"Tudom, mit küldtél tavaly nyáron"
Az ePrivacy rendeletterevezet egyik újdonsága annak szabályozása, ki és hogyan ismerheti meg az elektronikus üzenetek tartalmát.
Az Európai Unió várhatóan idén fogadja el az ePrivacy rendeletet, amely a 2018 májusától már alkalmazandó GDPR (Általános Adatvédelmi Rendelet) kiegészítéseként az elektronikus kommunikáció során megvalósuló adatok kezelésére vonatkozik. A rendelettervezet egyik újdonsága, hogy szabályozza, ki és hogyan ismerheti meg az elektronikus kommunikáció során küldött üzenetek, így például e-mailek, SMS-ek, MMS-ek tartalmát.
A rendelettervezet nyilvánosan elérhető elektronikus hírközlési szolgáltatások használatával küldött üzenetek tartalmára vonatkozik, amely magában foglalja mindazon üzeneteket, amelyeket e-mailben, SMS-ben, MMS-ben, telefonon egyéb módon, interneten keresztül küldenek, így például közösségi média üzeneteket, azonnali üzenetküldő rendszerben küldött üzeneteket, chat szolgáltatásokban küldött üzeneteket is. Fontos azonban, hogy a nem nyilvánosan elérhető hálózatokon, így például belső céges intraneten küldött üzenetekre és azok tartalmára a rendelet nem vonatkozik.
Mikor ismerheti meg a szolgáltató az üzenetet?
A fenti módokon, elektronikus hírközlő hálózatok használatával küldött üzenetek tartalmát az adott elektronikus hírközlési szolgáltató (például e-mail, telefon, internet szolgáltató, közösségi média szolgáltató) csak akkor jogosult hozzájárulás nélkül megismerni, ha az szükséges a kommunikáció átviteléhez, vagy elengedhetetlen a szolgáltatás biztonságának biztosításához, műszaki hibák felderítéséhez, biztonsági kockázat vagy a hálózat elleni támadás felderítéséhez. Minden más esetben az üzenet tartalmának megismeréséhez és kezeléséhez, tárolásához a felhasználó engedélye szükséges.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig
Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A rendelettervezet alapján a szolgáltatók ezen túlmenően akkor kezelhetik majd az üzenetek tartalmát hozzájárulás alapján, ha valamennyi érintett hozzájárult az üzeneteik tartalmának olyan meghatározott célú kezeléséhez, amely anonimizált adattal nem teljesíthető. Ebben az esetben azonban a szolgáltatóknak el kell végezniük a GDPR-ból már ismert adatvédelmi hatásvizsgálatot és a GDPR-nak megfelelően konzultálniuk kell az adatvédelmi felügyeleti hatóságukkal is.
Részlet az Európai Bizottság 2017-es összefoglalójából
Új szabály a rendelettervezetben, hogy a szolgáltatók kötelesek a fenti hozzájárulást adott felhasználókat legfeljebb 12 havonta emlékeztetni arra, hogy lehetőségük van a hozzájárulásuk visszavonására. Ezen kötelezettségük alól csak akkor mentesülnek, ha a felhasználó kifejezetten kérte, hogy ne küldjenek a részére ilyen emlékeztetőt.
Meddig, és hogyan tárolhatják az üzeneteket a szolgáltatók?
A szolgáltatóknak törölniük vagy anonimizálniuk kell az üzeneteket és azok tartalmát, miután azt a címzettek megkapták. Természetesen maga a küldő és a címzett személy tárolhatja az üzenetet, és az általa megbízott harmadik személy is a GDPR előírásainak megfelelően.
A rendelettervezet 2019-es várható elfogadását követően 2 éves átmeneti idő után 2021-ben lép hatályba, vagyis a szolgáltatóknak elegendő idő áll rendelkezésre, hogy felkészüljenek a változásokra.
A cikk szerzője dr. Horváth Katalin, a CMS Hungary Ügyvédi Iroda adatvédelemmel foglalkozó szenior ügyvédje.