Újraszabályozza az EU az online szolgáltatásokat
A reklámszövetségek túlzónak, a hagyományos telekommunikációs cégek túl enyhének találják az Európai Bizottság által beterjesztett rendeletjavaslatot. 2018-ra eltűnhetnek az oldalakról a cookie-jóváhagyást kérő üzenetek, de az új szabályozás alól a Google és a Facebook sem bújhatna ki.
Új rendeletre irányuló javaslatot terjesztett be az Európai Bizottság a személyes adatok és az elektronikus hírközlés szabályozásához kapcsolódóan. A tervezett rendelet a 2002-ben megjelent 2002/58/EK Elektronikus hírközlési adatvédelmi (ePrivacy) irányelvet váltaná fel, amelyet 2006-ban és utoljára 2009-ben módosított az EU, de ez csak a hagyományos távközlési szolgáltatókra vonatkozott, azóta viszont az internet által új szereplők jelentek meg a kommunikációs területen, mint például a Google és a Facebook. A rendelettervezet értelmezésében dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda adatvédelemmel foglalkozó partner ügyvédje segítette a HWSW-t.
Az EU szeretné korlátozni, hogy milyen adatokat tudhat meg egy globális cég az európai állampolgárokról, és hogy mindez legyen összhangban a 2018. május 25-én érvénybe lépő általános adatvédelmi rendelettel (ez a General Data Protection Regulation, azaz GDPR). Ez az a dátum, mikorra a Bizottság szerint a folyamat végére kellene érni, és EU-szinten elfogadni az erre vonatkozó rendeletet.
A módosítások egy része ismét a követő cookie-k körül forog, amelyek képesek a felhasználó böngészését nyomon követni és egyedi azonosítókkal ellátni, ezzel teljes profilt építeni a felhasználó tevékenységeiről. Ezeknek célja főleg az, hogy az internetező szokásai alapján releváns hirdetéseket tudjanak ajánlani.
Irányelv helyett rendelet
„Az általunk javasolt rendelkezések kiegészítik az EU adatvédelmi keretszabályait. Korszerű és hatásos adatvédelmi szabályokról gondoskodnak az elektronikus hírközlés területén, és biztosítani fogják, hogy az európai uniós intézményeknél ugyanolyan magas szintű normák legyenek érvényben, mint amelyeket a tagállamoktól várunk el.” - nyilatkozta Frans Timmermans, a Bizottság alelnöke.
Többek közt az is a változás része, hogy az ePrivacy és a GDPR jelenleg érvényben lévő változatai is irányelvek, viszont most az EU mindkettőt rendelettel váltaná fel. A rendelet lényege, hogy közvetlen hatálya van az összes EU tagállamban vagyis minden tagállam minden polgárára és hatóságára vonatkozik, anélkül, hogy át kellene ültetni a nemzeti jogba. Ez garantálja, hogy "az elektronikus hírközlés terén EU-szerte minden magánszemély azonos szintű védelemben részesüljön" és azt is, hogy az összes uniós országban jelenlévő vállalkozásra ugyanaz a szabály vonatkozzon. Ez a "defragmentáció" miatt fontos, így nem kell változatos nemzeti jogszabályokkal foglalkozniuk a cégeknek, egyetlen, egységes környezet születik az egész EU-ra.
Az eddigi irányelv az elérendő célokat tekintve ugyan szintén kötelező volt a tagállamok számára, de olyan átültető jogszabályt vagy más kifejezéssel nemzeti végrehajtási intézkedést kellett elfogadni, amellyel a nemzeti jogszabályokat az irányelvekben megfogalmazott célkitűzésekhez igazítja. Ennek magyar változata a 2003. évi C. törvénybe került be: "155. § (4) Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni."
Célkeresztben az e-mail és a chat
Az online szolgáltatások nagy része viszont nem tartja be ezeket az irányelveket - igaz, az eredeti értelmezésben ez csak a telekommunikációs szolgáltatókra (például mobilszolgáltatókra) vonatkozott, az online kommunikációs formákra nem alkalmazták. Ebben hozhat jelentős változást az új szabályozás, amely egy kalap alá venné az SMS-t és az azonnali üzenetküldőket, mint a WhatsApp, a Gmail vagy az iMessage.
Arra próbálná rábírni a szolgáltatókat az EU, hogy a felhasználó beleegyezése nélkül ne követhessék az üzeneteiket és a levelezésüket a célzott reklámok küldése érdekében és más okokból sem. A problémát az jelenti, hogy a legtöbb ingyenes online szolgáltató pont a reklámbevételekből tartja fenn magát, az Internet Advertising Bureau (IAB) európai adatai alapján például 2015-ben összesen 36,4 milliárd eurót költöttek el a hirdetők az interneten - ehhez képest a televíziós reklámokra 33,3 milliárd eurót szántak a cégek.
Látszik, hogy változik a tendencia, a jogszabályok viszont egyelőre nem követték a változásokat, a jelenlegi irányelvek csak a hagyományos távközlési szolgáltatókra vonatkoznak. Az új rendelet viszont a legújabbakra is kiterjedne, vagyis az új szabályokat be kell majd tartani a Facebooknak a WhatsAppal és a Messengerrel vagy a Google-nek a Gmaillel, a Hangouts-szal, a Duóval és az Allóval, de nem bújhat ki ez alól a Skype, az iMessage és a Viber sem. Ez óriási siker az uniós telkóknak, amelyek évek óta azért lobbiztak, hogy a rájuk érvényes szabályozást az új generációs telekommunikációs eszközökre is terjessze ki az EU.
"Az EU kiemelt jelentőségű politikái között szerepelteti a digitális tartalmak egységes piacát (Digital Single Market), így 2015-ben átfogóan felülvizsgálta az irányelv időtállóságát. E körben a Bizottság megállapította, hogy a 2002-es irányelv – noha a mai napig releváns szabályozást hordoz – hatékonyságában megkopott, hiszen számos, az elfogadása óta elterjed kommunikációs mód és forma (pl. VoIP, instant messaging-szolgáltatások) tekintetében nem nyújt megfelelő védelmet, technológiailag elavult, és nem ugyanúgy ültették át a tagállamok, ezért nem tudott egységes adatvédelem kialakulni EU szinten az elektronikus szolgáltatások belső piacán. A versenyképesség fenntartásához pedig szükséges az egységes digitális belső piacra egy mindenhol azonos szabályozás, amelyhez a közvetlenül alkalmazandó rendelet biztosítja a megfelelő jogi megoldást." - fejtette ki kérdésünkre dr. Horváth Katalin.
Metaadatokat se
Nem csak az üzenetek tartalmát nem szabadna követni a felhasználó beleegyezése nélkül, hanem a metaadatokat sem. Ebbe a körbe tartozik például a hívás ideje, a hívást kezdeményező és fogadó személy földrajzi helye, és minden olyan hozzáférés, amelynek célja a felhasználó böngészési szándékával ellentétben áll. A két fogalmat a szöveg határozottan elkülöníti, de az általános hozzájárulással mindkét típus egyszerre elfogadható lesz.
Abban az esetben, ha a felhasználó nem egyezett bele az adatainak nyilvántartásába, akkor azokat a szolgáltatónak vagy anonimizálni vagy pedig törölnie kell. A lényeg, hogy beleegyezés hiányában nem lenne arra lehetőség, hogy a cég személyre szabott reklámokat vagy bármilyen ajánlatot küldjön a felhasználónak.
Az új rendelet valószínűleg a chatbotok feladatát is nagyon megnehezítené, mivel ezek egy része azon az elven működik, hogy a beszélgetésekből és a felhasználó egyéb tartalmaiból olvas ki információkat, ezeket megjegyzi és a későbbiekben emlékeztet vagy pedig elvégez valamilyen feladatot, például megrendeli valakinek a kedvenc ételét, szervez egy találkozót vagy lefoglalja a repülőgépet - mindezt email, chat és naptár alapján. Ahogy a Sár és Társai Ügyvédi Iroda ügyvédje felhívta a figyelmünk, ebben az esetben két kategóriát kell elkülöníteni, míg az önként kezdeményezett beszélgetés a chatbottal teljesen jogszerű, addig a nem kívánt tartalomnak tekinthető chatbot spamek alkalmazásához a későbbiekben hozzájárulásra lesz szükség.
Búcsú a cookie-s figyelmeztetésektől
Eddig az EU cookie-s üzenetek bevezetésével figyelmeztette az internetezőket arra, hogy az adott oldal nyomon követi a tevékenységeit. Ezek az állandóan megjelenő feliratok viszont több bosszúságot jelentenek a felhasználóknak, mint amennyi eredményük van. Mára egyértelmű, hogy az eredeti célt a szabályozás nem érte el, a figyelmeztetésnek nem lett elrettentő ereje, a követést nem szorította vissza. Mivel lényegében a legtöbb oldal alkalmazza a követő cookie-kat, ezért az EU a továbbiakban nem kötelezné erre az oldaltulajdonosokat, hanem mindenkinek "csak egyszer" kellene dönteni arról, hogy elfogadja-e a cookie és más azonosító használatát.
Az iparági érdekvédelmi szervezet, az IAB álláspontja szerint ez azt jelentené, hogy a felhasználóknak a böngésző beállításait kellene változtatni, minden egyes eszközön és minden alkalmazás első használata előtt, illetve rendszeresebben kapnának igényléseket a weboldalakon és a digitális szolgáltatásokban - mindez pedig még zavaróbb lenne, mint jelenleg, mondja a reklámos szövetség.
Nagyon fontos változás, hogy nem kell majd minden cookie lerakása előtt engedélyt kérni. Dr. Horváth magyarázata szerint két kategória automatikusan mentesül az engedélykérés alól: egyrészt "a magánélethez fűződő jogokat nem sértő" sütik, amelyek a felhasználó kényelmét szolgálják (például tárolják a virtuális bevásárlókosarak tartalmát vagy a jelszóval védett munkamenetekhez nyújtanak támogatást). Az eddigiekkel szemben pedig azokhoz a sütikhez sem kell majd engedély, amelyek "pusztán egy adott webhely látogatottságát kísérik figyelemmel" - mondja a jogász. A fenti három kategóriába nem tartozó sütik esetében ugyanúgy kell majd adatkezelési hozzájárulás.
A kategóriák elkülönítése jelen állás szerint nem teljesen egyértelmű, nem világos számunkra például, hogy a látogatást mérő süti meddig számít "ártatlannak", és mikor lesz engedélyköteles követő cookie - hová tartoznak például a Google Analytics és számtalan más adtech-cég oldalakon át követő sütijei.
A rendelet a reklámblokkolásban is új fejezetet nyit. Egyrészt a blokkolást nem tiltja, de a kiadók nyomására lehetővé tette, hogy az oldalak detektálják a blokkolást és ellenőrizzék, hogy a "tartalom" (értsd: reklám) eljut-e a felhasználóhoz - eddig ez (minimum) szürke zónának számított jogi szempontból. Amennyiben észleli a szolgáltató, hogy a reklám nem jelenik meg, akkor figyelmeztető üzenetet küldhet az internetezőnek erre vonatkozóan.
Az viszont kikerült a rendeletjavaslatból egy korábbi változathoz képest, hogy a böngészőknek alapértelmezetten tiltania kellene a cookie-kat, helyette a szoftvernek a telepítéskor kell rákérdeznie az engedélyre. Továbbá az a rész is eltűnt a szövegből, hogy a felhasználókból álló nonprofit szervezetek polgári pert indíthatnak, ha szabálytalanságot észlelnek az adatkezelésben.
Telefonspam is csak beleegyezéssel
Vége lehet a kéretlen elektronikus üzeneteknek (e-mail, SMS, MMS, azonnali üzenet) és hívásoknak is a jövőben, a Bizottság ugyanis ezeket is előzetes engedélyhez szeretné kötni. Sőt, a tagállamok dönthetnek arról, hogy az országban a felhasználók létrehozhatnak-e hívásletiltási listát, amelyek meggátolják a marketingcélú telefonhívásokat. A cégeknek a jövőben fel kellene tüntetniük a telefonszámokat is vagy speciális hívószámmal jelezni, hogy marketing célból indították a hívást. A korábban adott hozzájárulások természetesen a jövőben is érvényesek maradnak abban az esetben, amely a régi és a tervezeti szabályozás szerint is azonosnak minősül.
Hogyan lehet betartatni?
Arra kérdésre, hogy az EU hogyan tudja érvényesíteni a szabályokat a globális szolgáltatókon, az adatvédelemmel foglalkozó ügyvéd válaszolt. Eszerint az Európai Unió joga főszabály szerint a tagállami bíróságok előtt érvényesíthető, illetve e körben mindig a konkrét ügy részleteit szükséges behatóan mérlegelni, azonban általánosságban elmondható, hogy a globális szolgáltatók EULA megállapodásai, amelyeket a felhasználók elfogadnak, jellemzően tartalmaznak úgynevezett illetékességi kikötést, amely meghatározza az esetleges jövőbeli jogviták elbírálására joghatósággal rendelkező államot (pl. USA), így ez a jövőben is problémákat okozhat – még ha nem is az EU jog hibájából adódóan.
Elégedetlen telkók
A hagyományos telekommunikációs szolgáltatók már régóta sürgették a szabályozást a területen, hiszen a VoIP és chat eszközök hozzájuk hasonló célt szolgálnak, rájuk viszont nem vonatkoztak a szigorú követelmények. Az új rendeletjavaslat számukra nem a várt változást hozta, az Európai Távközlési Szolgáltatók Szövetsége (ETNO) továbbra is azt kéri, hogy aki hasonló adatokat dolgoz fel, arra ugyanaz a követelmény vonatkozzon, akár csak az általános adatvédelmi rendelet szabályai. Ebben a formában viszont az új ePrivacy rendelettel közösen egy kettős szabályozás jön létre, amely más területeken nem megszokott - mondja a lobbiszervezet.
A rendelet próbálja a hagyományos távközlési szolgáltatók figyelmébe ajánlani az "új üzleti lehetőségeket", de ezek a részek egyelőre több kérdést felvetnek mint megválaszolnak. Ha a felhasználó beleegyezett abba, hogy a tevékenységeit kövessék, akkor az adataihoz nem csak az adott oldal szolgáltatói férnek hozzá, hanem a telkóknak is "nagyobb lehetőségük nyílik" kiegészítő szolgáltatásokat nyújtani, erre az ajánlás egy konkrét példát említ, mely szerint lehetővé válna a hőtérképek készítése az emberek jelenlétéről. A Bizottság szerint ez például a hatóságok és a közlekedési vállalatok segítségére lehet - a nyilatkozatot elfogadókat tehát innentől kezdve tényleg egészen széles körben lehetne követni. A szolgáltatók viszont azt a problémát vetik fel, hogy mások már rendelkeznek ilyen eszközökkel, ezért ez nem jelentene számukra valódi üzleti lehetőséget.
Döntés jövőre?
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
Mindez egyelőre egy tervezet, amelyet az Európai Bizottság nyújtott be, de a konzultációk már 2016-ban lezajlottak az iparral, a nemzeti hatóságokkal, a civil szervezetekkel, a BEREC tagjaival és más szakértőkkel. A Bizottság most az Európai Parlament és a Tanács elé terjesztette be a jogszabálytervezetet, a háromfejű EU csúcsszervei között egyeztetés indul, ennek során kristályosodik ki a végleges rendelet. Az elfogadási folyamat során még változhat a rendelet tartalma, de a végső döntésnek 2018. május 25-ig kell megszületni, mikor érvénybe lép az új általános adatvédelmi rendelet. A javaslat a Bizottság ígérete szerint február közepétől lesz más nyelveken elérhető, várhatóan magyarul is.