Direktiva o e-zasebnosti
Direktiva o zasebnosti in elektronskih komunikacijah
Pregled
Direktiva o e-zasebnosti (ePD), pogosto imenovana "zakon o piškotkih," dopolnjuje GDPR z zagotavljanjem posebnih pravil za zasebnost v elektronskih komunikacijah. Vključuje zaupnost komunikacij, uporabo sledilnih tehnologij in neposredno trženje.[1]
Ker gre za direktivo, se njena implementacija razlikuje med državami članicami. Predlagana uredba o e-zasebnosti je bila uradno umaknjena februarja 2025, kar pomeni, da direktiva ostaja veljavni zakon.
Povezava z GDPR
- ePD je lex specialis: Prednost pred GDPR za elektronske komunikacije
- Veljajo načela GDPR: Soglasje po ePD mora izpolnjevati standarde GDPR
- Skupno izvrševanje: Obe pravni ureditvi izvajajo organi za varstvo podatkov
Ključne zahteve
Soglasje za piškotke (člen 5(3))[2]
Soglasje je potrebno pred nameščanjem ali dostopom do informacij na uporabnikovi napravi:
| Vrsta piškotka | Ali je potrebno soglasje? |
|---|---|
| Strogo nujni | Ne (izjema) |
| Preference/funkcionalnost | Da |
| Analitika/statistika | Da (v nekaterih jurisdikcijah so dovoljene izjeme) |
| Oglaševanje | Da |
| Sledenje tretjih oseb | Da |
Zahteve za soglasje
Veljavno soglasje mora biti:
- Predhodno: Pridobljeno pred nastavitvijo piškotkov
- Prostovoljno dano: Resnična izbira brez škode ob zavrnitvi
- Specifično: Jasno glede namenov in vrst piškotkov
- Obveščeno: Uporabniki razumejo, katere podatke zbirajo
- Enoznačno: Potrebna jasna potrdilna akcija
- Preklicljivo: Uporabniki lahko enostavno spremenijo nastavitve
Najboljše prakse za pasico piškotkov
| Naredite | Ne delajte |
|---|---|
| Omogočite podrobne izbire | Predhodno označite polja za soglasje |
| Naj bo gumb »Zavrni vse« enako viden | Skrijte zavrnitev za več kliki |
| Shranite dokazilo o soglasju | Namestite piškotke pred soglasjem |
| Omogočite enostaven preklic | Preklic naredite težji kot soglasje |
| Jasen, preprost jezik | Tehnični žargon |
Zaupnost komunikacij (člen 5)
- Prepoved prestrezanja in nadzora
- Dovoljena tehnična shranjevanja, potrebna za prenos
- Vsebina in metapodatki so enako zaščiteni
Neposredno trženje (člen 13)
| Vrsta | Zahteva |
|---|---|
| Trženje po e-pošti/SMS | Potrebno predhodno soglasje |
| Obstoječi kupci | Mehko soglasje za podobne izdelke (z enostavnim odjavljanjem) |
| B2B trženje | Pravila se razlikujejo po državah članicah |
Nezaželene komunikacije
- Identiteta pošiljatelja ne sme biti prikrita
- Potrebni veljavni mehanizmi za odjavo
- Treba spoštovati nacionalne registre »ne kliči me«
Predlagane spremembe Digital Omnibus (2025)
Evropska komisija je predlagala poenostavitev pravil o piškotkih znotraj paketa »Digital Omnibus«:[3]
- Premestitev določenih določb ePD v GDPR
- Razširitev izjem za analitične in varnostne piškotke
- Omogočanje centraliziranih signalov soglasja za zmanjšanje »utrujenosti od soglasij«
Opomba: Ti predlogi še niso sprejeti. Trenutne zahteve ePD ostajajo v veljavi.
Primeri izvrševanja
| Organ | Subjekt | Globa | Razlog |
|---|---|---|---|
| CNIL (Francija) | 150 mio € | Kršitve soglasja za piškotke | |
| CNIL (Francija) | 60 mio € | Težavna zavrnitev piškotkov | |
| ICO (VB) | Več subjektov | Opozorila | Skriti gumbi za zavrnitev |
| AEPD (Španija) | Različni | 10.000–100.000 € | Nepravilno zbiranje soglasij |
Kontrolni seznam za razvijalce
Pasica za soglasje piškotkov
- Pridobite soglasje pred nastavitvijo nepomembnih piškotkov
- Omogočite podrobne kontrole kategorij
- Naj bo gumb »Zavrni vse« enako dostopen
- Shranite in časovno označite zapise soglasij
- Omogočite enostaven preklic soglasja
- Blokirajte skripte tretjih oseb do pridobitve soglasja
Tehnične zahteve
- Preglejte vse piškotke in sledilne tehnologije
- Kategorizirajte glede na namen in nujnost
- Dokumentirajte namene in obdobje hrambe piškotkov
- Zagotovite, da skripte spoštujejo signale soglasja
- Implementirajte sinhronizacijo soglasij za poddomene