Co zmieni rozporządzenie ePrivacy (ePR)?
Od 25 maja 2018 r. mamy nowe Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR), które ma chronić nasze dane osobowe. Kiedyś chciano, aby nowe rozporządzenie ePrivacy (ePR) weszło w życie tego samego dnia. To się nie udało i nie uda się ponownie przed wyborami europejskimi. Wciąż mówi się o szczegółach i mamy nadzieję, że wszystko to wydarzy się w 2019 r. Ale co tak naprawdę się zmieni?
Poufność poczty ePrivacy
W przypadku zwykłej poczty, wiesz, listu na papierze, jeśli jest w zaklejonej kopercie, jesteśmy zobowiązani do zachowania jego poufności. Nie istnieje to w przypadku poczty ePrivacy, ale proponuje się uregulowanie tej kwestii w rozporządzeniu o prywatności i łączności ePrivacy.
Cała komunikacja elektroniczna musi być traktowana jako poufna. Nie wolno już podsłuchiwać rozmów telefonicznych, nie wolno skanować i czytać wiadomości e-mail, jak to uczynił Google w Gmailu, a metadanych komunikatów nie można już czytać ot tak sobie. Facebook nie może zatem czytać wiadomości WhatsApp.
Dlatego nie wolno już przechwytywać komunikacji. Zgodnie z wnioskiem dotyczącym ePR, przechwytywanie ma miejsce również wtedy, gdy strony trzecie śledzą, w jaki sposób odwiedzane są strony internetowe, jak długo ludzie je odwiedzają i jakie interakcje mają tam miejsce. W każdym przypadku nie jest to dozwolone bez zgody osoby odwiedzającej stronę.
Rozporządzenie ePrivacy | Budowanie profili
Rozporządzenie ePR stara się również zapewnić, że profile użytkowników nie są budowane z metadanych uzyskanych bez zgody użytkowników.
Metadane mogą być wykorzystywane wyłącznie w celu, dla którego zostały pierwotnie uzyskane. Jest to również znane z GDPR: dane osobowe mogą być wykorzystywane wyłącznie w oparciu o pierwotną podstawę i w celu, dla którego zostały pierwotnie uzyskane. Może to być wiele celów, ale cel lub podstawa nie mogą być później zmienione. Zostanie to uwzględnione w rozporządzeniu o prywatności i łączności ePrivacy.
Wszystko jest dozwolone za zgodą. Dotyczy to również rozporządzenia o prywatności i łączności ePrivacy. Jeżeli ludzie świadomie i dobrowolnie wyrażają zgodę na wykorzystanie metadanych do budowania profili, to nic złego się nie dzieje. Problem polega na tym, że dla wielu firm konieczność pytania o zgodę jest irytująca. W końcu jest to próg i sprawia, że ludzie są zbyt świadomi tego, co oddają, o ile w ogóle ten próg przekraczają.
Zanonimizowane dane mogą oczywiście zostać ponownie wykorzystane.
Ściana z ciasteczek | ePrivacy
Umieszczanie plików cookies, które nie są konieczne, takich jak pliki cookies śledzące i reklamowe, wymaga zgody. Zgoda ta musi być świadoma, udzielona w sposób wolny i wyraźny. Nowe kliknięcie na stronie internetowej nie wystarczy.
To powoduje, że wiele stron internetowych stosuje “ścianę ciasteczek”: albo zaakceptujesz pliki cookies, albo nie wejdziesz na stronę.
W niektórych przypadkach jest to dozwolone, jak stwierdzono we wniosku dotyczącym rozporządzenia w sprawie ePR. Zwłaszcza jeśli istnieją alternatywne strony internetowe, na których można znaleźć ten sam rodzaj informacji. Jest to szczególnie niedozwolone w przypadku stron internetowych, na przykład rządu lub innych usług, gdzie wybór jest ograniczony lub nie ma innego wyboru niż korzystanie z tej konkretnej strony internetowej. W związku z tym nie jest dozwolone stosowanie plików cookies dla państwowej sieci telewizyjnej, dla stron internetowych gmin i samorządów.
Oczywiście możliwe jest wskazanie preferencji dotyczących plików cookie, o ile strona internetowa jest w pełni użyteczna, o ile odwiedzający stronę internetową ustawi preferencje w taki sposób, że żaden plik cookie nie może być faktycznie umieszczony, z wyjątkiem funkcjonalnych plików cookie.
Cookie Consent Manager | Skorzystaj z dwutygodniowego bezpłatnego okresu próbnego
Wypróbuj nasze płatne subskrypcje za darmo przez dwa tygodnie lub utwórz bezpłatne konto …
Jakie pliki cookie są dozwolone?
Przykłady wspomnianych funkcjonalnych plików cookie to pliki cookie sesji służące do wypełniania formularzy, pliki cookie uwierzytelniania służące do weryfikacji tożsamości oraz pliki cookie, które pamiętają, co użytkownik umieścił w koszyku internetowym.
Dozwolone są również pliki cookie służące do analizy, które mierzą skuteczność strony internetowej lub liczą, ile osób widziało reklamę, o ile te pliki cookie lub inne identyfikatory, takie jak piksele, nie mierzą, która osoba odwiedza stronę internetową lub jaki jest charakter tej osoby.
Zezwolenie na podstawie ustawień domyślnych
W rozporządzeniu o prywatności i łączności ePrivacy przyznano, że ludzie są “zasypywani prośbami o zgodę”. Przejrzyste i przyjazne dla użytkownika ustawienia mogą rozwiązać ten problem. W związku z tym Komisja chce nałożyć większą odpowiedzialność na przeglądarki i inne aplikacje, aby umożliwić użytkownikowi określenie, czy chce akceptować pliki cookie, wszystkie pliki cookie, czy też na przykład tylko pliki cookie należące do stron trzecich. Wybrane ustawienie jest następnie wiążące dla wszystkich stron.
Takie ustawienie jest równoznaczne z zezwoleniem na umieszczanie plików cookie. Zezwolenie to musi być zgodne z zezwoleniem wymaganym przez GDPR. Oznacza to, że to właśnie przeglądarki i aplikacje muszą dostarczać informacji o ciasteczkach i możliwych ustawieniach, ale bez subtelnego nakłaniania ludzi do akceptacji wielu ciasteczek w tym procesie.
Jesteś agencją, web developerem lub innym sprzedawcą?
Zarabiaj 30% prowizji, zapoznaj się z naszym modelem resellerskim lub skontaktuj się z nami w przypadku liczby klientów większej niż 500.
Banery plików cookies nadal istnieją | ePrivacy
Banery z plikami cookie, które wiele stron internetowych wykorzystuje obecnie w celu, na przykład, uzyskania zgody na umieszczanie reklam i plików cookie do śledzenia, będą zatem nadal istnieć.
Przewiduje się, że wiele osób zdecyduje się zezwolić na ograniczoną liczbę plików cookie. W takim przypadku nadal trzeba będzie prosić o zgodę na umieszczenie dodatkowych plików cookie.
Należy jednak pamiętać, że:
- Pliki cookie nie mogą być umieszczane, dopóki nie zostanie udzielona zgoda.
- Użytkownicy muszą być dobrze poinformowani o plikach cookie
- Zezwolenie musi być aktywne. Preferencje nie mogą być z góry zaznaczone!
Śledzenie Wifi
Podglądanie gdzie są ludzie i jak się poruszają poprzez śledzenie ich na podstawie unikalnych numerów takich jak adresy MAC, numery IMEI lub sygnał wifi jest dozwolone do celów statystycznych, o ile jest ograniczone w czasie i miejscu.
Liczenie, ile osób znajduje się w środku lub ile osób stoi w kolejce, jest dozwolone bez konieczności uzyskania zgody tych osób. Dane muszą jednak zostać zanonimizowane tak szybko, jak to możliwe, gdy nie są już potrzebne do celów, dla których są liczone.
Takie śledzenie musi jednak zostać zgłoszone z wyprzedzeniem. Proszę porównać to z oznakowaniem, które jest wymagane w przypadku instalacji kamer monitorujących. Obszar śledzenia, cel i osoba odpowiedzialna (lub firma) muszą być podane. Można to zrobić za pomocą standardowych ikon.
Należy pamiętać, że jeśli dane są dalej wykorzystywane, GDPR powróci, a zatem również obowiązek posiadania oświadczenia o ochronie prywatności, a także przekazania tych informacji użytkownikom.
Umowy dotyczące przetwarzania danych
Zebrane dane mogą być udostępniane stronom trzecim wyłącznie w sposób anonimowy. Czasami strony trzecie, takie jak oprogramowanie i usługi online, są wymagane, aby móc w ogóle zbierać i analizować dane. Oczywiście, będą one wtedy widziały rzeczywiste dane, a nie ich anonimową wersję.
Jest to dozwolone, jak mówi ePR, ale wtedy musi istnieć umowa z podmiotem przetwarzającym, o której mowa w GDPR. Cóż, nic dziwnego, oczywiście, ponieważ jeśli dane osobowe są przetwarzane przez jedną stronę, dla drugiej strony, obowiązek ten istniał już na mocy GDPR. W rzeczywistości nie potrzebujemy do tego rozporządzenia ePR.
Czy czynimy postępy?
W chwili obecnej nadal pracujemy w oparciu o starą dyrektywę o prywatności i łączności ePrivacy (ePrivacy Directive). Wciąż jest wiele niejasnych punktów i mamy problem z tym, że obecnie czyni się odniesienia do artykułów ustawy o ochronie danych osobowych, którą zastąpiło GDPR. Dlatego rozporządzenie o prywatności i łączności ePrivacy jest w każdym przypadku rozpaczliwie potrzebne, aby przywrócić zgodność przepisów, tak aby nie dochodziło już do dziwnych sytuacji.
Celem rozporządzenia ePR jest uczynienie przepisów bardziej odpornymi na przyszłość. O technikach wspomina się jeszcze mało, a więcej mówi się o wpływie, jaki mogą one mieć na prywatność zainteresowanych osób. Jest to przyjemna zmiana.
Fakt, że zgoda na pliki cookie i podobne techniki może być udzielana za pośrednictwem domyślnych ustawień przeglądarek i aplikacji, jest również krokiem naprzód. Oczywiście kwestią dyskusyjną jest to, czy rzeczywiście rozwiązuje to wiele problemów. Standardem będzie również to, że żadne ciasteczka nie będą akceptowane (oczywiście z wyjątkiem tych niezbędnych), a grupa, która zaakceptuje więcej ciasteczek poprzez ustawienia domyślne będzie stosunkowo niewielka. Przyszłość musi pokazać, jak to będzie naprawdę działać.
Właściwie do ePR stosuje się to samo, co do GDPR: za zgodą wszystko jest dozwolone. Trudno jest tylko uzyskać pozwolenie. W każdym razie nie jest to zbyt przyjazne dla użytkownika. Wykorzystywanie danych uzyskanych za pomocą plików cookie i podobnych technik do celów komercyjnych nie będzie łatwiejsze również w przypadku tego rozporządzenia.
Zaletą jest oczywiście to, że GDPR umożliwiło już wielu firmom pracę związaną z zachowaniem prywatności. Dlatego też rozporządzenie ePrivacy nie zmieni już wiele w codziennej pracy.