ePrivacy jest potrzebne, abyśmy odzyskali kontrolę nad swoimi danymi

W ostatnich latach przyjęło się twierdzenie, że dane dla ekonomii cyfrowej są tym samym, czym dotąd dla gospodarki była ropa naftowa. Są czynnikiem produkcji oraz siłą napędową nowoczesnych przedsiębiorstw. Nie tylko nauczyliśmy się je zbierać, ale opieramy na nich modele biznesowe, monetyzujemy je w coraz większym zakresie oraz bierzemy je za podstawę wyceny firm. Według analizy PWC oraz Bloomberga z 2020 roku, na 10 przedsiębiorstw o największej wartości rynkowej,
7 zawdzięcza swój sukces umiejętności gromadzenia i wykorzystywania na masową skalę danych swoich użytkowników.

Upowszechnienie w ostatnich latach inter­netu rzeczy (w 2020 roku liczba urządzeń IoT podłączonych do sieci przekroczyła 12 mld) oraz popularyzacja cyfrowych platform komunikacyjnych powoduje, że wolumen wszystkich wytworzonych danych zbliża nas niechybnie do niewyobrażalnej liczby 175 bln GB, których wytworzenie przewiduje się w roku 2025. Taka liczba da­nych zwiększa prędkość naszego rozwoju, pozwala odkrywać to, co jeszcze kilka lat temu było dla ludzi nieosiągalne.

Przy wszystkich powyższych superlaty­wach, zbieranie danych ma jednak swój koszt i wpływ na otaczający nas świat. Co­raz szybsze pędzenie za białym królikiem transformacji cyfrowej powoduje, że ci, dla których efektywne zbieranie danych ma największą wartość, w coraz mniejszym stopniu respektują kwestie prywatności zbieranych danych. Urządzenia, z któ­rych korzystamy, śledzą każdy nasz ruch, często bez naszej wiedzy rejestrują nasze rozmowy, przetwarzając je na informacje o naszych preferencjach, a zasilone tymi danymi algorytmy, w lepszym lub gorszym celu, próbują wywierać na nas wpływ.

Systematycznie tracimy kontrolę nad tym, jak nasze dane są przetwarzane oraz za­czynamy się zadowalać iluzją poufności i prywatności, także w tym obszarze, który wydaje się najbardziej wrażliwy – komuni­kacji z innymi osobami.

Zdając sobie sprawę ze wskazanych ryzyk oraz pokus rynku, organy Unii Europej­skiej od ponad 4 lat debatowały na temat nowych przepisów Unii Europejskiej doty­czących prywatności w łączności elektro­nicznej (potocznie nazywanych rozporzą­dzeniem ePrivacy). Wszystko wskazuje na to, że po latach dyskusji i sporów na temat finalnego brzmienia ePrivacy, wypracowa­no założenia, które mają szansę wkrótce wejść w życie. Zgodnie z komunikatem Rady Unii Europejskiej z dnia 10 lutego br., osiągnięto na poziomie Rady finalne poro­zumienie co do treści projektu rozporzą­dzenia, na podstawie którego usługodawcy będą mogli przetwarzać dane pochodzące z łączności elektronicznej lub mieć dostęp do danych przechowywanych na urządze­niach użytkowników końcowych. Wskazane porozumienie pozwala zainicjować rozmo­wy z Parlamentem Europejskim w sprawie ostatecznej treści aktu.

Proponowany dokument ma uchylić obowiązującą dyrektywę o e-prywatno­ści, a jako przepis szczególny względem RODO uszczegółowić i uzupełnić obo­wiązujące zasady ochrony danych, roz­ciągając je także w zakresie komunikacji elektronicznej na dane osób prawnych. Analizując treść projektu rozporządze­nia, jednego można być pewnym – jeżeli na etapie prac w Parlamencie Europej­skim nie zostaną wprowadzone znaczą­ce zmiany, nowy porządek wprowadzany przez ePrivacy będzie miał niebagatelny wpływ na świat operatorów, dostawców narzędzi do komunikacji oraz wszystkich, którzy opierają działalność na przepływie danych w otwartej sieci. O zastosowaniu przepisów nie będzie decydować miej­sce świadczenia usługi, siedziba usługo­dawcy czy miejsce położenia serwerów, a miejsce pobytu podmiotu danych, czyli w wypadku ePrivacy użytkownika końco­wego. Tak długo jak będzie się on znaj­dował na terytorium UE, dostawca bę­dzie zobligowany stosować się do zasad narzuconych przez unijnego regulatora.

Dla samej regulacji typ usługi łączności będzie pozostawał zasadniczo bez zna­czenia. Do nowych zasad będą musieli się zastosować zarówno dostawcy świadczący tradycyjne usługi łączności, jak i te oparte na łączach internetowych, takie jak usługi VoIP i VoLTE, czy też inne usługi OTT bazu­jące na aplikacjach umożliwiających pro­wadzenie komunikacji audio-wideo. Będą nią także objęte systemy IoT, przekazujące dane poprzez sieć publiczną.

Zasadniczo dostawcy usług łączności będą zobligowani zapewnić, aby dane pochodzą­ce z łączności elektronicznej były poufne. Jak podkreśla Rada, wszelka ingerencja, w tym słuchanie, monitorowanie i prze­twarzanie danych przez kogokolwiek poza użytkownikiem końcowym, będzie zaka­zane (z wyjątkiem sytuacji dozwolonych w rozporządzeniu). Wydaje się, że oznacza to nie mniej, ni więcej, tylko wprowadze­nie powszechnego obowiązku szyfrowania łączności elektronicznej w modelu end-to­-end. Niezależnie od wyzwania technolo­gicznego, z jakim operatorzy i dostawcy aplikacji będą zmuszeni się zmierzyć, na­rzucenie wskazanego obowiązku trudno krytykować. Ma on przywrócić możliwość rzeczywistego egzekwowania jednego z podstawowych praw – ochrony życia prywatnego, w tym poufności komunika­cji. Czas na dostosowanie się do nowych regulacji jest też co najmniej rozsądny. Fi­nalna wersja projektu przewiduje wejście regulacji w życie, w terminie 24 miesięcy od dnia publikacji gotowego aktu.

Zgodnie z przyjętymi założeniami, roz­porządzenie odnosi się nie tylko do treści łączności elektronicznej przekazywanych za pośrednictwem publicznie dostępnych usługi i sieci, ale też metadanych zwią­zanych z tą łącznością. Na etapie pro­jektowania rozporządzenia, ten element wzbudzał chyba największe kontrowersje. Autorzy projektu od początku bronili tezy, że informacja o lokalizacji, czasie i odbior­cy łączności przechowywana w metada­nych łączności elektronicznej w większości przypadków będzie równie newralgiczna co sama treść komunikacji. Pozostawali w tym przekonaniu wyjątkowo bezkom­promisowi.

Podążając za swoją ideą ograniczenia wy­korzystywania metadanych, w ostatniej tu­rze negocjacji nad treścią projektu ePrivacy praktycznie wykluczono możliwość prze­twarzania metadanych w oparciu o prze­słankę uzasadnionego interesu. Wzbudziło to powszechny sprzeciw ze strony rynku, który jednak nie wpłynął w istotny sposób na treść regulacji. Chcąc przetwarzać me­tadane, operatorzy będą zmuszeni uzyski­wać od użytkowników wyraźne zgody, któ­re, tak jak w przypadku RODO, będą musiały być dobrowolne, świadome i jednoznaczne, a co więcej – archiwizowane, bo to na ope­ratorze będzie ciążył obowiązek wykazania, że taką zgodę otrzymał.

Przetwarzanie danych pochodzących z łączności elektronicznej bez zgody użyt­kownika będzie dozwolone w ograniczonej liczbie przypadków, np. w celu zapewnienia integralności usług łączności, weryfikacji pod kątem złośliwego oprogramowania lub wirusów. Również w przypadku, gdy usługodawca jest związany prawem UE lub prawem państwa członkowskiego przewi­dującym ściganie przestępstw i zapobie­ganie zagrożeniom dla bezpieczeństwa publicznego lub w celu ochrony żywotnych interesów użytkowników.

W przeciwieństwie do naszego przyzwy­czajenia traktowania zgody (o raz udzielo­nej zapominamy do czasu jej odwołania), obecne brzmienie projektu rozporządze­nia będzie wymagało od dostawców usług komunikacyjnych nieco większej aktyw­ności. Tam, gdzie przetwarzanie danych pochodzących z łączności elektronicznej będzie trwało – czyli użytkownik będzie dalej korzystał z usługi – będzie trzeba mu przypominać o możliwości wycofania zgody w okresowych odstępach czasu nie dłuż­szych niż 12 miesięcy, o ile nie zażąda on nieotrzymywania takiego przypomnienia.

Dodatkowym elementem zabezpieczenia prywatności użytkowników będzie także wymuszenie uzyskiwania zgody na wyko­rzystywanie przez aplikację funkcji prze­twarzania i przechowywania danych oraz zbieranie danych z urządzenia. Sam projekt nie wyłącza możliwości wysyłania użyt­kownikom materiałów marketingowych (w tym opartych na zbieranych danych). Niemniej jednak poprzez rozszerzenie de­finicji wiadomości elektronicznej o wszel­kie wiadomości zawierające informacje, takie jak tekst, głos, obraz, dźwięk lub obraz, przesyłane za pośrednictwem sieci komunikacji elektronicznej – które mogą być przechowywane w sieci lub w powią­zanych urządzeniach komputerowych, lub na urządzeniu końcowym odbiorcy, w tym SMS, MMS oraz funkcjonalnie równoważ­ne aplikacje i techniki – dostawcy będą zmuszeni każdorazowo weryfikować źró­dła pochodzenia danych. Wszystko po to, aby umożliwić użytkownikowi wycofanie swojej zgody na przesyłanie komunikacji marketingowej ze wszystkich źródeł elek­tronicznych.

Niezależnie od kwestii zapewnienia prywatności komunikacji, rozporządze­nie wprowadza także małą rewolucję w obszarze wykorzystywania popular­nych ciasteczek. Tak samo jak w przypad­ku metadanych zbieranych w komunikacji elektronicznej, i tu podstawą przetwarza­nia ma być wyłącznie zgoda użytkownika (a nie – jak wynikało z wcześniejszych pro­jektów – uzasadniony interes administra­tora strony). To użytkownik ma decydować, czy będzie akceptował pliki cookie lub podobne identyfikatory. Nie będzie przy tym zabronione uzależnienie dostępu do strony internetowej od zgody na stosowa­nie plików cookie w dodatkowych celach ‒ jako alternatywa dla systemu pobiera­nia opłat ‒ o ile użytkownik będzie mógł wybrać pomiędzy tą ofertą a równoważną ofertą tego samego usługodawcy nieprze­widującą zgody na stosowanie ciasteczek. Informacje będą musiały być jasne, wy­czerpujące i przyjazne dla użytkownika, co bezsprzecznie wpłynie na konieczność zmiany wszystkich tych, których czytanie przyprawiało dotąd użytkownika o zawrót głowy.

Aby przeciwdziałać zmęczeniu banerami cookie, rozporządzenie zachęca sprzedaw­ców oprogramowania (ale ich do tego nie zobowiązuje), by umieszczali w aplikacjach zestaw domyślnych ustawień, które po­zwolą użytkownikom końcowym w łatwy i przejrzysty sposób zarządzać zgodą na pliki cookie oraz dokonywać precyzyjnych wyborów dotyczących przechowywania i udzielania dostępu do danych groma­dzonych na ich urządzeniach końcowych. A także, by ustawienia te umożliwiały ła­twe ustawianie i modyfikowanie białych list dla kategorii akceptowanych lub nie akceptowanych plików cookies, tak aby mieć prosto wykonalną kontrolę nad wyra­żaniem zgody. Tak bardzo jak rozwiązanie wydaje się słuszne, przy pozostawieniu na koniec dnia formy zalecenia, możemy mieć poważne wątpliwości, kto się do niego fi­nalnie zastosuje.

Żyjemy w dynamicznie zmieniającym się świecie. Tak jak nieco ponad 100 lat temu ropa naftowa umożliwiła skrócenie cza­su potrzebnego na przemierzenie całego świata z 80 dni do kilkudziesięciu, a obecnie kilkunastu godzin, tak dziś oparcie naszych biznesów oraz ekonomii na przepływie da­nych daje nam niespotykaną dotąd pręd­kość rozwoju. Tam jednak, gdzie nie ma żadnych reguł, w praktyki może zakradać się chaos, a dane (jak i paliwo) mogą być wykorzystywane wbrew ich pierwotnemu przeznaczeniu (co najdobitniej pokazała nam w ostatnich latach Cambridge Analy­tica).

ePrivacy przez niektórych jest nazywa­ne młodszym bratem RODO, który może przeregulować już obciążony przepisami rynek ICT. Niemniej jednak, pomimo man­kamentów ePrivacy jest potrzebne, abyśmy odzyskali kontrolę nad swoimi danymi. Tak samo jak w przypadku RODO nie jest klu­czowe finalne brzmienie regulacji, a to, jak będzie ona później interpretowana. Jeżeli tylko nie będziemy mieli tendencji do jej nadinterpretacji, na końcu króliczej nory możemy znaleźć całkiem uporządkowany świat, bez szalonych kapeluszników.