Habemus e-Privacy? Τρεις αρχικές σκέψεις για το σχέδιο Κανονισμού για την προστασία της ιδωτικής ζωής στις ηλεκτρονικές επικοινωνίες
25/02/2021
26/02/2021
Όπως ανακοινώθηκε πριν λίγες ημέρες, εγκρίθηκε, έπειτα από πολευτείς προσπάθειες, η θέση του Συμβουλίου της Ευρωπαικής Ένωσης σχετικά με τους νέους κανόνες για την προστασία της ιδιωτικής ζωής και του απορρήτου κατά τη χρήση υπηρεσιών ηλεκτρονικών επικοινωνιών.
Από μία επισκόπηση του σχεδίου του Κανονισμού e-Privacy θα μπορούσαν να γίνουν τρεις αρχικές παρατηρήσεις που σχετίζονται σαφώς με την κατεύθυνση που επιλέγει ο ένας εκ των νομοθετών της ΕΕ:
1. Κυρώσεις
Εναρμονίζεται και καθίσταται πιο βιώσιμο το πλαίσιο για την επιβολή κυρώσεων επί τη βάσει της νομοθεσίας για τις ηλεκτρονικές επικοινωνίες.
Το πλαίσιο κυρώσεων του ePrivacy βασίζεται στον GDPR, διευκολύνοντας εν μέρει την αλληλεπίδραση των δύο και διασφαλίζοντας - μοιραία - ότι ο νέος Κανονισμός θα ληφθεί πιο σοβαρά υπόψη.
Article 83 of Regulation (EU) 2016/679 shall apply mutatis mutandis to infringements of this Regulation.
[...] subject to administrative fines up to EUR 10 000 000, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.
[...] subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.
2. Επεξεργασία μεταδεδομένων (metadata)
Επεκτείνονται σημαντικά οι δυνατότητες περαιτέρω επεξεργασίας μεταδεδομένων χωρίς τη συγκατάθεση των τελικών χρηστών.
Είναι δύσκολο να εκτιμήσει κανείς στην παρούσα φάση κατά πόσο είναι εντέλει αναπόφευκτο να ανοίξει αυτός ο δρόμος (χωρίς επιστροφή) που έχει σίγουρα -αλλα όχι μόνο- άρωμα Covid-19."
Further processing for purposes other than for which the metadata where initially collected may take place without the consent of the end-users concerned, provided that such processing is compatible with the purpose for which the metadata are initially collected, certain additional conditions and safeguards set out by this Regulation are complied with, including the requirement to genuinely anonymise the result before sharing the analysis with third parties.
Processing of electronic communications metadata for the protection of vital interests of the end-user may include for instance processing necessary for humanitarian purposes, including for monitoring epidemics and their spread or in humanitarian emergencies, in particular natural and manmade disasters.
Processing of electronic communication metadata for scientific research or statistical purposes could also be considered to be permitted processing.
3. Cookies και παρόμοιες τεχνολογίες
Έστω και σχεδόν 10 χρόνια μετά, η “υπόσχεση” της WP29 για τα cookies ανάλυσης επισκεψιμότητας φαίνεται πως τηρείται και μάλιστα διευρυμένα. Κατά τα λοιπά, πολλές, εκτενείς και ενδιαφέρουσες εξαιρέσεις σε σχέση με τη συγκατάθεση, ενώ τα cookie walls θέτουν καλές πιθανότητες να γίνουν το industry standard στο διαδίκτυο.
In contrast to access to website content provided against monetary payment, where access is provided without direct monetary payment and is made dependent on the consent of the end-user to the storage and reading of cookies for additional purposes, requiring such consent would normally not be considered as depriving the end-user of a genuine choice if the end-user is able to choose between services, on the basis of clear, precise and user-friendly information about the purposes of cookies and similar techniques, between an offer that includes consenting to the use of cookies for additional purposes on the one hand, and an equivalent offer by the same provider that does not involve consenting to data use for additional purposes, on the other hand. Conversely, in some cases, making access to website content dependent on consent to the use of such cookies may be considered, in the presence of a clear imbalance between the end-user and the service provider as depriving the end-user of a genuine choice.
[...] Cookies can also be a legitimate and useful tool, for example, in assessing the effectiveness of a delivered information society service, for example of website design and advertising or by helping to measure the numbers of end-users visiting a website, certain pages of a website or the number of end-users of an application. This is not the case, however, regarding cookies and similar identifiers used to determine the nature of who is using the site, which always require the consent of the end-user.
[...] end-users may be overloaded with requests to provide consent. This can lead to a situation where consent request information is no longer read and the protection offered by consent is undermined. Implementation of technical means in electronic communications software to provide specific and informed consent through transparent and user-friendly settings, can be useful to address this issue.
Όσο όμως η ΕΕ ασχολείται με τα cookies τρίτου μέρους, η αγορά σχεδιάζει ενεργά την επόμενη ημέρα χωρίς αυτά, με το δίκαιο προστασίας δεδομένων και ανταγωνισμού να αποκτούν ολοένα και υψηλότερο βαθμό αλληλεπίδρασης. Είναι ενδιαφέρον πως ένας κανονισμός που βρίσκεται ήδη +3 χρόνια από το αρχικό πλάνο εφαρμογής του κινδυνεύει να έχει διατάξεις που θα είναι παρωχημένες πριν καν ψηφιστούν.
Τι μέλλει γενέσθαι
Ο Κανονισμός e-Privacy περιλαμβάνει ακόμα μία σειρά από εξαιρετικά κρίσιμες διατάξεις για το μέλλον της προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, όπως για παράδειγμα σε σχέση με τις επικοινωνίες μεταξύ μηχανών (machine to machine) και το διαδίκτυο των πραγμάτων (IoT), την κυβερνοασφάλεια, την εμπορική επικοινωνία, το ρόλο των browsers και την εξωεδαφικότητα των κανόνων.
Η κρισιμότητα των ζητημάτων είναι άλλωστε εμφανής από την ένταση του lobbying και των διαπραγματεύσεων μεταξύ κρατών - μελών (υπενθυμίζεται πως επί του παρόντος είναι σε ισχύ Οδηγία και όχι Κανονισμός με ό,τι αυτό συνεπάγεται σε επίπεδο εναρμόνισης), οι οποίες έχουν οδηγήσει σε πολυετή καθυστέρηση της έκδοσης του Κανονισμού.
Ο Κανονισμός ePrivacy θα καταργήσει την ισχύουσα οδηγία (Οδηγία 2002/58/ΕΚ) για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Αποτελεί μάλιστα lex specialis του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), εξειδικεύοντας και συμπληρώνοντας τον εν λόγω κανονισμό. Για παράδειγμα, μία σημαντική διαφορά σε σχέση με τον ΓΚΠΔ, είναι πως ορισμένες από τις διατάξεις του ePrivacy εφαρμόζονται τόσο σε φυσικά όσο και σε νομικά πρόσωπα.
Έπειτα από τη συμφωνία επί της διαπραγματευτικής εντολής σε επίπεδο Συμβουλίου ΕΕ, η πορτογαλική Προεδρία μπορεί πλέον να αρχίσει συνομιλίες με το Ευρωπαϊκό Κοινοβούλιο επί του τελικού κειμένου.
Αναμένουμε με ενδιαφέρον τα επόμενα βήματα, ωστόσο υπάρχουν σοβαρές αμφιβολίες για το κατά πόσον είναι εφικτό το κείμενο να εγκριθεί τελικά ως έχει.
Βασίλης Καρκατζούνης
Δικηγόρος Αθηνών με ειδίκευση σε ζητήματα Δικαίου Διαδικτύου και Νέων Τεχνολογιών.
Έχει συνεργαστεί με ευρύτατο φάσμα επιχειρήσεων που παρέχουν υπηρεσίες και προϊόντα online, παρέχοντας ολοκληρωμένες συμβουλευτικές υπηρεσίες, σε τομείς...
