Zoltán Kozma
2016. áprilisában az Európai Bizottság nyilvános konzultációt kezdeményezett az elektronikus hírközlési adatvédelmi irányelv, vagy más néven az ún. ePrivacy Irányelv felülvizsgálatáról (EURÓPAI PARLAMENT ÉS A TANÁCS 2002/58/EK IRÁNYELVE az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről). Az ePrivacy Irányelv felülvizsgálata a Bizottság által elfogadott digitális egységes piaci stratégia egyik kiemelten célzott intézkedései közé tartozik. Bár az Európai Bizottság hivatalosan még nem tette közzé, a napokban kiszivárgott az ePrivacy Irányelv helyébe lépő új ePrivacy Rendelet tervezete. Ebből úgy tűnik, hogy a szabályozás – hasonlóan a már elfogadott általános adatvédelmi rendelethez – rendeleti formát fog ölteni, azaz a tagállamokra nézve közvetlenül alkalmazandó lesz, kevesebb teret hagyva arra, hogy az átültetés révén tagállamonként eltérő szabályok jöjjenek létre.
Az ePrivacy Rendelet tervezete számos jelentős újdonságot tartalmaz, a címzettek köre pedig jóval szélesebb mint a korábbi szabályozásé volt. Ennek oka, hogy az ePrivacy Irányelv utolsó, 2009-es módosítása óta az elektronikus hírközlési szektor jelentős fejlődésen ment keresztül, mind technológiai, mind gazdasági szempontból.
A fogyasztók és a vállalkozások is egyre inkább támaszkodnak az új internet alapú szolgáltatásokra, amelyek lehetővé teszik a személyek közötti kommunikációt a korábbi telefonos és egyéb tradicionális hírközlési szolgáltatások helyett. Amennyiben a jelenlegi formában elfogadják, az ePricacy Rendelet jelentős újdonsága lesz, hogy immár az internetes applikációkon keresztül működtetett, ún. VOIP (Voice over Internet Protocol) vagy over-the-top hírközlési szolgáltatásokat nyújtó szolgáltatókra is ki fog terjedni a hatálya. Ilyenek többek között a Skype, Gmail, WhatsApp, Facebook Messenger, Viber, Telegram, iMessage és a Facetime. Ezen alkalmazásokra jelenleg nem terjed ki az elektronikus hírközlési szabályozás, ideértve a jelenleg hatályos ePrivacy Irányelvet is.
A Rendelet ki fog terjedni továbbá a machine-to-machine (M2M) alkalmazásokra is, azaz az olyan adatáramlásokra, amelyek gépek között zajlanak (az ún. internet of things), így pl. a connected cars, más néven okos autók, vagy pl. az okos mérők által továbbított adatokra is. Ugyanígy, a Rendelettervezet szabályokat tartalmaz a nyilvánosan elérhető wifi internet hozzáférési pontokra (hotspotokra) is.
A Rendelettervezet részletes szabályokat tartalmaz a felhasználói végberendezéseken elhelyezett információk, valamint a végberendezések “feldolgozási, vagy számítási kapacitásainak” használata tekintetében is (tehát nem csak a végberendezésen elhelyezett, tárolt információk esnek majd az új szabályozás hatálya alá). Ez tehát az eddig is ismert, hétköznapi nevén “cookie” szabályozás. Ebben a tekintetben azt hangsúlyoznánk, hogy az itthoni sajtóban számos téves információ jelent meg a jelenlegi cookie szabályozásról. A magyar jogszabályok ugyanis kizárólag a hírközlési tevékenységet végző szolgáltatókra nézve írnak elő kötelezettségeket ezzel kapcsolatosan, ezért jelenleg kérdéses tehát, hogy kinek és hogyan kell megfelelni azon szabálynak, hogy a cookie-k alkalmazásához hozzájárulásra van szükség, illetve hogyan lehet ezen hozzájárulást beszerezni. A Rendelettervezet a cookie-k használatát az új és már elfogadott Általános Adatvédelmi Rendeletben szabályozott “hozzájáruláshoz” köti. Ezen szabály alól kivételeket is megállapít a tervezet, pl. ha nyelvi preferenciákat állítunk be egy weboldalon, vagy több oldalas kérdőívet töltünk ki, akkor az ezen preferenciák, adatok rövid időre történő “megjegyzésére” használt cookie-k mentesek a hozzájárulás követelménye alól. A harmadik féltől származó cookie-kat azonban a felhasználói végberendezésen alapértelmezetten ki kell zárni.
A jövőben valamennyi szolgáltatónak törölnie kell a metaadatokat, amint a kommunikáció lezajlott, bizonyos kivételekkel (pl. számlázási, kiberbiztonsági célból, vagy hozzájárulás alapján az adatok megőrizhetőek).
A Rendelettervezet szerint kéretlen elektronikus kommunikációt közvetlen üzletszerzés céljából (spam) természetes személyek és cégek felé sem lehet végezni a jövőben (ideértve a telefonos, SMS, MMS, azonnali üzenet, Bluetooth, email stb. útján történő megkereséseket is), kivéve ha az érintettek előzetes hozzájárulását ehhez beszerezték. Könnyítés azonban, hogy amennyiben a szolgáltató email útján hasonló termékről, vagy szolgáltatásról kíván majd reklámot küldeni, mint amelyet ügyfelének korábban már eladott, vagy nyújtott, úgy ehhez külön hozzájárulásra nem lesz szükség. Fontos azonban hangsúlyozni, hogy ebben az esetben megfelelő lehetőséget kell adni az érintettnek, hogy erről leiratkozzon (opt-out).
Hasonlóan az Általános Adatvédelmi Rendelethez, az ePrivacy Rendelet szabályainak megsértése esetén az érintett vállalkozás éves árbevételének 4%-áig terjedő bírságot lehet majd kiszabni.
A Rendelettervezet véglegesítése 2017. januárjában várható, majd ezt követően az Európai Tanács és az Európai Parlament véleményezi azt. Ez hónapokat, vagy akár éveket is igénybe vehet. Ha a végleges szöveget elfogadják, 6 hónapos átmeneti időszak lesz arra, hogy az érintettek felkészüljenek a Rendelettervezet szabályainak történő megfelelésre.