16. studenog 2023. Europski odbor za zaštitu podataka ("EDPB") objavio je svoje Smjernice 2/2023 o tehničkom opsegu čl. 5 (3) ePrivacy Direktive. Članak 5. stavak 3. ePrivacy Direktive je tijekom godina postao poznat kao "pravilo kolačića". Ipak, članak 5. odnosi se na više toga, a ne samo na kolačiće: „[…] pohranjivanje informacija ili dobivanje pristupa informacijama koje su već pohranjene u terminalnoj opremi pretplatnika ili korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik dao pristanak, nakon što su mu dane jasne i iscrpne informacije.”
Cilj Smjernica EDPB-a je razjasniti koja vrsta tehnologija praćenja (uz kolačiće) spada u tehnički opseg gore navedenih zahtjeva za obavijest i pristanak, tj. kada se zahtjev primjenjuje na nove metode praćenja. Kako bi postigao tu svrhu, EDPB provodi analizu različitih sastavnica članka 5. stavka 3. ePrivacy Direktive i to dijelove koje se odnose na: (1) informacije; (2) terminalnu opremu; (3) elektroničku komunikacijsku mrežu; (4) dobivanje pristupa; i (5) pohranjene informacije i općenito pohranu.
O definicijama....
EDPB navodi da „pojam informacije uključuje i neosobne podatke i osobne podatke, bez obzira na to kako su ti podaci pohranjeni i tko ih je pohranio.” Ovo potvrđuje da se članak 5. stavak 3. primjenjuje bez obzira na to uključuje li upotreba kolačića ili sličnih tehnologija za pohranu ili pristup informacijama na nečijoj terminalnoj opremi obradu osobnih podataka (u kontekstu Opće uredbe o zaštiti podataka EU-a).
Što se tiče onoga što bi se trebalo smatrati terminalnom opremom, EDPB tvrdi da se ePrivacy Direktiva može primijeniti na uređaje koje koristi više korisnika te da se terminalna oprema može sastojati od bilo kojeg broja pojedinačnih dijelova hardvera, koji zajedno čine terminalnu opremu. Primjer uređaja koji se mogu smatrati terminalnom opremom prema ePrivacy Direktivi uključuje pametne telefone, prijenosna računala, automobile, televizore i pametne naočale.
„Elektronička komunikacijska mreža” – EDPB potvrđuje da široka definicija ovog pojma znači da se članak 5.stavak 3. zapravo primjenjuje na svaki mrežni sustav koji dopušta prijenos elektroničkih signala.
„Dobivanje pristupa ili pohrane” – EDPB pojašnjava da se zahtjev za pristankom primjenjuje kada tvrtka ili pohranjuje informacije ili dobiva pristup. EDPB također navodi da se zahtjev za pristankom primjenjuje:
- Gdje tvrtka postavlja softver na terminalnu opremu za generiranje specifičnih informacija koje će biti pohranjene. Nadalje, EDPB naglašava da članak 5. ne postavlja nikakva gornja ili donja ograničenja na duljinu vremena koje informacije moraju ostati na mediju za pohranu da bi se smatrale "pohranjenima", niti na to koliko je informacija pohranjeno. To implicira da se čak i vrlo kratkotrajno zadržavanje informacije (npr. predmemorija) može smatrati pohranom.
- Kada tvrtka uopće želi pristupiti bilo kojoj informaciji na uređaju, bez obzira na podrijetlo informacije (tj. bez obzira na to je li informacija generirana od strane samog uređaja ili, na primjer, pomoću kolačića ili drugih programa za praćenje postavljenih na uređaju) i poduzima korake za dobivanje tog pristupa. EDPB dalje navodi da je kada tvrtka šalje posebne upute terminalnoj opremi kako bi ubuduće primala informacije, na primjer, kada kolačići web stranice daju upute internetskom pregledniku da pošalje informacije u svakom sljedećem HTTP zahtjevu, potreban pristanak.
S druge strane, članak 5. stavak 3. neće se primjenjivati ako aplikacije na terminalnoj opremi obrađuju informacije u potpunosti na uređaju (npr. pristup kameri, mikrofonu, GPS senzoru ili akceleratoru na pametnom telefonu), a informacije ne napuštaju uređaj.
EDPB nadalje daje nekoliko primjera specifičnih tehnologija na koje se primjenjuje članak 5. stavak 3. Mnogi od njih su dobro poznati, na primjer praćenje piksela, prikupljanje lokalno generiranih informacija putem API-ja ili prikupljanje identifikatora koji su hashirani na uređaju. Drugi, međutim, predstavljaju ekspanzivno tumačenje propisa i mogu biti kontroverzniji. Konkretno, EDPB navodi da je praćenje URL-ova podložno članku 5. stavku 3. jer se oznake URL-a (tj. nizovi brojeva i slova koji se dodaju URL-ovima za identifikaciju, na primjer, klika na oglas) pohranjuju na terminalnoj opremi, “barem kroz mehanizam predmemoriranja softvera na strani klijenta”.
Smjernice su otvorene za javno savjetovanje do 28. prosinca 2023., a više o detaljnoj analizi Smjernica pročitajte u našim blogovima.
