5 miesięcy temu
Dyrektywa o prywatności i łączności elektronicznej w art. 5 ust. 3 zobowiązuje państwa członkowskie, by zagwarantowały w swoich systemach prawnych, iż przechowywanie informacji lub uzyskanie dostępu do tych już przechowywanych w urządzeniu abonenta lub użytkownika było dozwolone, wyłącznie jeżeli wyraził on zgodę, i to po otrzymaniu jasnych i wyczerpujących informacji, m.in. o celach przetwarzania tych danych. Akt ten pochodzi z 2002 r. i początkowo odnosił się głównie do tzw. plików cookies (stąd każdorazowa konieczność udzielenia zgody na ich pobieranie) czy rozsyłania maili reklamowych.
Od tego jednak czasu śledzenie dzięki cookies mocno straciło na znaczeniu (m.in. ze względu na słuszną krytykę ze strony krajowych organów ochrony danych osobowych), pojawiły się zaś nowe modele biznesowe, oparte na nowych sposobach. Dlatego EROD zdecydowała się na stworzenie wytycznych wskazujących, w jakich sytuacjach wspomniany przepis ma być stosowany.
– Najwięksi gracze rynkowi w branży e-commerce dostrzegli jednak zagrożenia związane ze stosowaniem rozwiązań opartych na cookies, a także ich techniczne ograniczenia (np. brak możliwości stosowania cookies w aplikacjach mobilnych) i zaczęli poszukiwać nowych rozwiązań służących do śledzenia użytkowników – mówi radca prawny Jakub Wezgraj. – Wytyczne EROD mają „ujarzmić” te zapędy i ułatwić projektowanie nowych rozwiązań w zgodzie z przepisami prawa dotyczącymi ochrony prywatności. Wiele bowiem projektowanych w tej chwili rozwiązań, a choćby już używanych (w tym w Polsce), opiera się na zapewnieniu jak największej efektywności komercyjnej, a to niekoniecznie idzie w parze ze zgodnością z prawem. Inna kwestia, iż technologie te niekiedy są tak konstruowane, iż trudno zastosować do nich aktualne rozwiązania prawne. Proponowane przez EROD wytyczne uznaję za bardzo istotne dla całej branży e-commerce – dodaje ekspert.
– Technologia się zmienia i pojawiają się nowe metody śledzenia, rodzące ryzyko naruszenia poufności komunikacji, które 20 lat temu po prostu nie istniały – mówi adw. dr Paweł Litwiński. – Dlatego trzeba się pochylić nad techniczną stroną tego przepisu – dodaje.
O jakie nowe sposoby śledzenia chodzi? W dokumencie wskazano m.in. piksel śledzący, śledzenie oparte na adresie IP czy dane zbierane przez urządzenia oparte na technologii internetu – mówi Paweł Litwiński.
Przede wszystkim jednak w wytycznych wskazano cztery kryteria zastosowania art. 5 ust. 3 do danej technologii śledzącej. Pierwsze z nich to definicja „informacji” rozumianej szeroko, a więc zarówno jako dane osobowe, jak i nieosobowe.
Poza tym operacje na tych danych muszą dotyczyć „urządzenia końcowego”, które również zdefiniowano szeroko, jako każde posiadające połączenie pośrednie lub bezpośrednie z publicznie dostępną siecią telekomunikacyjną, niezależnie od sposobu połączenia. Operacja musi także dotyczyć zapewnienia publicznie dostępnej usługi komunikacji elektronicznej w „publicznej sieci komunikacyjnej”, która również została zdefiniowana szeroko – jako system łączności – niezależnie od tego, czy oparty na stałej infrastrukturze, i centralnym administrowaniu, czy nie.
Wreszcie operacja musi polegać na „uzyskaniu dostępu” lub „przechowywaniu” informacji. EROD podkreśla, iż te działania nie muszą być prowadzone w jednym akcie komunikacji, ani choćby przez tę samą stronę, by przepis znalazł zastosowanie.
To wstępne wytyczne, z których krajowe urzędy już teraz mogą korzystać. Jednak do 28.12.2023 r. EROD zbiera opinie w konsultacjach społecznych.
