Директива про приватність та електронні комунікації

Директи́ва про прива́тність та електро́нні комуніка́ції, також відома як Директива про е-прива́тність (ePD), — нормативно-правовий акт Європейської Унії про захист даних та конфіденційність у цифрову епоху. Вона є продовженням попередніх зусиль, безпосередньо директиви про захист даних. Вона стосується регулювання низки важливих питань, таких як конфіденційність інформації, обробка даних трафіку, спам та файли cookie. Цю директиву було змінено директивою № 2009/136, яка вносить кілька змін, особливо щодо файлів cookie, які тепер підлягають попередній згоді.

Директива № 2002/58/ЄС

Директива Європейського Союзу
Назва	Директива № 2002/58/ЄС Європейського Парламенту та Ради від 12 липня 2002 року щодо обробки персональних даних та захисту приватність в секторі електронних комунікацій (Директива про приватність та електронні комунікації)
Ким прийнято	Європейський парламент та Рада
Прийнято під	Ст. 95 ДЄС
Офіційний вісник ЄС	OJ L 201, 31.7.2002, ст. 37–47
Історія
Дата створення	12 липня 2002
Дата набрання чинности	31 липня 2002
Дата імплементації	30 жовтня 2003
Підготовчі тексти
Висновок Європейського соціально-економічного комітету	C123, 2001-01-24, ст.  53
Висновок Європарламенту	C187, 2002-05-30, ст.  103
Інше законодавство
Чим виправлено	Директива № 2006/24/ЄС, Директива № 2009/136/ЄС
Чинне законодавство

Існує певний взаємозв'язок між проєктом регламенту про електронну приватність^[en] (ePR) та Загальним регламентом про захист даних (GDPR). Деякі законодавці ЄУ сподівалися, що проєкт регламенту про електронну приватність^[en] (ePR) може набути чинности одночасно із Загальним регламентом про захист даних (GDPR) у травні 2018 року.^[1] Він мав скасувати Директиву № 2002/58/ЄС про електронну конфіденційність та доповнити GDPR у регулюванні вимог щодо згоди на використання файлів cookie та опцій відмови, проте цього так і не сталося.

Предмет та сфера застосування

Директива про електронну конфіденційність була розроблена спеціально для задоволення вимог нових цифрових технологій та сприяння розвитку послуг електронного зв'язку. Директива доповнює Директиву про захист даних і застосовується до всіх питань, які не охоплюються цією Директивою. Зокрема, предметом Директиви є «право на конфіденційність у секторі електронних комунікацій» та вільний рух даних, комунікаційного обладнання та послуг.

Директива не застосовується до Розділів V та VI (Другий та Третій Стовпи, що становлять Європейську Унію). Так само вона не застосовується до питань, що стосуються громадської безпеки та оборони, державної безпеки та кримінального права. Однак перехоплення даних охоплювалося директивою про зберігання даних до її скасування Судом Європейської Унії.

На відміну від Директиви про захист даних, яка стосується лише фізичних осіб, стаття 1(2) чітко вказує, що Директива про електронну конфіденційність також застосовується до юридичних осіб.

Основні положення

Першим загальним зобов'язанням у директиві є забезпечення безпеки послуг. Адресатами є постачальники послуг електронного зв'язку. Це зобов'язання також включає обов'язок інформувати абонентів про будь-який конкретний ризик, такий як атака вірусу або іншого шкідливого програмного забезпечення.

Другим загальним зобов'язанням є збереження конфіденційности інформації. Адресатами є держави-члени, які повинні заборонити прослуховування, прослуховування, зберігання або інші види перехоплення чи спостереження за комунікаціями та «пов'язаним з ними трафіком», якщо користувачі не дали на це своєї згоди або не були виконані умови статті 15(1).

Зберігання даних та інші проблеми

Директива зобов'язує постачальників послуг видаляти або анонімізувати оброблені дані трафіку, коли вони більше не потрібні, окрім випадків, коли були виконані умови статті 15. Зберігання даних дозволено для цілей виставлення рахунків, але лише доти, доки строк позовної давности дозволяє законне здійснення платежу. Дані можуть зберігатися за згодою користувача для маркетингових та додаткових послуг. Для обох попередніх випадків використання суб'єкт даних має бути поінформований про причини та термін обробки даних.

Абоненти мають право на недеталізоване виставлення рахунків. Так само користувачі повинні мати можливість відмовитися від ідентифікації номера, що викликає.

У випадках, коли можуть оброблятися дані, що стосуються місцезнаходження користувачів або іншого трафіку, стаття 9 передбачає, що це буде дозволено лише за умови анонімізації таких даних, якщо користувачі дали на це згоду або для надання послуг з доданою вартістю. Як і в попередньому випадку, користувачі повинні бути заздалегідь поінформовані про характер зібраної інформації та мати можливість відмовитися від неї.

Небажані електронні листи та інші повідомлення

Стаття 13 забороняє використання адрес електронної пошти для маркетингових цілей.^[2] Директива встановлює режим opt-in email^[en], згідно з яким небажані електронні листи можуть надсилатися лише за попередньою згодою одержувача. Фізична або юридична особа, яка спочатку збирає адресні дані в контексті продажу продукту чи послуги, має право використовувати їх у комерційних цілях за умови, що клієнти мають попередню можливість відмовитися від такого повідомлення там, де воно було спочатку зібрано, а також згодом. Держави-члени зобов'язані забезпечити заборону небажаного повідомлення, за винятком обставин, зазначених у статті 13.

Дві категорії електронних листів (або комунікації загалом) також будуть виключені зі сфери дії заборони. Перша — це виняток для існуючих відносин з клієнтами, а друга — для маркетингу аналогічних продуктів і послуг. Надсилання небажаних текстових повідомлень у формі SMS-повідомлень, push-повідомлень або будь-якого подібного формату, призначеного для споживчих портативних пристроїв (мобільних телефонів, КПК), також підпадає під заборону статті 13.

Файли cookie

Положення Директиви, що застосовується до файлів cookie, є статтею 5(3). У пункті 25 преамбули визнається важливість і корисність файлів cookie для функціонування сучасного Інтернету та безпосередньо пов'язана зі статтею 5(3) з ними, але в пункті 24 преамбули також попереджається про небезпеку, яку такі інструменти можуть становити для конфіденційности. Зміна в законодавстві не впливає на всі типи файлів cookie; ті, що вважаються «суворо необхідними для надання послуги, запитуваної користувачем», такі як, наприклад, файли cookie, які відстежують вміст кошика користувача в онлайн-сервісі покупок^[en], є винятком.

Стаття є технологічно нейтральною, не називає жодних конкретних технологічних засобів, які можуть використовуватися для зберігання даних, але стосується будь-якої інформації, яку вебсайт зберігає у браузері користувача. Це відображає бажання законодавця ЄУ залишити режим директиви відкритим для майбутніх технологічних розробок.

Адресатами цього зобов'язання є держави-члени, які повинні забезпечити, щоб використання мереж електронних комунікацій для зберігання інформації в браузері відвідувача дозволялося лише за умови, що користувачеві надано «чітку та вичерпну інформацію» відповідно до Директиви про захист даних про цілі зберігання цієї інформації або доступу до неї; і він дав свою згоду.

Встановлений таким чином режим можна описати як режим відмови, що фактично означає, що споживач повинен дати свою згоду, перш ніж файли cookie або будь-яка інша форма даних будуть збережені в його браузері. Правила Сполученого Королівства дозволяють підтверджувати згоду майбутніми налаштуваннями браузера, які ще не впроваджені, але які повинні бути здатними надавати достатньо інформації, щоб користувач міг дати свою усвідомлену згоду та повідомити цільовому вебсайту, що згода отримана. Початкова згода може бути перенесена на повторні запити контенту до вебсайту. Директива не дає жодних вказівок щодо того, що може вважатися відмовою, але вимагає, щоб файли cookie, крім тих, що «суворо необхідні для надання послуги, запитуваної користувачем», не розміщувалися без згоди користувача.

Критика про згоду на використання файлів cookie

Банери згоди на використання файлів cookie ЄУ — це спливаючі вікна або сповіщення на вебсайтах, які запитують, чи прийматимуть користувачі файли cookie браузера. Директива про електронну конфіденційність вимагає від вебсайтів отримувати чітку згоду користувачів, перш ніж зберігати файли cookie на їхніх пристроях. Незважаючи на передбачувані переваги конфіденційности, банери згоди на використання файлів cookie широко вважаються неприємними.^[3] Користувачі постійно стикаються з цими банерами майже на кожному вебсайті, який вони відвідують, що порушує їхній досвід перегляду. Європейці разом втрачають приблизно 575 мільйонів годин щороку, натискаючи банери згоди на використання файлів cookie, що передбачено законодавством ЄУ.^[4]

Див. також

• Закон України «Про захист персональних даних»
• Загальний регламент про захист даних
• Директива про захист даних
• Директива про зберігання даних
• Проєкт регламенту про електронну приватність^[en]