiedzę o jego zarobkach? Czy diler samochodowy może wiedzieć, jaki jest jego budżet na planowany zakup? Czy chce dostawać oferty związane ze zdrowiem albo aktualnym stanem emocjonalnym? To powinny być nasze decyzje, a nie spekulacje firm śledzących nasze cyfrowe życie - zaznacza Szymielewicz.

ePrivacy uderzy w polskie firmy

Nie wszyscy podzielają opinię Katarzyny Szymielewicz o tym, że projekt ePrivacy przyniesie ogólne korzyści. Swoich obaw związanych z wprowadzeniem nowych przepisów nie kryją polskie firmy, które obawiają się nowych, ich zdaniem zbędnych obowiązków. Takie zdanie wyrażono w piśmie przesłanym do Ministerstwa Cyfryzacji przez IAB Polska, Krajową Izbę Gospodarczą, Business Centre Club, Konfederację Lewiatan, Polską Izbę Informatyki i Telekomunikacji, Startup Poland oraz ZIPSEE Cyfrowa Polska.

- Uważamy, że projekt jest kolejną, po rozporządzeniu RODO, regulacją która w sposób znaczący zmienia zasady przetwarzania danych zarówno osobowych jak i metadanych, wpływając tym samym na tempo i dynamikę rozwoju innowacyjnego rynku usług online i szeroko pojętych usług cyfrowych – czytamy w liście, którego kopię sygnotariusze przesłali do redakcji Wirtualnemedia.pl. - Obawiamy się wprowadzenia w życie nowej regulacji, która nie zapewnia odpowiedniej elastyczności w zakresie przetwarzania metadanych, nakłada szereg nowych obowiązków na przedsiębiorców, a ponadto może zniweczyć koszty poniesione już w związku z zapewnieniem zgodności z RODO, gdyż w wielu miejscach jest z RODO niespójna, szczególnie odnośnie do zakresu dozwolonych podstaw przetwarzania danych osobowych.

W dalszej części organizacje przedsiębiorców wyrażają zrozumienie dla faktu, że Komisja Europejska pragnie zakończyć prace nad ePrivacy przed kolejnymi wyborami europarlamentarnymi. Stoją jednak na stanowisku, że priorytety polityczne nie mogą być realizowane kosztem jakości stanowionego prawa.

- Jesteśmy bardzo zaniepokojeni obecnym kształtem projektu ePrivacy i nie uważamy, żeby rezultat prac Prezydencji bułgarskiej w znaczny sposób ulepszył wyjściowy projekt Komisji Europejskiej i tym samym był dobrą podstawą do kompromisu. Naszym zdaniem projekt jest ciągle niedopracowany, a jego przyjęcie w takim kształcie może się przyczynić do obniżenia poziomu konkurencyjności firm w Polsce i Europie i ograniczenia dostępu do wielu usług i treści – przestrzegają sygnotariusze listu przesłanego do MC.

ePrivacy grozi chaosem, możliwe niedorzeczne scenariusze

Aleksandra Musielak, ekspertka Konfederacji Lewiatan w rozmowie z nami przekonuje, że obecny projekt rozporządzenia o ePrivacy wymaga dalszych poważnych modyfikacji, bez których wprowadzenie nowych przepisów spowoduje w wielu miejscach ich konflikt z RODO i wywoła zamieszanie wśród przedsiębiorców.

- Roboczo projekt ePrivacy można nazwać „nakładką na RODO” – wyjaśnia Aleksandra Musielak. – RODO w zamyśle to zbiór przepisów w najszerszym zakresie definiujących obowiązki związane z wszelkiego rodzaju przetwarzaniem danych osobowych. Natomiast ePrivacy jest niejako pochodną RODO, jednak dotyczy węższej grupy firm. W największym skrócie chodzi o podmioty funkcjonujące w internecie czy oferujące usługi elektroniczne, np. typu OTT. Jednym z największych problemów dla tych firm jest kwestia tego, w jaki sposób ePrivacy odnosi się do RODO. Relacja pomiędzy tymi dwiema dyrektywami jest dla przedsiębiorców całkowicie niejasna i nie wiedzą w związku z tym którą z nich w konkretnych warunkach powinni zastosować.

Ekspertka Lewiatana zaznacza, że projekt ePrivacy niemal w całości opiera się na konieczności uzyskania zgód na przetwarzanie niemal każdego rodzaju danych, co w praktyce może bardzo utrudnić działalność wielu firm zajmujących się np. komunikacją M2M (machine to machine).

- W takich wypadkach nie wiadomo gdzie i przez kogo miałaby być udzielona odpowiednia zgoda – wyjaśnia Musielak. – W tym kontekście można powiedzieć, że planowana dyrektywa ePrivacy nie przystaje do obecnego rozwoju i stopnia zaawansowania niektórych technologii.

Nasza rozmówczyni nie wyklucza, że w ostatecznej wersji dyrektywa ePrivacy może zaowocować kolejną lawiną próśb o zgodę na przetwarzanie danych, z jaką użytkownicy internetu mieli do czynienia niedawno po wejściu w życie przepisów RODO.

- W obecnym projekcie obecny jest jeszcze jeden istotny wątek, o którym niewiele się mówi – ujawnia Musielak. – Okazuje się, że w myśl opracowywanych przepisów firmy co 6 miesięcy będą musiały przypominać użytkownikom, że udzielili oni stosownej zgody i że mają prawo do jej wycofania, co w praktyce będzie oznaczało konieczność odnowienia przez internautę pozwolenia. Ten zapis uważamy za absolutnie nieżyciowy i zupełnie zbędny. W dodatku może on rodzić konsekwencje, o których zapewne nie pomyśleli autorzy projektu. Jedna z firm podała przykład, w którym autonomiczny samochód w najmniej oczekiwanym momencie przestanie działać, bowiem zakończy się okres w którym jego systemy miały zgodę na przetwarzanie niezbędnych danych. Taki scenariusz w obliczu planowanych przepisów nie jest wcale nieprawdopodobny – przestrzega Musielak.

ePrivacy na następną kadencję

Szymielewicz w rozmowie z nami przyznaje, że rozumie obawy biznesu związane z pojawieniem się nowego, tworzonego w pośpiechu (i przez to niedopracowanego) rozporządzania, które częściowo zmienia zasady wynikające z RODO.

- To rzeczywiście może spowodować bałagan, dodatkowe koszty i niepewność co do prawa, a - z perspektywy użytkowników - też ryzyko pojawienia się zbyt szerokich wyłomów w RODO, za którymi lobbują firmy internetowe – ocenia prezeska Fundacji Panoptykon. - Dlatego my proponujemy, żeby prace na poziomie UE zostały wstrzymane do następnej kadencji parlamentu, którą można by rozpocząć od przygotowania raportu „rok z RODO" i dopiero na tej bazie pracować dalej nad rozporządzeniem ePrivacy.

Zdaniem Szymielewicz w tym wszystkim warto jednak pamiętać, że pomysł UE na nową regulację w obszarze ePrivacy jest korzystny dla użytkowników i że warto te prace kontynuować.

- Najważniejsza sprawa w porównaniu z RODO to fakt, że ePrivacy  dotyczy także danych nieosobowych i chroni użytkowników przed wszelkimi ingerencjami w prywatność (przed różnymi formami śledzenia), nawet jeśli nie wiążą się one z przetwarzaniem danych osobowych – zaznacza ekspertka w dziedzinie prywatności.

Najbliższe prace nad rozporządzeniem ePrivacy zostały zaplanowane na posiedzeniu Rady ds. Transportu, Telekomunikacji i Energii w dniu 8 czerwca 2018 r.