Dyrektywa o prywatności i łączności elektronicznej z 2002 r
| Dyrektywa Unii Europejskiej | |
 | |
| Zrobione przez | Parlament Europejski i Rada |
|---|---|
| Wykonane pod | Sztuka. 95 |
| Odniesienie do czasopisma | L201, 31.07.2002, s. 37 – 47 |
| Historia | |
| Data wykonania | 2002-07-12 |
| Weszło w życie | 2002-07-31 |
| Data implementacji | 2003-10-31 |
| Teksty przygotowawcze | |
| Opinia EKES-u | C123, 2001-01-24, s. 2001-01-24 53 |
| Opinia PE | C187, 2002-05-30, s. 1. 103 |
| Raporty | |
| Inne ustawodawstwo | |
| Zastępuje | — |
| Odszkodowanie | — |
| Zmienione przez | Dyrektywa 2006/24/WE , Dyrektywa 2009/136/WE |
| Zastąpione przez | — |
| Obowiązujące ustawodawstwo | |
Dyrektywa o prywatności i łączności elektronicznej 2002/58/WE w sprawie prywatności i komunikacji elektronicznej, zwana inaczej dyrektywą o prywatności i łączności elektronicznej (ePD), to dyrektywa UE dotycząca ochrony danych i prywatności w epoce cyfrowej. Stanowi kontynuację wcześniejszych wysiłków, najbardziej bezpośrednio związanych z dyrektywą o ochronie danych . Zajmuje się regulacją szeregu ważnych kwestii, takich jak poufność informacji, przetwarzanie danych o ruchu, spam i pliki cookie . Niniejsza dyrektywa została zmieniona dyrektywą 2009/136, która wprowadza kilka zmian, szczególnie w zakresie plików cookie, które obecnie wymagają uprzedniej zgody.
Istnieją pewne wzajemne powiązania pomiędzy rozporządzeniem o prywatności i łączności elektronicznej (ePR) a ogólnym rozporządzeniem o ochronie danych (RODO). Niektórzy prawodawcy UE mieli nadzieję, że rozporządzenie o prywatności i łączności elektronicznej (ePR) może wejść w życie w tym samym czasie, co ogólne rozporządzenie o ochronie danych (RODO) w maju 2018 r. W ten sposób uchyliłoby ono dyrektywę o prywatności i łączności elektronicznej 2002/58/WE i towarzyszyło RODO w zakresie regulacji wymogów dotyczących zgody na wykorzystanie plików cookies oraz możliwości rezygnacji.
Przedmiot i zakres
Dyrektywę o prywatności elektronicznej opracowano specjalnie w celu uwzględnienia wymogów nowych technologii cyfrowych i ułatwienia rozwoju usług łączności elektronicznej. Dyrektywa uzupełnia dyrektywę o ochronie danych i ma zastosowanie do wszystkich kwestii, które nie są szczegółowo objęte tą dyrektywą. W szczególności przedmiotem Dyrektywy jest „prawo do prywatności w sektorze łączności elektronicznej” oraz swobodny przepływ danych, sprzętu i usług komunikacyjnych.
Dyrektywa nie ma zastosowania do tytułów V i VI ( drugi i trzeci filar stanowiący Unię Europejską ). Nie dotyczy to także zagadnień z zakresu bezpieczeństwa i obronności publicznej, bezpieczeństwa państwa oraz prawa karnego. Przechwytywanie danych było jednak objęte dyrektywą UE w sprawie zatrzymywania danych przed jej unieważnieniem przez Trybunał Sprawiedliwości Unii Europejskiej .
W przeciwieństwie do dyrektywy o ochronie danych, która dotyczy wyłącznie osób fizycznych, art. 1 ust. 2 stanowi jasno, że dyrektywa o prywatności i łączności elektronicznej ma zastosowanie również do osób prawnych.
Główne postanowienia
Pierwszym ogólnym obowiązkiem zawartym w dyrektywie jest zapewnienie bezpieczeństwa usług. Adresatami są dostawcy usług łączności elektronicznej. Obowiązek ten obejmuje również obowiązek informowania abonentów o każdym przypadku wystąpienia szczególnego ryzyka, takiego jak atak wirusa lub innego złośliwego oprogramowania.
Drugi ogólny obowiązek dotyczy zachowania poufności informacji. Adresatami są państwa członkowskie , które powinny zakazać słuchania, podsłuchiwania, przechowywania lub innych rodzajów przechwytywania lub nadzoru komunikacji i „powiązanego ruchu”, chyba że użytkownicy wyrazili na to zgodę lub zostały spełnione warunki określone w art. 15 ust. 1.
Zatrzymywanie danych i inne problemy
Dyrektywa zobowiązuje dostawców usług do usunięcia lub anonimizacji przetwarzanych danych o ruchu, gdy nie są już potrzebne, chyba że zostały spełnione warunki określone w art. 15. Zatrzymanie jest dozwolone do celów rozliczeniowych, ale tylko tak długo, jak okres przedawnienia pozwala na zgodne z prawem dochodzenie płatności. Dane mogą być przechowywane za zgodą użytkownika w celach marketingowych i usług o wartości dodanej. W przypadku obu poprzednich zastosowań osoba, której dane dotyczą, musi zostać poinformowana, dlaczego i jak długo dane są przetwarzane.
Abonenci mają prawo do rozliczeń nieszczegółowych. Podobnie użytkownicy muszą mieć możliwość rezygnacji z identyfikacji rozmówcy.
W przypadku gdy możliwe jest przetwarzanie danych dotyczących lokalizacji użytkowników lub innego ruchu, art. 9 stanowi, że będzie to dozwolone wyłącznie wówczas, gdy dane te zostaną zanonimizowane, za zgodą użytkowników lub w celu świadczenia usług o wartości dodanej. Podobnie jak w poprzednim przypadku, użytkownicy muszą zostać wcześniej poinformowani o charakterze zbieranych informacji i mieć możliwość rezygnacji.
Niechciane e-maile i inne wiadomości
Artykuł 13 zabrania wykorzystywania adresów e-mail do celów marketingowych. Dyrektywa ustanawia opt-in , zgodnie z którym niechciane wiadomości e-mail można wysyłać wyłącznie za uprzednią zgodą odbiorcy. Osoba fizyczna lub prawna, która początkowo zbiera dane adresowe w kontekście sprzedaży produktu lub usługi, ma prawo wykorzystać je do celów komercyjnych, pod warunkiem, że klienci będą mieli wcześniej możliwość odrzucenia takiej komunikacji w momencie, gdy została ona pierwotnie zebrana, a następnie. Państwa członkowskie mają obowiązek zapewnić zakaz niezamówionej komunikacji, z wyjątkiem przypadków określonych w art. 13.
Z zakresu zakazu wyłączone zostaną także dwie kategorie wiadomości e-mail (lub ogólnie komunikacji). Pierwszy stanowi wyjątek w przypadku istniejących relacji z klientami, a drugi w przypadku marketingu podobnych produktów i usług. Wysyłanie niechcianych wiadomości tekstowych w formie wiadomości SMS, wiadomości typu push mail lub w innym podobnym formacie przeznaczonym dla przenośnych urządzeń konsumenckich (telefony komórkowe, urządzenia PDA) również podlega zakazowi zawartemu w art. 13.
Ciasteczka
Przepis dyrektywy mający zastosowanie do plików cookie to art. 5 ust. 3. Motyw 25 Preambuły uznaje znaczenie i użyteczność plików cookies dla funkcjonowania współczesnego Internetu i bezpośrednio odnosi się do nich art. 5 ust. 3, jednak motyw 24 ostrzega również przed niebezpieczeństwem, jakie takie instrumenty mogą stanowić dla prywatności. Zmiana prawa nie dotyczy wszystkich rodzajów plików cookies; pliki, które uważa się za „ściśle niezbędne do świadczenia usługi żądanej przez użytkownika”, takie jak na przykład pliki cookie śledzące zawartość koszyka użytkownika w usłudze zakupów online, są wyłączone .
Artykuł jest neutralny technologicznie, nie wymienia konkretnych środków technologicznych, które mogą zostać wykorzystane do przechowywania danych, ale dotyczy wszelkich informacji, które witryna powoduje zapisanie w przeglądarce użytkownika. Odzwierciedla to wolę prawodawcy UE, aby reżim dyrektywy pozostawić otwarty na przyszły rozwój technologiczny.
Adresatami obowiązku są państwa członkowskie, które muszą zadbać o to, aby korzystanie z sieci komunikacji elektronicznej do przechowywania informacji w przeglądarce osoby odwiedzającej było dozwolone wyłącznie w przypadku udostępnienia użytkownikowi „jasnych i wyczerpujących informacji” zgodnie z dyrektywą o ochronie danych , o celach przechowywania lub dostępu do tych informacji; i wyraził na to zgodę.
System skonfigurowany w ten sposób można określić jako opt-in , co w praktyce oznacza, że konsument musi wyrazić zgodę, zanim w jego przeglądarce zostaną zapisane pliki cookie lub jakakolwiek inna forma danych. Przepisy brytyjskie pozwalają, aby zgoda była oznaczana w przyszłych ustawieniach przeglądarki, które nie zostały jeszcze wprowadzone, ale muszą zapewniać przedstawienie wystarczających informacji, aby użytkownik mógł wyrazić świadomą zgodę i wskazać docelowej witrynie internetowej, że zgoda została uzyskana. Wstępna zgoda może zostać przeniesiona na powtarzające się żądania treści kierowane do witryny internetowej. Dyrektywa nie podaje żadnych wytycznych co do tego, co może stanowić rezygnacja, ale wymaga, aby pliki cookie inne niż te „ściśle niezbędne do świadczenia usługi żądanej przez użytkownika” nie były umieszczane bez zgody użytkownika.
Literatura
- Pełny tekst dyrektywy
- Wytyczne brytyjskiego ICO
- Wytyczne francuskiego DPA CNIL (przetłumaczone na język angielski)
- Artykuł 29 Opinia Grupy Roboczej ds. Ochrony Danych 2/2010
- Artykuł 29 Opinia Grupy Roboczej ds. Ochrony Danych 16/2011
- Historia podejmowania decyzji
- O spamie: Asscher, L, Hoogcarspel, SA, Regulowanie spamu: Perspektywa europejska po przyjęciu dyrektywy o prywatności i łączności elektronicznej (TMC Asser Press 2006)
- Edwards, L, „Artykuły 6–7 ECD; Dyrektywa o prywatności i łączności elektronicznej z 2002 r.” w: Edwards, L. (red.) Nowe ramy prawne dla handlu elektronicznego w Europie (Hart 2005)