Nowe wymagania dotyczące ochrony prywatności w świetle nowelizacji Prawa telekomunikacyjnego

Sprawozdanie z seminarium Stowarzyszenia Administratorów Bezpieczeństwa Informacji

Nowe wymagania dotyczące ochrony prywatności w świetle nowelizacji Prawa telekomunikacyjnego z 16 listopada 2012 r. (Dz. U. z 21.12.12, poz. 1445).

Pierwsze w roku 2013 seminarium Stowarzyszenia ABI odbyło się we wtorek, 19 lutego, a jego tematem były nowe wymagania dotyczące ochrony prywatności w świetle ostatniej nowelizacji Prawa telekomunikacyjnego z 16 listopada 2012 r. (Dz. U. z 21.12.12, poz. 1445). Nowe Prawo Telekomunikacyjne dostosowuje nasze ustawodawstwo do wymagań dyrektyw unijnych, a poza tym wprowadza korzystne zmiany dla użytkowników telefonii.

Nowa ustawa odnosi się w art. 173 do kwestii oprogramowania instalowanego na komputerach internautów, w tym apletów, wtyczek, ale również tzw. plików "Cookies" (ciasteczek), czyli informacji, które zapisywane są na komputerach użytkowników w czasie połączeń z serwisami internetowymi.

Ustawa wprowadza w tym zakresie nowe wymagania dotyczące a) pozyskania zgody na zapis takich plików na komputerach użytkowników oraz b) obowiązki informacyjne dla Administratorów zbierających takie dane w prowadzonych przez siebie serwisach internetowych.

Jak zwrócił uwagę p. Maciej Byczkowski, Prezes SABI, przepisy te dotyczą nie tylko podmiotów podlegających prawu telekomunikacyjnemu, ale wszystkich organizacji i firm prowadzących serwisy, czy świadczących usługi internetowe - niezależnie od urządzenia użytkownika (komputer, tablet, smartphone, telewizor lub lodówka z dostępem do internetu).

Seminarium poprowadził ekspert prawny SABI, p. mec. Xawery Konarski – czołowy ekspert prawa telekomunikacyjnego oraz Internetu w Polsce.

Na początku mec. Konarski zwrócił uwagę, że regulatorem w zakresie omawianych przepisów jest UKE, ale GIODO aktywnie uczestniczy w pracach legislacyjnych i kształtowaniu praktyki interpretacyjnej. Już wcześniej GIODO wydawało decyzje administracyjne na podstawie prawa telekomunikacyjnego, a sądy orzekały na jego podstawie w sprawach dotyczących ochrony danych osobowych. Jak zaznaczył mec. Konarski GIODO nieoficjalnie zapowiedział, że będzie na początku przyglądał się stanowisku i pracom UKE.

Trwałe (permanent, np. marketingowe) cookies, w odróżnieniu od sesyjnych (niezbędnych do świadczenia usługi), zazwyczaj uznaje się za nośniki danych osobowych m.in. ze względu na przechowywanie numerów IP lub treści formularzy - co potwierdza stanowisko Grupy Roboczej Art. 29.

Największa zmiana funkcjonowania serwisów i usług internetowych polegać będzie na konieczności uzyskania uprzedniej zgody na "instalację" cookies trwałych. A więc, jak wskazał mec. Konarski, cookies będą mogły być instalowane dopiero po uzyskaniu zgody np. przez pośrednią stronę typu 'landing page' z pytaniem o możliwość instalacji cookies.

Być może UKE dopuści rozwiązanie przyjęte na początku br. w Wielkiej Brytanii (http://www.ico.gov.uk/news/current_topics/changes-to-cookies-on-our-website.aspx), gdzie po wejściu użytkownika na witrynę dopuszczalne jest jednoczesne zainstalowanie cookies trwałych z równoległym poinformowaniem o właściwościach i charakterystyce usługi oraz zadaniu pytania o zgodę na instalowanie cookies.

Tym bardziej, że wraz z nowelizacją omawianych przepisów dopuszczona została zgoda "konkludentna", podobna do cywilistycznego oświadczenia woli, wyrażana poprzez np. ustawienia przeglądarki internetowej lub konfigurację innego oprogramowania. Jak wskazał mec. Konarski jest to pierwszy, zdroworozsądkowy wyłom w dotychczasowej, restrykcyjnej interpretacji zgody na przetwarzanie danych osobowych.

Obecnie trwa dyskusja, czy rzeczywiście dopuszczalne jest przyjęcie zgody udzielonej przez brak działania zmierzającego do zablokowania cookies w ustawieniach przeglądarki - relacjonował mec. Konarski. Jak wspomniał, najprawdopodobniej niewyrażenie sprzeciwu będzie uznawane za zgodę na otrzymywanie cookies - przy jednoczesnym spełnieniu obowiązku informacyjnego. Brytyjski organ ochrony prywatności ICO mówi o "odpowiedzialnym" korzystaniu ze zgody "konkludentnej" oraz wypełniania obowiązku informacyjnego wobec użytkowników w dobrze widocznym miejscu i w jasny, czytelny sposób.

Omawiając nowelizowany art. 173, a w szczególności obowiązek informacyjny, mec. Konarski wskazał na konieczność bezpośredniego wskazania na stronach www informacji o zbieranych cookies, celu ich zbierania, możliwości odmowy przyjmowania cookies, wskazania "polityki cookies" z dalszymi szczegółami. Zmiany te pociągną za sobą konieczność wprowadzenia zmian w politykach prywatności usług internetowych - zasugerował mec. Konarski.

Mec. Konarski wskazał, że za nieprzestrzeganie przepisu art. 173 UKE może nakładać kary pieniężne wymienione w art. 209. i 210. (do 3% zeszłorocznego przychodu). Mec. Konarski zasugerował, że może to być kara w wysokości 5.000 zł.

A co z wcześniej obowiązującymi przepisami USUDE? Zgodnie z art. 6. pkt. 2. USUDE "Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o […] funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca". Jak wskazał mec. Konarski nowe prawo telekomunikacyjne idzie dalej, bo wymaga uzyskania zgody.

Jak wskazał mec. Konarski najwięksi internetowi gracze tworzą edukacyjną stronę internetową. Pytanie kto będzie taką stronę utrzymywał, bo na Węgrzech zainteresowanie było tak wielkie, że po 3 godzinach funkcjonowania strona przestała działać.

Zmiany te pociągną za sobą konieczność wprowadzenia zmian w politykach prywatności usług internetowych.

Ustawa wprowadza również (art. 174 a-d) obowiązek informowania przez operatorów telekomunikacyjnych GIODO o incydentach naruszenia danych osobowych. Obowiązki te wchodzą w życie 22 marca br.

Jak wskazał mec. Konarski art. 174, mówiący o konieczności powiadamiania GIODO i osób fizycznych o incydentach naruszających bezpieczeństwo ich danych osobowych, dotyczy wyłącznie podmiotów będących dostawcami publicznie dostępnych usług telekomunikacyjnych, czyli takich gdzie dochodzi o przesyłu sygnału. Nie dotyczy zatem operatorów poczty elektronicznej, przechowywania plików, hostingodawców, dostawców usług kolokacji. Wskazał też, że w art. 174 najprawdopodobniej chodzi o informowanie w razie naruszenia zabezpieczeń, a nie np. o zagubieniu przesyłki kurierskiej z fakturą, czy umową.

Mec. Konarski podsumowując seminarium podkreślił, że praktyka interpretacyjna zarówno UKE, jak i GIODO w omawianym zakresie będzie się najprawdopodobniej dynamicznie zmieniała, a SABI będzie na bieżąco analizować sytuację oraz informować o niej swoich członków.

Relację przygotował:

Michał Faber, członek rzeczywisty SABI

Opublikowano w ABI, Audyt ochrony danych osobowych, Bez kategorii, Blog, GIODO, Ochrona danych osobowych, Szkolenie z ochrony danych osobowychTagi , , , ,  |  Zostaw komentarz

Zostaw komentarz