ePrivacy: Nové nariadenie EÚ v oblasti informačnej bezpečnosti
Neprešlo veľa času od prijatia a účinnosti nariadenia o ochrane údajov (GDPR) a už je na svete ďalšie nariadenie z dielne Európskej únie, ktoré bude ustanovovať nové i ďalšie povinnosti pre daný okruh povinných subjektov. Toto nariadenie znie celým názvom „Nariadenie o ochrane súkromia a elektronických komunikácií“, tzv. ePrivacy.
Hlavným zámerom nariadenia ePrivacy bude vytvorenie „listového tajomstva“ pre oblasť elektronickej komunikácie.
Čo toto nariadenie sleduje a čo prináša pre povinné osoby?
Európski zákonodarcovia si od jeho zavedenia sľubujú viaceré „benefity“. Medzi hlavné dôvody jeho prijatia patrí zvýšenie ochrany údajov fyzických osôb a právnických osôb, pretože dochádza k ich stále častejšej komercializácii, čo so sebou prináša mnohé bezpečnostné riziká. Dnes ešte nepoznáme definitívne znenie nariadenia, k dispozícii je však jeho návrh, ktorý bude schvaľovať Európsky parlament pravdepodobne už budúci rok. Nariadenie by tak mohlo nadobudnúť účinnosť v roku 2021.
Čo je ePrivacy?
ePrivacy má povahu nariadenia, takže je všeobecne záväzné vo svojej celistvosti a nie je potrebné jeho prijatie v osobitnom právnom predpise na úrovni vnútroštátnej legislatívy. Pôjde o nariadenie, ktoré bude mať povahu špeciálneho predpisu a bude slúžiť ako doplnok už k existujúcemu nariadeniu o ochrane osobných údajov (GDPR). Pri jeho uplatňovaní bude mať nariadenie ePrivacy prednosť v tom rozsahu, v ktorom nie je táto úprava vyriešená vo všeobecnom predpise, ktorým v tomto prípade bude nariadenie GDPR. Špeciálny charakter má preto, že bližšie upravuje práva a povinnosti povinných osôb v presne vymedzenom rozsahu. ePrivacy sa snaží právne ošetriť rýchlo rozvíjajúce sa on-line komunikačné technológie a prispôsobiť tomu právne poriadky jednotlivých štátov EÚ.
Aký je rozdiel medzi ePrivacy a GDPR?
Jeden rozdiel nachádzame v adresátoch poskytovanej ochrany. Nariadenie GDPR je skôr venované ochrane fyzických osôb a nariadenie ePrivacy bude poskytovať ochranu a dôvernosť elektronickej komunikácie medzi fyzickými a právnickými osobami. Hlavným cieľom ePrivacy je tak vytvorenie určitého on-line listového tajomstva.
Koho sa to bude týkať?
Pôvodná smernica o elektronických komunikáciách nebola dostačujúca, a to bol aj jeden z dôvodov, prečo by ju malo nahradiť nariadenie ePrivacy. Hoci SMS služby alebo telefónne hovory musia spĺňať určité štandardy zabezpečenia, rovnaké služby poskytované cez internet nie sú vôbec regulované. Z tohto dôvodu nariadenie ePrivacy rozšíri okruh povinných subjektov. Patriť medzi nich budú aj poskytovatelia služieb volania cez internet, prevádzkovatelia aplikácií prenášajúcich audiovizuálny obsah pomocou internetu (aplikácie WhatsApp, Viber, Skype, ale aj facebookový Messenger a internetové televízie ako napríklad Netflix). Okrem toho sa ePrivacy dotkne napríklad aj kaviarní, v ktorých je Wi-Fi. Zasiahne totiž poskytovateľov verejných a „polo-súkromných“ sietí Wi-Fi či firiem produkujúcich prístroje komunikujúce cez tzv. internet vecí.
Nový režim pre cookies a SPAM
Vo vzťahu ku cookies prináša nariadenie ePrivacy viaceré zmeny. Cieľom nového nariadenia je uľahčenie nastavenia prehliadača tak, aby umožňovalo paušálne prijatie alebo odmietnutie sledovania súborov cookies a iných identifikátorov. Nariadenie tiež objasňuje, že súhlas sa nevyžaduje v prípade súborov cookies, ktoré sú zamerané na zlepšenie nášho internetového zážitku (napríklad tých, ktoré si pamätajú históriu nákupného košíka) alebo na počítanie návštevníkov.
Spoločnosti budú podľa nového nariadenia povinné zabezpečiť, aby používatelia mali možnosť stanoviť politiku ochrany súborov cookies na vyššej úrovni (napríklad všeobecne „nikdy neakceptovať súbory cookies“), ako aj politiky na nižšej úrovni (napríklad „odmietnuť súbory cookies tretích strán“ prezentované vo forme, ktorá je jasne viditeľná a ľahko zrozumiteľná).
Dôvernosť informácií
Okrem ochrany samotného obsahu správ sa bude nové nariadenie ePrivacy zaoberať aj tzv. „metadátami“, čiže údajmi odvodenými zo samotnej komunikácie. Medzi ne patria volané čísla, história prehliadaných stránok, poloha, čas a dátum komunikácie, doba volania a mnohé iné.
Všetky tieto dáta môžu byť obchodne zneužité, a preto získajú status „dôverné“. Dokonca by malo byť zakázané bez súhlasu všetkých komunikujúcich strán akokoľvek zasahovať do ich prenosu (ľudským zásahom alebo sprostredkovane pomocou počítačových algoritmov a i.). Bez súhlasu tak nebude možné monitorovať obsah elektronických komunikácií a „metadát“ o nich. Ide napríklad o navštívené internetové stránky, dĺžku návštevy a ich následnú interakciu s ostatnými subjektmi.
Nariadenia GDPR a ePrivacy kladú najväčší dôraz práve na poskytovanie súhlasov so spracovaním, ktorý považujú za základný nástroj a poistku ochrany osôb a ich súkromia. Je preto dôležité venovať pozornosť tomu, kedy, v akej forme a pre aké aktivity bude musieť firma takýto súhlas od koncových užívateľov získať.
Zhrnutie na záver
Prijatím nového nariadenia ePrivacy sa už nebude rozlišovať medzi osobnými alebo neosobnými údajmi, bude sa sledovať a ochraňovať komunikácia ako taká. Tam, kde GDPR upravuje oblasť komunikácie len všeobecne, získa prednosť a bude sa aplikovať práve nariadenie ePrivacy. Je potrebné, aby boli firmy obozretné. Ak sa na ich predmet činnosti bude vzťahovať nariadenie ePrivacy, bude sa na ňu naďalej vzťahovať a uplatňovať aj nariadenie o ochrane osobných údajov (GDPR). Hlavným zámerom nariadenia ePrivacy bude vytvorenie „listového tajomstva“ pre oblasť elektronickej komunikácie.
Máte otázky k ePrivacy alebo GDPR? Radi vám ich zodpovieme. Stačí nás kontaktovať na info@avris.sk.
Autor: JUDr. Monika Fegyveres Oravská, managing consultant