Korona i biznis
13. ožujak 2020.

Stigao novi nacrt za ePrivacy. Opet je problem s metapodacima.

piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Nakon velikih previranja oko prijašnjeg nacrta, Hrvatsko predsjedanje Vijećem EU objavilo je novi nacrt Prijedloga Uredbe o privatnosti i elektroničkim komunikacijama - ePrivacy. Izvornik dokumenta je ovdje.

Podsjetimo se, ePrivacy će regulirati područje zaštite privatnosti i sigurnosti osobnih podataka unutar elektroničke komunikacije. GDPR i ePrivacy su kompatibilne uredbe, a u slučajevima koji se odnose na područje elektroničke komunikacije ePrivacy predstavlja lex specialis odnosno regulira pojedine aspekte koji GDPR-om nisu detaljno obuhvaćeni.

Sudeći po broju podnesenih primjedbi na prošli ePrivacy nacrt, sektori na koje će najviše utjecati njeno donošenje su izdavački i oglašivački sektor te sektor pružanja telekomunikacijskih usluga.

Što regulira ePrivacy i što je zanimljivo u novom nacrtu

ePrivacy uredba regulira zaštitu privatnosti pojedinca tijekom elektroničke komunikacije. To podrazumijeva sve oblike tradicionalne elektroničke komunikacije poput elektroničke pošte ili sms poruka ili putem različitih aplikacija za elektroničku komunikaciju, kao i sve oblike komunikacije na internetu ili društvenim mrežama. Fokus GDPR-a je zaštita osobnih podataka, dok je fokus ePrivacy sama povjerljivost komunikacija, 'koja također mogu sadržavati neosobne podatke i podatke koji se odnose na pravnu osobu'. Uredba ePrivacy nadopunjuje GDPR, zbog čega su same odredbe GDPR-a osnova za primjenu ove Uredbe.

Svi operateri koji pružaju usluge elektroničke komunikacije obvezni su zaštititi sve oblike komunikacije najnaprednijom dostupnom tehnologijom. U novom prijedlogu nacrta predložene su promjene i izmjene od čl. 6. do čl. 6.b, te je pravna osnova vezana uz obradu metapodataka (op.a. podaci o podacima – u telekom industriji to su neophodni podaci na osnovu kojih se korisniku obračunavaju konzumirane usluge) definirana legitimnim interesom, na što mnogi svjetski stručnjaci za privatnost imaju prigovor. Glavni uzrok njihove zabrinutosti je što se u velikoj mjeri odstupilo od prijašnjih nacrta te predložene izmjene čl. 6. i čl. 8., koje predviđaju da legitimni interes bude pravna osnova za obradu metapodataka i prikupljanje podataka s informatičke opreme krajnjeg korisnika, potencijalno zamjenjuju njegovu privolu.

Kolačići

Odredbama ePrivacy praćenje putem kolačića će biti moguće ukoliko je krajnji korisnik u postavkama svog Internet preglednika dozvolio instaliranje kolačića (whitelista), osim u slučaju kad se radi o kolačićima koji prikupljaju i šalju podatke koji nisu anonimni. S obzirom da kod najčešće korištenih kolačića i radi o prikupljanju i slanju anonimiziranih podataka, kod njihovog korištenja više neće biti potrebni beskonačni pop-up prozori koji su ponekad i više puta na istoj internetskoj stranici zahtijevali privolu posjetitelja stranice.

Zaštita podataka i informacijskih sustava

Europsko zakonodavstvo usmjereno je na kontinuirano podizanje razine sigurnosti fizičkih i digitalnih informacijskih sustava te regulaciju obrade podataka. Svakodnevni rast tehnoloških mogućnosti sustava baziranih na umjetnoj inteligenciji i strojnom učenju algoritmima koji se koriste triangulacijom osobnih podataka za pružanje kvalitetnije i opsežnije usluge sa sobom nosi i sve veće rizike od sigurnosnih incidenata.

Najznačajniji trend u podizanju kibernetičke sigurnosti vezanih uz olakšavanje usklađivanja s europskom pravnom regulativom bilježe investicije u međunarodne certifikate koja se odnose na informacijsku sigurnost (prednjači ISO 27001), trust servise odnosno ponajviše elektroničke potpise i elektroničke identitete (eID) te sigurnosne certifikate podatkovnih centara (data centers), kolokacijskih servisa i infrastrukture u oblaku (cloud services).

Od certifikata kibernetičke sigurnosti IoT proizvoda (Internet of Things) najčešća su ulaganja u međunarodno priznate standarde vezane uz informacijsku sigurnost (npr. ISO 27001 i srodne standarde) te digitalne sealove (Security Assurance Level) kod plasmana te vrste proizvoda na jedinstveno europsko digitalno tržište.

Upravo se na ISO 27001 kao međunarodno priznati standard informacijske sigurnosti u značajnom opsegu referira i pravni okvir informacijske sigurnosti u hrvatskom pravnom sustavu.

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn