Az adatvédelem újabb fejezete – az e-Privacy rendelet

Kezdjük a legfontosabb kérdésekkel! Röviden…

Kikre vonatkozik? Mindenkire, aki az EU területén adatokkal összefüggő szolgáltatást kínál

Melyek a legfőbb újdonságok?A metaadatok különleges személyes adatokká válnak. Egyszerűsödik a sütik kezelése. Az IoT hálózatok generálta adatok is védettek lesznek.

Mikor lép életbe a e-Privacy Rendelet? Nincs meg a pontos határidő, valószínű, hogy 2020-ban fogadják el, plusz időt biztosítva a felkészülésre.

Milyen bírságot ír elő? A GDPR-ral megegyező bírságot ír elő a rendelet, ami 20 millió euró vagy a vállalat éves bevételének 4 százaléka lehet.

A főbb kérdések, hosszabban I. – Miért most?

Eredetileg a GDPR szabállyal (vagyis, ahogyan azt már mindannyian jól tudjuk, a General Data Protection Regulation-nal) együtt, illetve annak szerves részeként szerették volna EU honatyái elfogadni az e-Privacy rendeletet, de kifutottak az időből. Az első javaslat csupán 2017 januárjában született meg, így 2018 májusáig nem maradt elég idő a több körös egyeztetésekre. 
A rendelet – amely nem igényel tagállami elfogadást, csupán a helyi szabályokkal való kiegészítésre van lehetőség – a 2002-ben elfogadott, majd 2009-ben frissített ePrivacy Direktívát cserélné le (2002/58/EC direktíva, illetve a 2009-es frissítés 2009/136 direktíva). Ezt az előzmény direktívát „cookie-” vagy „süti törvénynek” becézték az internetes szakértők és a marketing szakemberek. A szabályozás többek között előírta, hogy a felhasználók webes viselkedését nyomon követő sütik vagy cookie-k elhelyezéséről tájékoztatni kell a felhasználókat, akik ezzel bele is egyezhetnek vagy elutasíthatják azok használatát.

Ezzel a szabályozással az volt a gond, hogy lassan, különböző nemzeti eltérésekkel lett belőle helyi érvényű törvény, eléggé következetlen módon tartatták be a különböző államok. Ezt a helyzetet hivatott megszüntetni az új rendelet, mely az e-Privacy nevet kapta.

A főbb kérdések, hosszabban II. – A legfontosabb újdonságok

Az új rendelet nem csak a sütikről szól, hanem általában az elektronikus kommunikációval kapcsolatos adatvédelemről, mely egy sor adatot személyesnek, tehát védendőnek nyilvánít. 

Az elektronikus kommunikáció alatt a webes kommunikációt érti a rendelet, vagyis hatálya alá tartoznak az internetes alkalmazások, legyenek azok üzenetküldők vagy útvonaltervezők. A telefonos kommunikáció szemszögéből a hívásokra, illetve a hívás alatt keletkező naplóadatokra vonatkozik, de kiterjed az SMS-re is. Az érintett cégek a direkt marketing vállalatok, távközlési szolgáltatók, mobil alkalmazás fejlesztői online hirdetési hálózatok. Ami igazán érdekes, az IoT hálózatot üzemeltető vállalatok is ide tartoznak, vagyis a dolgok internetje által generált adatokat is védeni kell.

Az e-Privacy rendelet tervezetének értelmében a távközlési adatok mellett a metaadatokat is védeni kell, azokat csak a hozzájárulás megszerzése után lehet felhasználni elemzésekre.

Röviden: a metaadat is személyes adatnak számít, még akkor is, ha közvetlenül belőle semmilyen információt nem tudunk meg az adat tulajdonosáról. Metaadatnak számít például, hogy kit hívok fel telefonon, mennyi ideig beszélek, hol indítottam a hívást. A böngészéssel kapcsolatos metaadatok (milyen weboldalakat látogatok meg, milyen időpontban, hol tartózkodom böngészéskor) is személyes adatoknak minősülnek és védettekké válnak.

A személyes adatok körének széles körű kiterjesztése komoly kihívást jelent olyan cégeknél, ahol big data módszerekkel szeretnék elemezni a felhasználók, ügyfelek szokásait – ahogy például a cikkünk elején említett példában a Waze teszi. A tulajdonos személyes adataira nincs szükség a forgalmi helyzet elemzésére, de az autó tartózkodási helye is személyes adattá válik, így hozzájárulással lehet csak feldolgozni. Ha nincs hozzájárulás, a metaadatokat álnevesíteni kell vagy törölni, egy kivétellel: ha azok számlázáshoz szükségesek.

(Folytajuk)

Vass Enikő