ePrivacy Rendelet: indul az Európai Parlamenti tárgyalás

Szerző: dr. Horváth Katalin

Február 10-én az EU portugál soros elnöksége megbízást kapott az Európai Tanácstól arra, hogy tárgyalásokat kezdjen az Európai Parlamenttel az elektronikus hírközlés szabályozására fókuszáló és a GDPR “kis testvérének” tekinthető ePrivacy Rendelet végleges verziójával kapcsolatban.

Bár az ePrivacy Rendelet főbb rendelkezései az első tervezetek óta nem változtak, számos érdemi módosítás is történt a részletszabályokat illetően. A Tanács által elfogadott végső verzió a következő fő szabályokat tartalmazza:

Az elektronikus hírközlés tartalmának és metaadatainak védelme

A nyilvánosan elérhető szolgáltatások és hálózatok használatával megvalósuló elektronikus hírközlés tartalmának kezelése kizárólag valamennyi, a kommunikációval érintett végfelhasználó, azaz a küldő és a kommunikáció többi résztvevője beleegyezésével és kizárólag a szolgáltatás nyújtása céljából engedélyezett. A szolgáltató köteles adatvédelmi hatásvizsgálatot lefolytatni.

Az elektronikus hírközléshez kapcsolódó metaadatok, mint például a helyadatok, a kommunikáció időpontja és címzettje kezelése a végfelhasználók jóváhagyásával, vagy jóváhagyás hiányában a Rendeletben meghatározott célból engedélyezett, pl. hálózatkezelés, hálózat-optimalizálás, szerződéses kötelezettség teljesítése, számlázás, kifizetés-számítás, csalás ellenőrzés, visszaélésszerű használat megakadályozása, valamint tudományos vagy történelmi kutatás céljából. A Tanács sajtóközleményében hangsúlyozta, hogy jóváhagyás alapján a metaadatok felhasználhatók a közlekedés megjelenítése céljából, ezáltal segítve az állami hatóságokat és közlekedési szolgáltatókat abban, hogy ott kerüljön sor az infrastruktúra fejlesztésére, ahol arra leginkább szükség van. A metaadatok felhasználására a felhasználók létfontosságú érdekében is sor kerülhet, amely a COVID-19 világjárvány miatt különösen fontos. Ezen adatok elemzése ugyanis segíthet a járványok és természeti csapások alakulásának megfigyelésében.

Információvédelem a felhasználók végeszközei tekintetében

A felhasználók olyan eszközei, ideértve szoftver- és hardvereszközöket, mint a tabletek vagy mobiltelefonok, amelyek az internethez előfizetésen keresztül kapcsolódnak (“végeszközök”) számos olyan adatot hordoznak, amelyek a felhasználó beleegyezésével felhasználhatók (pl. telefonszámok, kontaktlisták, fényképek, helyadatok). Hozzájárulás nélkül az említett adatokat csak a Rendelet tervezetében meghatározott célból lehet felhasználni, így többek között elektronikus hírközlési szolgáltatás nyújtása, hallgatottság mérés, szolgáltatás- és eszközbiztonsági intézkedések, csalás-megelőzés, speciális feltételek fennállása esetén biztonsági célú szoftverfrissítések eszközölése vagy vészhívások esetén az eszköz helyének meghatározása céljából.

A Tárgyak Internete (IoT)

Az IoT szolgáltatások körében, amelyek az összekapcsolt eszközökre irányulnak, mint pl. összekapcsolt termosztátokra, összekapcsolt gyógyászati segédeszközökre, okosmérőeszközökre, valamint automatizált és összekapcsolt járművekre, az ilyen eszközök adatfeldolgozási és tárolási kapacitásainak felhasználása, valamint a rajtuk tárolt adatokhoz való hozzáférés nem igényel hozzzájárulásat, amennyiben az a végfelhasználó által igényelt szolgáltatás nyújtásához szükséges. Így például, adatoknak egy okosmérőeszközön való tárolása vagy a rajta található adatokhoz való hozzáférés szükséges lehet az igényelt energiaszolgáltatás céljából, amennyiben a tárolt, illetve hozzáférhető adatok az energiahálózat stabilitásához és biztonságához vagy a végfelhasználó energiafogyasztása szerinti számlázáshoz szükségesek. Ugyanez vonatkozik adatok automatizált és összekapcsolt járművekben való tárolására, kezelésére, valamint az adatokhoz való hozzáférésre, ha ezekre biztonsági célú szoftverfrissítés miatt van szükség.

A cookie-használatra vonatkozó hozzájárulás szabályai

A rendelet a cookie-kat olyan szoftverként kezeli, amelyek adatokat gyűjtenek a végeszközökről, tehát az ilyen jellegű adatok kezelésére vonatkozó rendelkezések a cookie-kra és más hasonló keresőeszközökre is alkalmazandók, amely azt jelenti, hogy a szolgáltatótól köteles beszerezni a végfelhasználók hozzájárulását a cookie-k vagy más hasonló azonosító tárolásához. A végfelhasználónak valós választási lehetőséggel kell rendelkeznie a szolgáltatás különböző cookie-kkal, illetve cookie-k nélküli használata között.

A cookie-k használatába való beleegyezés aláásásának elkerülése érdekében a végfelhasználók a cookie-k egyes típusai szerint lesznek jogosultak megadni beleegyezésüket, valamint a böngésző beállításaikban is adhatnak kifejezett hozzájárulást egyes szolgáltató(k) számára. A szoftverszolgáltatókat ezzel arra kívánják ösztönözni, hogy a szoftverükben olyan beállítási lehetőségeket alakítsanak ki, amely a végfelhasználók számára lehetővé teszi, hogy felhasználóbarát és átlátható módon, könnyedén kezelhessék hozzájárulásaikat az adatok végeszközeiken való tárolásához és az azokhoz való hozzáféréshez, a hozzájárulás és a hozzájárulás visszavonása lehetőségének tetszőleges időben való biztosításával. A végfelhasználók önrendelkezésének biztosítása érdekében a végfelhasználó kifejezett hozzájárulása mindig előnyt kell, hogy élvezzen a szoftverbeállításokhoz képest.

Az olyan cookie-k, mint a session cookie-k, a hitelesítő cookie-k, valamint amelyek megjegyzik a végfelhasználót, szükségesnek tekintendők a felhasználó által igényelt szolgáltatás nyújtása céljából és a felhasználó hozzájárulása nélkül is alkalmazhatók (tárolhatók).

Nem kívánt/közvetlen marketing kommunikáció küldése a végfelhasználók számára

A közvetlen, marketing célú üzenetek feladója, függetlenül attól, hogy magán- vagy jogi személy, nem jogosult közvetlen marketing célú üzenetek magánszemélyek részére való küldése céljából elektronikus hírközlési szolgáltatás felhasználására, kivéve, ha ahhoz a címzett magánszemély előzetesen hozzájárult. Ez azt jelenti, hogy főszabály szerint a hozzájárulás meg nem adottnak tekintendő (opt-in). Ez a rendelkezés mindenféle, emailben, push-üzenetben, alkalmazáson belüli üzenet, SMS, stb. formában megvalósuló marketing célú kommunikációra vonatkozik.

Azonban, ha egy magánszemély terméket vagy szolgáltatást vásárolt egy szolgáltatótól, a szolgáltató jogosult ezen személy elérhetőségi adatainak a saját hasonló termékeire vagy szolgáltatásaira vonatkozóan közvetlen marketing célú üzenetek küldése céljából történtő felhasználására. A végfelhasználók jogosultak az elérhetőségi adataik ilyen módon történő felhasználása ellen tiltakozni (opt-out). A gyakorlatban felmerülhet a kérdés, hogy mi számít “hasonlónak”: például hasonlónak számít-e egy mobiltelefon egy notebook-hoz viszonyítva?

A közvetlen marketing célú hívások akkor engedélyezettek, ha egy specifikus hívásazonosító vagy előjel kerül társításra a híváshoz. Magánszemélyek jogosultak a hangalapú hívások ellen tiltakozni, amely esetben a szolgáltató nem jogosult a magánszemélyek hívására.

Az ePrivacy Rendelet a vonalazonosításra és nyilvánosan hozzáférhető, a végfelhasználókat tartalmazó telefonkönyvekre vonatkozóan is tartalmaz rendelkezéseket.

A következő lépések

A rendelet az EU Hivatalos Lapjában való kihirdetését követő 20 nap elteltével lép hatályba és 2 évvel később válik alkalmazandóvá.

Az Európai Tanács és az Európai Parlament a következő pár hónapban tárgyalja a végső normaszöveget.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.