Ο GDPR τέθηκε σε ισχύ, τι συμβαίνει όμως με τις ηλεκτρονικές επικοινωνίες και τον – εξαιρετικά – σημαντικό ePrivacy;
Η 25η Μαΐου πέρασε και ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως GDPR, έχει πλέον τεθεί σε εφαρμογή.
Ο GDPR, ωστόσο, δεν είναι το μοναδικό νομοθέτημα που θα επηρεάσει την επεξεργασία προσωπικών δεδομένων τα επόμενα χρόνια.
Ένας άλλος Κανονισμός, ο Κανονισμός ePrivacy, αποτελεί βασικό κομμάτι της μεταρρύθμισης του πλαισίου της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων και θα συνδιαμορφώσει καταλυτικά το online περιβάλλον μαζί με τον GDPR.
Ο Κανονισμός ePrivacy αποτελεί ειδικό νόμο (lex specialis) σε σχέση με τον GDPR, συνεπώς θα εξειδικεύσει, θα συμπληρώσει – και πιθανώς σε ορισμένα σημεία θα υπερισχύσει – του GDPR σε ό,τι αφορά δεδομένα ηλεκτρονικών επικοινωνιών που ανταποκρίνονται στον ορισμό των δεδομένων προσωπικού χαρακτήρα.
Στο πεδίο εφαρμογής του ePrivacy εντάσσονται ορισμένες δραστηριότητες με εξαιρετικά αυξημένο ενδιαφέρον, όπως η απευθείας εμπορική προώθηση με email, τα cookies και τα σχετικά online εργαλεία (π.χ. web beacons), καθώς και τις Over-the-Top υπηρεσίες επικοινωνιών, όπως το WhatsApp, το Facebook Messenger και το Skype.
Διαβάστε σχετικά: Τι ισχύει για τα email που ζητούν εκ νέου τη συγκατάθεσή σας για εμπορική επικοινωνία;
Ενημέρωση: Εξετάζοντας το τελευταίο σχέδιο για τον Κανονισμό για την προστασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών (ePrivacy)
Η Βουλγαρική προεδρία του Συμβουλίου της Ευρωπαϊκής Ένωσης δημοσίευσε πριν λίγες εβδομάδες ένα νέο σχέδιο του Κανονισμού για την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών (ePrivacy).
Το σχέδιο κειμένου έρχεται λιγότερο από δύο εβδομάδες πριν από δύο συνεδριάσεις επιτροπών. Στις 16 Μαΐου, συγκλήθηκε η ομάδα εργασίας της επιτροπής τηλεπικοινωνιών (WP TELE), ενώ την επόμενη μέρα, 17 Μαΐου, η WP TELE συναντήθηκε με την επιτροπή προστασίας δεδομένων, γνωστή ως DAPIX. Ειδικότερα, η WP TELE ” επικεντρώθηκε σε ολόκληρη την πρόταση εκτός από το άρθρο 2 (2) και το άρθρο 11.” Η κοινή συνάντηση μεταξύ WP TELE και DAPIX ” επικεντρώθηκε στις αλλαγές στο άρθρο 2 (2) και στο άρθρο 11″, αναφέρει το σχέδιο εγγράφου.
Από την στιγμή που ο IAPP (διεθνής ένωση επαγγελματιών προστασίας της ιδιωτικής ζωής) ανέλυσε τα πέντε πιο αμφισβητούμενα θέματα του ePrivacy τον Ιανουάριο του 2018, πολλά συνέβησαν με τον προτεινόμενο κανονισμό. Πραγματοποιήθηκαν πέντε συνεδριάσεις του συμβουλίου της ομάδας εργασίας της επιτροπής τηλεπικοινωνιών (WP TELE) από τον Ιανουάριο, ενώ έχουν λάβει χώρα δύο ακόμη μέσα σε αυτόν το μήνα (16 και 17 Μαΐου). Συνολικά, η βουλγαρική προεδρία έχει δημοσιεύσει αρκετά έγγραφα προς συζήτηση και αναθεωρημένα κείμενα (ένα τον Μάρτιο, ένα τον Απρίλιο και ένα τον Μάιο), ενσωματώνοντας εκατοντάδες, αν όχι χιλιάδες, αλλαγές στην πρόταση της Επιτροπής του Ιανουαρίου του 2017.
Η έκδοση του κανονισμού ePrivacy αποτέλεσε επιτακτική ανάγκη μετά το σκάνδαλο Facebook-Cambridge Analytica. Στην προσπάθειά τους να υποστηρίξουν τον ePrivacy, ορισμένοι ευρωβουλευτές εξέφρασαν ακόμη την ανησυχία τους ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ (GDPR) δεν θα ήταν αρκετός για να αποτρέψει αυτή την “κακή” χρήση των προσωπικών δεδομένων.
Έτσι, παρά τη βραδεία πρόοδο μέχρι σήμερα, η συζήτηση για τον ePrivacy αναζωπυρώθηκε τους τελευταίους μήνες.
Ποιες είναι οι τροποποιήσεις της Βουλγαρίας / του Συμβουλίου;
Μαζί με τα έγγραφα προς συζήτηση και τα αναθεωρημένα κείμενα που εξέδωσε η Προεδρία, η WP TELE πραγματοποίησε συναντήσεις – δύο φορές τον Ιανουάριο, δύο φορές τον Μάρτιο, μια φορά τον Απρίλιο, και μία στις 16 Μαΐου – προκειμένου να συζητηθούν οι προτεινόμενες τροποποιήσεις. Τα ζητήματα που συζητήθηκαν σε αυτές τις συναντήσεις περιλάμβαναν το πεδίο εφαρμογής του ePrivacy, τη σχέση του με τον GDPR και την ευθυγράμμιση με τον Ευρωπαϊκό Κώδικα Ηλεκτρονικών Επικοινωνιών (EECC), την επικοινωνία «μηχανής με μηχανή», την αποθήκευση και διαγραφή δεδομένων ηλεκτρονικών επικοινωνιών, την προστασία των πληροφοριών που αποθηκεύονται στον τερματικό εξοπλισμό των τελικών χρηστών, και των ρυθμίσεων απορρήτου.
Άλλα θέματα που συζητήθηκαν είναι η παρουσίαση και ο περιορισμός της κλήσης και της αναγνώρισης της συνδεδεμένης γραμμής, με εξαιρέσεις για την παροχή πρόσβασης σε υπηρεσίες έκτακτης ανάγκης, ο αποκλεισμός εισερχομένων κλήσεων, των καταλόγων που διατίθενται στο κοινό, το άμεσο μάρκετινγκ και η επιτρεπόμενη επεξεργασία μεταδεδομένων. Οι πρόσφατες νομοθετικές συζητήσεις και τροποποιήσεις στο κείμενο του ePrivacy σχετικά με πολλά από αυτά τα ζητήματα περιγράφονται παρακάτω.
Λήψη συγκατάθεσης για cookies
Η λήψη της συγκατάθεσης για τη χρήση των cookies εξακολουθεί να αποτελεί αντικείμενο διαμάχης στον ePrivacy, ο οποίος αναμένεται να επιφέρει αλλαγές που θα καταστήσουν σαφέστερους και απλούστερους τους κανόνες σχετικά με τα cookies και θα καταστήσουν τη συγκατάθεση «πιο φιλική προς το χρήστη και εξορθολογισμένη». Για παράδειγμα, η αιτιολογική σκέψη 20 τροποποιήθηκε τον Απρίλιο για να ορίζει: “Η συγκατάθεση του τελικού χρήστη για την αποθήκευση ενός cookie ή παρόμοιου αναγνωριστικού, μπορεί επίσης να συνεπάγεται συναίνεση για τις επόμενες αναγνώσεις του cookie στο πλαίσιο μιας επόμενης επίσκεψης στον ίδιο ιστότοπο που επισκέφθηκε αρχικά ο τελικός χρήστης”.
Στις τελευταίες τροπολογίες της προεδρίας τον Μάιο, προστέθηκε επίσης μια διευκρίνιση στην αιτιολογική σκέψη 22α σχετικά με τη συγκατάθεση για τα cookies, η οποία θέτει την ευθύνη για τη λήψη συγκατάθεσης για την αποθήκευση cookies και τις κυρώσεις για παραβιάσεις των υποχρεώσεων στον «πάροχο υπηρεσιών». Η προεδρία προχώρησε επίσης σε εξηγήσεις σχετικά με τα λεγόμενα cookie walls (φόρμες παροχής συγκατάθεσης για την εμφάνιση cookies αντί κατευθείαν αποκλεισμού τους) και τα μετατόπισε από την αιτιολογική σκέψη 21 στην 20, συμπεριλαμβανομένων των όρων, για τους οποίους η πρόσβαση σε έναν ιστότοπο μπορεί να εξαρτάται από τη συγκατάθεση για την αποθήκευση ενός cookie
Πεδίο εφαρμογής
Τον Μάρτιο, η Προεδρία σημείωσε ότι οι περισσότερες αντιπροσωπείες εξακολουθούν να υποστηρίζουν την ιδέα ότι «οι υπηρεσίες που επιτρέπουν τη διαπροσωπική και διαδραστική επικοινωνία απλώς ως βοηθητικά χαρακτηριστικά, που συνδέεται εγγενώς με άλλη υπηρεσία πρέπει να παραμείνουν στο πεδίο εφαρμογής του ePrivacy». Γι’ αυτήν το βασικό ερώτημα για να προσδιοριστεί εάν μια υπηρεσία θα εμπίπτει στο πεδίο εφαρμογής του ePrivacy είναι, αν μια υπηρεσία είναι “διαπροσωπικής επικοινωνίας” ή όχι. Την εποχή εκείνη, εισήχθησαν τροποποιήσεις στην αιτιολογική σκέψη 11α, για να αποσαφηνιστεί ότι ένα βοηθητικό χαρακτηριστικό θα συμπεριλαμβανόταν μόνο αν χαρακτηριζόταν ως υπηρεσία διαπροσωπικής επικοινωνίας. Επειδή «επιτρέπουν την άμεση διαπροσωπική και διαδραστική ανταλλαγή πληροφοριών μέσω δικτύων ηλεκτρονικών επικοινωνιών ανάμεσα σε ένα συγκεκριμένο αριθμό προσώπων, όπου τα άτομα που ξεκινούν ή συμμετέχουν στην επικοινωνία καθορίζουν τον παραλήπτη», οι εφαρμογές μηνυμάτων θα εμπίπτουν στην κατηγορία της υπηρεσίας διαπροσωπικών επικοινωνιών . Όπως εξηγείται στην αιτιολογική σκέψη 11α, δύο παραδείγματα που δεν θα εντάσσονταν στην κατηγορία αυτή θα ήταν: (1) “μία εταιρεία που εκμεταλλεύεται ένα κανάλι επικοινωνίας για την εξυπηρέτηση πελατών, που επιτρέπει στους πελάτες να επικοινωνούν αποκλειστικά με την εν λόγω εταιρεία” και 2) ένα κανάλι ηλεκτρονικών επικοινωνιών σε online παιχνίδια, που είναι ανοιχτό σε όλα τα άτομα που παίζουν το παιχνίδι. ”
Λόγοι επεξεργασίας, εκτός της συγκατάθεσης
Η έννοια του “δημοσίου συμφέροντος” ως λόγος επεξεργασίας είναι ένα ακόμα θέμα που εξακολουθεί να προκαλεί συζητήσεις. Το τελευταίο προτεινόμενο κείμενο της Προεδρίας προσθέτει την προστασία του υποκειμένου των δεδομένων, ή των δικαιωμάτων και ελευθεριών των άλλων, και την επιβολή των αξιώσεων αστικού δικαίου στον κατάλογο των γενικών δημοσίων συμφερόντων του άρθρου 11 παράγραφος 1. Η Προεδρία ζήτησε επίσης από τις ομάδες WP TELE και DAPIX να προβληματιστούν σχετικά με αυτές τις προτεινόμενες αλλαγές κατά τη συνάντηση της 17ης Μαΐου.
Όσον αφορά την επεξεργασία για την προστασία ζωτικών συμφερόντων στο άρθρο 6, παράγραφος 2, στοιχείο δ), οι αντιπροσωπείες εξέφρασαν ανησυχίες, και την επιθυμία να επαναφέρουν το κείμενο στην εξής μορφή: “φυσικό πρόσωπο που είναι φυσικά και νομικά ανίκανο να δώσει συγκατάθεση” σύμφωνα με τον GDPR . Δεδομένου ότι η αλλαγή αυτή θα “καθιστούσε την διάταξη σχεδόν ανεφάρμοστη στην πράξη”, η Προεδρία κάλεσε τις αντιπροσωπείες “να εξετάσουν την καλύτερη διατύπωση αυτής της διάταξης”.
Προβλέποντας, και θέλοντας να προλάβει τυχόν κατάχρηση της διάταξης, η Προεδρία τροποποίησε επίσης το άρθρο 6 παράγραφος 2 στοιχείο β), έτσι ώστε η επεξεργασία κατά την εκτέλεση των συμβάσεων να «συνδέεται στενότερα με τους σκοπούς χρέωσης, υπολογισμού των πληρωμών διασύνδεσης κλπ.
Πώς θα αλληλεπιδράσουν ο ePrivacy και ο GDPR;
Οι πιθανές ασυνέπειες στους κανόνες του ePrivacy και του GDPR καθυστερούν την έκδοση του ePrivacy. Ενώ αυτό το θέμα έχει συζητηθεί σε διάφορες νομοπαρασκευαστικές συναντήσεις, παραμένουν αμφιβολίες για το πώς θα αλληλεπιδράσουν οι δύο αυτοί νόμοι μόλις και οι δύο τεθούν πλήρως σε ισχύ. Επιπλέον, κάποιες διατάξεις του ePrivacy, όπως το άρθρο 6, σχετικά με τη δυνατότητα επεξεργασίας που είναι αναγκαία για την εκτέλεση μιας σύμβασης, είναι εμπνευσμένες από παρόμοιες διατάξεις του GDPR, πράγμα που οδηγεί σε σημαντική επικάλυψη των θεματικών των δύο κανονισμών.
Πολλοί ωστόσο έχουν επισημάνει τις πιθανές ασυνέπειες στην εφαρμογή των δύο νόμων. Τον Μάρτιο, το ιταλικό ινστιτούτο για την προστασία της ιδιωτικής ζωής και την αξιοποίηση δεδομένων δημοσίευσε μια μελέτη που κατέληξε στο συμπέρασμα ότι τα τρέχοντα σχέδια για τον ePrivacy δεν “εντοπίζουν και δεν επιλύουν αποτελεσματικά τις πολυπλοκότητες που απορρέουν από τη φύση των υπηρεσιών OTT (over the top services) , οι οποίες τελικά υπόκεινται σε κανόνες που δεν συνάδουν με τις διατάξεις και τους στόχους του GDPR … ”
Έτσι, οι ερωτήσεις σχετικά με την αλληλεπίδραση του ePrivacy και του GDPR παραμένουν αναπάντητες, και ο προβληματισμός παραμένει για το αν θα είναι αποκλειστική ή σωρευτική. Αυτό παραμένει ένα πεδίο αβεβαιότητας και ενδεχομένως να αλλάξει σημαντικά. Το κοινό τείνει να βλέπει τον ePrivacy ως κάτι που δίνει στους χρήστες του διαδικτύου “επιπλέον προστασία της ιδιωτικής ζωής” ή “επεκτείνει” τον GDPR. Αναφερόμενος σε ένα δευτερεύοντα, αλλά συμπληρωματικό, ρόλο για τον ePrivacy, ο ευρωβουλευτής Jan Philipp Albrecht το ονόμασε “το τούβλο που υπολείπεται για την ολοκλήρωση του τείχους”.
Όσον αφορά το αν ο ePrivacy θα δρα ξεχωριστά ή σωρευτικά σε σχέση με τον GDPR, φαίνεται ότι η απάντηση είναι: και τα δύο. Σε ένα έγγραφο προς συζήτηση που εκπόνησε η βουλγαρική προεδρία, επιδίωξε να επιλύσει ορισμένες από αυτές τις ασάφειες εξηγώντας ότι τα άρθρα 5 , 8 και 10 συμπληρώνουν τον GDPR, ενώ τα άρθρα 6 και 7 τον εξειδικεύουν. Για παράδειγμα, το άρθρο 5 προστατεύει τα “δεδομένα ηλεκτρονικών επικοινωνιών” που δεν χαρακτηρίζονται ως προσωπικά δεδομένα και ως εκ τούτου ενεργοποιεί την προστασία του GDPR.
Για να δοθεί ένα άλλο παράδειγμα, το άρθρο 7 θα εξειδικεύει τις προβλέψεις του GDPR, καθώς «καθορίζει την αρχή περιορισμού της αποθήκευσης του GDPR επισημαίνοντας τη χρονική στιγμή κατά την οποία τα δεδομένα ηλεκτρονικών επικοινωνιών πρέπει να διαγραφούν ή να ανωνυμοποιηθούν».
Το έγγραφο αυτό επισημαίνει επίσης, ότι, όπου ρυθμίζει ένα θέμα και ο ePrivacy, και ο GDPR, εφαρμόζεται ο ePrivacy. Οι προτεινόμενες τροπολογίες στην αιτιολογική σκέψη 2 στοιχείο α) έχουν επίσης επιχειρήσει να διευκρινίσουν περαιτέρω το ζήτημα αυτό: “Οι διατάξεις (του ePrivacy) διασαφηνίζουν τον κανονισμό (ΕΕ) 2016/679 (GDPR) μεταφράζοντας τις γενικές αρχές του σε συγκεκριμένες κανόνες. Συμπληρώνουν, επίσης, τον κανονισμό (ΕΕ) 2016/679 θεσπίζοντας κανόνες σχετικά με θέματα που δεν εμπίπτουν στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679. ”
Η κοινή συνεδρίαση των WP DAPIX και WP TELE στις 17 Μαΐου επικεντρώθηκε μόνο στις αλλαγές στο άρθρο 2 παράγραφος 2 και στο άρθρο 11, ενώ η συνάντηση της WP TELE που πραγματοποιήθηκε στις 16 Μαΐου επικεντρώθηκε σε ολόκληρη την πρόταση εκτός από αυτά τα δύο άρθρα.
Το ίδιο το Ευρωπαϊκό Κοινοβούλιο έχει παραδεχθεί πως θα είναι δύσκολο να ολοκληρωθούν οι εργασίες για τον ePrivacy έως τις 25 Μαΐου 2018.
Στην πραγματικότητα, το νέο σχέδιο της προεδρίας άλλαξε την ημερομηνία έναρξης ισχύος, και όρισε ότι ο ePrivacy θα τεθεί σε ισχύ ένα έτος μετά τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Πότε θα γίνει αυτό; Αρχικά, πρέπει να υπάρξει γενική συναίνεση για το σχέδιο από το Συμβούλιο. Η βουλγαρική προεδρία έχει μέχρι το τέλος του Ιουνίου για να το επιτύχει. Σε αντίθετη περίπτωση, την διαδικασία θα πρέπει να εκπληρώσει η αυστριακή προεδρία, η οποία ενδέχεται να έχει διαφορετικές ιδέες για το μέλλον του σχεδίου. Εάν έχουμε γενική συναίνεση έως την 1η Ιουλίου, θα προγραμματιστούν τριμερείς συνομιλίες για το συμβιβασμό του σχεδίου του Συμβουλίου με το σχέδιο του Κοινοβουλίου. Οι τριμερείς διάλογοι για τον GDPR χρειάστηκαν περίπου τέσσερις μήνες. Εάν οι τριμερείς συζητήσεις αρχίσουν τον Σεπτέμβριο, ενδέχεται να δούμε ένα τελικό σχέδιο τον Δεκέμβριο, την ψηφοφορία στο Κοινοβούλιο στις αρχές του 2019, και στη συνέχεια το δημοσιευμένο σχέδιο την άνοιξη. Με αυτόν τον ρυθμό ο ePrivacy θα τεθεί σε ισχύ την άνοιξη του 2020, περίπου δύο χρόνια μετά την ημερομηνία εφαρμογής του GDPR.
Δείτε αναλυτικά την τελευταία έκδοση του Κανονισμού ePrivacy εδώ.