В течение многих лет Европейский Союз пытается установить единые правила для внутреннего рынка цифровых услуг, чтобы лучше защитить пользователей и владельцев авторских прав. В этом контексте обсуждается Регламент ЕС ePrivacy Regulation. С его помощью Европейский Союз хочет сформулировать обязательные правила конфиденциальности данных с применением на территории всего ЕС. Эти правила не будут иметь прямого влияния на интернет-сервисы, работающие в Соединенных Штатах, но их важно знать всем, кто собирается вести свою деятельность в Интернете в пределах границ ЕС. Однако пока не определено, когда именно вступит в силу Закон ЕС о конфиденциальности данных и какие требования он будет предъявлять к цифровой индустрии.
Регламент ePrivacy не идентичен Общему регламенту ЕС по защите данных (GDPR), который вступил в силу в мае 2018 года. Подробнее об этом регламенте читайте в нашей подробной статье о GDPR и новых правилах для предприятий.
Что представляет собой ePrivacy?
Регламент ePrivacy (официально: Постановление Европейского парламента и Совета об уважении частной жизни и защите персональных данных в электронных коммуникациях и отмене Директивы 2002/58/EC) Европейский союз хочет укрепить неприкосновенность частной жизни граждан в онлайн-коммуникациях и интенсивно регулировать защиту данных в ЕС. По сути, речь идет о восстановлении доверия людей к цифровым каналам коммуникации. Регламент ePrivacy, который еще не вступил в силу, является третьей и, предположительно, последней мерой в рамках инициативы по разработке обязательных правил и норм по защите данных в Европе, после первой Директивы о защите данных (Директива 95/46/EC) и Директивы ePrivacy (2002/58/EC). Вкратце, планируемая ЕС ePrivacy призвана гарантировать, что в будущем (по крайней мере, в пределах ЕС) конфиденциальность и защита данных больше не будут ограничиваться национальными границами.
С этой инициативой ЕС вступает на путь, который более чем необходим: Интернет, как мы все знаем, не знает границ. Но что именно предполагают европейские власти в связи с Постановлением об электронной конфиденциальности? Прежде всего, важно отметить, что ePrivacy Regulation затронет больше компаний, чем любая предыдущая политика защиты данных. Требования, которые предъявляются на этот раз, направлены конкретно на владельцев веб-сайтов и поставщиков программного обеспечения, например, Meta (бывший Facebook), Google и Zoom — по сути, на всю онлайн-индустрию.
Одно из основных изменений коснется использования файлов cookie. Отклонение ненужных cookies должно стать более простым для веб-пользователей и, например, регулироваться через настройки браузера. Операторы веб-сайтов могут использовать файлы cookie только в том случае, если пользователь явно дал на это согласие или если это «технически необходимые файлы cookie», которые обеспечивают надлежащее функционирование веб-сайта (например, файлы cookie для входа в систему). Даже если пользователь не согласен, весь контент все равно должен отображаться для него в будущем. Вместо отказа от участия потребуется двойное согласие.
Для реализации этого требования на производителей браузеров также могут быть наложены обязательства: Согласно проекту, веб-браузеры в будущем должны предоставлять пользователям возможность коренным образом регулировать отслеживание. Разрешено ли кому-либо читать данные моих cookie? И если да, то только ли прямым провайдерам или также третьим лицам? Помимо прочего, ведутся споры о том, как именно должна выглядеть настройка по умолчанию — то есть, должен ли пользователь сам проявлять активность для защиты своей конфиденциальности. GDPR, по крайней мере, предполагает «Конфиденциальность по умолчанию»: Настройки защиты данных должны быть максимально строгими непосредственно после установки, а затем могут быть ослаблены только пользователем. В целом, услуги слежения должны быть разрешены без разрешения пользователя только в том случае, если они служат чисто статистическим целям.
Несмотря на то, что до вступления в силу Постановления ePrivacy пройдет еще некоторое время, с 1 декабря 2021 года в сфере отслеживания файлов cookie произошли важные изменения. Новый закон Германии о защите данных в телекоммуникациях (TTDSG) призван в некоторых аспектах предвосхитить ePrivacy Regulation. На сегодняшний день именно GDPR и Директива ePrivacy — также известная как Директива ЕС о cookie — обеспечили правовую основу для того, как операторы веб-сайтов могут использовать cookie.
Проект по эПриватности также включает в себя межмашинную связь. Это ответ ЕС на вызовы Интернета вещей. Для этих типов передачи данных должны быть предусмотрены такие случаи, когда пользователи принимают непосредственное участие. Планируется, что устройства будут передавать личные данные только в том случае, если пользователь дал на это согласие. Это может относиться, например, к данным GPS для смартфонов. В целом, должно действовать положение о том, что пользователи должны быть проинформированы о том, какие данные у них собираются и с какой целью. Поэтому не должно быть возможности спрятать соглашение в T&Cs или связать его с другой услугой. Например, если данные пользователя необходимо передать для совершения покупок в Интернете — как это всегда бывает — это допустимо. Однако нельзя допускать, чтобы эти данные одновременно использовались в рекламных целях. Для этого необходимо новое, специальное соглашение.
Регламент ePrivacy Regulation не должен ограничиваться только передачей персональных данных компаниями. Вмешательство со стороны государства также должно жестко регулироваться ePrivacy. Сквозное шифрование должно быть обязательным: Все передачи данных должны быть полностью зашифрованы и не должны просматриваться правительствами. Внедрение бэкдоров также должно быть запрещено: Бэкдоры, созданные производителем для предоставления доступа правительству, будут считаться незаконными.
ePrivacy отходит от Интернета, когда речь идет о прямом маркетинге: В то время как в принципе маркетинга электронной почты ничего не меняется, регламент намерен более жестко регулировать телефонный маркетинг. Предложение гласит, что телефонные звонки с целью привлечения внимания должны быть разрешены только в том случае, если звонящий раскрывает свой номер телефона или использует встроенный код, указывающий на то, что это рекламный звонок.
Регламент ePrivacy против Руководства ePrivacy против GDPR
Регламент ePrivacy отчасти призван заменить старое руководство ePrivacy, а отчасти дополнить GDPR. Старый регламент существует с 2002 года и был расширен в 2009 году. Однако руководящие принципы европейского сообщества не являются непосредственно действующим и обязательным законом, а представляют собой директивы, которые должны быть преобразованы в национальное законодательство. В результате отдельным государствам предоставляется более длительный срок. В случае с регламентом ситуация иная: Как и в случае с GDPR, это закон в масштабах ЕС, который обязателен для всех стран и вступает в силу немедленно. Однако закон может предоставлять, например, переходный период.
А как же GDPR? Чего вам нужно придерживаться сейчас? Как только ePrivacy Regulation вступит в силу, ответ прост: и того, и другого! Планируется, что положения ePrivacy сделают GDPR более конкретным. ePR (так будут называться новые правила) должен стать lex specialis. Это означает, что он имеет приоритет над основным регламентом по защите данных — lex generalis. GDPR носит более общий характер, и ePR должен стать более понятным благодаря конкретным пунктам с определенными правилами. Положение о защите данных не приспособлено специально для Интернета. ePrivacy будет лучше защищать эту область.
ePR также должен содержать вступительные положения: местные нормативные акты должны иметь возможность влиять на определенные разделы регламента, когда речь идет о деталях реализации. Однако отдельные законодатели должны изменить или адаптировать пункты, которые противоречат законам ЕС.
Когда появится регламент ePrivacy?
Регламент ePrivacy обсуждается с апреля 2016 года, но до сих пор не пришел к обязательному заключению. В январе 2017 года Европейская комиссия опубликовала первый проект. Впоследствии многочисленные комитеты опубликовали ответы на предложения Комиссии, что в конечном итоге привело к тому, что в октябре 2017 года Парламент ЕС представил собственный проект (в это время уже было принято решение по GDPR). Почти месяц спустя председательствующий в Совете ЕС Совет опубликовал отчет об оценке, в котором подытожил текущее состояние дел. На данный момент это самая актуальная публикация. Следующий шаг — принятие Советом ЕС решения по проекту.
Первоначально планировалось, что ePrivacy и GDPR вступят в силу одновременно. От этого плана уже давно отказались. В течение многих лет страны-члены ЕС не могут договориться о единой политике. Но надежда есть. В феврале 2021 года Совет министров ЕС согласовал общий вариант — стартовый сигнал для так называемого триалога. Это означает, что нынешние представители трех органов, участвующих в законодательном процессе ЕС, то есть Комиссии ЕС, Парламента и Совета министров, ведут переговоры друг с другом.
Поскольку для Регламента ePrivacy также предусмотрен годичный переходный период, не нужно будет считаться с немедленной реализацией проекта, подписанного всеми странами-участницами. В какой степени проект будет изменен, пока невозможно предсказать. Однако вполне вероятно, что он не останется окончательным вариантом. В 2022 году Франция будет председательствовать в Совете, сменив на этом посту Португалию и Германию, чьи предложения не прошли.
Критика проекта
Сокращения в Положении об электронной конфиденциальности, подобном тому, которое сейчас обсуждается, затрагивают, в частности, операторов интернет-услуг и индустрию онлайн-маркетинга (помимо граждан, чья частная жизнь должна быть защищена). Поэтому неудивительно, что наибольшей критике подвергаются именно эти сферы. Рекламная индустрия находит недостатки в проекте ЕС.
- Больше усилий для пользователей: Индустрия ожидает, что в будущем пользователи будут перегружены количеством согласований, которые потребует ЭПР. Это при условии, что для каждой отдельной передачи нужно будет давать отдельное разрешение.
- Финансирование онлайновых СМИ под угрозой: Самый большой пункт критики заключается в том, что онлайновые СМИ, финансируемые за счет рекламы, находятся под угрозой. В настоящее время в нашей бизнес-модели существуют отдельные блоги, газетные сайты и другие СМИ, которые зависят от всплывающей рекламы. Пользователи платят не деньгами, а потреблением рекламы. Количество всплывающих окон по большей части основано на данных, которые собирают рекламодатели посредством отслеживания. Если Регламент ePrivacy вступит в силу в его нынешней форме, то такая реклама будет возможна только при наличии явного согласия, которое большинство пользователей, вероятно, не дадут. Представители индустрии онлайн-маркетинга опасаются, что свободный доступ к информации в Интернете может быть предотвращен.
- Отсутствие согласованности с GDPR: В GDPR видны противоречия. По этой причине заинтересованные организации предполагают, что новый регламент не внесет большей ясности в защиту данных для онлайн-коммуникаций, как это предусматривала Европейская комиссия, а скорее приведет к большей правовой неопределенности. Некоторые опасаются, что изменения в бизнес-модели, которые вносятся сейчас в связи с GDPR, будут еще больше изменены в будущем.
Нажмите здесь для ознакомления с важными юридическими оговорками.