Az Európai Unió Bizottsága (“Bizottság“) 2017 januárjában közzétette az e-Privacy Rendelet tervezetét (“Tervezet“). A Tervezet célja, hogy az elektronikus hírközlési szolgáltatással kapcsolatos módosított adatvédelmi szabályok ugyanattól a naptól – 2018. május 25-től – kezdődően legyenek alkalmazandóak, mint a 2016/679 számú általános adatvédelmi rendelet (“GDPR“) rendelkezései. Így tehát a tervek szerint 2018. május 25-től a jelenleg hatályos e-Privacy irányelv (“Irányelv“) helyébe egy rendelet lép majd. Az alábbiakban – a teljesség igénye nélkül – a Tervezet leglényegesebb rendelkezéseit ismertetjük.
Egységesített szabályozás
Az 1. cikk (3) bekezdése értelmében a Tervezet szabályai kiegészítő szabályoknak, lex specialisnak minősülnek a GDPR-hoz képest, és az új Európai Uniós (“EU“) adatvédelmi keretszabályozás részét képezik majd.
A Tervezet legszembetűnőbb változtatása, hogy az elektronikus hírközléssel kapcsolatos EU-s adatvédelmi szabályokat a jelenlegi irányelvi forma helyett a jövőben egy rendelet tartalmazza majd. Az irányelvről a rendeleti szintre történő “átállás” az EU-s adatvédelmi szabályozásban megfigyelhető tendencia, hiszen az általános adatvédelmi szabályozásra vonatkozó és jelenleg is alkalmazandó 95/46/EK irányelvet a GDPR váltja majd fel 2018. május 25-től. Az EU rendeletek közvetlen hatálya miatt a tagállamoknak nem kell külön aktussal a belső jogrendszerük részévé tenni a rendelet szabályait, így az elektronikus hírközlési szolgáltatással kapcsolatos adatvédelmi szabályozás – az irányelvek által biztosított harmonizációt meghaladva – várhatóan egységesebb lesz majd valamennyi EU tagállamban.
Kiterjesztett tárgyi és területi hatály
A Tervezet tárgyi hatályát vizsgálva megállapítható, hogy az Irányelvnél szélesebb körben kívánja alkalmazni az elektronikus hírközléssel kapcsolatos adatvédelmi szabályokat, ugyanis kiterjed a klasszikus elektronikus hírközlési szolgáltatásokon túlmenően az úgynevezett “over-the-top” szolgáltatásokra is (ilyen szolgáltatásnak minősül például a Facebook Messenger vagy a VoIP is). A Tervezet 2. cikk (1) bekezdése értelmében a Tervezet szabályait az elektronikus hírközlési szolgáltatások nyújtásával és használatával összefüggő elektronikus hírközlési adatok kezelésére, illetve a felhasználók végberendezéseivel kapcsolatos adatokra kell alkalmazni.
A Tervezet – a GDPR-hoz hasonlóan – kiterjeszti a területi hatályát az EU-ban tevékenységi hellyel nem rendelkező szolgáltatókra is, amennyiben az EU-ban tartózkodó felhasználók számára nyújtanak szolgáltatást. Ilyen esetben az elektronikus hírközlési szolgáltatás nyújtója köteles egy EU tagállamban letelepedett képviselő kijelölésére.
A cookie-k használatának szabályai
A Tervezet fenntartja, hogy a cookie használata főszabályként a felhasználó hozzájárulása esetén lehetséges. A felhasználók által adott hozzájárulásra vonatkozóan a Tervezet alkalmazni rendeli a GDPR 4. cikk 11. pontjában (a hozzájárulás fogalma) és 7. cikkében (a hozzájárulás feltételei) foglaltakat. Megjegyezzük, hogy a GDPR bizonyos tekintetben szigorítani fogja a hozzájárulásra vonatkozó követelményeket.
A Tervezet 22. preambulumpontja megállapítja, hogy a cookie-ra vonatkozó jelenlegi szabályok következtében a felhasználók el vannak árasztva a hozzájárulás megadására vonatkozó kérelmekkel. Jelenleg ugyanis a különböző honlapok böngészése során a cookie-k használatáról való tájékoztatás, illetve hozzájárulás kérés az egyes oldalak tetején vagy alján egy felugró üzenet formájában jelenik meg. A felhasználók a gyakorlatban ezeket a felugró üzeneteket többnyire nem olvassák el. A Tervezet ezen módosítani kíván, a tájékoztatás és a hozzájárulás megadásának módját a leginkább felhasználóbarát formában igyekszik meghatározni. A Tervezet 9. cikkének (2) bekezdése a cookie-ra vonatkozóan kifejezetten lehetővé teszi azt, hogy a felhasználó a hozzájárulást a böngésző beállításainak segítségével is megadhassa. Az ilyen böngésző szoftvert gyártók kötelesek jól láthatóan és könnyen érthetően lehetővé tenni, hogy a böngésző beállításaival a felhasználó megakadályozhassa, hogy harmadik személyek a felhasználó végberendezésén cookie-t helyezzenek el, vagy a felhasználó végberendezésén tárolt adatot kezeljék. A böngésző szoftver ennek a követelménynek már a telepítés során eleget kell, hogy tegyen, ugyanis már a telepítéskor tájékoztatnia kell a végfelhasználót az adatvédelmi beállítási lehetőségekről. A Tervezet 9. cikkének (3) bekezdése értelmében hozzájárulását a végfelhasználó bármikor visszavonhatja, sőt a szolgáltatók erre hathavonta kötelesek őket emlékeztetni is.
A Tervezet értelmében azonban a szolgáltató nem köteles minden esetben beszerezni a felhasználó hozzájárulását. A 21. preambulumpont szerint nincs szükség a hozzájárulás beszerzésére olyan esetekben, amikor a magánélethez való jog egyáltalán nem, vagy csak nagyon korlátozott mértékben sérül. Így például nincs szükség hozzájárulás beszerzéséhez az olyan adatgyűjtéshez, amely:
- kizárólag az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás céljából szükséges,
- a felhasználó által igényelt információs társadalommal összefüggő szolgáltatás nyújtásához szükséges,
- online közönségméréshez szükségesek, feltéve, hogy ezt a mérést a felhasználó által kért információs társadalommal összefüggő szolgáltatás nyújtója végzi.
Elektronikus hírközlési adatok titkossága
A Tervezet fogalomrendszerében elektronikus hírközlési adatnak minősül az elektronikus hírközlési tartalom (pl. szöveg, videó, hangüzenet) és az elektronikus hírközlési metaadat (például az olyan adatok, amelyek a közlés feladójának, címzettjének, az eszköz helyének, a közlés idejének vagy időtartamának nyomon követéséhez szükségesek). A Tervezet 5. cikke szerint az elektronikus hírközlési adatok főszabály szerint titkosak, így az ilyen adatokkal kapcsolatos bármilyen művelet (pl. tárolás, lehallgatás) akkor lehetséges, ha azt a Tervezet megengedi. A Tervezet 6. cikke értelmében:
- az elektronikus hírközlési adatokat az elektronikus hírközlési hálózatot működtető illetve az elektronikus hírközlési szolgáltatást nyújtó akkor kezelheti, ha az a kommunikáció továbbításhoz, vagy a hálózat vagy hírközlési szolgáltatás biztonságnak fenntartásához, helyreállításához szükséges,
- az elektronikus hírközlési metaadatokat az elektronikus hírközlési szolgáltatást nyújtó akkor kezelheti például, ha ahhoz a végfelhasználó hozzájárult vagy az a számlázáshoz, fizetendő díj kiszámításához vagy a visszaélésszerű használat észleléséhez szükséges,
- az elektronikus hírközlési tartalmakat az elektronikus hírközlési szolgáltatást nyújtó akkor kezelheti, ha azokra kizárólag azért van szükség, hogy a végfelhasználó számára bizonyos szolgáltatást nyújtson feltéve, hogy azok kezeléséhez a végfelhasználók hozzájárultak és a szolgáltatás egyébként az elektronikus hírközlési tartalom kezelése nélkül nem nyújtható, vagy pedig akkor, ha valamennyi végfelhasználó hozzájárult ahhoz, az elektronikus hírközlési tartalmat olyan cél(ok) érdekében kezeljék, amely(ek) anonimizált információ kezelésével nem teljesíthetőek.
Direkt marketing
A Tervezet 16. cikke úgy rendelkezik, hogy elektronikus hírközlési szolgáltatás igénybevételével direkt marketing üzenet akkor küldhető természetes személynek, ha ehhez a felhasználó hozzájárult. Újdonság azonban a magyar direkt marketing szabályozáshoz képest, hogy amennyiben a szolgáltató áruk eladásával vagy szolgáltatás nyújtásával kapcsolatban jogszerűen megszerezte a fogyasztó elektronikus elérhetőségi adatait, akkor a szolgáltató az ilyen elektronikus elérhetőségi adatokat direkt marketing üzenetek küldése céljából felhasználhatja. A szolgáltatók e lehetősége azonban korlátozott, egyrészt annyiban, hogy a szolgáltató kizárólag saját hasonló termékeivel és szolgáltatásaival összefüggésben keresheti meg a fogyasztókat, másrészt pedig a fogyasztók számára biztosítani kell a tiltakozás lehetőségét. A tiltakozásnak ingyenesnek és könnyen kivitelezhetőnek kell lennie, és a felhasználó bármikor élhet e jogával.
A direkt marketing célú telefonhívásokkal kapcsolatban a Tervezet a hívó felet arra kötelezi, hogy a telefonszámát tegye láthatóvá vagy más módon tegye egyértelművé annak tényét, hogy a hívás direkt marketing célból történt. A Tervezet 16. cikk (4) bekezdése azonban lehetővé teszi a tagállamok számára, hogy a Tervezetben meghatározott direkt marketing célú telefonhívásokra vonatkozó szabályoktól eltérően „opt-out” lehetőséget biztosítsanak a természetes személyeknek minősülő végfelhasználók számára. Amennyiben a tagállamok ilyen jogszabályi rendelkezést fogadnak el, akkor direkt marketing célú telefonhívás olyan természetes személy végfelhasználó számára kezdeményezhető, aki korábban nem emelt kifogást az ilyen tájékoztatás ellen.
A felhasználót megillető jogok, kártérítés és közigazgatási bírság
A Tervezet 21., 22. és 23. cikkei a felhasználó jogaival, a neki járó kártérítéssel és a szolgáltatóra kiszabható bírsággal foglalkoznak és a több helyen utalnak a GDPR-ban meghatározott szabályokra. A 21. cikk a felhasználó számára biztosítja mindazokat a jogokat, amelyeket a GDPR a 77-79. cikkeiben biztosít az érintettek számára. Így a felhasználónak joga van arra, hogy
- a szolgáltató felügyeleti hatóságánál panaszt tegyen,
- a felügyeleti hatóságnak a felhasználóra vonatkozó és jogilag kötelező döntése ellen bírósági jogorvoslatot kérjen,
- a szolgáltatóval szemben bírósági jogorvoslatot kérjen.
A 22. cikk értelmében, az elektronikus hírközlési szolgáltatás végfelhasználója kártérítésre jogosult, amennyiben a Tervezetben meghatározottak megsértése következtében vagyoni vagy nem vagyoni kárt szenvedett. A szolgáltató kimentheti magát a felelősség alól, amennyiben bizonyítja, hogy semmilyen módon nem felelős a károkozásért. A kimentésre a GDPR 82. cikkében meghatározott szabályokat kell alkalmazni.
A 23. cikk értelmében a közigazgatási bírság összegére szintén a GDPR szabályai alkalmazandóak. A bírság maximális összege, attól függően, hogy a Tervezet mely rendelkezését sértették meg:
- 10.000.000 euró vagy vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 2%-a, amelyik a kettő közül a magasabb, illetve
- 20.000.000 euró vagy vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 4%-a, amelyik a kettő közül a magasabb.
Az Európai Adatgazdaság Kialakításáról szóló Közlemény
Szintén januárban tette közzé a Bizottság Az Európai Adatgazdaság Kialakításáról szóló közleményét (“Közlemény“) melynek célja, hogy az EU-n belül véget vessen az adatok helyhez kötésének. A Bizottság szerint ugyanis az adatok helyhez kötésére vonatkozó szabályok és egyéb technikai valamint jogi akadályok miatt az EU jelenleg nem használja ki teljes mértékben az adatokban rejlő valamennyi lehetőséget. A Közlemény szerint lehetővé kell tenni azt, hogy az adatok szabadon áramolhassanak egy közös “adattérben” a különböző országok között, akárcsak az áruk, szolgáltatások, a tőke, és az egyének.
A Közlemény négy különböző része, négy különböző témakört ölel fel, így például foglalkozik az adatok helyhez kötésének problematikájával, a digitálisan generált nem személyes adatok kereskedelmével, valamint a dolgok internetéhez (IoT), illetve a robotikához kapcsolódó felelősségi kérdésekkel.
A Bizottság egy online kérdőív kitöltését lehetővé tevő konzultációt indított. A kérdőív kitöltésével 2017. április 26.-ig bárki kifejtheti véleményét a Közleménnyel és a jövőbeli szabályozással kapcsolatban.
dr. Tarján Zoltán, ügyvéd és dr. Laribi Karim, ügyvédjelölt
zoltan.tarjan@twobirds.com
Tel.: +36 1 799 2000
Knight Bird & Bird Iroda