ePrivacy Rendelet: indul az Európai Parlamenti tárgyalás

Szerző: dr. Horváth Katalin

Február 10-én az EU portugál soros elnöksége megbízást kapott az Európai Tanácstól arra, hogy tárgyalásokat kezdjen az Európai Parlamenttel az elektronikus hírközlés szabályozására fókuszáló és a GDPR “kis testvérének” tekinthető ePrivacy Rendelet végleges verziójával kapcsolatban.

Bár az ePrivacy Rendelet főbb rendelkezései az első tervezetek óta nem változtak, számos érdemi módosítás is történt a részletszabályokat illetően. A Tanács által elfogadott végső verzió a következő fő szabályokat tartalmazza:

Az elektronikus hírközlés tartalmának és metaadatainak védelme

A nyilvánosan elérhető szolgáltatások és hálózatok használatával megvalósuló elektronikus hírközlés tartalmának kezelése kizárólag valamennyi, a kommunikációval érintett végfelhasználó, azaz a küldő és a kommunikáció többi résztvevője beleegyezésével és kizárólag a szolgáltatás nyújtása céljából engedélyezett. A szolgáltató köteles adatvédelmi hatásvizsgálatot lefolytatni.

Az elektronikus hírközléshez kapcsolódó metaadatok, mint például a helyadatok, a kommunikáció időpontja és címzettje kezelése a végfelhasználók jóváhagyásával, vagy jóváhagyás hiányában a Rendeletben meghatározott célból engedélyezett, pl. hálózatkezelés, hálózat-optimalizálás, szerződéses kötelezettség teljesítése, számlázás, kifizetés-számítás, csalás ellenőrzés, visszaélésszerű használat megakadályozása, valamint tudományos vagy történelmi kutatás céljából. A Tanács sajtóközleményében hangsúlyozta, hogy jóváhagyás alapján a metaadatok felhasználhatók a közlekedés megjelenítése céljából, ezáltal segítve az állami hatóságokat és közlekedési szolgáltatókat abban, hogy ott kerüljön sor az infrastruktúra fejlesztésére, ahol arra leginkább szükség van. A metaadatok felhasználására a felhasználók létfontosságú érdekében is sor kerülhet, amely a COVID-19 világjárvány miatt különösen fontos. Ezen adatok elemzése ugyanis segíthet a járványok és természeti csapások alakulásának megfigyelésében.

Információvédelem a felhasználók végeszközei tekintetében

A felhasználók olyan eszközei, ideértve szoftver- és hardvereszközöket, mint a tabletek vagy mobiltelefonok, amelyek az internethez előfizetésen keresztül kapcsolódnak (“végeszközök”) számos olyan adatot hordoznak, amelyek a felhasználó beleegyezésével felhasználhatók (pl. telefonszámok, kontaktlisták, fényképek, helyadatok). Hozzájárulás nélkül az említett adatokat csak a Rendelet tervezetében meghatározott célból lehet felhasználni, így többek között elektronikus hírközlési szolgáltatás nyújtása, hallgatottság mérés, szolgáltatás- és eszközbiztonsági intézkedések, csalás-megelőzés, speciális feltételek fennállása esetén biztonsági célú szoftverfrissítések eszközölése vagy vészhívások esetén az eszköz helyének meghatározása céljából.

A Tárgyak Internete (IoT)

Az IoT szolgáltatások körében, amelyek az összekapcsolt eszközökre irányulnak, mint pl. összekapcsolt termosztátokra, összekapcsolt gyógyászati segédeszközökre, okosmérőeszközökre, valamint automatizált és összekapcsolt járművekre, az ilyen eszközök adatfeldolgozási és tárolási kapacitásainak felhasználása, valamint a rajtuk tárolt adatokhoz való hozzáférés nem igényel hozzzájárulásat, amennyiben az a végfelhasználó által igényelt szolgáltatás nyújtásához szükséges. Így például, adatoknak egy okosmérőeszközön való tárolása vagy a rajta található adatokhoz való hozzáférés szükséges lehet az igényelt energiaszolgáltatás céljából, amennyiben a tárolt, illetve hozzáférhető adatok az energiahálózat stabilitásához és biztonságához vagy a végfelhasználó energiafogyasztása szerinti számlázáshoz szükségesek. Ugyanez vonatkozik adatok automatizált és összekapcsolt járművekben való tárolására, kezelésére, valamint az adatokhoz való hozzáférésre, ha ezekre biztonsági célú szoftverfrissítés miatt van szükség.

A cookie-használatra vonatkozó hozzájárulás szabályai

A rendelet a cookie-kat olyan szoftverként kezeli, amelyek adatokat gyűjtenek a végeszközökről, tehát az ilyen jellegű adatok kezelésére vonatkozó rendelkezések a cookie-kra és más hasonló keresőeszközökre is alkalmazandók, amely azt jelenti, hogy a szolgáltatótól köteles beszerezni a végfelhasználók hozzájárulását a cookie-k vagy más hasonló azonosító tárolásához. A végfelhasználónak valós választási lehetőséggel kell rendelkeznie a szolgáltatás különböző cookie-kkal, illetve cookie-k nélküli használata között.

A cookie-k használatába való beleegyezés aláásásának elkerülése érdekében a végfelhasználók a cookie-k egyes típusai szerint lesznek jogosultak megadni beleegyezésüket, valamint a böngésző beállításaikban is adhatnak kifejezett hozzájárulást egyes szolgáltató(k) számára. A szoftverszolgáltatókat ezzel arra kívánják ösztönözni, hogy a szoftverükben olyan beállítási lehetőségeket alakítsanak ki, amely a végfelhasználók számára lehetővé teszi, hogy felhasználóbarát és átlátható módon, könnyedén kezelhessék hozzájárulásaikat az adatok végeszközeiken való tárolásához és az azokhoz való hozzáféréshez, a hozzájárulás és a hozzájárulás visszavonása lehetőségének tetszőleges időben való biztosításával. A végfelhasználók önrendelkezésének biztosítása érdekében a végfelhasználó kifejezett hozzájárulása mindig előnyt kell, hogy élvezzen a szoftverbeállításokhoz képest.

Az olyan cookie-k, mint a session cookie-k, a hitelesítő cookie-k, valamint amelyek megjegyzik a végfelhasználót, szükségesnek tekintendők a felhasználó által igényelt szolgáltatás nyújtása céljából és a felhasználó hozzájárulása nélkül is alkalmazhatók (tárolhatók).

Nem kívánt/közvetlen marketing kommunikáció küldése a végfelhasználók számára

A közvetlen, marketing célú üzenetek feladója, függetlenül attól, hogy magán- vagy jogi személy, nem jogosult közvetlen marketing célú üzenetek magánszemélyek részére való küldése céljából elektronikus hírközlési szolgáltatás felhasználására, kivéve, ha ahhoz a címzett magánszemély előzetesen hozzájárult. Ez azt jelenti, hogy főszabály szerint a hozzájárulás meg nem adottnak tekintendő (opt-in). Ez a rendelkezés mindenféle, emailben, push-üzenetben, alkalmazáson belüli üzenet, SMS, stb. formában megvalósuló marketing célú kommunikációra vonatkozik.

Azonban, ha egy magánszemély terméket vagy szolgáltatást vásárolt egy szolgáltatótól, a szolgáltató jogosult ezen személy elérhetőségi adatainak a saját hasonló termékeire vagy szolgáltatásaira vonatkozóan közvetlen marketing célú üzenetek küldése céljából történtő felhasználására. A végfelhasználók jogosultak az elérhetőségi adataik ilyen módon történő felhasználása ellen tiltakozni (opt-out). A gyakorlatban felmerülhet a kérdés, hogy mi számít “hasonlónak”: például hasonlónak számít-e egy mobiltelefon egy notebook-hoz viszonyítva?

A közvetlen marketing célú hívások akkor engedélyezettek, ha egy specifikus hívásazonosító vagy előjel kerül társításra a híváshoz. Magánszemélyek jogosultak a hangalapú hívások ellen tiltakozni, amely esetben a szolgáltató nem jogosult a magánszemélyek hívására.

Az ePrivacy Rendelet a vonalazonosításra és nyilvánosan hozzáférhető, a végfelhasználókat tartalmazó telefonkönyvekre vonatkozóan is tartalmaz rendelkezéseket.

A következő lépések

A rendelet az EU Hivatalos Lapjában való kihirdetését követő 20 nap elteltével lép hatályba és 2 évvel később válik alkalmazandóvá.

Az Európai Tanács és az Európai Parlament a következő pár hónapban tárgyalja a végső normaszöveget.