Tuż przed świętami wyciekła nowelizacja unijnej dyrektywy ePrivacy. Zyskaliśmy dzięki temu możliwość obserwowania kierunku, w jakim zmierzają regulacje dotyczące prywatności i ochrony danych. W tym tekście poruszam kilka ciekawszych aspektów nowej legislacji, której pełna wersja będzie upubliczniona w drugim tygodniu stycznia 2017.

Nowelizacja dyrektywy ePrivacy zapewnia obywatelom Unii Europejskiej prawa i wolności związane z prywatnością, a także gwarantuje ochronę danych (ze szczególnym uwzględnieniem danych osobowych).
Dlaczego regulacja ta jest uaktualniana właśnie teraz? Wynika to z faktu, że technologie, a także cały ekosystem użytkownik-technologie-prawo ulega zmianie. Ludzie coraz bardziej cenią sobie prywatność i bezpieczeństwo, a konsultacje publiczne poprzedzające nowelizację (przeprowadzane z obywatelami, organizacjami konsumenckimi, ale też z przedstawicielami biznesu) wyraźnie dają do zrozumienia, że najwyższy czas, aby prywatność i bezpieczeństwo były zapewniane oraz zawarte domyślnie w ustawieniach programów, sprzętów i produktów dostępnych na rynku.

Dobrym obrazem tego zjawiska są dane:
89% badanych zgadza się z propozycją, by domyślne ustawienia przeglądarek internetowych blokowały udostępnianie informacji o użytkowniku bez jego uprzedniej zgody
90% respondentów (obywateli krajów UE) wspiera silne szyfrowanie, tzw. End-To-End (gwarantujące, że nikt poza nadawcą i odbiorcą komunikacji nie może odczytać jej treści)

Wyniki ankiety są już upublicznione. Wiele ich aspektów jest bardzo ciekawych. Przemysł w większości uznaje koszty wdrożenia tej regulacji jako znaczne (62.3%) lub średnie (20.8%) i dysproporcjonalne (65.3%). Natomiast obywatele uznają regulacje za uzasadnioną i oceniają koszty jako uzasadnione i proporcjonalne by osiągnąć cele tej regulacji (57.1%). Ciekawym polskim akcentem jest to, że 63% Polaków zdecydowanie uważa, że przeglądarki powinny domyślnie przeciwdziałać udostępnianiu danych. Dla porównania, odsetek ten w Portugalii wynosi 80%. Badanie to jednak wskazuje, że znacząca większość obywateli krajów UE ma tutaj zdecydowane oczekiwania.

Nowa dyrektywa zwraca uwagę na przeglądarki

W szkicu nowej legislacji znajdują się zapisy poświęcone szczegółom działania przeglądarek internetowych. Dla mnie jest to bardzo ciekawe z powodu moich zainteresowań naukowych i zawodowych, a także prac w ramach World Wide Web Consortium (W3C). Prywatność i transparentność działania mechanizmów przeglądarek są jednym z głównych motywatorów zmian w dyrektywie ePrivacy. Fakt ten powinien stać się najważniejszym drogowskazem dla producentów przeglądarek oraz organizacji zajmujących się standaryzacją, takich jak W3C - a także dla deweloperów stron internetowych. Wynika to z faktu, że przeglądarki internetowe są podstawową bramą dostępową ludzi do Internetu, znajdują się one na uprzywilejowanej pozycji.

Nowa dyrektywa sugeruje, by przeglądarki internetowe mogły uzyskiwać wyraźną zgodę użytkownika na dostęp i użycie jego sprzętu komputerowego. W skrócie oznacza to, że przeglądarki powinny móc:
pytać użytkownika o zgodę na przechowywanie/dostęp do plików cookies
pytać o uprawnienia dostępu do danych wrażliwych, na przykład z sensorów bądź innych zaawansowanych urządzeń komunikacyjnych

Producenci przeglądarek internetowych są więc zachęcani do tworzenia łatwych w użyciu mechanizmów zarządzania prywatnością i transparentnością, co dotyczy m.in. plików cookies i uprawnień. Cytowany tekst może być rozumiany jako mający zastosowanie bezpośrednio do zaawansowanych metod komunikacji, takich jak Web Bluetooth (mechanizm umożliwiający stronie internetowej komunikację z urządzeniami w otoczeniu użytkownika) lub sensory, np. czujnik światła, sensor ruchu itp. Producenci przeglądarek internetowych (oraz organizacje standaryzujące) muszą dobrze przemyśleć, w jaki sposób najlepiej dla użytkowników dostarczać nowe, użyteczne ale i bardzo wrażliwe pod względem prywatności funkcje.

ePrivacy a ciasteczka/coookies

O ile pliki cookies są wykorzystywane na potrzeby śledzenia (np. w celu profilowania), na terenie krajów Unii Europejskiej fakt ten musi być wyraźnie komunikowany użytkownikom. W praktyce oznacza to, że większość stron internetowych informuje odwiedzających o użyciu plików cookies. To powód niemałej irytacji wśród internautów; ustawiczna konieczność klikania w komunikaty informacyjne, wyskakujące okienka…

Nowelizacja ePrivacy nieco rozluźnia te restrykcyjne reguły.
W jej myśl: jeżeli pliki cookie są używane jedynie dla celów konfiguracyjnych, użytkownicy nie muszą być informowanie o ich wykorzystaniu
Jeżeli natomiast strona używa cookies w celu śledzenia swoich użytkowników (na przykład po to, by budować ich profile behawioralne), informacja o cookies nie musi znajdować się na stronie, o ile ustawienia przeglądarki zawierają zgodę użytkownika na wykorzystanie ich do takich celów. Oznacza to, że regulacja ePrivacy wspiera mechanizm Do Not Track (DNT).

Retencja danych

Art. 7 pkt. 1 nowej dyrektywy wymaga usuwania (bądź anonimizacji - tutaj życzę z tym powodzenia!) metadanych komunikacji elektronicznej, kiedy ich użytkownik stwierdzi, że nie są mu dłużej potrzebne (do czego musi wyrazić zdecydowaną wolę ich usunięcia). Punkt ten jest ważny przede wszystkim ze względu na operatorów usług komunikacyjnych, którzy często przechowują metadane dłużej, niż to potrzebne i wymagane (na przykład przez prawo).

Privacy by Design

Nowelizacja dyrektywy wspiera stosowalność metodologii Privacy by Design (Art. 10). To doskonała wiadomość dla wzmocnienia ochrony prywatności i danych wrażliwych, danych osobowych.
Gwarancja jest zarówno dla sprzętu (hardware jak i oprogramowania (software). Możemy ją - dla przykładu - interpretować jako wymóg stosowania metodologii Privacy by Design dla urządzeń Internetu Rzeczy (Internet of Things). Oznacza to, że takie urządzenie Internetu Rzeczy musiałoby zostać zaprojektowane dobrze pod względem bezpieczeństwa i prywatności.

Brak spełnienia wymogów znowelizowanej regulacji ePrivacy może zaowocować karą finansową do wysokości 20 milionów euro (bądź do 4% globalnego przychodu w skali roku). To powtórzone brzmienie zapisu z Ogólnej Regulacji Ochrony Danych (GDPR), w Polsce znanej pod nazwą Regulacji Ochrony Danych Osobowych (RODO). Odpowiedzialność ta stosuje się wobec producentów sprzętu, oprogramowania, ale też dostawców usług.

Podsumowanie

Proponowana regulacja pod wieloma względami jest bardzo interesująca. Wzmacnia ochronę prywatności i danych osobowych, wyznacza ramy prawne, ale też definiuje kary. Organizacje i firmy będą musiały upewnić się, że sposób w jaki zabezpieczają przetwarzane dane, jest zgodny z wymogami nowelizacji unijnej dyrektywy ePrivacy. Nowe prawo stwarza możliwość, by ponownie dokonać oceny i wartościowania ryzyk podczas procesów Oceny Skutków dla Prywatności (ang. Privacy Impact Assessment) i Ocena Skutków dla Ochrony Danych (ang. Data Protection Impact Assessment) - najważniejszych dziś procesów zarządzania biznesowego projektami, w których przetwarzane są dane.

Dodatkowo, warto zwrócić uwagę na to, w jaki sposób regulacja rozpoznaje ważną rolę przeglądarek internetowych i wskazuje, że dla ich producentów prywatność i transparentność powinny być kluczowe w projektowaniu tych produktów.

Artykuł w oryginalnej wersji opublikowałem na moim blogu anglojęzycznym. Sprawę skomentowałem też w Dziennik Gazeta Prawna.