Direktiva o ePrivatnosti
Direktiva o privatnosti i elektroničkim komunikacijama
Pregled
Direktiva o ePrivatnosti (ePD), često nazvana "zakon o kolačićima," nadopunjuje GDPR pružajući specifična pravila za privatnost u elektroničkim komunikacijama. Obuhvaća povjerljivost komunikacija, upotrebu tehnologija praćenja i izravni marketing.[1]
Kao direktiva, provedba varira među državama članicama. Predložena Uredba o ePrivatnosti službeno je povučena u veljači 2025., što znači da Direktiva ostaje važeći zakon.
Odnos s GDPR-om
- ePD je lex specialis: Ima prednost nad GDPR-om za elektroničke komunikacije
- Primjenjuju se načela GDPR-a: Pristanak prema ePD-u mora ispunjavati GDPR standarde
- Zajedna provedba: Oba skupa pravila provode tijela za zaštitu podataka
Ključni zahtjevi
Pristanak za kolačiće (članak 5(3))[2]
Pristanak je potreban prije postavljanja ili pristupa informacijama na uređaju korisnika:
| Vrsta kolačića | Je li potreban pristanak? |
|---|---|
| Strogo nužni | Ne (izuzetak) |
| Preferencije/funkcionalnost | Da |
| Analitika/statistika | Da (neke jurisdikcije dopuštaju izuzetke) |
| Oglašavanje | Da |
| Praćenje trećih strana | Da |
Zahtjevi za pristanak
Valjani pristanak mora biti:
- Prethodan: Dobiven prije postavljanja kolačića
- Slobodno dan: Prava mogućnost izbora bez štete za odbijanje
- Specifičan: Jasan u pogledu svrha i vrsta kolačića
- Informiran: Korisnici razumiju koje se podatke prikupljaju
- Jednoznačan: Potrebna je jasna afirmativna radnja
- Povratljiv: Korisnici mogu lako promijeniti postavke
Najbolje prakse za banner kolačića
| Što raditi | Što ne raditi |
|---|---|
| Omogućiti detaljan izbor | Prethodno označavati okvire za pristanak |
| Učiniti "Odbij sve" podjednako vidljivim | Skrivati odbijanje iza više klikova |
| Pohraniti dokaz o pristanku | Postavljati kolačiće prije pristanka |
| Omogućiti jednostavan povrat pristanka | Učiniti povrat pristanka težim od davanja pristanka |
| Jasan, jednostavan jezik | Tehnički žargon |
Povjerljivost komunikacija (članak 5)
- Zabrana presretanja i nadzora
- Tehničko pohranjivanje nužno za prijenos je dopušteno
- Sadržaj i metapodaci jednako su zaštićeni
Izravni marketing (članak 13)
| Vrsta | Zahtjev |
|---|---|
| Marketing putem e-pošte/SMS-a | Potreban prethodni pristanak |
| Postojeći kupci | Blagi pristanak za slične proizvode (s jednostavnim odjavama) |
| B2B marketing | Pravila se razlikuju po državama članicama |
Nezahtjevane komunikacije
- Identitet pošiljatelja ne smije biti prikriven
- Potrebno valjano sredstvo za odjavu
- Moraju se poštovati nacionalni registri "ne zovi"
Predložene promjene Digital Omnibus (2025)
Europska komisija predložila je pojednostavljenje pravila o kolačićima kroz paket "Digital Omnibus":[3]
- Premještanje određenih odredbi ePD-a u GDPR
- Proširenje izuzetaka za analitičke i sigurnosne kolačiće
- Omogućavanje centraliziranih signala pristanka za smanjenje "umora od pristanka"
Napomena: Ovi prijedlozi još nisu usvojeni. Trenutni zahtjevi ePD-a ostaju na snazi.
Primjeri provedbe
| Tijelo | Subjekt | Novčana kazna | Razlog |
|---|---|---|---|
| CNIL (Francuska) | 150 milijuna € | Kršenje pristanka za kolačiće | |
| CNIL (Francuska) | 60 milijuna € | Teško odbijanje kolačića | |
| ICO (UK) | Više subjekata | Upozorenja | Skriveni gumbi za odbijanje |
| AEPD (Španjolska) | Razni | 10.000-100.000 € | Nepravilno prikupljanje pristanka |
Kontrolni popis za programere
Banner za pristanak na kolačiće
- Dobiti pristanak prije postavljanja nebitnih kolačića
- Omogućiti detaljnu kontrolu kategorija
- Učiniti "Odbij sve" podjednako dostupnim
- Pohraniti i evidentirati vrijeme pristanka
- Omogućiti jednostavan povrat pristanka
- Blokirati skripte trećih strana dok se ne dobije pristanak
Tehnički zahtjevi
- Pregledati sve kolačiće i tehnologije praćenja
- Kategorizirati prema svrsi i nužnosti
- Dokumentirati svrhe i vrijeme čuvanja kolačića
- Osigurati da skripte poštuju signale pristanka
- Implementirati sinkronizaciju pristanka za poddomene
Izvori i reference
[1]
Direktiva 2002/58/EZ o privatnosti u elektroničkim komunikacijama. EUR-Lex: Direktiva o ePrivatnosti
[2]
Članak 5(3) kako je izmijenjen Direktivom 2009/136/EZ. GDPR.eu: Zakon o kolačićima
[3]
Prijedlog Europske komisije Digital Omnibus, studeni 2025. EK: Digital Omnibus