Igor Kowalewski
Bezpieczeństwo publiczne czy ochrona prywatności
- kontrowersje wokół dyrektywy o ochronie prywatności i przetwarzaniu danych osobowych w sektorze komunikacji elektronicznej[1].
czerwiec 2002
|
Igor Kowalewski
Prawnik, absolwent Wydziału Prawa i Administracji, Uniwersytet Łódzki. Interesuje się problematyką szeroko pojętej ochrony danych osobowych, Obecnie zatrudniony jest w jednym z urzędów centralnych.
Inni autorzy >>
|
Tragiczne wydarzenia związane z zamachami terrorystycznymi, które wstrząsnęły światem 11 września 2001 roku oraz wzrost przestępczości komputerowej były impulsem do konstruktywnego zakończenia długotrwałej debaty na temat przechowywania danych o ruchu na serwerze (data-retention) przez dostawców usług internetowych (Internet Service Providers). Po wielu miesiącach legislacyjnego "ping-ponga" (pomiędzy Komisją Europejską, Radą Europejską i Parlamentem Europejskim) został uchwalony projekt dyrektywy o ochronie prywatności i przetwarzaniu danych osobowych w sektorze komunikacji elektronicznej (European Parliament and Council Directive concerning the processing of personal data and the protection of privacy in the electronic communications sector).
Kwestia przechowywania danych stała się najbardziej kontrowersyjnym punktem w debacie nad kształtem dyrektywy, ostatnim dokumentem z tzw. pakietu telekomunikacyjnego, nad którym głosował ostatnio Parlament. W drodze osiągniętego kompromisu zdecydowano się na wzmocnienie ochrony prywatności za pomocą środków krajowych. Ze stanowiska Komisji Europejskiej wynika, że dyrektywa nie zawiera żadnego prawnie wiążącego postanowienia dopuszczającego lub zakazującego wprowadzenia tego rodzaju środków ponieważ nie wchodzi to w zakres obowiązywania dyrektywy. Co do zasady w myśl artykułu 6 dyrektywy dane dotyczące ruchu na serwerze powinny być usunięte lub trwale zanonimizowane z chwilą zakończenia transmisji danych (mogą być ewentualnie przetwarzane dłużej, lecz wyłącznie dla potrzeb bilingu). Jednakże artykuł 15 dyrektywy przewiduje odstępstwa od tej reguły, stanowiąc, że prawa zagwarantowane w dyrektywie mogą zostać ograniczone w drodze odpowiednich, proporcjonalnych i czasowych środków krajowych, gdy jest to niezbędne dla zapewnienie bezpieczeństwa narodowego, obrony, porządku publicznego oraz zapobiegania i wykrywania przestępstw, a także nieuprawnionego wykorzystywania systemów komputerowych. Dotychczasowa praktyka wskazuje, że niewielu providerów przechowuje dane dotyczące ruchu na serwerze w celu ewentualnego udostępnienia ich organom wymiaru sprawiedliwości, co uniemożliwia wykrycie wielu przestępstw popełnionych z wykorzystaniem sieci. Zaproponowany w zeszłym roku przez Unię Europejską i przedstawicieli policji brytyjskiej okres przechowywania danych od 5 do 7 lat (początkowo pozornie nie do przyjęcia jako zbyt długi), po wydarzeniach 11 września ma szansę stać się terminem prawnie obowiązującym w wielu krajach europejskich. Na długość tego okresu wpływ będzie miał również artykuł 8 Konwencji Praw Człowieka z 1950 roku, biorąc jednak pod uwagę, że prywatność stała się wartością drugorzędną w toczącej się debacie, będzie on raczej ograniczony - twierdzi Mike Pullen, specjalista z brytyjskiej firmy prawniczej DLA. Nie bez znaczenia w tym przypadku będzie również konwencja o przestępstwach komputerowych (Cybercrime Convention). Prawdopodobnie omawiana dyrektywa o ochronie prywatności i przetwarzaniu danych w sektorze komunikacji elektronicznej nie będzie stanowiła wystarczającej podstawy żądania dostępu do danych przechowywanych przez dostawców usług internetowych. Konieczny będzie odpowiedni nakaz policyjny - dodaje Pullen.
Na podstawie nowych przepisów tworzonych w atmosferze obaw odnośnie bezpieczeństwa publicznego, każdy pracownik dostawcy usług internetowych będzie ponosić odpowiedzialność w przypadku nie spełnienia wymogów w zakresie przechowywania danych. Tego rodzaju obostrzone przepisy mające na celu zapewnienie bezpieczeństwa publicznego będą przewidywać bowiem nie tylko odpowiedzialność firmy, w której stwierdzono uchybienia, ale również konkretnego jej pracownika. Dostawcy usług internetowych będą musieli już wkrótce przygotować się do wdrożenia odpowiednich polityk i wytycznych odnośnie procedur przechowywania danych.
Podczas przygotowywania projektu dyrektywy wiele kontrowersji wzbudziła również kwestia stosowania cookies oraz możliwości ich akceptacji ("opt-in") lub sprzeciwu wobec ich wykorzystywania ("opt-out"), w przypadku rozsyłania w celach marketingowych nie zamówionej poczty elektronicznej (unsolicited e-mails) i wiadomości SMS. Ostatecznie przyjęto, iż niezbędne jest uprzednie powiadomienie abonenta oraz uzyskanie jego zgody na stosowanie cookies. Powyższe rozwiązanie dotyczy głównie firm, które prowadzą działalność marketingową w oparciu o profile klientów tworzone właśnie dzięki cookies. W przypadku marketingu bezpośredniego wymagana jest zgoda abonenta na otrzymywanie komercyjnej poczty elektronicznej oraz komercyjnych wiadomości SMS, w ramach procedury "opt-in" (czyli innymi słowy: "jeśli chcesz otrzymywać od nas jakiekolwiek informacje, zaznacz odpowiednie okienko"). Niezbędna jest zatem pozytywna reakcja abonenta, który potencjalnie miałby stać się adresatem tego rodzaju korespondencji. Dostawca usług internetowych może zatem spotkać się z problemami jedynie wówczas, gdy udostępnia strony, na których nie ma możliwości wyrażenia akceptacji dla korespondencji komercyjnej, w drodze "opt-in". Odstępstwem od wyżej wymienionej reguły jest przyzwolenie na wykorzystywanie komercyjnej poczty elektronicznej w odniesieniu do własnych produktów lub usług, które są zbliżone do tych, oferowanych już w przeszłości abonentowi, o ile oczywiście nie zgłosi on sprzeciwu w drodze "opt-out". Powyższe rozwiązanie może rodzić rzecz jasna trudności interpretacyjne, jednak uważa się, że w razie sporu przepis będzie rozumiany z punktu widzenia jednostek, które podlegają ochronie. Zatem podmiot rozsyłający komercyjną pocztę elektroniczną będzie zmuszony rozważyć, czy nie stanowi to naruszenia prawa i jak tego rodzaju korespondencja jest postrzegana przez adresatów, do których jest kierowana.
Dyrektywa przyznaje również osobie prawo wyboru, czy jej numery telefonów stacjonarnych i komórkowych, adresy poczty elektronicznej oraz adres miejsca zamieszkania mają być zamieszczone w publicznych książkach telefonicznych i adresowych. Zgoda osoby wymagana jest również w przypadku wykorzystywania danych określających położenie (location data) użytkownika telefonu komórkowego, który powinien mieć w każdym czasie możliwość zablokowania przetwarzania tego rodzaju danych.
Według ekspertów, pozostałe rozwiązania przyjęte w dyrektywie nie wzbudzały szczególnych kontrowersji podczas jej przygotowywania. Państwa członkowskie są zobowiązane wprowadzić w życie postanowienia dyrektywy do końca 2003.
[1] Tekst przygotowany w oparciu o:
- Eduardo Ustaran, "Spam and Cookies Decision Imminent", World Data Protection Report (volume 2 issue 4/April 2002)
- "Data-retention controwersy", Law Direct, Butterworths.
