Zacznę od tego, że ograniczenie to jest spowodowane słuszną sprawą. Co do tego nie można mieć najmniejszych wątpliwości. Niegodziwe traktowanie dzieci w celach seksualnych zawsze zasługuję na ściganie wszystkimi możliwymi środkami. Jednym z takich środków jest ograniczenie prywatności użytkowników komunikatorów internetowych. Tak się zadziało od 3 sierpnia 2021 r.
Jak wskazuje tytuł Rozporządzenia Parlamentu Europejskiego i Rady UE 2021/1232 z dnia 14 lipca 2021 r. w sprawie tymczasowego odstępstwa od niektórych przepisów dyrektywy 2002/58/WE w odniesieniu do wykorzystywania technologii przez dostawców usług łączności interpersonalnej niewykorzystujących numerów do przetwarzania danych osobowych i innych danych do celów zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie doszło do pewnego ograniczenia prywatności:
Ograniczenie to dotyczy wykorzystywania usługi łączności interpersonalnej niewykorzystującej numerów, a więc takiej, o której mowa w art. 2 pkt 7 Dyrektywy Parlamentu Europejskiego i Rad (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej:
oznacza usługę łączności interpersonalnej, która nie łączy się z publicznie nadanymi zasobami numeracyjnymi, mianowicie numerem lub numerami z krajowych lub międzynarodowych planów numeracji, ani nie umożliwia połączenia z numerem lub numerami z krajowych lub międzynarodowych planów numeracji
Wypada, na marginesie, wspomnieć, że dyrektywa 2018/1972 miała zostać implementowana do krajowego porządku prawnego do 21 grudnia 2020 r. i jak się domyślasz Czytelniku tak nie stało się do dziś mimo ogromnie dużego procesu legislacyjnego Prawa komunikacji elektronicznej (o tym jakże świetnym projekcie pisałem tutaj, tutaj i tutaj).
Wracając do usług łączności interpersonalnej niewykorzystującej numerów to takimi usługami są komunikatory internetowe, czy też webowa poczta elektroniczna oraz wykonywanie połączeń telefonii internetowej. Dostawcy takich usług zostali objęci zakresem stosowania dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej). Dyrektywy, która miała zostać zastąpiona prawie 4 lata temu przez rozporządzenie eprivacy, które do dziś nie zostało uchwalone, a jego projekt z 2017 r. był wielokrotnie zmieniany.
Mimo tego, zgonie ze stanowiskiem europejskiego ustawodawcy, wielu dostawców usług łączności interpersonalnej niewykorzystującej numerów dobrowolnie stosują specjalne technologię do wykrywania w swoich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i do zgłaszania takich przypadków do organów ścigania. Jedną ze stosowanych metod jest (moty 7 rozporządzenia 2021/1232):
haszowania zdjęć i filmów oraz klasyfikatory i sztuczna inteligencja do analizy tekstu lub danych o ruchu. Gdy stosowana jest technologia haszowania, materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych w internecie są zgłaszane w przypadku trafienia, które oznacza zgodność stwierdzoną w wyniku porównania zdjęcia lub filmu z niepowtarzalnym, nieprzekształcalnym podpisem cyfrowym (zwanym dalej „skrótem”) z bazy danych prowadzonej przez organizację działającą w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, która zawiera zweryfikowane materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych w internecie.
Oczywistym jest, że takie działanie stanowi ingerencję w podstawowe prawo do poszanowania życia prywatnego i rodzinnego oraz do ochrony danych osobowych użytkowników takiego komunikatora czy webowej poczty elektronicznej.
Obowiązujące od sierpnia 2021 r. rozporządzenie 2021/1232 przewiduję odstępstwo od zasady wyrażonej w art. 5 ust. 1 i art. 6 ust. 1 dyrektywy 2002/58/WE:
Państwa Członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przekazania komunikatu bez uszczerbku dla zasady poufności.
Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2,3i5 niniejszego artykułu oraz art. 15 ust. 1.
Co ciekawe europejski ustawodawca wskazał w motywie 14 rozporządzenie 2021/1232, że „zazwyczaj” będziemy mieli do czynienia z danymi osobowymi:
Ponieważ dane związane z łącznością elektroniczną z udziałem osób fizycznych zazwyczaj kwalifikują się jako dane osobowe, podstawą niniejszego rozporządzenia powinien również być art. 16 TFUE, który stanowi szczególną podstawę prawną na potrzeby przyjęcia zasad dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres stosowania prawa Unii, a także zasad dotyczących swobodnego przepływu takich danych.
Nadto wskazuje się też, że dane wywnioskowane z posiadanych danych mogą tworzyć dane osobowe (motyw 16):
Rodzaje technologii wykorzystywanych na potrzeby niniejszego rozporządzenia powinny powodować jak najmniejszą ingerencję w prywatność zgodnie z aktualnym stanem techniki w branży. Technologie te nie powinny być wykorzystywane do systematycznego filtrowania ani skanowania tekstu w komunikatach, chyba że ma to na celu wyłącznie wykrywanie schematów dających ewentualne konkretne powody, aby podejrzewać przypadki wystąpienia niegodziwego traktowania dzieci w celach seksualnych w internecie i nie powinny one pozwalać na wydedukowanie treści komunikatów. W przypadku technologii wykorzystywanej do identyfikacji nagabywania dzieci takie konkretne powody do podejrzeń powinny opierać się na obiektywnie określonych czynnikach ryzyka, takich jak różnica wieku i prawdopodobny udział dziecka w skanowanej komunikacji.
Wskazano także okres retencji tak zebranych czy wygenerowanych danych osobowych wskazując okres przechowywania jako okres „bezwzględnie konieczny”, ale nie dłuższy niż 12 miesięcy (motyw 19):
Dane dotyczące treści i dane o ruchu oraz dane osobowe wygenerowane podczas wykonywania działań objętych zakresem stosowania niniejszego rozporządzenia oraz okres, w którym dane te są następnie przechowywane w przypadku, gdy zachodzi podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie, powinny pozostawać ograniczone do tego, co jest bezwzględnie konieczne do wykonywania tych działań. Wszelkie dane należy natychmiast trwale usunąć z chwilą, gdy nie są one już bezwzględnie konieczne do jednego z celów określonych w niniejszym rozporządzeniu, w tym w przypadkach gdy nie zachodzi podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie, a w każdym razie nie później niż 12 miesięcy od dnia wykrycia przypadku, co do którego zachodzi podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie. Powinno to pozostawać bez uszczerbku dla możliwości przechowywania odpowiednich danych dotyczących treści i danych o ruchu zgodnie z dyrektywą 2002/58/WE. Niniejsze rozporządzenie nie wpływa na stosowanie obowiązków prawnych do zabezpieczenia danych, które mają zastosowanie do dostawców na podstawie prawa Unii lub prawa krajowego.
Zakres omawianego odstępstwa od ochrony prywatności został określony w artykule 3 ust. 1 rozporządzenia 2021/1232 jako wyłączenie stosowania wskazanych powyżej norm wynikających z art. 5 ust. 1 oraz art. 6 ust. 1 dyrektywy 2002/58/WE w zakresie przetwarzanych przez dostawców danych osobowych i innych danych w związku ze świadczeniem usług łączności, wtedy gdy:
- przetwarzanie jest bezwzględnie konieczne, proporcjonalne i ograniczone do technologi nakierowanej na osiągnięcie tego celu jakim jest zwalczanie niegodziwego traktowania dzieci
- wykorzystuje się technologię skanowania tekstów komunikacji, która przed użyciem została poddana zasadom ochrony danych w fazie projektowania i domyślnej ochronie (art. 25 RODO), nie pozwala wydedukować rzeczywistej treści komunikatów, a jedynie wykrywa schematy wskazujące na możliwość niegodziwego traktowania dzieci
- technologia ta została poddana ocenie skutków dla ochrony danych (art. 35 RODO) oraz dokonano uprzednich konsultacji z organem nadzorczym (art. 36 RODO)
Nadto ograniczenie prywatności użytkowników wskazanych usług zostało ograniczone do trzech lat, a więc do 3 sierpnia 2024 r. (art. 10 zdanie drugie rozporządzenie 2021/1232). To jest czas, który ma pozwolić z jednej strony na wypracowanie odpowiednich mechanizmów technologicznych, a z drugiej powinien pozwolić na uchwalenie rozporządzenia e-praivacy.
Jak widać Rozporządzenie 2021/1232 ma mocne „powiązania” z ochroną danych osobowych i dostawcy, którzy są nim objęcie muszą na bieżąco wykonywać zadania tożsame z utrzymywaniem zgodności z RODO.