gdpr, data

Австрийското председателство е напът отново да върне в дневния ред приемането на регламента за ePrivacy, който довършва реформата в областта на личните данни, чиято основна част е GDPR.

Новият регламент е насочен към поверителността на комуникациите и ще замени т. нар директива за кукитата – Директива 2002/58/ЕО (Директивата за правото на неприкосновеност на личния живот и електронни комуникации). Освен за бисквитките и другите тракери, той носи важни промени, свързани с директния маркетинг, автоматизираните системи за обаждания и изясняване на правилата за B2B комуникация.

Новите правила бяха предложени през 2017 г. Основните новости в предложението на Комисията са:

  • Разширяване на обхвата на регламента, който вече ще се отнася не само до телекомите, но и до новите доставчици на електронни съобщителни услуги като WhatsApp, Facebook Messenger, Skype, Gmail, iMessage и Viber (наричани “over-the-top” providers). Уеб базираните пощи са изрично посочени в Съображение 11;
  • Еднакво ниво на защита за гражданите и бизнеса. Единни правила за бизнеса в целия ЕС;
  • Защитата обхваща както съдържанието на съобщението, така и метаданните – например, място и време на провеждане на разговор. Метаданните трябва  да бъдат заличени или анонимизирани, ако няма дадено съгласие. Изключение се допуска, ако те са от значение за таксуването на услугата;
  • Нови, по-прости правила за бисквитките. Новото правило ще бъде по-лесно за потребителите, като чрез настройките на браузърите ще могат да се приемат проследяващи бисквитки, пиксели и други онлайн идентификатори. Предложението определя, че не е нужно съгласие за функционални бисквитки, които не събират лични данни и служат за подобряване на работата на сайта (например, избрана големина на шрифта), както и за  кукитата, чрез които се броят посещенията на сайтовете.
  • Антиспам защита – Комисията предложи да се забранят нежеланите електронни съобщения под каквато и да е форма — например електронни писма, кратки текстови съобщения (SMS) и, по принцип, телефонни обаждания, ако потребителите не са дали съответното съгласие. Държавите членки могат да изберат вариант, който дава на потребителите право да възразят срещу получаването на гласови обаждания с цел пазарно проучване — например като регистрират номера си в забранен за обаждане списък (по подобие на списъка, който се поддържа от КЗП). При извършването на пазарни проучвания по телефона номерът на извършващия проучването трябва да бъде видим или да се използва специален префикс, който да показва, че става въпрос за пазарно проучване.

Голяма част от принципите, заложени в Регламента, съответстват на GDPR. Но са налице и съществени разлики – например, сред основанията за обработване отсъства легитимен интерес (това основание е допустимо само по отношение на специалните данни, обработвани от НПО и профсъюзи, при определени условия). Има различни мнения за това дали Хартата за основните права изключва обработка на данни (и метаданни) въз основа на легитимен интерес, при условие че са налице необходимите гаранции за защита на комуникациите.

Не всички приемат разширения подход. Например, Центърът за лидерство в информационната политика (CIPL) предупреди, че  по-широкият обхват ще има нежелани последици и ще подкопае GDPR .

Джовани Бутарели, председателят на Европейския надзорен орган за защита на личните данни, твърди, че без ePrivacy правната рамка няма да бъде завършена, тъй като GDPR се отнася до защитата на данните, а новият регламент – за конфиденциалността на електронните комуникации. Споровете около проекта са съпътствани от много неразбиране, казва той. Бутарели посочва, че много нови компании се възползват от недовършената правна уредба, за да развият бизнес, финансирана от реклама, чрез използването на тези специални видове лични данни без реално съгласие. Той посочва разликата между електронните съобщителни услуги и услугите на информационното общество. Докато традиционните електронни съобщителни услуги отдавна са подложени на ясни ограничения – включително за използването на метаданни (например, страните в един телефонен разговор) за целите на маргетинга и  „услуги с добавена стойност“ без съгласие на абоната, за новите фирми не е така. Фирмите от групата услуги на информационното общество нараснаха благодарение на вратичките в сегашната правна среда.

Той специално посочи проблема с метаданните, за които е необходимо съгласие.  Данните за местоположението разкриват всяко движение, показват къде живеем, работим, кои барове или политически събития посещаваме. Но GDPR като принципен документ не се прилага по отношение на комуникационните данни.

Първоначалните планове бяха регламентът да се приеме преди влизането в сила на GDPR.* Сега обаче не е сигурно дали предложенията изобщо ще минат преди европейските избори през май 2019 г. Докато неправителствени организации и активисти притискат комисията, Съвета на ЕС и парламента да придвижат закона, много страни имат резерви. Известна надежда за постигане на компромис се появи в края на октомври, когато австрийското председателство представи нови предложения. Въпреки това не е сигурно, че текстът ще бъде включен в следващото заседание на Комитета на постоянните представители, тъй като страните имат много разногласия по това как еPrivacy ще се отрази на онлайн бизнеса. Един от най-спорните е за настройките за поверителност на браузърите (чл. 10).

Австрийското председателство предложи през лятото този член да отпадне, но някои от страните-членки предпочитат той да бъде преработен. Заради това част от най-активните НПО обвиниха Австрия, че защитава интересите на технологичните гиганти.

Друга спорна тема се отнася за условията за съгласие на потребителя (cookie или tracking wall**). Австрия предлага в Съображение 21 да се заложи нов подход – когато един сайт се финансира изцяло или предимно от реклами, той да не се нуждае от съгласие, стига потребителят да е уведомен за целта на бисквитките и ги е приел.

Директният маркетинг (чл. 16) е друга област на загриженост, макар при последните преговори да остана на заден план. През септември 73 сдружения и организации от ЕС, предимно свързани с маркетинга, публикуваха отворено писмо, в което настояват за преразглеждане на тези правила. Те поставят няколко въпроса. Първият се отнася до определението на директния маркетинг и на практика се обявява за изключване на таргетираната реклама. На второ място, те настояват за по-широко разбиране на критерия за ангажираност на потребителите, към които е насочено съобщението – тоест директният маркетинг да не се ограничава до лица, които вече са купили стока или услуга.  Друго настояване е регламентът да не изисква съгласие за B2B маркетингови съобщения, изпратени до крайните потребители, които са юридически лица или лица в професионално качество.

* Регламентът е специален закон спрямо GDPR, по въпроси, отнасящи се до електронните съобщения, които се определят като лични данни. След влизянето в сила на GDPR отпаднаха някои разпоредби, например, задълженията за сигурност по член 4 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации.

** Става дума за това, че много сайтове не допускат потребителите до съдържанието, ако не се съгласят с използването на бисквитки (или с начина, по който обработват данните, в по-широк смисъл). По отношение на бисквитките настоящата директива даде свобода на страните да решават, така че в някои е допустимо издигането на подобна „стена“ при липса на съгласие.