ePrivatumo direktyva
Direktyva dėl privatumo ir elektroninių ryšių
Apžvalga
ePrivatumo direktyva (ePD), dažnai vadinama „slapukų įstatymu“, papildo BDAR, nustatydama konkrečias privatumo taisykles elektroninėse komunikacijose. Ji apima komunikacijų konfidencialumą, sekimo technologijų naudojimą ir tiesioginę rinkodarą.[1]
Kaip direktyva, jos įgyvendinimas skiriasi tarp valstybių narių. Siūlyta ePrivatumo reglamento versija oficialiai atšaukta 2025 m. vasarį, todėl direktyva lieka taikoma teisė.
Santykis su BDAR
- ePD yra lex specialis: Teisės aktas, kuris elektroninėse komunikacijose turi pirmenybę prieš BDAR
- BDAR principai taikomi: Sutikimas pagal ePD turi atitikti BDAR standartus
- Jungtinė priežiūra: Abi taisyklių rinkiniai prižiūrimi duomenų apsaugos institucijų
Pagrindiniai reikalavimai
Slapukų sutikimas (5 straipsnio 3 dalis)[2]
Prieš įrašant ar pasiekiant informaciją vartotojo įrenginyje, būtinas sutikimas:
| Slapuko tipas | Ar reikalingas sutikimas? |
|---|---|
| Griežtai būtini | Ne (išimtis) |
| Nuostatų/funkcionalumo | Taip |
| Analitiniai/statistiniai | Taip (kai kuriose jurisdikcijose leidžiamos išimtys) |
| Reklaminiai | Taip |
| Trečiųjų šalių sekimas | Taip |
Sutikimo reikalavimai
Galiojantis sutikimas turi būti:
- Iš anksto: Gautas prieš nustatant slapukus
- Laisvai duotas: Tikras pasirinkimas be neigiamų pasekmių atsisakius
- Specifinis: Aiškus dėl tikslų ir slapukų tipų
- Informuotas: Vartotojai supranta, kokie duomenys renkami
- Aiškus: Reikalaujama aiškios teigiamos veiksmų
- Atšaukiamas: Vartotojai gali lengvai keisti nuostatas
Slapukų juostos gerosios praktikos
| Daryti | Nedaryti |
|---|---|
| Teikti detalius pasirinkimus | Iš anksto pažymėti sutikimo langelius |
| Padaryti „Atmesti visus“ vienodai matomą | Slėpti atsisakymą už kelių paspaudimų |
| Laikyti sutikimo įrodymus | Nustatyti slapukus prieš sutikimą |
| Leisti lengvai atšaukti sutikimą | Padaryti atšaukimą sunkesnį nei sutikimą |
| Aiški, paprasta kalba | Techninis žargonas |
Komunikacijų konfidencialumas (5 straipsnis)
- Uždrausta perėmimas ir stebėjimas
- Leidžiama techninė saugykla, būtina perdavimui
- Turinys ir metaduomenys apsaugoti vienodai
Tiesioginė rinkodara (13 straipsnis)
| Tipas | Reikalavimas |
|---|---|
| El. pašto/SMS rinkodara | Reikalingas išankstinis sutikimas |
| Esami klientai | Švelnus sutikimas panašiems produktams (su lengvu atsisakymu) |
| B2B rinkodara | Valstybių narių taisyklės skiriasi |
Nepageidaujamos komunikacijos
- Siuntėjo tapatybė negali būti slėpiama
- Reikalingas galiojantis atsisakymo mechanizmas
- Privaloma gerbti nacionalinius „neskambinti“ registrus
Siūlomi skaitmeninio omnibuso pakeitimai (2025)
Europos Komisija pasiūlė supaprastinti slapukų taisykles per „Skaitmeninio omnibuso“ paketą:[3]
- Perkelti tam tikras ePD nuostatas į BDAR
- Išplėsti išimtis analitiniams ir saugumo slapukams
- Leisti centralizuotus sutikimo signalus, mažinant „sutikimo nuovargį“
Pastaba: Šie pasiūlymai dar nėra priimti. Dabartiniai ePD reikalavimai lieka galiojantys.
Priežiūros pavyzdžiai
| Institucija | Subjektas | Bauda | Priežastis |
|---|---|---|---|
| CNIL (Prancūzija) | 150 mln. € | Slapukų sutikimo pažeidimai | |
| CNIL (Prancūzija) | 60 mln. € | Sunkus slapukų atsisakymas | |
| ICO (JK) | Įvairūs | Įspėjimai | Paslėpti atsisakymo mygtukai |
| AEPD (Ispanija) | Įvairūs | 10 tūkst. – 100 tūkst. € | Neteisingas sutikimo rinkimas |
Vystytojo įgyvendinimo kontrolinis sąrašas
Slapukų sutikimo juosta
- Gauti sutikimą prieš nustatant nebūtinuosius slapukus
- Teikti detalius kategorijų valdiklius
- Padaryti „Atmesti visus“ vienodai prieinamą
- Laikyti ir žymėti sutikimo įrašus laiku
- Leisti lengvai atšaukti sutikimą
- Blokuoti trečiųjų šalių scenarijus iki sutikimo
Techniniai reikalavimai
- Audituoti visus slapukus ir sekimo technologijas
- Klasifikuoti pagal paskirtį ir būtinumą
- Dokumentuoti slapukų paskirtis ir saugojimo laiką
- Užtikrinti, kad scenarijai gerbtų sutikimo signalus
- Įgyvendinti sutikimo sinchronizavimą po domenų
Šaltiniai ir nuorodos
[1]
Direktyva 2002/58/EB dėl privatumo elektroninėse komunikacijose. EUR-Lex: ePrivatumo direktyva
[2]
5 straipsnio 3 dalis, pakeista Direktyva 2009/136/EB. GDPR.eu: Slapukų įstatymas
[3]
Europos Komisijos Skaitmeninio omnibuso pasiūlymas, 2025 m. lapkritis. EK: Skaitmeninis omnibusas