Piše: Natalija Parlov Una
GDPR predstavlja zakonodavni okvir za sve aktivnosti koje uključuju obradu osobnih podataka, dok će ePrivacy uredba (ePR) regulirati područje zaštite privatnosti i sigurnosti osobnih podataka unutar elektronske komunikacije. GDPR i ePR su kompatibilne uredbe, a u slučajevima koji se odnose na područje elektronske komunikacije ePR predstavlja lex specialis odnosno regulira pojedine aspekte koji GDPR-om nisu detaljno obuhvaćeni.
Sudeći po broju podnesenih primjedbi na sam nacrt Uredbe, sektori na koje će najviše utjecati njeno donošenje su izdavački i oglašivački sektor te sektor pružanja telekomunikacijskih usluga. Zadnji nacrt ePR sa zadnjim izmjenama nedavno je predstavljen te je u njemu stupanje na snagu predviđeno u roku od 24 mjeseca od dana donošenja same Uredbe.
Pravna osnova
Pravni temelj za donošenje GDPR-a je čl. 8. Povelje EU o temeljnim pravima koji regulira pravo na zaštitu osobnih podataka, a pravni temelj za donošenje ePR je čl. 7 iste Povelje koji regulira pravo na poštovanje privatnog i obiteljskog života te privatnost komunikacija. GDPR i ePR ne samo da reguliraju slična područja nego će ePR predstavljati lex specialis GDPR-a. Drugim riječima, sve one specifične stvari koje nisu dovoljno jasno definirane GDPR-om i koje ostavljaju mogućnost različitih interpretacija bit će regulirane ePR uredbom.
Što regulira GDPR?
Sukladno Uredbi svaka osobna informacija ili podatak koji se odnosi na državljanina EU mora biti zaštićena neovisno o tome da li se obrada podataka vrši unutar ili izvan granica EU te neovisno o tome gdje voditelj ili izvršitelj obrade imaju sjedište. Sva prava pojedinca definirana GDPR-om moraju biti dostupna na njegov zahtjev. Posebno se tu ističe 'pravo na zaborav' jer razvojem modernih tehnologija gotovo sve što je ikad objavljeno na internetu ostaje dostupno zauvijek.
Što regulira ePR?
Uredba ePR regulira zaštitu privatnosti pojedinca tijekom elektronske komunikacije. To podrazumijeva sve oblike tradicionalne elektronske komunikacije poput elektroničke pošte ili sms poruka ili putem različitih aplikacija za elektronsku komunikaciju, kao i sve oblike komunikacije na internetu ili društvenim mrežama. Fokus GDPR-a je zaštita osobnih podataka, dok je fokus ePR sama povjerljivost komunikacija, 'koja također mogu sadržavati neosobne podatke i podatke koji se odnose na pravnu osobu', navodi se u zadnjem nacrtu. Uredba ePR nadopunjuje GDPR, zbog čega su same odredbe GDPR-a osnova za primjenu ove Uredbe.
Neželjeni marketing
Uredba ePR definira da se svaki oblik komunikacije uključujući i elektroničku poštu i tekstualne poruke može isključivo odvijati uz odgovarajuću privolu pojedinca. To znači da se bilo kakve marketinške poruke neće smjeti slati pojedincu na njegove kanale za direktnu komunikaciju bez prethodno dobivene privole od vlasnika mobilnog računa ili računa elektroničke pošte.
Kolačići
Odredbama ePR uredbe praćenje putem kolačića će biti moguće ukoliko je krajnji korisnik u postavkama svog Internet preglednika dozvolio instaliranje kolačića. U tom slučaju više neće biti potrebni pop-up prozori koji su tražili privolu za instaliranje kolačića.
Povjerljivost
Svi operateri koji pružaju usluge elektronske komunikacije obavezni su zaštititi sve oblike komunikacije najnaprednijom dostupnom tehnologijom. Novim odredbama definirano je da se i meta podaci tretiraju kao stvarni sadržaj komunikacije. Uredbom se zabranjuje presretanje takve komunikacije, osim ako to nije regulirano drugom zakonskom osnovom (npr. istražni postupci, nacionalna sigurnost i sl.).
Zaštita podataka i informacijskih sustava
Europsko zakonodavstvo usmjereno je na kontinuirano podizanje razine sigurnosti fizičkih i digitalnih informacijskih sustava te regulaciju obrade podataka. Svakodnevni rast tehnoloških mogućnosti sustava baziranih na umjetnoj inteligenciji i strojnom učenju algoritmima koji se koriste triangulacijom osobnih podataka za pružanje kvalitetnije i opsežnije usluge sa sobom nosi i sve veće rizike od sigurnosnih incidenata. Najznačajniji trend u podizanju kibersigurnosti vezanih uz olakšavanje usklađivanja s europskom pravnom regulativom bilježe investicije u međunarodne certifikate koja se odnose na trust servise odnosno ponajviše elektroničke potpise i elektroničke identitete (eID) te sigurnosne certifikate data centara, kolokacijskih servisa i infrastrukture u oblaku.
Od certifikata sigurnosti IoT proizvoda najčešća su ulaganja u međunarodno priznate standarde vezane uz informacijsku sigurnost (npr. ISO 27001 i srodne standarde) te digitalne sealove (Security Assurance Level) kod plasmana te vrste proizvoda na jedinstveno europsko digitalno tržište.