След приемането на Регламент (ЕС) 2016/679 („GDPR”), европейския законодател продължава изпълнението на стратегията за цифров единен пазар, с цел да се увеличи доверието в цифровите услуги и тяхната сигурност.
До началото на 2019 г. се очаква да бъде приет Регламента (ЕС) относно зачитането на личния живот и защитата на личните данни в електронните съобщения („E-Privacy Regulation” или „Регламент за защита на е-съобщенията“).

Регламента гарантира защита поверителността на електронните съобщенията, които могат да съдържат лични и нелични данни. Проектът предвижда доста по-сурови задължения за участници на пазара на електронни съобщителни услуги (особено за онлайн рекламодателите, доставчиците на софтуер, позволяващ електронни съобщения, разработчиците на свързани устройства и машини, които общуват чрез електронни съобщителни мрежи – „Internet of Things”, собствениците на директории и пр.) в сравнение с досегашните изисквания на Директива 2002/58/ЕО (“Директивата за неприкосновеност на е-съобщенията”)

Към момента е публикуван проектът към Регламентa за защита на е-съобщенията, който ако бъде приет в този му вид, ще изисква подобни, ако не и по-сериозни усилия от страна на бизнеса, които бяха необходими за да отговорят на изискванията на GDPR. E-Privacy Regulation е lex specialis спрямо разпоредбите на GDPR и предвижда да ги конкретизира и допълни, когато става въпрос за лични данни от електронни съобщения.

Фактът, че избраният инструмент за въвеждане на регулациите е регламент, а не директива, ще спомогне за хармонизирането на тази нова правна рамка, тъй като тя ще бъде пряко приложима във всички държави-членки на ЕС, както GDPR.

КОИ СА ОСНОВНИТЕ АКЦЕНТИ?

РАЗШИРЕН МАТЕРИАЛЕН И ТЕТИРОТИАЛЕН ОБХВАТ

Новият регламент ще се прилага за всички доставчици на електронни съобщителни услуги, включително доставчиците на така наречените “over-the-top (“OTT”) съобщителни услуги, като интернет телефония, приложения за съобщения в реално време, доставчици на текстови съобщения и електронна поща, лични съобщения, осигурявани от социалните мрежи, които не са предмет на действащата към момента Директивата за неприкосновеност на е-съобщенията.
Новият Регламент за защита на е-съобщенията ще се прилага и за доставчици извън ЕС, които предоставят електронни услуги (безплатни и / или платени) на граждани на ЕС.

ПО-ШИРОК ОБХВАТ ОТ GDPR

Разпоредбите на E-Privacy Regulation ще се прилагат както към физически лица, така и към юридически лица. Предвидено е разпоредбите от GDPR свързани с условията за получаване на съгласие преди обработването да се прилагат и спрямо обработване на информация от юридически лица.

ПРОБЛЕМА С БИСКВИТКИТЕ. ЦЕНТРАЛИЗИРАНЕ НА СЪГЛАСИЕТО

Принципът за защита и неприкосновеност на данните да се прилага чрез централизиране на съгласието в софтуера. (например в уеб браузъри) Предвижда се задължение на производителите на крайни устройства да пускат на пазара продукти с активирани по подразбиране настройки за неприкосновеност, които не позволяват съхраняването на бисквитки от трети страни.

Това ще осигури на компаниите производители на крайни устройства (смартфони, таблети, лаптопи и др.) и софтуер разработчиците и спазване на принципа за защита на данните при проектирането и по подразбиране, който е кодифициран в чл. 25 от GDPR.

НАСТРОЙКИТЕ ПО ПОДРАЗБИРАНЕ НА БРАУЗЪРА ДА СПИРАТ СПОДЕЛЯНЕТО НА СВЪРЗАНА С ПОТРЕБИТЕЛЯ ИНФОРМАЦИЯ

Съгласно заключенията на групите участващи в създаването на Регламента за защита на е-съобщенията, към момента потребителите са изправени пред искания за приемане на проследяващи бисквитки без да разбират значението им.
За рекламодателите с онлайн насоченост ще бъде по-трудно да получат съгласие от потребителите, тъй като се очаква при инсталиране браузърът или софтуерът да изисква от крайният потребител да избере един от вариантите за поверителност.

Изборът следва да бъде информиран избор, като предвижда задължителното включване на информация за рисковете, свързани с допускането на съхраняване на бисквитки на трети страни на крайните устройства, като потребителите биват изрично информирани за възможността да им бъдат съставени дългосрочни записи на историята на сърфирането и използването на такива данни за рекламни цели.

Възможност за собствениците на уебсайтове и онлайн-магазини е да съберат индивидуално съгласие от посетителите на уебстраниците, и така да запазят настоящия си бизнес модел.

ПРАВИЛА ЗА ИЗПРАЩАНЕ НА ЖЕЛЕАНИ РЕКЛАМНИ СЪОБЩЕНИЯ

Запазва се възможността компаниите да използват данните за контакт по електронна поща на съществуващи клиенти (да осъщестяват имейл маркетинг) с цел предлагане на подобни услуги и продукти, при условие че данните са получени съгласно условията на GDPR.

В съобщението следва да се посочва самоличността на юридическото или физическото лице, което изпраща съобщенията, и да се предостави възможност на получателите да възразят срещу получаването на бъдещи маркетингови съобщения.

За изпращане на маркетингови съобщения до други субекти, които не са клиенти на бизнеса, е необходимо да е получено изрично съгласие.

Въвеждат се нови изисквания за лицата, които използват гласови повиквания за директен маркетинг, познатият ни “Cold calling”. Последните следва да показват идентификация на телефонния номер, чрез който могат да бъдат потърсени или да предоставят специфичен код, който удостоверява обстоятелството, че става въпрос за рекламни обаждания.

ПО-СЕРИОЗНА ЗАЩИТА НА ПОВЕРИТЕЛНОСТТА НА ЕЛЕКТРОННИТЕ СЪОБЩЕНИЯ

Метаданните на електронни съобщения са обект на разпоредбите на Регламента за защита на е-съобщенията.

Какво представляват метаданните?

Метаданните включват избрани номера, посетени уебсайтове, географско положение, час, дата, продължителност на проведен разговор и т.н, което позволява точни заключения относно личния живот на лицата като предпочитания, лични взаимоотношения, навици, интереси и прочие.

Освен по-ясните примери за прихващане на данни или метаданни от електронни съобщения като подслушване на повиквания, четене на лични съобщения, за прихващане се приема у случаи когато трети страни наблюдават посещаваните от потребителя уебсайтове, взаимодействията с други лица, времето на посещенията, без съгласието на съответния потребител. Регламента за защита на е-съобщенията обхваща и улавянето на такива данни от некриптирани безжични мрежи и рутери, които могат да разкрият навиците на сърфиране на потребителя, без последният да е дал своето съгласие. По-този начин ще бъдат засегнати не малко бизнес модели, които разчитат на подобни методи за извличане на информация, чрез която създават профили на крайните потребители.

ЗАЩИТА НА КРАЙНИТЕ УСТРОЙСТВА

(смартфони, таблети, лаптоп)

Описаните устройства съдържат чувствителна информация, като съдържание на съобщения и изображения, данни за местоположение, списъци с контакти и др, която се нуждае от засилена защита на неприкосновеността. Всеки достъп до тази информация следва да бъде осъществяван единствено след получаването на съгласие от крайния потребител отговарящо на изискванията за съгласие на GDPR.

ДИГИТАЛНИТЕ БАРТЕРНИ СДЕЛКИ

Новият Регламент за защита на е-съобщенията обръща внимание и на често срещаните в дигиталната и технологична сфера практики доставчиците на телекомуникационни и други подобни услуги да предоставят на крайния потребител допълнителни услуги като защита срещу измамни дейности чрез анализ на данните за използване, местоположение или потребителски профил за сметка на излагане на реклами на крайния потребител. E-Privacy Regulation забранява подобни практики, освен ако потребителят не е дал своето изрично съгласие отговарящо на изискванията за съгласие предвидени в GDPR.

СПЕЦИАЛНИ ИЗИСКВАНИЯ КЪМ ДИРЕКТОРИИТЕ/УКАЗАТЕЛИТЕ

Затягат се мерките и спрямо обществено достъпните указатели, съдържащи информация за физически или юридически лица. Съгласно проекта на текста, доставчиците на подобни услуги следва да публикуват информация само на лицата, които са дали своето изрично съгласие отговарящо на условията предвидени в чл. 4, параграф 11 и чл. 7 от GDPR. Разширен е обхвата, като включва и правото на юридическите лица да възразят срещу включването в указателя на данни, които се отнасят до тях.

КОИ ЩЕ БЪДЕ ОСИГУРЯВА КОНТРОЛ ВЪРХУ СПАЗВАНЕТО НА РАЗПОРЕДБИТЕ?

Предвидено надзорният орган да бъде същият, който отговаря за прилагането нормите на GDPR, тоест Комисията за защита на личните данни на Република България.

КАКВИ САНКЦИИ ПРЕДВИЖДА?

Надзорният орган ще има правомощията да налага санкции за всяко нарушение на Регламента за защита на е-съобщенията, в допълнение с други подходящи мерки.

Размера на глобата или имуществената санкция е в размер до 10 000 000 евро, или до 2 % от общия годишен световен оборот на предприятието за предходната финансова година за по-леките нарушения (осъществяване на маркетинг в нарушение на разпоредбите; неизпълнение на изискванията за поверителност по подразбиране и др.) За по-тежки нарушения (съгласно предмета основно засегнати са телекомуникационните оператори – чл. 12, 13, 14 и 17) се предвижда санкция в размер до 20 000 000 евро, или до 4 % от общия годишен световен оборот на предприятието за предходната финансова година.