Érthető módon az elmúlt időszakban a legtöbbször a GDPR-ről (az EU új általános adatvédelmi rendeletéről) szóltak a hírek. A GDPR "árnyékában" azonban 2017 januárjában megjelent az e-Privacy Rendelet tervezete is, amely - elfogadása esetén - az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") váltaná fel.
Miért van szükség az elektronikus hírközlés területén új szabályozásra?
- A szabályozás megújítása mellett több érv is felhozható. Önmagában a GDPR elfogadása és hatályba lépése indokolttá teheti az elektronikus hírközlési terület újraszabályozását, hiszen az új általános adatvédelmi szabályokhoz kell igazítani ezt a speciális területet is. A GDPR ugyanis az e-Privacy területén is háttérszabályként érvényesül majd.
- A jogalkotás mellett szól, hogy hasonlóan a GDPR-hoz az egységes jogalkalmazást segíti, ha az irányelvi szabályozás helyett e területen is megtörténik az áttérés a rendeleti szabályozásra, azaz a rendelkezések közvetlenül alkalmazandók lesznek a tagállamokban.
- A meglévő szabályozás egyébként is ráncfelvarrásra szorulna, hiszen a technológiai fejlődésnek köszönhetően időről-időre indokolt a szabályozás felülvizsgálata. (Az elektronikus hírközlési adatvédelmi irányelv legutóbb 2009-ben esett át alaposabb felülvizsgálaton, akkor a 2009/136/EK irányelvvel módosították.)
- Egyes területeken pedig a gyakorlati tapasztalatok jelzik, hogy szükség lehet a meglévő szabályozási környezet módosítására. Erre példa lehet a sütikre (cookie) vonatkozó szabályozás, amely - ahogy az e-Privacy Rendelet tervezet preambulumának 22. pontja is elismeri - a végfelhasználók felé irányuló tájékoztatás és jóváhagyás kérés miatt már nem képes az eredeti célnak megfelelő hatást elérni. A szabályozás módosításával (pl. azzal, hogy a hozzájárulás a böngészők és egyéb alkalmazások megfelelő beállításainak használatával is kifejezhető legyen) felhasználóbarátabbá tehető a hozzájárulás megszerzésének folyamata.
Mik az e-Privacy Rendelet tervezetének főbb rendelkezései? Milyen újdonságokat hordoz a tervezet?
- Az e-Privacy Rendelet kiterjedne az ún. OTT szolgáltatásokra ("over the top services"), mint pl. a Skype, Facebook Messenger, Gmail, iMessage vagy a Whatsapp. Egyértelmű a tervezetből az is, hogy a dolgok internetére ("Internet of Things" vagy IoT) is vonatkozik.
- Az e-Privacy Rendelet - a GDPR-hez hasonlóan - extraterritoriális hatályú lenne, azaz kiterjed a nem az Unióban letelepedett, elektronikus hírközlési szolgáltatást nyújtó szolgáltatókra is, ha az Unió területén belül nyújtanak elektronikus hírközlési szolgáltatásokat a végfelhasználóknak. (Az Unióban le nem telepedett szolgáltatóknak írásban képviselőt kell kijelölniük.)
- Az e-Privacy Rendelet nemcsak a természetes személy végfelhasználókra, hanem a jogi személyekre is alkalmazni kell. Az e-Privacy Rendeletnek tehát biztosítania kell, hogy a GDPR ebben a körben a jogi személynek minősülő végfelhasználókra is vonatkozzon (beleértve a GDPR szerinti hozzájárulás fogalmának alkalmazását).
- A hozzájárulás fogalma és tartalmi elemei kapcsán utaló szabályok találhatók a GDPR-ra. A hozzájárulás bármikor visszavonható és a szolgáltatóknak erre a felhasználókat hathavonta emlékeztetnie kell.
- A főszabály szerint az elektronikus hírközlési adatok (amely magában foglalja az elektronikus hírközlés tartalmát és az elektronikus hírközlési metaadatokat is) titkosak. Ezekhez hozzáférni, ezeket kezelni csak akkor lehet, ha ezt az e-Privacy Rendelet megengedi.
- Az e-Privacy Rendelet előírásokat tartalmaz a közvetlen üzletszerzési célú kereskedelmi tájékoztatással (direkt marketing) kapcsolatban is. A közvetlen üzletszerzési célú tájékoztatás nyújtásához alapvetően hozzájárulás szükséges, de abban az esetben, ha egy szolgáltató elektronikus levelezés céljából megszerzi ügyfeleitől elektronikus elérhetőségi adataikat egy termék vagy szolgáltatás értékesítése során, akkor ezeket - külön hozzájárulás nélkül - használhatja fel saját hasonló termékeivel vagy szolgáltatásaival kapcsolatos közvetlen üzletszerzési célra, feltéve, hogy az ügyfelek számára egyértelműen és kifejezetten lehetőséget biztosít arra, hogy az ilyen célú felhasználás ellen díjmentesen és egyszerűen kifogással élhessenek. (A tagállami szabályozás a hozzájáruláson alapuló, opt-in rendszer helyett lehetővé teheti az "opt-out" rendszer alkalmazását is az adott tagállamban.)
- Felügyeleti hatóságként a GDPR alkalmazásának ellenőrzéséért felelős hatóság jár el az e-Privacy Rendelet alkalmazásának ellenőrzése tekintetében is (tehát Magyarországon a NAIH).
- Az e-Privacy Rendelet egységes alkalmazásának biztosítása a - GDPR alapján létrehozott - Európai Adatvédelmi Testület hatásköre lesz.
- A kiszabható közigazgatási bírság összege szintén a GDPR-hoz igazodna, azaz egyes jogsértések legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújthatók (a kettő közül a magasabb összeget kell kiszabni), míg súlyosabb jogsértések esetén legfeljebb 20 000 000 EUR összegű közigazgatási bírságot, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeget lehet kiszabni (a kettő közül a magasabb összeget kell kiszabni).
Milyen vélemények, kritikák fogalmazódnak meg a tervezettel kapcsolatban?
A tervezet januári megjelenése óta számos vélemény, kritika látott napvilágot. A szabályozás rendeleti formáját és a GDPR-ral való összhang megteremtését általában tetszés fogadta. Szintén pozitív megítélés alá esik a legtöbb vélemény szerint, hogy a GDPR tekintetében eljáró felügyeleti hatóság ellenőrizné az e-Privacy Rendelet betartását is. Több kritikai jellegű észrevételt is megfogalmaztak azonban a tervezettel kapcsolatban.
A 29-es Cikk szerinti munkacsoport véleménye április 4-én jelent meg a tervezetről (Opinion 1/2017). A vélemény négy ponton fogalmaz meg különösen hangsúlyos aggályokat a tervezettel kapcsolatban:
- a végberendezések helyének nyomonkövetése (tracking of the location of terminal equipment);
- a tartalom és metaadatok elemzésének feltételei (the conditions under which the analysis of content and metadata is allowed);
- a végberendezések és szoftverek alapbeállításai (the default settings of terminal equipment and software); és
- az olyan gyakorlattal kapcsolatban, amikor a felhasználó hozzáférése egy honlaphoz vagy szolgáltatáshoz elutasításra kerül, kivéve ha hozzájárul ahhoz, hogy más honlapokon vagy szolgáltatások használata során nyomonkövessék a tevékenységét (tracking walls).
Mi következik ezután?
A tervezetnek végig kell haladnia a jogalkotási folyamaton és az Európai Parlamentnek, valamint a Tanácsnak is jóvá kell hagynia. A tervezet szövege tehát biztosan változik még, ugyanakkor a GDPR-ral való összhang fenntartása, néhol erősítése fontos lesz.
Mikor léphet hatályba?
Az e-Privacy Rendeletet - a GDPR-hoz hasonlóan - 2018. május 25-től kellene alkalmazni. Kérdés, hogy ez a feszes menetrend tartható lesz-e. A WP29 hivatkozott véleményes is utal rá, hogy fontos lenne a feszes határidő tartása, ugyanakkor ennek tarthatósága kérdéses.