Newsletter ZPP
4.10.2017
Stanowisko Związku Przedsiębiorców i Pracodawców do projektu rozporządzenia
w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych
w łączności elektronicznej (ePrivacy)
W związku z trwającymi w Parlamencie Europejskim oraz Radzie Unii Europejskiej pracami nad projektem rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, zastępującego dyrektywę 2002/58/WE (rozporządzenie o prywatności i łączności elektronicznej, dalej jako „projekt”) oraz z uwagi na przyjęcie przez rząd RP stanowiska do tego dokumentu, Związek Przedsiębiorców i Pracodawców zwraca się z prośbą o podjęcie niezwłocznych działań w celu wprowadzenia odpowiednich poprawek do projektu. Z uwagi na zaawansowany stan prac nad projektem w instytucjach unijnych, nie przekazujemy uwag do projektu zaprezentowanego przez Komisję Europejską. Przekazujemy natomiast uwagi do Stanowiska rządu RP licząc, że będą one wzięte podczas szczegółowych prac nad projektem w Radzie Unii Europejskiej.
Uważamy, że przyjęcie projektu w obecnym brzmieniu będzie miało bardzo negatywny wpływ na konkurencyjność i innowacyjność polskich przedsiębiorców. Wpłynie ono niekorzystnie na większość firm sektora cyfrowego: operatorów telekomunikacyjnych, dostawców usług internetowych i treści w internecie. Uderzy ponadto w branżę reklamy internetowej oraz przedsiębiorców, którzy dzięki niej skutecznie docierają do potencjalnych klientów (zwłaszcza firmy lokalne i MŚP). Wdrożenie tego rozporządzenia będzie miało znaczący wpływ na usługi cyfrowe, dostęp do informacji i rozrywki przez użytkowników.
ZPP docenia starania rządu, zmierzające do zadbania o interes użytkownika końcowego, któremu rząd stara się zapewnić jak najszerszą ochronę, jednakże w stanowisku brakuje analizy wpływu rozporządzenia na modele biznesowe, czy koszty wdrożenia. ZPP z rozczarowaniem odnotowuje brak refleksji nad sensownością istnienia tego aktu prawnego i jego wpływem na gospodarkę oraz jej konkurencyjność. Niestety, rząd RP nie wziął pod uwagę stanowczego stanowiska przedsiębiorców, którzy na wielu forach i podczas wielu okazji wyrażali swoje negatywne stanowisko wobec projektu. W zakresie wpływu projektu na konkurencyjność przedsiębiorstw, rząd RP stwierdza, że „wątpliwości może budzić jednak to czy objęcie regulacją usług OTT nie spowoduje zmniejszonej konkurencyjności unijnych usług OTT wobec usług spoza UE.” Należy zgodzić się, że co do zasady nadmierna regulacja jest niepożądana i może obniżać konkurencyjność przedsiębiorców. Jednakże dostrzeżenie tego problemu przez rząd – w stanowisku Polski jedynie w odniesieniu do usług OTT jest niezrozumiałe, zważywszy, że w tym modelu w większości usługi świadczone są w przez przedsiębiorców spoza Europy (którzy zgodnie z założeniem powinni również zostać objęci przepisami ePrivacy). Z taką samą troską na gruncie krajowym ministerstwo czy regulator, a na gruncie europejskim instytucje UE, powinny pomyśleć o przedsiębiorcach europejskich świadczących usługi w innym modelu niż OTT. Ci przedsiębiorcy również nie powinni być obciążani nadmierną regulacją. Jednocześnie absolutnie kluczowym jest by wszystkie ekwiwalentne usługi cyfrowe świadczone przez różnych uczestników rynku (np. usługi telekomunikacyjne, komunikatory internetowe lub usługi w chmurze) podlegały tym samym zasadom. Jedynie w ten sposób można zapewnić niedyskryminujące reguły gry rynkowej. Niestety przedstawione stanowisko wskazuje, że rząd patrzy na ten problem zbyt wąsko, nie dostrzegając jaki efekt będzie miało wejście w życie projektu w sektorach takich jak ICT, big data, czy rynek reklamy w internecie. Wątpliwość ZPP budzi zgoda rządu RP na objęcie regulacją komunikacji M2M (Machine to Machine) oraz postulat rozszerzenia zakresu projektu o dane nieosobowe i dane powiązane z osobami prawnymi (nieobjęte w Rozporządzeniem Ochrony Danych Osobowych – RODO). Objęcie danych nieosobowych oraz komunikacji M2M może mieć efekt mrożący, tj. znacząco utrudnić monetyzację danych i budowę z ich użyciem nowych i innowacyjnych usług. Dodatkowo, nieprecyzyjny charakter części przepisów może zaowocować obawą przedsiębiorców, którzy zagrożeni wysokimi karami, mogą rezygnować z prób uruchamiania nowych usług i produktów, co oczywiście odbije się na ich konkurencyjności wobec partnerów globalnych. W świetle tych konsekwencji, objęcie zakresem projektu tych danych uniemożliwi realizację i wdrożenie Strategii Odpowiedzialnego Rozwoju, której podstawą właściwie w każdym aspekcie jest przecież cyfryzacja i wykorzystanie nowych technologii. Takie podejście unijne do danych znacząco wpłynie również na opóźnienie powstania w Polsce Przemysłu 4.0. wspieranego przede wszystkim przez rozwiązania ICT i analizy danych.
Wdrożenie nowych przepisów będzie stanowiło duże wyzwanie dla przedsiębiorców i z zadowoleniem przyjmujemy, iż rząd wskazuje, że termin wejścia w życie projektu (25.05.2018) może być nierealny. Jest to jednak za mało – wyłączywszy kwestię terminu wdrożenia nowych regulacji, rząd co do zasady akceptuje cele i zakres projektu. Ponadto, rząd wydaje się dostrzegać problemy wdrożeniowe, tylko w zakresie wymogów dla producentów urządzeń (art. 10). ZPP wskazuje, że problemy wdrożeniowe będą dotyczyły całej branży internetowej i nie będą ograniczone tylko do „producentów urządzeń”.
W zakresie podstaw do przetwarzania danych (art. 6), rząd wyraża ogólne poparcie dla projektu. Na uznanie zasługuje wpisanie świadczenia usługi jako samodzielnej podstawy dla przetwarzania danych, w przypadku gdy przetwarzanie konkretnych danych osobowych jest dla takiego świadczenia niezbędne oraz brak jest wymaganej zgody do przetwarzania metadanych. Niestety, rząd nie odnosi się do konieczności przetwarzania metadanych na potrzeby usług dodatkowych (np. Big Data). Konieczność uzyskania zgód może utrudnić powstawanie nowych i innowacyjnych usług. Na przykład, aplikacja służąca do nawigacji będzie informowała o ewentualnych korkach lub robotach drogowych, ale nie będzie w stanie poinformować o ofertach promocyjnych na paliwo bądź posiłek w mijanych przez kierowcę obiektach. Cieszy natomiast, że polski rząd dostrzegł nieżyciowość obowiązku wyrażania zgody co 6 miesięcy (art. 9), czy że jest za większą elastycznością, co do wyrażenia zgody na przetwarzanie danych (przez oprogramowanie oraz na podstawie ustawień urządzenia końcowego lub jego oprogramowania).
Co jest konieczne do podkreślania w aspekcie podstaw przetwarzania danych, projektodawcy rozporządzenia zdają się zapominać, że dane tego samego typu są wykorzystywane nie tylko w usługach łączności elektronicznej. Ze względu na to i obecną konstrukcję projektu, taki sam rodzaj danych, np. lokalizacyjnych, w zależności od usługi do jakiej będzie wykorzystywany traktowany będzie odmiennie. Jako wykorzystywany przez usługę łączności elektronicznej podlegał on będzie bardziej restrykcyjnym przepisom ePrivacy niż jako dane wykorzystywane przez inny rodzaj usług na podstawie samego RODO. Takie podejście grozi zahamowaniem rozwoju cyfrowego, nad którym w założeniu cała Unia Europejska chce pracować poprzez rozwój Digital Single Market. Skoro chcemy stanowić cyfrową konkurencję dla pozaeuropejskich rynków, niezrozumiałe jest tak niejednolite działanie. Kolejny raz podkreślić należy, że zasady przetwarzania danych osobowych powinny być jednakowe dla wszystkich (a więc takie jak obecnie wskazuje RODO jako kompleksowy akt prawny dot. ochrony danych osobowych), niezależnie od tego jaki rodzaj technologii używany jest do ich zbierania.
Z zakresie przechowywania i usuwania danych (art. 7), rząd RP wyraża ogólne poparcie dla projektu. Niestety – zamiast uelastycznić zasady dla przedsiębiorców, rząd wzywa do dalszego usztywnienia ich oraz wprowadzenia nowych obowiązków. Na przykład, przechowywanie danych na potrzeby reklamacji klientów ma zostać przekształcone w zobowiązanie dla operatorów, a nie tylko potencjalną możliwość. Dodatkowo podnoszony jest postulat wprowadzenia wymogu przechowania danych przez co najmniej 12 miesięcy.
Stanowisko rządu RP w zakresie domyślnych ustawień prywatności (art.10), jest idealnym przykładem całkowitej niesymetryczności projektu. Nie przeanalizowano, jak taka regulacja wpłynie na przedsiębiorców. Obecnie w internecie współwystępuje wiele modeli biznesowych. Jednym z bardziej popularnych polega na darmowości usług w zamian za możliwość przetwarzania danych osobowych użytkowników i wyświetlania im reklam. Rząd RP proponuje model ‘privacy by default’, czyli zbieranie informacji o aktywności użytkowników w sieci (jeśli nie są one niezbędne do świadczenia zamówionej usługi ani wymagane przez prawo) powinno być możliwe dopiero w wyniku wyrażenia przez nich wyraźnej zgody. Wpływ na gospodarkę tego przepisu może być znaczący, gdyż duża część klientów będzie pozbawiona możliwości korzystania z dotychczasowych usług. Zmiany oznaczają bowiem mniejsze możliwości precyzyjnego targetowania, a w konsekwencji mniejsze wpływy z reklam. Może to doprowadzić do szukania alternatywnych źródeł finansowania przez podmioty internetowe, np. poprzez płatny dostęp do treści, które dotychczas były dla użytkowników darmowe.
Cieszy, że rząd RP dostrzega konieczność dostosowania projektu do wymogów RODO, które zacznie być stosowane od 25 maja 2018 r. Rozporządzenie to zapewnia wysoką ochronę danych osób fizycznych i nakłada na przedsiębiorców szereg obowiązków, których spełnienie będzie dla wielu polskich firm dużym wyzwaniem. W stosunku do dyrektywy 95/46/WE o ochronie danych, którą RODO uchyla, ma ono szerszy zakres, i przyczyni się do zagwarantowania wysokiego poziomu ochrony użytkowników. Jest więc zaskakujące, że zamiast obserwacji skutków stosowania RODO po jego wdrożeniu, zaproponowano projekt, który reguluje (w sposób jeszcze bardziej restrykcyjny) podobny obszar.
ZPP chciałoby również zwrócić uwagę, że proponowana regulacja wprowadza chaos prawny, gdyż jest nie tylko niespójna z RODO, ale także z projektowanym Europejskim Kodeksem Łączności Elektronicznej. Z tego powodu dotyczące go prace legislacyjne nie powinny przebiegać w przyspieszonym tempie.
Biorąc pod uwagę obecny stan prac nad rozporządzeniem konieczne jest jednoznaczne podkreślenie przez Radę, że akt ten nie będzie obowiązywał od 25 maja 2018 r. – podtrzymywanie propozycji takiej daty obowiązywania przepisów wprowadza wśród przedsiębiorców niepotrzebną dezorientację. W wielu przypadkach wprowadzenie zmian w tak krótkim czasie (obecnie to 8 m-cy, ale trzeba podkreślić, że akt prawny nadal nie ma ostatecznego kształtu) będzie niewykonalne.
Warto pamiętać, że rynek cyfrowy nie zna granic. Już dziś dzięki internetowi polscy przedsiębiorcy zdobywają nowych klientów poza granicami kraju, gdzie oferują swoje usługi i produkty. Brak dostatecznej harmonizacji przepisów może spowodować powstanie barier (różne regulacje, interpretacje przepisów itd.), które szczególnie dla małych i średnich przedsiębiorstw mogą okazać bardzo trudne do przejścia. Z tego też powodu, niektóre postulaty rządu, dotyczące choćby kwestii organu nadzorczego, nie zasługują na aprobatę.
ZPP nie kwestionuje potrzeby zapewnienia ochrony danych osobowych, jednakże zwraca uwagę, że restrykcyjne przepisy RODO gwarantują już dostateczną ochronę prywatności użytkowniów. Dlatego, zdaniem ZPP, należy wstrzymać się z nowymi przepisami do czasu wejścia w życie RODO i na tej podstawie obiektywnie ocenić, gdzie i czy konieczne są jeszcze zmiany. Doregulowywanie przez lex specialis, tak młodego i szybko rozwijajacego się sektora, wobec nieobowiązującego jeszcze RODO, jest w ocenie ZPP niezgodne z zasadami dobrej legislacji. W pierwszej kolejności należy zbadać reakcję rynku i przedsiębiorców na nowe obowiązki wynikające z RODO, a dopiero później zastanawiać się ewentualnie nad tym, czy konieczne jest przeprowadzanie dalszych kroków legislacyjnych. Wydaje się, że rozporządzenie, które zacznie być stosowane 25 maja 2018 roku, chroni interesy użytkowników w wystarczającym stopniu. Niezależnie od regulowanej materii, należy pamiętać o tym, by nie nakładać na przedsiębiorców większej ilości obowiązków i restrykcji, niż jest to konieczne. Dlatego, wyzwamy rząd RP do przeciwstawienia się nadmiernej regulacji sektora cyfrowego, ograniczeniu nieefektywych i krępujących innowacyjność przepisów oraz odłożenia tego nieżyciowego projektu na półkę.
Związek Przedsiębiorców i Pracodawców
