Przypomnijmy, że pełna nazwa aktu potocznie nazywanego ePrivacy to Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE. Jako główny cel wprowadzenia przedmiotowych przepisów w ich uzasadnieniu wskazano realizację strategii jednolitego rynku cyfrowego poprzez zwiększenie zaufania względem usług cyfrowych i poprawa ich bezpieczeństwa.
Osiągnięcie tak sformułowanych zamierzeń, w panującej obecnie erze cyfryzacji bez wątpienia powinno stanowić priorytet europejskiego ustawodawcy. Okoliczności dowodzą niestety zgoła odmiennych faktów.
Projekt ePrivacy od chwili powstania „przeżył” już kilka prezydencji: maltańską, estońską, bułgarską, austriacką, rumuńską oraz fińską. Wszystkie oczy oraz największe oczekiwania opinii publicznej skierowane były jednak na Finów, kierujących UE w drugiej połowie 2019 r. W tym właśnie czasie wydawało się, że proces legislacyjny jest już na ostatniej prostej, czekając tylko na finalizację i ostateczne wejście przepisów w życie.
Krokiem rozbudzającym nadzieje miał być planowany na końcówkę ubiegłego roku szczyt Rady ds. Transportu, Telekomunikacji i Energii, podczas którego celowano w przyjęcie podejścia ogólnego do projektu. Miało to poprzedzić rozpoczęcie trilogów, czyli nieformalnych spotkań między reprezentantami Parlamentu, Rady i Komisji, na których wypracowywane są porozumienia w sprawie aktów prawnych. Jest to o tyle istotny etap, że po osiągnięciu porozumienia w trilogu szansa na jego korektę czy zablokowanie w toku dalszych dyskusji w Parlamencie i Radzie jest praktycznie niemożliwe. Jednak ogólne podejście nie uzyskało wystarczającego wsparcia, a Państwa UE odrzuciły tekst ePrivacy.
Kość niezgody
Warto zwrócić uwagę na to, co w toku prac nad treścią rozporządzenia wzbudzało najwięcej emocji. Problematyczną oraz sporną materią okazały się w szczególności przetwarzanie danych do celów zapobiegania rozprzestrzenianiu treści związanych ze stosowaniem przemocy wobec dzieci oraz pornografii dziecięcej, ochrona informacji przechowywanych w urządzeniach końcowych, a także kształt i doprecyzowanie niektórych pojęć i definicji. W związku z tym prezydencja intensywnie pracowała nad wypracowaniem konsensusu, dążąc do pogodzenia różnorodnych postulatów zgłaszanych przez różne delegacje, czego wynikiem było wydanie szeregu tekstów kompromisowych, jednak nadal bez powodzenia.
Abstrahując od powyższego na pochwałę zasługuje, że Finowie poczynili znaczne wysiłki w celu wyjaśnienia zakresu rozporządzenia, przede wszystkim w odniesieniu do przetwarzania danych pochodzących z łączności elektronicznej przez użytkowników końcowych w celu zapewnienia bezpieczeństwa sieci użytkownika końcowego i systemów informacyjnych.
Ponadto przedstawiciele wielu krajów członkowskich, mimo poparcia koncepcji elastyczności organów nadzorczych uwzględnionej w projekcie podczas poprzednich prezydencji, wyrazili obawy dotyczące przewidywanej regulacji współpracy między różnymi zaangażowanymi organami (zwłaszcza organami ochrony danych i krajowymi organami regulacyjnymi) oraz roli, którą w realizacji rozporządzenia ma odgrywać Europejska Rada Ochrony Danych. Wychodząc temu naprzeciw, prezydencja fińska zaproponowała nałożenie na EROD obowiązku konsultowania się z właściwymi organami krajowymi (niebędącymi organami ochrony danych) przed wykonaniem swoich zadań na gruncie ePrivacy.
Fala krytyki
Odnosząc się do merytorycznej treści ePrivacy, wiele podmiotów technologicznych, a także niektóre kraje UE kontenstują propozycję projektu, uznając ją za zbyt restrykcyjną. z drugiej zaś strony powszechnie krytykowana jest przewlekłość prac legislacyjnych nad ePrivacy. Wielokrotnie wskazuje się, że w dobie notorycznego naruszania prywatności oraz afer związanych z dezinformacją brak zapewnienia silnej ochrony użytkowników internetu jest w rzeczywistości krokiem wstecz Unii Europejskiej. Opinia publiczna, wysuwając śmiałe tezy, zarzuca organom europejskim celowość opieszałego działania w interesie reklamodawców online i zapewnienia dominacji wielkich technologii. Liczne postulaty kierowane do Komisji Europejskiej wskazują na nadzieję, że projekt zmieniony na korzyść konsumentów zostanie sfinalizowany w 2020 r.
Również państwa członkowskie za pośrednictwem swoich przedstawicieli nie kryją niezadowolenia z dotychczasowych poczynań UE oraz z kształtu rozporządzenia. Zastępca stałego przedstawiciela Wielkiej Brytanii przy UE, Katrina Williams (jeszcze przed Brexitem), stwierdziła, że ePrivacy w jego obecnym brzmieniu, osłabiłoby działania, które dostawcy internetowi mogą podejmować w celu zaradzenia wykorzystywaniu dzieci w Internecie. Równocześnie do ponownego przemyślenia treści projektu Komisję wezwały liczne kraje UE, w tym Czechy, Portugalia, Austria i Francja.
Wyzwania i problemy
1 stycznia 2020 r. przewodnictwo w Unii Europejskiej – a co za tym idzie również pracę nad ePrivacy w spadku - objęła Chorwacja. Nie ulega najmniejszej wątpliwości, że Chorwatów czeka w związku z tym nie lada wyzwanie i ból głowy. Pierwsze posiedzenia poświęcone nowym kierunkom oraz zmianom rozporządzenia zaplanowane zostały na początek marca, kiedy to mają zostać omówione kluczowe dla całego kształtu projektu zmiany w jego treści.
Odnosząc się zaś do kwestii merytorycznych, obszarem, obok którego nowa prezydencja nie będzie mogła przejść obojętnie, bezsprzecznie są przepisy rozporządzenia, dotyczące ochrony informacji przechowywanych w urządzeniach końcowych użytkowników, zgody oraz informacji dotyczących ustawień i opcji prywatności, które należy przekazać użytkownikom (art. 8-10). z uwagi na poruszaną w tych przepisach materię, istnieje bowiem znaczna obawa trudności w ich interpretacji oraz zastosowaniu w relacji do ogólnych przepisów z zakresu ochrony danych osobowych (RODO). Stąd postulaty zupełnego usunięcia przywołanych artykułów z treści projektu, czemu przychyla się Chorwacja.
Ponadto jedną z ciekawszych nowości, które znalazły miejsce w nowym projekcie aktu jest wprowadzenie kolejnej podstawy prawnej przetwarzania danych. Obok dotychczas przewidywanej zgody, obecnie dopuszczalne ma być również oparcie przetwarzania o uzasadniony interes, który funkcjonuje już w przepisach RODO.
Czy nowe zawsze znaczy lepsze?
Dokonując ogólnej oceny kształtu ePrivacy zaproponowanego przez Chorwację, z powołaniem na stanowisko opinii publicznej (a w szczególności podmiotów potencjalnie podlegających tej regulacji), należy uznać, że projekt wciąż pozostawia wiele do życzenia. Przedsiębiorcy stoją na stanowisku, że szereg dokonanych w nim zmian w niekorzystny sposób wpłynąłby zarówno na obecną sytuację, jak również na rozwój i dalsze perspektywy podmiotów świadczących usługi na drogą elektroniczną.
Największym jednak, skonkretyzowanym zarzutem kierowanym pod adresem autorów projektu jest brak rozwiązania największego z dotychczasowych problemów dotykających rozporządzenia, a mianowicie przywoływanej już relacji (a raczej sprzeczności) z RODO. Paradoksalnie, za szczególnie newralgiczne uważane są przepisy, za pośrednictwem których treść rozporządzenia ma zmierzać do osiągnięcia spójności z RODO.
Nie ma głupich pytań RODO.
Są darmowe odpowiedzi
Podsumowanie
Przejęcie prezydencji przez nowy kraj, jak co sześć miesięcy, rodzi nadzieję na zakończenie walki o ePrivacy. Niemniej mając na względzie omawiane powyżej okoliczności, jak i to, że przewodniczenie UE trwa tylko do czerwca, nie wydaje się, aby w tym czasie Chorwaci mogli doprowadzić do rewolucji obecnego stanu, doprowadzając tym samym proces legislacyjny do mety. Niemniej w 2020 r. największe oczekiwania są nie wobec Chorwacji, lecz Niemiec, które będą przewodniczyć Unii w drugiej połowie roku. Pomijając uwarunkowania polityczne i kulturowe, nie jest tajemnicą, że Niemcy są jednym z krajów przywiązujących największą wagę do ochrony danych osobowych i najbardziej w tym zakresie świadomych. z dużą dozą prawdopodobieństwa można zatem przyjąć, że również los cyberbezpieczeństwa, a tym samym ePrivacy będącego „bratem” RODO, będzie dla Niemców priorytetem, a jego finał postawią sobie za punkt honoru.