Tον περασμένο χρόνο οι ιστότοποι ζήτησαν ξαφνικά τη συγκατάθεσή μας για τη συλλογή πληροφοριών για τα cookie. Η απάντηση που δόθηκε από τα μέσα ενημέρωσης και άλλους εμπειρογνώμονες για αυτήν την αναταραχή των αναδυόμενων παραθύρων συγκατάθεσης cookie ήταν ότι ήταν αποτέλεσμα του γενικού κανονισμού προστασίας δεδομένων (GDPR). Αυτό είναι εν μέρει αλήθεια. Η πραγματική απάντηση είναι πολύ πιο ενδιαφέρουσα και περιλαμβάνει έναν άλλο λιγότερο δημοσιευμένο νόμο περί απορρήτου της ΕΕ, την οδηγία περί απορρήτου και ηλεκτρονικών επικοινωνιών (ePD).
Το ePD είναι πιο γνωστό ως οδηγία για την προστασία της ιδιωτικής ζωής στο ePrivacy. Ο κατάλογος ePrivacy, δυστυχώς, έχει περιληφθεί στα πρωτοσέλιδα από τον πολύ πιο διάσημο νόμο του GDPR. Αλλά αξίζει να το γνωρίσετε λίγο καλύτερα.
Οι βασικές διαφορές μεταξύ της οδηγίας GDPR και της ηλεκτρονικής ιδιωτικότητας
Πράγματι, από το 2002, η οδηγία για την προστασία της ιδιωτικής ζωής (ePD) εστιάζεται στην προστασία της ιδιωτικής ζωής και της ασφάλειας των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. Μπορείτε να το θεωρήσετε ως εξειδίκευση των γενικότερων νόμων για τα δεδομένα της ΕΕ, αλλά για παρόχους υπηρεσιών κινητής τηλεφωνίας και φορείς κινητής τηλεφωνίας, καθώς και για παλαιότερους τηλεπικοινωνιακούς φορείς.
Το ePD περιλαμβάνει γλώσσα που απαιτεί από τους παρόχους να διασφαλίζουν τα δεδομένα που μεταφέρουν λαμβάνοντας
«κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των υπηρεσιών του» (άρθρο 4.1)
και να διασφαλίζει το απόρρητο των επικοινωνιών απαγορεύοντας την
«ακρόαση, άγγιγμα, αποθήκευση… χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών »(άρθρο 5.1).
Όπως και ο συγγενής του νόμου περί δεδομένων της ΕΕ, το ePD ζητά επίσης την ελαχιστοποίηση της συλλογής και της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Το ePD σίγουρα πηγαίνει στους παρόχους επικοινωνίας, κάνοντας συγκεκριμένα “δεδομένα κίνησης” ή δεδομένα δρομολόγησης – την έκδοση των μεταδεδομένων – και απαιτώντας την προστασία του. Το 2009, το ePD ενημερώθηκε και μία από τις νέες απαιτήσεις ήταν η αναφορά παραβίασης προσωπικών δεδομένων. Συνολικά, μπορείτε να σκεφτείτε το ePD ως ένα σύνολο κανόνων που παραλληλίζουν την προηγούμενη οδηγία για την προστασία δεδομένων (DPD) και τον νεότερο GDPR, αλλά εξετάζοντας τις λεπτομέρειες επικοινωνίας, όπως απαιτείται.
Ως νομικοί, λέμε ότι το ePD είναι lex specialis, που αναφέρεται σε συγκεκριμένο περιεχόμενο και παρακάμπτει έναν πιο γενικό νόμο, lex specialis, ο οποίος στην περίπτωσή μας είναι ο GDPR.
Με την ενημέρωση του 2009, το ePD πήρε το όνομα του νόμου περί cookie επειδή απαιτούσε ρητά τη συγκατάθεση των χρηστών για την επεξεργασία των cookie ιστού τους. Στην πραγματικότητα, το ePD κάνει μια εξαίρεση για cookie που είναι απολύτως απαραίτητα για νόμιμους σκοπούς. Αλλά πιο ενοχλητικά cookie για παρακολούθηση ή στόχευση καταναλωτών εμπίπτουν στο νόμο περί cookie.
Όποιος έχει επισκεφθεί ποτέ ιστότοπους της ΕΕ πριν από το GDPR είναι αναμφίβολα εξοικειωμένος με τον νόμο περί cookie: πιθανότατα έχετε παρατηρήσει το κάτω banner που σας υπενθυμίζει ότι τα cookie συλλέγονται και η χρήση του ιστότοπου συνεπάγεται συναίνεση. Οι βασικές επιλογές όσον αφορά την αντίθεση του ePD με το GDPR είναι:
(1) Το ePD επικεντρώνεται στις επικοινωνίες
(2) το ePD καλύπτει περισσότερα από τα προσωπικά δεδομένα, ειδικά τα cookie Ιστού και τα δεδομένα κίνησης.
Η ανάλυση των δεκάδων καταστημάτων μου είναι ότι αναφέρεστε στο γενικό νόμο, το GDPR, για να ερμηνεύσετε τη συγκατάθεση όπου αναδεικνύεται αυτή η γενική αρχή. Αλλά μετά σκάβετε στο ePD για περισσότερες λεπτομέρειες σχετικά με τα cookie. Επομένως, τυχόν παραβιάσεις από εταιρείες που εδρεύουν στην ΕΕ και περιλαμβάνουν cookie δεν θα εμπίπτουν στο GDPR αλλά στο ePD, το οποίο διαθέτει το lex specialis.
Σε αντίθεση με το GDPR, το ePD έχει πολύ συγκεκριμένη γλώσσα σχετικά με τα cookie.
Παρεμπιπτόντως, ο νέος ορισμός της συγκατάθεσης του GDPR είναι πολύ πιο σαφής από ό, τι στην παλαιότερη οδηγία για την προστασία των δεδομένων (DPD) – πρέπει τώρα να είναι “σαφής”. Και αυτό εξηγεί γιατί βλέπουμε τη συναίνεση cookie να χωρίζεται σε ξεχωριστές κατηγορίες σε πολλούς ιστότοπους.
Η επόμενη ερώτηση είναι γιατί οι εταιρείες εκτός ΕΕ έπρεπε επίσης να ενημερώσουν την επεξεργασία συναίνεσης cookie για τους ιστότοπούς τους τον περασμένο Μάιο;
Αυτή είναι η σαφής συγκατάθεση για τη συλλογή cookie και αυτό είναι αποκλειστικά λόγω του GDPR.
Όσο πιο ξεκάθαρα μπορεί κάποιος να αναλύσει είναι ότι το εδαφικό πεδίο εφαρμογής του GDPR μπαίνει σε εφαρμογή. Αν κοιτάξετε το άρθρο 3, μια εταιρεία που παρακολουθεί τη συμπεριφορά των χρηστών στην ΕΕ καλύπτεται από το GDPR. Και τα cookies ή τουλάχιστον ορισμένοι τύποι cookie αποτυπώνουν σίγουρα τη συμπεριφορά των χρηστών. Εν ολίγοις: Οι εταιρείες των τρίτων χωρών (χώρες εκτός Ε.Ε.) εμπίπτουν στον GDPR όσον αφορά τα cookie, αλλά όχι το ePD.
Εάν είστε μπερδεμένοι σχετικά με το ποια νομοθεσία της ΕΕ ισχύει, ακόμα και επαγγελματίες του χώρου ενδεχομένως να μπερδευτούν. Τον Μάρτιο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), το οποίο είναι ένας υπερ-ρυθμιστικός φορέας που εποπτεύει τα χωριστά εθνικά εποπτικά όργανα, εξέδωσε γνώμη για να εξηγήσει τα κριτήρια είτε του GDPR, είτε του ePD. Η ανάγνωση δεν είναι καθόλου εύκολη ανάγνωση.
Ο κανονισμός για την ηλεκτρονική ιδιωτικότητα και η επικοινωνία Over-the-Top
Τώρα για ακόμη μεγαλύτερη σύγχυση. Ακριβώς όπως η οδηγία για την προστασία των δεδομένων μετατράπηκε σε κανονισμό γενικής προστασίας για τη δημιουργία ενός πιο ομοιόμορφου νόμου για τα δεδομένα σε ολόκληρη την ΕΕ, η οδηγία για την προστασία της ιδιωτικής ζωής στον ηλεκτρονικό τομέα απορρίπτει παρόμοια μεταμόρφωση. Να υπενθυμίσουμε ότι εταιρείες εκτός ΕΕ εάν παρακολουθούν τη συμπεριφορά των χρηστών της ΕΕ στον ιστό, τότε εμπίπτουν στο GDPR.
O Κανονισμός Ψηφιακής Ιδιωτικότητας, “E-Privacy Regulation”
Αυτό είναι σωστό, ένας κανονισμός ePrivacy ή ePR βρίσκεται σε εξέλιξη. Πιθανότατα δεν θα το δούμε να ισχύει από το 2021, καθώς οι λεπτομέρειες επεξεργάζονται ακόμη και ο νόμος θα έχει περάσει από την εξαντλητική διαδικασία έγκρισης της ΕΕ.
Όπως το GDPR, το ePR θα έχει τους δικούς του εξωεδαφικούς κανόνες. Εταιρείες εκτός ΕΕ με ιστότοπους θα βρεθούν τελικά απευθείας στο ePR. Αν οι εταιρείες παραβιάσουν αυτούς τους κανόνες για τα cookie, ενδέχεται να αντιμετωπίσουν αυστηρά πρόστιμα τύπου GDPR έως και 4% των παγκόσμιων εσόδων.
Μια πολύ θετική πτυχή τόσο για τους καταναλωτές όσο και για τις εταιρείες είναι ότι στο πλαίσιο του ePR, η διαδικασία συναίνεσης cookie θα βελτιωθεί. Το τρέχον προσχέδιο περιλαμβάνει κανόνες για τη συγκέντρωση της ρύθμισης cookie στο λογισμικό ως τρόπο αποφυγής αυτών των ενοχλητικών πανό cookie. Με λίγα λόγια, οι διακομιστές ιστού θα διαβάσουν απευθείας τις επιλογές άδειας cookie που έχουν ρυθμίσει οι χρήστες, ας πούμε, στα προγράμματα περιήγησής τους και θα διευκολύνουν τη ζωή των χρηστών.
Εν κατακλείδι
Το ePR ενημερώνει το ePD καλύπτοντας μια πολύ μεγαλύτερη κατηγορία επικοινωνιών, η οποία περιλαμβάνει ανταλλαγή μηνυμάτων ιστού, Voice Over IP (VoIP), συνομιλία, καθώς και υπηρεσίες ηλεκτρονικού ταχυδρομείου μέσω διαδικτύου. Το ePR αναφέρεται σε αυτό ως επικοινωνίες Over-the-Top (OTT). Ως καθαρά πρακτικό θέμα, το WhatsApp, το Skype, το Slack και πολλές άλλες μικρότερες εταιρείες που προσφέρουν παρόμοιες υπηρεσίες επικοινωνίας θα εμπίπτουν στο ePR.
Το ePR ουσιαστικά προωθεί το ePD, αλλά με αυστηρότερους κανόνες για την ασφάλεια των ηλεκτρονικών επικοινωνιών – για παράδειγμα, που απαιτούν τη διαγραφή ή την ανωνυμία μηνυμάτων μετά τη λήψη τους.
Κατώτατη γραμμή: Οι πάροχοι επικοινωνιών και ανταλλαγής μηνυμάτων επόμενης γενιάς των ΗΠΑ, οι οποίοι εδώ και πολύ καιρό δραστηριοποιούνται σε μια ζώνη χωρίς κανονιστικές ρυθμίσεις, θα αντιμετωπίσουν σύντομα αυστηρότερους κανόνες προστασίας και προστασίας της ιδιωτικής ζωής και των κυρώσεων.
Οποιαδήποτε εταιρεία προσφέρει τις δικές της ενσωματωμένες συνομιλίες ή εξειδικευμένες υπηρεσίες ανταλλαγής μηνυμάτων στους πελάτες της θα παρέχει στην πράξη OTT. Έτσι, οι εταιρικές ομάδες πληροφορικής ενδέχεται σύντομα να βρεθούν υπό πρόσθετους κανόνες συμμόρφωσης εάν θέλουν να παρέχουν OTT στους πελάτες τους στην ΕΕ.
Ενώ το ePR θα απλοποιήσει με κάποιο τρόπο τους κανόνες cookie, θα εξακολουθήσει να έχει πολύπλοκες αλληλεπιδράσεις με τον GDPR. Οι κανόνες ePR δεν έχουν ολοκληρωθεί πλήρως, και έτσι θα σας ενημερώνουμε καθώς το ePR πλησιάζει στην τελική του μορφή.
Ένα τελευταίο σχόλιο που αφορά την σημερινή κατεύθυνση – Δεκέμβριος 2020:
Μεγάλα κοινωνικά δίκτυα ξεκίνησαν αλλαγές για να μπορέσουν να εναρμονιστούν με τις νέες πραγματικότητες. Μετά την καταβολή υψηλών προστίμων προς την Ε.Ε. και στα επι μέρους γραφεία πληροφοριών έρχονται να αντιληφθούν την σοβαρότητα των δεδομένων και της ιδιωτικής ζωής. Εξού και η στρατηγική της ΕΕ για την ψηφιακή αγορά γίνεται όλο και πιο συγκεκριμένη.
Η στρατηγική για την ενιαία ψηφιακή αγορά («Στρατηγική DSM») έχει ως στόχο την αύξηση της εμπιστοσύνης και της ασφάλειας των ψηφιακών υπηρεσιών. Η μεταρρύθμιση του πλαισίου προστασίας δεδομένων, και ιδίως η έγκριση του κανονισμού (ΕΕ) 2016/679, του γενικού κανονισμού για την προστασία δεδομένων («GDPR»), αποτέλεσε βασική δράση για το σκοπό αυτό.
Η Στρατηγική DSM ανακοίνωσε επίσης την αναθεώρηση της Οδηγίας 2002/58 / ΕΚ («Οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες») , προκειμένου να παρέχει υψηλό επίπεδο προστασίας της ιδιωτικής ζωής στους χρήστες υπηρεσιών ηλεκτρονικών επικοινωνιών και ίσους όρους ανταγωνισμού για όλους τους παράγοντες της αγοράς. Η παρούσα πρόταση εξετάζει την οδηγία για την ηλεκτρονική ιδιωτικότητα, προβλέποντας τους στόχους της Στρατηγικής DSM και διασφαλίζοντας τη συνέπεια με τον GDPR.