Nakon velikih previranja oko prijašnjeg nacrta, Hrvatsko predsjedanje Vijećem EU objavilo je novi nacrt Prijedloga Uredbe o privatnosti i elektroničkim komunikacijama - ePrivacy. Izvornik dokumenta je ovdje.
Podsjetimo se, ePrivacy će regulirati područje zaštite privatnosti i sigurnosti osobnih podataka unutar elektroničke komunikacije. GDPR i ePrivacy su kompatibilne uredbe, a u slučajevima koji se odnose na područje elektroničke komunikacije ePrivacy predstavlja lex specialis odnosno regulira pojedine aspekte koji GDPR-om nisu detaljno obuhvaćeni.
Sudeći po broju podnesenih primjedbi na prošli ePrivacy nacrt, sektori na koje će najviše utjecati njeno donošenje su izdavački i oglašivački sektor te sektor pružanja telekomunikacijskih usluga.
Što regulira ePrivacy i što je zanimljivo u novom nacrtu
ePrivacy uredba regulira zaštitu privatnosti pojedinca tijekom elektroničke komunikacije. To podrazumijeva sve oblike tradicionalne elektroničke komunikacije poput elektroničke pošte ili sms poruka ili putem različitih aplikacija za elektroničku komunikaciju, kao i sve oblike komunikacije na internetu ili društvenim mrežama. Fokus GDPR-a je zaštita osobnih podataka, dok je fokus ePrivacy sama povjerljivost komunikacija, 'koja također mogu sadržavati neosobne podatke i podatke koji se odnose na pravnu osobu'. Uredba ePrivacy nadopunjuje GDPR, zbog čega su same odredbe GDPR-a osnova za primjenu ove Uredbe.
Svi operateri koji pružaju usluge elektroničke komunikacije obvezni su zaštititi sve oblike komunikacije najnaprednijom dostupnom tehnologijom. U novom prijedlogu nacrta predložene su promjene i izmjene od čl. 6. do čl. 6.b, te je pravna osnova vezana uz obradu metapodataka (op.a. podaci o podacima – u telekom industriji to su neophodni podaci na osnovu kojih se korisniku obračunavaju konzumirane usluge) definirana legitimnim interesom, na što mnogi svjetski stručnjaci za privatnost imaju prigovor. Glavni uzrok njihove zabrinutosti je što se u velikoj mjeri odstupilo od prijašnjih nacrta te predložene izmjene čl. 6. i čl. 8., koje predviđaju da legitimni interes bude pravna osnova za obradu metapodataka i prikupljanje podataka s informatičke opreme krajnjeg korisnika, potencijalno zamjenjuju njegovu privolu.
Kolačići
Odredbama ePrivacy praćenje putem kolačića će biti moguće ukoliko je krajnji korisnik u postavkama svog Internet preglednika dozvolio instaliranje kolačića (whitelista), osim u slučaju kad se radi o kolačićima koji prikupljaju i šalju podatke koji nisu anonimni. S obzirom da kod najčešće korištenih kolačića i radi o prikupljanju i slanju anonimiziranih podataka, kod njihovog korištenja više neće biti potrebni beskonačni pop-up prozori koji su ponekad i više puta na istoj internetskoj stranici zahtijevali privolu posjetitelja stranice.
Zaštita podataka i informacijskih sustava
Europsko zakonodavstvo usmjereno je na kontinuirano podizanje razine sigurnosti fizičkih i digitalnih informacijskih sustava te regulaciju obrade podataka. Svakodnevni rast tehnoloških mogućnosti sustava baziranih na umjetnoj inteligenciji i strojnom učenju algoritmima koji se koriste triangulacijom osobnih podataka za pružanje kvalitetnije i opsežnije usluge sa sobom nosi i sve veće rizike od sigurnosnih incidenata.
Najznačajniji trend u podizanju kibernetičke sigurnosti vezanih uz olakšavanje usklađivanja s europskom pravnom regulativom bilježe investicije u međunarodne certifikate koja se odnose na informacijsku sigurnost (prednjači ISO 27001), trust servise odnosno ponajviše elektroničke potpise i elektroničke identitete (eID) te sigurnosne certifikate podatkovnih centara (data centers), kolokacijskih servisa i infrastrukture u oblaku (cloud services).
Od certifikata kibernetičke sigurnosti IoT proizvoda (Internet of Things) najčešća su ulaganja u međunarodno priznate standarde vezane uz informacijsku sigurnost (npr. ISO 27001 i srodne standarde) te digitalne sealove (Security Assurance Level) kod plasmana te vrste proizvoda na jedinstveno europsko digitalno tržište.
Upravo se na ISO 27001 kao međunarodno priznati standard informacijske sigurnosti u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.