Usvajanjem Strategije jedinstvenog digitalnog tržišta Evropske unije (Digital Single Market Strategy), 2016. godine, započete su velike reforme evropskog zakonodavstva sa ciljem povećanja poverenja u bezbednost na internetu i povećanja nivoa zaštite internet korisnika. Prvi veliki korak ka tom ostvarenju je bio donošenje Opšte uredbe o zaštiti podataka ličnosti (2016/679 tzv. GDPR-a), koji je u maju 2018. stupio na pravnu snagu, a koja je zamenila prethodnu direktivu 95/46/EC. Nastavljajući tim putem, EU je započela reforme i drugih akata koji regulišu zaštitu privatnosti na internetu, pa je s tim u vezi najavljen i predlog nove uredbe, tzv. E-privacy regulation ili ePR, koja bi unapredila i poboljšala nivo zaštite koju garantuje važeća E-privacy direktiva (2002/58/EC), koja je u trenutku kada je doneta označila veliku prekretnicu na polju zaštite podataka na interntu druge generacije koji je bio u punom zamahu.
E-privacy direktiva (2002/58/EC – ePD) – razlozi donošenja
S obzirom da su nove napredne digitalne tehnologije zavladale mrežama javne komunikacije u društvu, došlo je do posebnih potreba u vezi sa zaštitom ličnih podataka i privatnosti korisnika. Pristup digitalnim mrežama koje imaju ogromne kapacitete i mogućnosti obrade ličnih podataka, postao je dostupan široj javnosti, koje aktivnosti je bilo neophodno podržati i zakonski regulisati. S druge strane uspešan prekogranični razvoj ovih usluga delimično zavisi i od poverenja samih korisnika da njihova privatnost neće biti ugrožena. S obzirom da tada važeća Direktiva o zaštiti podataka (Directive 95/46/EC) nije dovoljno detaljno regulisala oblast interneta i elektronskih komunikacija Evropska unija je 2002. godine usvojila novu regulativu, posvećenu samo ovim pitanjima – Direktivu o privatnosti i elektronskim komunikacijama.
Danas, zakonodavstvo Evropske unije koje za cilj ima zaštitu privatnosti svojih građana, oslonjeno je na dva najznačajnija propisa. Opštu uredbu o zaštiti podataka (GDPR 2016/679, koja je zamenila Direktivu 95/46/EC) i Direktivu o privatnosti i elektronskim komunikacijama (2002/58/EC), poznatija kao E-privacy ili ePD direktiva. Zbog toga je jako bitno razgraničiti polja delovanja ova dva propisa i napraviti razliku između njih, kako u smislu dejstva, tako i oblasti zaštite koje su pokrivene svakom. Na neki način možemo reći da je važeća E-Privacy direktiva prethodnica današnjeg GDPR akta, kao i najavljene nove ePR Uredbe čiji predlog bi trebalo da bude usvojen u narednom periodu.
Sadržina E-privacy direktive
ePR Direktivom usklađuju se na prvom mestu odredbe država članica koje trebaju osigurati jednak nivo zaštite prava i sloboda građana, a naročito prava na privatnost u vezi sa obradom ličnih podataka u sistemu elektronskih komunikacija i njihov prenos unutar unije. Važno je razgraničiti da se ova Direktiva ne primjenjuje na aktivnosti koje su izvan područja primene Ugovora o osnivanju EU, poput onih koje se odnose na javnu sigurnost, obranu, državnu bezbednost, kao I na aktivnosti države u oblastima krivičnog prava.
Ovaj dokument je dalje imao za cilj uvođenje reda u kontrolu komunikacije i praćenja građana, kako na internetu, tako i u realnom svetu uz pomoć sredstava elektronske komunikacije. Tako, korisnici interneta tokom prisustva ili komunikacije na mreži trebaju biti obavešteni o snimanju odnosno prikupljanju podataka pre nego što do tog snimanja dođe, zatim moraju biti obavešteni o njegovoj svrsi, kao i trajanju čuvanja tako pribavljenih podataka. Na primer, zabeležena komunikacija treba biti obrisana što je pre moguće. Dalje, pretnja po bezbednost podataka i komunikacije su takozvani špijunski programi (spyware), mrežne greške (web bugs), skriveni identifikatori i druga slična sredstva mogu ući u korisnikov računar bez njegova znanja s ciljem dobijanja pristupa informacijama, ubacivanja skrivenih informacija ili ulaženja u trag aktivnostima korisnika, čime mogu ozbiljno narušiti njegovu privatnost. Takva sredstava trebaju biti dozvoljena isključivo u legitimne svrhe ili uz izričitu saglasnost korisnika. Jedno od tih sredstava su i tzv kolačići (cookies). Oni na primer mogu biti legitiman i koristan alat, naročito pri analiziranju statistike oglašavanja, ili za potvrdu identiteta korisnika koji su uključeni u online transakcije. Odnosno, ako su programi za prikupljanje kolačića, namenjeni legitimnim ciljevima, poput olakšavanja pružanja usluga informacionog društva, njihova upotreba treba biti dopuštena, ukoliko su se korisnici saglasili u skladu sa pravilima GDPR-a. U ovom slučaju, pasivno držanje korisnika nikako ne može značiti saglasnost za prikupljanje kolačića, već se zahteva izričit I nedvosmislen pristanak s njihove strane. Od nove uredbe koja će regulisati E-privacy čiji je predlog u proceduri, a koja će po usvajanju zameniti E-privacy direktivu očekuje se da unese značajne promene u politiku prikupljanja kolačića, da je uprosti, ali u isto vreme učini korisnike bezbednijim i omogući im viši nivo kontrole nad podacima o aktivnosti na mreži.
Još jedan važnih ciljeva E-privacy direktive bila je i kontrola obrade podataka od strane telekomunikacionih operatera i internet provajdera. Bilo je potrebno definisati ko, na koji način i koliko dugo sme obrađivati i čuvati podatke svojih korisnika. Takvi podaci se mogu koristiti i čuvati isključivo u onoj meri koja je nužna za pružanje usluge u svrhu obračuna i naplate usluge i to na ograničeno vreme. Dalja obrada takvih podataka, koju pružalac telekomunikacionih usluga želi da sprovodi eventualno za marketing promocije svojih usluga ili za pružanje usluga s posebnom tarifom, može se dopustiti samo ako se korisnik unapred saglasio, i to na osnovu precizne, sveobuhvatne, slobodne I izričite izjave volje.
Dodatna zaštita podataka korisnika odrazila se čak i na račune za plaćanje telekomunikacionih usluga, koji moraju sadržati minimum podataka neophodnih za identifikaciju korisnika. Tako, je pod uticajem ove direktive jasno razdvojen sistem uvida u listinge poziva, razmenjene poruke itd od podataka koji su namenjeni komercijalnom delu ugovora između pružaoca usluga i korisnika odnosno finansijskom aspektu saradnje. Pristup takvim podacima se ima smatrati strogo privatnim i na njega ima pravo samo korisnik odnosno državni organ pod uslovima predviđenim posebnim zakonima koji uređuju bezbednost i krivični postupak.
Direktiva je postavila i standarde po pitanju tehničke i bezbednosne opremljenosti opreme koja služi za omogućavanje telekomunikacionih usluga, a koje moraju biti usklađene sa standardima, odnosno tehničkim normama osiguranja komunikacijone opreme Evropske unije predviđene Direktivom 98/34/EZ.
Anti – spam politika E-privacy direktive
Izričito se zabranjuje automatizovanje usluga pozivanja, bez ljudske intervencije, poput faksova, automata ili elektronske pošte (email) u svrhu direktnog marketinga, osim u slučaju korisnika koji su prethodno dali svoj izričit pristanak. Prema drugom propisu EU, GDPR-a teret dokazivanja da je saglasnost data leži na strani rukovaoca podacima odnosno obrađivaču, u ovom slučaju pošiljaoca. S druge strane, ukoliko pružalac usluge ipak dobije podatke o brojevima telefona i email adresi od korisnika za svrhe marketinga, on može koristiti podatke o elektronskim adresama za tu namenu odnosno za prodaju svojih proizvoda ili usluga, ali pod slovom da se potrošačima jasno i izričito pruži mogućnost da, bez naplate te na jednostavan način, prigovore na takav način upotrebe podataka odnosno povuku datu saglasnost, i to prilikom slanja svake poruke (kasnije je GDPR detaljnije regulisao ovaj način komunikacije i davanja saglasnosti na korišćenje svojih podataka). Dalje, direktivom je izričito je zabranjena praksa slanja elektronske pošte u svrhu direktnog marketinga ako se krije identitet pošiljaoca u čije se ime komunikacija vodi, odnosno bez odgovarajuće adrese na koju primalac poruke može besplatno poslati zahtev za prestankom takve upotrebe.
Jedna od novina koja se dovodi u vezi sa ePR Uredbom je i dodatno uređenje spam odnosno nepoželjne komunikacije. Predlaže se čak i korišćenje posebnih prefiksa u telefonskim brojevima koji označavaju pozive koji za svrhu imaju prodaju roba ili usluga, kako bi korisnici kojima su pozivi upućeni mogli unapred znati koja je priroda poziva i zavisno od volje I prioriteta odlučiti da li će na predmetni poziv odgovoriti.
E-PRIVACY REGULATION (ePR) I E-PRIVACY DIRECTIVE (ePD) – RAZLIKE
Nakon stupanja na snagu GDPR-a pokrenute su i teme o eventualnim izmenama i dopunama E-privacy direktive, u smislu njenog usklađivanja i prilagođavanja Opštoj uredbi o zaštiti podataka. S obzirom da veliki deo zaštite zagarantovane direktivom (ePD) predviđa upravo ova Uredba, za neke oblasti čak i znatno višim nivoom zaštite, potrebno je da se ustanovi nov propis koji će biti neka vrsta Lex specialis zakona u odnosu na GDPR, ali sa istim obavezujućim dejstvom. Tako je najavljeno skorije usvajanje E-Privacy regulative (ePR), odnosno novog E-privacy akta na nivou uredbe, a ne direktive kako je trenutno postavljen sistem pravne zaštite u EU.
Ovde je ključno primetiti da zakonodavac podizanjem e-privacy zaštite sa nivoa direktive na nivo uredbe (regulation) samim tim želi dati veći značaj ovoj temi. Kako se direktive najpre moraju implementirati u zakonodavstvo svake zemlje da bi bile primenljive (nema direktne primene) njihov domet je ograničen, a uspešnost u ujednačavanju propisa na nivou Evropske unije upitna. Međutim, Uredbe nose znatno veći stepen obaveznosti i odlikuje ih direktna primena. Tako, svako zainteresovano lice koje potpada pod dejstva GDPR-a se može direktno pozivati na njegove norme i pravila, paralelno sa nacionalnim zakonodavstvima koja inače moraju biti usklađena sa ovim nadnacionalnim propisom.
Od ePR Uredbe se očekuje da detaljnije razradi pitanje direktnog marketinga odnosno korišćenja podataka ličnosti u te svrhe. Direktni marketing se samo na jednom mestu pominje u Opštoj uredbi o zaštiti podataka, ali se lako može izvesti zaključak koja sve pravila se primenjuju na aktivnosti marketinga. Naročito prava lica čiji se podaci obrađuju po pitanju prethodne saglasnosti, njene forme i sadržine, zatim prava na povlačenje saglasnosti, prava na protest itd.
Od ePR se očekuje da više pažnje posveti meta-podacima, koji nisu pokriveni E-privacy direktivom jer u vreme njenog donošenja prikupljanje i obrada meta podataka nisu ugrožavali bezbednost korisnika interneta kao što je to slučaj danas.
GDPR I E-PRIVACY REGULATION – KLJUČNE RAZLIKE
Iako su ova dva akta u suštini slična i za cilj imaju zaštitu privatnosti građana EU, svaki od njih se odnosi na različit deo prava Evropske unije. Može se reći da je GDPR prvenstveno okrenut zaštiti podataka ličnosti, E-privacy direktiva primarni fokus stavlja na zaštitu privatnosti u užem smislu, odnosno na zaštitu podataka korisnika interneta u smislu bezbednosti prisustva i komunikacije, zabrane neovlašćenog snimanja, prisluškivanja ili bilo kakve prismotre.
Razlika između ova dva dokumenta najbolje se može prikazati kroz Evropsku konvenciju o ljudskim pravima.
GDPR na prvom mestu štiti prava garantovana članom 8, Konvencije – prava na poštovanje privatnog i porodičnog života, što podrazumeva da svako ima pravo na poštovanje svog privatnog i porodičnog života, doma i prepiske, a javnim vlastima se zabranjuje da se mešaju u vršenje ovog prava sem ako to nije u skladu sa zakonom i neophodno u demokratskom društvu u interesu nacionalne bezbednosti, javne bezbednosti ili ekonomske dobrobiti zemlje, odnosno radi sprečavanja nereda ili kriminala, zaštite zdravlja ili morala, ili radi zaštite prava i sloboda drugih.
Moglo bi se reći da je E- privacy regulativa okrenuta zaštiti tekovina Konvencije proklamovanih članom 7, pored onih iz člana 8. Tako, niko se ne može smatrati krivim za krivično delo izvršeno činjenjem ili nečinjenjem koje, u vreme kada je izvršeno, nije predstavljalo krivično delo po unutrašnjem ili međunarodnom pravu. Isto tako, ne može se izreći stroža kazna od one koja se mogla izreći u vreme kada je krivično delo izvršeno, s tim što ovo pravilo ne utiče na suđenje i kažnjavanje nekog lica za činjenje ili nečinjenje koje se u vreme izvršenja smatralo krivičnim delom prema opštim pravnim načelima koja priznaju civilizovani narodi, a sve u kontekstu prikupljanja dokaza i praćenja korisnika, odnosno sprečavanja nekontrolisanog i nepotrebnog nadgledanja i špiuniranja. E-privacy regulacijom se štiti privatnost internet korisnika u širem smislu, na svakom koraku njegovog online prisustva i interakcije.
Kao što smo istakli, ova dva akta nisu jedan drugom suprostvljeni, niti su njihove norme u koliziji. Kao što je E-privacy direktiva doneta s namerom da bude kompatibilna i da se dopunjuje sa Direktivom o zaštiti podataka (Directive 95/46/EC), dolazeći ePR propisi će biti kompatibilni sa Uredbom o zaštiti podataka (2016/679), sa razlikom što su prve dve u formi direktiva imale ograničeno dejstvo u pogledu primene u odnosu na uredbu, kao hijerarhijski viši akt unutar Evropske unije.
I ePR i GDPR su deo evropske strategije jedinstvenog digitalnog tržišta (Digital Single Market) koji bi trebalo da u što većoj meri ujedini i ujednači tržište EU. Ukidanje rominga unutar unije, jedan je od prvih uspešnih projekata nosilaca ove strategije.
