Директива о конфиденциальности и электронных коммуникациях 2002/58/EC о конфиденциальности и электронных коммуникациях, также известная как Директива о конфиденциальности e (ePD), представляет собой директиву ЕС о защите данных и конфиденциальности в эпоху цифровых технологий. [1] Он представляет собой продолжение предыдущих усилий, в первую очередь Директивы о защите данных . Он занимается регулированием ряда важных вопросов, таких как конфиденциальность информации, обработка данных трафика, спама и файлов cookie . В эту Директиву были внесены поправки Директивой 2009/136, которая вносит несколько изменений, особенно в отношении файлов cookie, которые теперь требуют предварительного согласия.
Между Регламентом электронной конфиденциальности (ePR) и Общим регламентом защиты данных (GDPR) существует некоторое взаимодействие . [2] Некоторые законодатели ЕС надеялись, что Регламент электронной конфиденциальности (ePR) вступит в силу одновременно с Общим регламентом защиты данных (GDPR) в мае 2018 года. [3] Таким образом, он отменит Директиву электронной конфиденциальности 2002 года/ 58/EC и сопровождают GDPR, регулируя требования к согласию на использование файлов cookie и возможности отказа. [1] [4] [5]
Директива об электронной конфиденциальности была разработана специально для удовлетворения требований новых цифровых технологий и облегчения развития услуг электронных коммуникаций. [6] Директива дополняет Директиву о защите данных и применяется ко всем вопросам, которые конкретно не регулируются этой Директивой. [7] В частности, предметом Директивы является «право на неприкосновенность частной жизни в секторе электронных коммуникаций» и свободное перемещение данных, коммуникационного оборудования и услуг.
Директива не применяется к Разделам V и VI ( Второй и Третий столпы, составляющие Европейский Союз ). Аналогичным образом, это не распространяется на вопросы, касающиеся общественной безопасности и обороны, государственной безопасности и уголовного права. [8] Однако перехват данных подпадал под действие Директивы ЕС о хранении данных до ее аннулирования Судом Европейского Союза .
В отличие от Директивы о защите данных, которая конкретно касается только физических лиц, статья 1(2) ясно дает понять, что Директива о конфиденциальности электронных данных также применяется к юридическим лицам.
Первым общим обязательством Директивы является обеспечение безопасности услуг. [9] Адресатами являются поставщики услуг электронных коммуникаций. Это обязательство также включает в себя обязанность информировать подписчиков при возникновении определенного риска, такого как вирус или другое вредоносное ПО. [10]
Второе общее обязательство заключается в сохранении конфиденциальности информации. [11] Адресатами являются государства-члены , которые должны запретить прослушивание, прослушивание, хранение или другие виды перехвата или наблюдения за общением и «связанным с ним трафиком», если только пользователи не дали свое согласие или не были выполнены условия статьи 15 (1). .
Директива обязывает поставщиков услуг стирать или анонимизировать обрабатываемые данные о трафике, когда они больше не нужны, если только не были выполнены условия статьи 15. [12] Удержание разрешено для целей выставления счетов, но только до тех пор, пока срок исковой давности позволяет законно добиваться платежа. Данные могут быть сохранены с согласия пользователя для маркетинговых и дополнительных услуг. В обоих предыдущих случаях субъект данных должен быть проинформирован о том, почему и как долго данные обрабатываются.
Абоненты имеют право на недетализированное выставление счетов. [13] Аналогично, пользователи должны иметь возможность отказаться от идентификации вызывающего абонента. [14]
Статья 9 предусматривает, что если данные, относящиеся к местонахождению пользователей или другому трафику, могут обрабатываться, то это будет разрешено только в том случае, если такие данные будут анонимизированы, если пользователи дали согласие, или для предоставления дополнительных услуг. Как и в предыдущем случае, пользователи должны быть заранее проинформированы о характере собираемой информации и иметь возможность отказаться от нее. [15]
Статья 13 запрещает использование адресов электронной почты в маркетинговых целях. [16] Директива устанавливает режим согласия , согласно которому нежелательные электронные письма могут быть отправлены только с предварительного согласия получателя. Физическое или юридическое лицо, которое первоначально собирает адресные данные в контексте продажи продукта или услуги, имеет право использовать их в коммерческих целях при условии, что у клиентов есть предварительная возможность отклонить такое сообщение там, где оно было первоначально собрано, и впоследствии. Государства-члены обязаны гарантировать, что нежелательная коммуникация будет запрещена, за исключением обстоятельств, указанных в Статье 13.
Две категории электронных писем (или общения в целом) также будут исключены из сферы действия запрета. Первый является исключением для существующих отношений с клиентами, а второй – для маркетинга аналогичных продуктов и услуг. [17] Отправка нежелательных текстовых сообщений в форме SMS-сообщений, push-сообщений или любого аналогичного формата, предназначенного для потребительских портативных устройств (мобильных телефонов, КПК), также подпадает под запрет статьи 13. [18]
Положением Директивы, применимым к файлам cookie, является статья 5(3). Декларативная часть 25 преамбулы признает важность и полезность файлов cookie для функционирования современного Интернета и напрямую связывает с ними статью 5(3), но декларативная часть 24 также предупреждает об опасности, которую такие инструменты могут представлять для конфиденциальности. Изменение закона не затрагивает все типы файлов cookie; те, которые считаются «строго необходимыми для предоставления услуги, запрошенной пользователем», такие как, например, файлы cookie, которые отслеживают содержимое корзины покупок пользователя в службе онлайн-покупок , освобождаются от налога.
Статья является технологически нейтральной и не называет каких-либо конкретных технологических средств, которые могут использоваться для хранения данных, но применяется к любой информации, которую веб-сайт сохраняет в браузере пользователя. Это отражает желание законодателя ЕС оставить режим директивы открытым для будущих технологических разработок.
Адресатами обязательства являются государства-члены, которые должны обеспечить, чтобы использование сетей электронных коммуникаций для хранения информации в браузере посетителя разрешалось только в том случае, если пользователю предоставляется «ясная и полная информация» в соответствии с Директивой о защите данных . о целях хранения этой информации или доступа к ней; и дал свое согласие.
Установленный таким образом режим можно охарактеризовать как «согласие» , что фактически означает, что потребитель должен дать свое согласие, прежде чем файлы cookie или любая другая форма данных будут сохранены в его браузере. Постановления Великобритании допускают подтверждение согласия с помощью будущих настроек браузера, которые еще не введены, но которые должны быть способны предоставлять достаточно информации, чтобы пользователь мог дать свое информированное согласие и указать целевому веб-сайту, что согласие было получено. Первоначальное согласие может быть перенесено на повторные запросы контента на веб-сайт. Директива не дает никаких указаний относительно того, что может представлять собой отказ, но требует, чтобы файлы cookie, кроме тех, которые «строго необходимы для предоставления услуги, запрошенной пользователем», не размещались без согласия пользователя.