Teisė ISSN 1392-1274 eISSN 2424-6050
2019, Vol. 113, pp. 139–154 DOI: https://doi.org/10.15388/Teise.2019.113.8
Edgaras Markevičius
Mykolo Romerio universiteto
Viešosios teisės instituto doktorantas
Ateities g. 20, LT-08303 Vilnius, Lietuva
Tel. 8 670 21972
El. paštas: <e.markeviciui@gmail.com>
Straipsnyje mėginama pristatyti reikšmingiausias e. Privatumo direktyvos įgyvendinimo praktines problemas bei analizuojama, ar e. Privatumo reglamento projekte sukuriamos jų teisinio sprendimo prielaidos.
Pagrindiniai žodžiai: Bendrasis duomenų apsaugos reglamentas, asmens duomenų apsauga, elektroninių ryšių paslaugų rinka, Reglamentas dėl privatumo ir elektroninių ryšių.
This article attempts to describe the most significant practical problems in implementing the ePrivacy Directive and analyzes whether the legal preconditions for their solution are present in the draft of ePrivacy Regulation.
Keywords: the General Data Protection Regulation, protection of personal data, market for electronic communications services, the Regulation on Privacy and Electronic Communications.
Received: 07/05/2018. Accepted: 30/09/2019
Copyright © 2019 Edgaras Markevičius. Published by Vilnius University Press
This is an Open Access article distributed under the terms of the Creative Commons Attribution Licence, which permits unrestricted use, distribution, and reproduction in any medium, provided the original author and source are credited.
Per pastaruosius metus daug buvo rašyta apie įsigaliojusį Bendrąjį duomenų apsaugos reglamentą1 (toliau – BDAR); ypač daug – didelį ūkio subjektų susidomėjimą keliančios informacijos, pabrėžiančios didelių baudų taikymo galimybę ir perversmą asmens duomenų apsaugoje. Viso šio pasirengimo BDAR įgyvendinti fone buvo kuriamas kitas Europos Sąjungos reglamentas, kuris turi galimybę padaryti ne mažesnę įtaką elektroninių ryšių paslaugų rinkai. 2017 m. spalio 26 d. Europos Parlamentas (toliau – EP) pritarė2 Europos Parlamento ataskaitai dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (toliau – e. Privatumo direktyva3) (Reglamentas dėl privatumo ir elektroninių ryšių) (COM(2017) 0010 – C8-0009/2017 – 2017/0003(COD))4 (toliau – e. Privatumo reglamento projektas5) ir ji toliau yra svarstoma Europos Komisijoje ir valstybėse narėse.
Tik nedidelė dalis visuomenės (įprastai tie, kurie susiję su elektroninių ryšių paslaugų rinka), žino apie e. Privatumo reglamento projekto teikiamus pokyčius. Šis informacijos vakuumas plačiojoje visuomenėje ypač stebina, atsižvelgiant į aplinkybę, kad planuota e. Privatumo reglamento projekto įsigaliojimo (ir e. Privatumo direktyvos panaikinimo) data buvo 2018 m. gegužės 25 d.6, t. y. Europos Komisija planavo įvykdyti plačią asmens duomenų ir privatumo teisinės apsaugos reformą tuo pačiu metu įsigaliojant ir BDAR, ir e. Privatumo reglamento projektui.
E. Privatumo reglamento projekto pagrindinė mintis yra panaši į BDAR – sustiprinti ir suderinti Europos Sąjungos valstybių narių teisinį reguliavimą, privatumą elektroninių ryšių srityje reguliuojant reglamentu (e. Privatumo reglamento projektu), o ne direktyva (e. Privatumo direktyva).
E. Privatumo direktyva papildo BDAR7, siekiant apsaugoti fizinių asmenų pagrindines teises ir ypač jų teisę į privatumą, taip pat teisėtus juridinių asmenų interesus8 ir nustato specialias elektroninių ryšių paslaugų, ypač susijusių su elektroninių ryšių paslaugų ir susijusių duomenų konfidencialumu (tiek fizinių, tiek juridinių asmenų)9, neužsakytais pranešimais (angl. spam)10, tinklo ir pačių elektroninių ryšių paslaugų saugumu11, apribotu duomenų srauto ir buvimo vietos informacijos saugojimu12, teikimo taisykles, taip pat slapukų naudojimo taisykles13 ir kita.
Nors e. Privatumo direktyvos tikslas buvo suderinti nacionalines ryšio konfidencialumo taisykles14 ir sukurti efektyvesnę privatumo apsaugą elektroninėje erdvėje, tačiau valstybių narių piliečiai nėra patenkinti savo teisių apsaugos ir įgyvendinimo lygmeniu, o industrijos atstovai – skirtingu direktyvos įgyvendinimu valstybėse narėse15.
Atsižvelgiant į aplinkybę, kad e. Privatumo direktyva neapima technologinių pokyčių, kurių atsirado telekomunikacijų ir skaitmeninių technologijų srityje per pastaruosius 15 metų (elektroniniai ryšiai nebėra iš esmės apriboti tradicinėmis telekomunikacijos paslaugomis, pvz., skambučiais ar SMS žinutėmis), o naujos kartos (palyginti su skambučiais GSM tinklu bei SMS žinutėmis) internetinėms asmenų tarpusavio ryšio paslaugoms (virštinklinėms paslaugoms; angl. OTT (Over-the- Top) services; pavyzdžiui, interneto telefonijos paslaugoms, tikralaikių pokalbių ir internetinėms e. pašto paslaugoms – Viber, Whatsapp, Netflix etc., toliau – programine įranga paremtos aplikacijos), šiuo metu galiojanti Europos Sąjungos elektroninių ryšių sistema, įskaitant e. Privatumo direktyvą, apskritai netaikoma16, nustatytas poreikis reformuoti e. Privatumo direktyvos teisinį reguliavimą bei pritaikyti jį prie šių dienų technologijų pažangos, naujos kartos paslaugų ir pasiekti e. Privatumo direktyvos teisinio reguliavimo tikslus.
Dėl nurodytų e. Privatumo direktyvos teisinio reguliavimo ir įgyvendinimo trūkumų šiuo straipsniu siekiama įvertinti, ar e. Privatumo reglamento projekto reguliavimas gali užtikrinti efektyvią privatumo apsaugą ir išspręsti e. Privatumo direktyvos taikymo problemas. Siekiant šio tikslo, straipsnyje analizuojama: (i) e. Privatumo direktyvos ir BDAR santykis bei nustatoma, ar iš tikrųjų yra specialaus teisinio reguliavimo poreikis; (ii) e. Privatumo reglamento projekto siūlomos naujovės ir vertinama, ar jo nuostatos sprendžia e. Privatumo direktyvos taikymo problemas, bei (iii) numanomos e. Privatumo reglamento projekto įgyvendinimo problemos.
Įgyvendinant išsikeltus uždavinius, buvo analizuojamas ir apibendrinamas galiojantis e. Privatumo direktyvos reguliavimas, e. Privatumo reglamento projekto nuostatos, pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės nuomonės, Europos Komisijos parengtos nuomonių tyrimo ir apklausų ataskaitos, darbiniai dokumentai. Šį straipsnį rengiant problemos ištirtumas buvo mažas, nes nėra Lietuvos mokslininkų darbų analizuojamais klausimais, užsienio mokslininkų darbuose analizuojama problema pristatoma fragmentiškai.
Prieš pradedant e. Privatumo reglamento projekto analizę, autoriaus vertinimu, mąstant kritiškai ir kvestionuojant galiojusias e. Privatumo direktyvos nuostatas, siūloma atsakyti į kritinį klausimą, ar specialus privatumo apsaugos elektroninių ryšių srityje teisinis reguliavimas yra būtinas ir ar iš tikrųjų nėra galima asmenų teisės į privatumą veiksmingai ginti bendru teisiniu reguliavimu – BDAR nuostatomis? E. Privatumo direktyva papildo BDAR, siekiant apsaugoti fizinių asmenų pagrindines teises ir ypač jų teisę į privatumą, taip pat teisėtus juridinių asmenų interesus ir nustato specialias elektroninių ryšių paslaugų teikimo taisykles. Tačiau kartais, nagrinėjant sudėtingą e. Privatumo direktyvos ar e. Privatumo reglamento projekto teisinį reguliavimą, kyla abejonė, ar, galiojant BDAR, vis dar yra atskiro e. Privatumo teisinio reguliavimo poreikis, kai BDAR taip pat skirtas fizinių asmenų pagrindinėms teisėms ir laisvėms saugoti, visų pirma teisei į asmens duomenų apsaugą17.
Nuo praėjusio šimtmečio dešimtojo dešimtmečio Europos Sąjungos teisės aktų leidėjai manė, kad būtina užtikrinti suderintas privatumo ir ryšių konfidencialumo taisykles elektroninių ryšių sektoriui. 1997 m., be 1995 m. Duomenų apsaugos direktyvos (kurią pakeitė BDAR), buvo priimta Telekomunikacijų privatumo direktyva18. 2002 m. ši direktyva buvo pakeista e. Privatumo direktyva, kuri turėjo būti labiau suderinta su naujomis technologijomis. 2009 m. priimta atnaujinta e. Privatumo direktyva. Taigi elektroninių ryšių paslaugų specifika ir išskirtinio reguliavimo poreikis buvo istoriškai pripažintas jau nuo praėjusio amžiaus pabaigos.
Šioje straipsnio dalyje keliamos hipotezės reikšmę ir dviprasmišką e. Privatumo direktyvos ir BDAR santykį geriausiai atskleisti praktiniu pavyzdžiu ar ypač mėginant situaciją vertinti iš ūkio subjekto (paslaugų teikėjo) perspektyvos. Tiek BDAR19, tiek e. Privatumo direktyvoje, norint paslaugų teikėjui pageidaujant teikti vartotojų elgesiu pagrįstos (suasmenintos) reklamos paslaugas, jiems nustatyta pareiga gauti naudotojų (duomenų subjektų) sutikimą (BDAR – dėl asmens duomenų tvarkymo, e. Privatumo direktyvoje – dėl leidimo prieiti prie naudotojo informacijos ar saugoti ją jo galiniame įrenginyje). Todėl kyla klausimas, kaip šios normos turi būti taikomos konkrečiu atveju – ar toks subjektas turi gauti vieną naudotojo sutikimą (dėl prieigos prie naudotojo galinio įrenginio suteikimo, remdamasis e. Privatumo direktyva), ar kelis (dėl prieigos suteikimo ir naudotojo asmens duomenų tvarkymo, e. Privatumo direktyvos ir BDAR pagrindu).
Atsakymas į šį klausimą priklauso nuo teisinio e. Privatumo direktyvos įvertinimo – ar atitinkamos jos nuostatos laikytinos papildančiomis BDAR, ar detalizuojančiomis jį. Pačioje e. Privatumo direktyvoje to nėra tiksliai atskleidžiama, nes direktyvos 1 straipsnio 2 dalyje nurodyta, kad ji smulkiau išaiškina ir papildo Direktyvą 95/46/EB (dabar – BDAR). Iš tiesų, e. Privatumo direktyva tiek papildo BDAR, pavyzdžiui, nustatant papildomą juridinių asmenų apsaugą 20 (palyginti su BDAR reguliavimo sritimi – fizinių asmenų duomenų apsauga), tiek jį patikslina (pavyzdžiui, žr. e. Privatumo direktyvos 15 str. nuostatas).
Analizuojant pateiktą pavyzdį, galima teigti, kad paslaugų teikėjui gavus sutikimą dėl prieigos prie naudotojo galinio įrenginio suteikimo (pvz., kuris apimtų leidimą saugoti naudotoją stebinti slapuką (angl. tracing cookie)), detalizuotą e. Privatumo direktyvos 5 straipsnio 3 dalyje, jis automatiškai gauna ir naudotojo sutikimą tvarkyti jo asmens duomenis. Šią poziciją galima grįsti argumentu, kad e. Privatumo direktyva laikytina lex specialis BDAR atžvilgiu21. Todėl jei e. Privatumo direktyva yra lex specialis BDAR atžvilgiu, jos 5 straipsnio 3 dalis gali būti lex specialis BDAR 6 straipsnio 1 dalies a punkto ir 7 straipsnio atžvilgiu. Tada, vadovaujantis bendruoju teisės principu „Lex specialis derogat legi generali“, pareigos gauti asmens duomenų subjekto sutikimą pagal BDAR reikalavimus nebėra.
Autoriaus vertinimu, pateikti argumentai galimi, tačiau vis dėlto turėtų būti vertinami kritiškai, nes analizuotos šios BDAR ir e. Privatumo direktyvos nuostatos yra skirtingos apimties, skiriasi jų objektas ir tikslas. E. Privatumo direktyvos 5 straipsnio 3 dalies nuostata nėra apribota tik asmens duomenimis – ja saugoma naudotojų teisė į privatumą apskritai, neribojant jo tik asmens duomenimis22. E. Privatumo direktyvos 5 straipsnio 3 dalyje nustatytas reikalavimas ūkio subjektams gauti prieigą prie naudotojų įrenginių (saugoti informaciją juose ar prieiti prie jau saugomos informacijos), o BDAR 6 straipsnio 1 dalies a punktas ir 7 straipsnis reglamentuoja sutikimą, reikalingą asmens duomenims tvarkyti, t. y. šios nuostatos reguliuoja skirtingus paslaugų teikėjų veiksmus. Taigi, sistemiškai analizuojant šių teisės aktų nuostatų turinį ir kiekvieno teisės akto taikymo apimtį, darytina išvada, kad e. Privatumo direktyvos 5 straipsnio 3 dalies ir BDAR 6 straipsnio 1 dalies a punkto bei 7 straipsnio reguliavimo apimtis, objektas yra pernelyg skirtingi, kad e. Privatumo direktyvos 5 straipsnio 3 dalį būtų galima laikyti lex specialis (patikslinančia) BDAR 6 straipsnio 1 dalies a punkto bei 7 straipsnio nuostatas.
Todėl, vadovaujantis pateiktais argumentais ir atsižvelgiant į e. Privatumo direktyvos 1 straipsnio 2 dalį, direktyvos 5 straipsnio 3 dalies nuostatos laikytinos papildančiomis BDAR reguliavimą ir nustatančiomis papildomą elektroninių ryšių paslaugų naudotojų apsaugą, palyginti su BDAR. Šią poziciją patvirtina ir pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės nuomonė, kuria jie atkreipė dėmesį į skirtumą tarp sutikimo, kurio reikia norint saugoti kiekvieną informaciją naudotojo galiniame įrenginyje ar gauti informaciją iš jo ir sutikimo, būtino teisiniam pagrindui tvarkyti skirtingų tipų asmens duomenis23, taip pat užsienio autorių nuomonė24.
Taip pat, autoriaus vertinimu, atskiras privatumo apsaugos elektroninių ryšių srityje teisinis reguliavimas gali būti naudingas (o galbūt ir būtinas) bent dėl kelių toliau nurodomų priežasčių.
Pirma, Europos Sąjungos teisė turėtų apsaugoti pagrindinę teisę į privatumą ir ryšių konfidencialumą25. Taigi pranešimų konfidencialumas ir privatumo apsauga Europos Sąjungos pagrindinių teisių chartijoje nėra siejama su privalomu asmens duomenų buvimu. Todėl BDAR (kuris reglamentuoja tik asmens duomenis) nėra pakankamas teisinis instrumentas, kad būtų apsaugotas ryšių konfidencialumas. Nors BDAR įgyvendina Europos Sąjungos pagrindinių teisių chartijos 8 straipsnį ir nustato taisykles, kuriomis siekiama užtikrinti, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai26, BDAR pirminis tikslas nėra apsaugoti teisę į ryšių konfidencialumą, tad teisės į privatumo apsaugą įgyvendinimas nėra detalizuotas.
Kaip pažymima pasiūlyme dėl e. Privatumo reglamento projekto preambulės 3 punkto, iš elektroninių ryšių duomenų taip pat galima gauti informacijos apie juridinius subjektus, pavyzdžiui, verslo paslaptis arba kitokios ekonominę vertę turinčios slaptos informacijos, todėl šio reglamento nuostatos turėtų būti taikomos ir fiziniams, ir juridiniams asmenims. Pavyzdžiui, rinkoje veikiantys komerciniai ūkio subjektai gali siųsti vieni kitiems konfidencialią informaciją (komercinės paslaptys, buhalterijos ar kiti jautrūs duomenys, pasiūlymai dėl elgesio vertybinių popierių biržoje etc.). Nors bendrovės yra juridiniai asmenys (kurių teisių negina BDAR, nepaisant suteikiamos apsaugos juridinių asmenų atstovų duomenims tvarkyti) ir ne visuose jų pranešimuose yra asmens duomenų, BDAR neturi būti netaikomas, tačiau ir tokiam susižinojimui būtų protinga (ir neabejotina, daugelis bendrovių tikisi) taikyti konfidencialumo apsaugą. Šiuo atžvilgiu iš Europos Žmogaus Teisių Teismo praktikos matyti, kad privataus gyvenimo sąvoka turi būti aiškinama kaip apimanti fizinių ir juridinių asmenų profesinę ar komercinę veiklą (žr. Europos Žmogaus Teisių Teismo sprendimus: 1992 m. gruodžio 16 d. sprendimo Niemietz prieš Vokietiją, serija A n° 251-B, § 29; 2002 m. balandžio 16 d. sprendimo Société Colas Est ir kt. prieš Prancūziją, Recueil des arrêts et décisions2002-III, § 41 ir 2003 m. sausio 28 d. sprendimo Peck prieš Jungtinę Karalystę, Recueil des arrêts et décisions 2003-I, § 57)27.
Antra priežastis, dėl kurios, manytina, atskiros privatumo elektroninių ryšių srityje taisyklės reikalingos, yra susijusi su vidaus rinka. Pasiūlymu dėl e. Privatumo reglamento projekto siekiama suderinti taisykles dėl teisės į privatumą ir elektroninių ryšių konfidencialumą, atsižvelgiant į bendrosios skaitmeninės rinkos interesus28. Jei Europos Sąjungos institucijos nesuderins privatumo apsaugos ir teisės į ryšių konfidencialumą elektroninių ryšių srityje, valstybės narės greičiausiai priims skirtingas šių interesų apsaugos taisykles. Todėl Europos Sąjungos lygmens taisyklių efektyvios apsaugos nebūtų įmanoma pasiekti vienodai bei taip pat būtų ribojamas tarpvalstybinis asmens ir ne asmens duomenų, susijusių su elektroninių ryšių paslaugų naudojimu, perdavimas29. Doktrinoje taip pat pateikiama nuomonių, kad naujas teisinis reguliavimas yra būtinas norint sukurti vienodas „žaidimo taisykles“ visiems rinkoje veikiantiems ir panašias elektroninių ryšių paslaugas teikiantiems ūkio subjektams30. Dėl tokios situacijos gali atsirasti įvairių nacionalinių taisyklių, galinčių trukdyti vidaus rinkai, rinkinys – t. y. egzistuos ta pati problema, kuri buvo identifikuota analizuojant e. Privatumo direktyvos efektyvumą31.
Trečia, privatumo elektroninių ryšių srityje taisyklės gali sukurti teisinį aiškumą ir užtikrinti veiksmingą teisių apsaugą. BDAR nustatyta daug bendrų nuostatų su atviromis normomis, nes BDAR nustato visuotinį režimą ir siekia įveikti daugybę skirtingų situacijų, susijusių su fizinių asmenų apsauga tvarkant jų asmens duomenis. Tokios atviros normos yra pernelyg neapibrėžtos pasiūlymu dėl e. Privatumo reglamento projekto reglamentuojamiems teisiniams santykiams ir praktinėms situacijoms. Pavyzdžiui, pasiūlymu dėl e. Privatumo reglamento projekto siekiama apsaugoti naudotojų elektroninių ryšių turinį (el. laiškus, telefono skambučius, Viber ar iMessage pranešimus ir kt.) ir jų telefonuose saugomus duomenis. Siekiant apsaugoti asmenų interesus tokiose jautriose situacijose, apsaugoti tokią konfidencialią informaciją sudėtingų elektroninių ryšių paslaugų kontekste, atviros konstrukcijos BDAR normų nepakanka.
Ketvirta, pasiūlyme dėl e. Privatumo reglamento projekto (kaip ir galiojančioje e. Privatumo direktyvoje) nustatomos taisyklės, reglamentuojančios konkrečias situacijas elektroninių ryšių kontekste, kurios nėra reglamentuojamos BDAR. Pavyzdžiui, remiantis galiojančiu teisiniu reguliavimu aiškiai neaptariamos programine įranga paremtų aplikacijų paslaugų teikėjų teikiamos tiesioginės rinkodaros paslaugos, siunčiamos naudojant VoIP technologiją (angl. Voice over Internet Protocol) ar internetu. Naujų technologijų naudojimas dar labiau sumažina tiesioginės rinkodaros sąnaudas, todėl neužsakyti pranešimai (angl. unsolicited communications), siunčiami šiais kanalais, bus dar lengviau prieinami ir pigesni siųsti32, o dėl šios priežasties – naudotojų teisę į privatumą apsaugoti bus dar sunkiau ir garantuoti apsaugą nuo neužsakytų pranešimų. Nors BDAR numatytas technologinio neutralumo principas, kuris turėtų užtikrinti aukštą asmens duomenų apsaugos lygį, nepaisant naudojamų technologijų ar technologijų pažangos33, teisinio reguliavimo naujoms technologijoms pritaikomumas, autoriaus vertinimu, yra abejotinas, kai naujos technologijos apskritai nepatenka į teisinio reguliavimo (šiuo atveju BDAR ir e. Privatumo direktyvos) taikymo sritį. Pavyzdžiui, šiuo atveju – programine įranga paremtos aplikacijos – nelaikomos elektroninių ryšių paslaugomis pagal galiojantį e. Privatumo direktyvos reguliavimą34.
Taip pat atskirai paminėtini BDAR ir e. Privatumo direktyvos teisinio reguliavimo skirtumai. BDAR nustatyti ne tik teisėto asmens duomenų tvarkymo pagrindai (BDAR 6 str.), bet ir su asmens duomenų tvarkymu susiję principai, kurie orientuoti į pačių tvarkymo veiksmų turinį (BDAR 5 str.). Iš viso teisinio BDAR reguliavimo akivaizdi valia asmens duomenų tvarkymo teisiniuose santykiuose įtvirtinti skaidrumą, nes nustatoma pareiga aiškiai informuoti vartotojus apie duomenų tvarkymo tikslus, tvarkyti tik tokį asmens duomenų kiekį, kuris yra būtinas nustatytiems duomenų tvarkymo tikslams pasiekti (duomenų kiekio mažinimo principas). Be to, BDAR 21 straipsnio nuostatomis vartotojams yra suteikiama didelė jų asmens duomenų tvarkymo kontrolė – vartotojas turi teisę tam tikrais atvejais nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi; bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, o duomenų valdytojų atsakomybė už BDAR pažeidimus tiesiogiai priklauso nuo to, kiek pastangų jie dėjo ir kaip sėkmingai užtikrino BDAR nuostatų įgyvendinimą (BDAR 24 str. 1 d., 83 str. 2 d. d) pap.).
E. Privatumo direktyvoje nustatyta galimybė gavus vartotojo sutikimą saugoti duomenis ar prieiti prie jų vartotojo galiniame įrenginyje (5 str. 3 d.), tačiau nenustatyta jokių reikalavimų, kokiems tikslams gali būti naudojami gaunami duomenys. Atkreiptinas dėmesys, kad vartotojų teisės saugomos skatinant elektroninių ryšių paslaugų teikėjus anonimizuoti duomenis (e. Privatumo direktyvos preambulės 9 p.). Taip pat, kitaip nei BDAR, e. Privatumo direktyvoje nėra įtvirtintų jokių nuostatų, susijusių su elektroninių ryšių paslaugų teikėjų atsakomybės dydžio nustatymu ar jos taikymu.
Atsižvelgiant į pateiktus argumentus, autoriaus vertinimu, specialių privatumo apsaugos taisyklių elektroninių ryšių srityje (e. Privatumo reglamento projekto) poreikis yra neabejotinas. Svarbiausios to priežastys – BDAR teikiama apsauga taikoma (i) tik fiziniams asmenims ir (ii) tik asmens duomenims. O teisė į susižinojimo privatumą, kai nėra aiškaus teisinio reguliavimo, ypač tokioje sudėtingoje ir greitai besikeičiančioje srityje kaip elektroninių ryšių teisiniai santykiai, gali būti palikta be veiksmingo ir aiškaus teisinio įgyvendinimo instrumento.
Atsižvelgiant į tai, kad ankstesniame šio straipsnio skirsnyje buvo atskleistas privatumo apsaugos elektroninių ryšių srityje išsamaus ir specifinio teisinio reguliavimo poreikis, šiame skyriuje numatoma išanalizuoti e. Privatumo reglamento projekto pagrindines naujoves ir palyginti, ar e. Privatumo direktyvos galiojimo metu identifikuotos problemos e. Privatumo reglamento projektu yra išsprendžiamos.
E. Privatumo reglamento projekto analizę tikslinga pradėti nuo jo teritorinio taikymo . Jis būtų taikomas elektroninių ryšių duomenims, kurie tvarkomi teikiant ir naudojant elektroninių ryšių paslaugas Europos Sąjungoje, nesvarbu, ar duomenys tvarkomi Sąjungoje, o siekiant, kad galutiniai paslaugų gavėjai neprarastų veiksmingos apsaugos Europos Sąjungoje, šis reglamentas taip pat turėtų būti taikomas elektroninių ryšių duomenims, kurie tvarkomi teikiant elektroninių ryšių paslaugas iš Europos Sąjungai nepriklausančių valstybių galutiniams paslaugų gavėjams Europos Sąjungoje35. Jei paslaugos teikėjas neturi Europos Sąjungos įmonės, jis turėtų paskirti atstovą, įsisteigusį vienoje iš Europos Sąjungos valstybių narių, kurioje yra tokių paslaugų galutiniai vartotojai36. Taigi, analizuojant teritorinio taikymo sritį, e. Privatumo reglamento projekto taikymo sritis geografiškai nėra apribota Europos Sąjunga ir jis galimai bus taikytinas visame pasaulyje veikiantiems ūkio subjektams, kol elektroninių ryšių paslauga galutiniai vartotojai yra Europos Sąjungoje. Ši nuostata yra panaši į BDAR teritorinio taikymo sritį.
Antra, e. Privatumo reglamento projekto materialinė taikymo sritis taip pat kinta. Jį numatoma taikyti elektroninių ryšių duomenų tvarkymui, susijusiam su elektroninių ryšių paslaugų teikimu ir naudojimu, ir informacijai, susijusiai su galiniais galutinių paslaugų gavėjų įrenginiais37. Atkreiptinas dėmesys, kad sąvoka „elektroninių ryšių paslauga“ apibrėžiama pateikiant nuorodą į direktyvos, nustatančios Europos elektroninių ryšių kodeksą, projekto 2 straipsnio 4 dalį38, kuriame ši sąvoka apibrėžta kaip paslauga, kaip apibrėžta Reglamento (ES) 2015/2120 2 straipsnio 2 dalyje, ir (arba) asmenų tarpusavio ryšio paslauga ir (arba) paslaugos, kurias visas ar daugumą sudaro signalų perdavimas, kaip antai perdavimo paslaugos, naudojamos teikti mašinų sąveikos paslaugas ir transliavimui, išskyrus elektroniniais ryšių tinklais ir paslaugomis perduodamo turinio teikimo ar redakcinės jo kontrolės paslaugas“. Atkreiptinas dėmesys, kad, palyginti su galiojančiu elektroninių ryšių paslaugų apibrėžimu, yra pašalinta apibrėžimo sudedamoji dalis, nustatanti, kad elektroninių ryšių paslauga turi visa ar daugiausia susidėti iš signalų perdavimo elektroninių ryšių tinklais, įskaitant telekomunikacijų paslaugas.
Būtent šiuo nauju apibrėžimu ir išplečiamas e. Privatumo direktyvos taikymo spektras, į jį įtraukiant programine įranga paremtas aplikacijas ir jų teikėjus. Minėta, kas šios paslaugos dažnai yra lygiavertės elektroninių ryšių paslaugoms, tačiau joms buvo ir vis dar yra taikomas skirtingas teisinis reguliavimas. Šis žingsnis ne tik logiškas, nes sukuria prielaidų toje rinkoje esantiems subjektams veikti tomis pačiomis sąlygomis, tačiau yra ir strateginis Bendrosios skaitmeninės rinkos strategijos tikslas39.
Nepaisant išdėstytų e. Privatumo reglamento projekto taikymo srities išplėtimo argumentų, jis vis dar neturėtų būti taikomas tokioms uždaroms galutinių paslaugų gavėjų grupėms kaip bendrovių tinklai, kurių prieiga teikiama tik bendrovės nariams40.
Analizuojant e. Privatumo reglamento projekto taikymo sritį, pabrėžtina, kad jame yra išlaikomos nuostatos dėl juridinių asmenų, besinaudojančių elektroninių ryšių paslaugomis, interesų apsaugos41. Taigi, kaip ir e. Privatumo direktyva, e. Privatumo reglamento projektas užtikrina susižinojimo konfidencialumo apsaugą, kuri taikoma ir juridiniams asmenims, o BDAR taikomas tik fizinių asmenų asmens duomenų apsaugai.
Trečia, e. Privatumo reglamento projekto 5 straipsnyje nustatyta bendra taisyklė, kad elektroninių ryšių duomenys turi būti konfidencialūs, o toliau projekte pateikiamos išimtys, kokiais atvejais ir kokia apimtimi elektroninių ryšių duomenų tvarkymas yra leidžiamas. Tarp elektroninių ryšių paslaugų teikėjų galimybių pasinaudoti kai kuriomis išimtinis paminėtina papildoma paslaugų teikėjo pareiga42 konsultuotis su atitinkama priežiūros institucija (laikantis BDAR 36 str. 2 ir 3 d. sąlygų).
Reglamento projekto rengėjai aiškiai siekė nustatyti universalią taisyklę (principą) dėl konfidencialumo užtikrinimo, nes e. Privatumo reglamento projekto preambulės 1 punkte nurodyta, kad konfidencialumo principas turėtų būti taikomas esamiems ir būsimiems komunikacijos būdams, įskaitant skambučius, prieigą prie interneto, tikralaikių pokalbių programėles, el. paštą, telefoninius skambučius internetu ir asmeninių žinučių siuntimą socialinėje žiniasklaidoje. Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės vertinimu, šia nuostata tikriausiai siekta apimti ir privačius pranešimus tarp socialinių tinklų naudotojų (pvz., Facebook ar Twitter) arba pranešimus, paskelbtus socialinio tinklo laiko juostoje (angl. timeline), kurie prieinami ribotam skaičiui asmenų, tačiau šios nuostatos formuluotė vertintina kaip nepakankamai tokiam tikslui pasiekti43.
Ketvirta, atskirai aptartina, autoriaus vertinimu, viena iš svarbiausių teisinio reguliavimo privatumo elektroninių ryšių srityje nuostata, susijusi su paslaugų naudotojo sutikimu, kuris turi būti duodamas elektroninių ryšių paslaugų teikėjams apribojant paslaugų naudotojo privatumą ar duomenų konfidencialumą (e. Privatumo direktyvos 5 str. 3 d.). E. Privatumo reglamento projekto 9 straipsnio 1 dalyje nustatyta, kad elektroninių ryšių paslaugų naudotojo sutikimas apibrėžiamas ir jam taikomos sąlygos, nustatytos BDAR 4 straipsnio 11 dalyje ir 7 straipsnyje. Pabrėžtina, kad e. Privatumo reglamento projekto 9 straipsnio 2 dalyje atskirai įvardyta, kad kai techniškai įmanoma ir įgyvendinama, siekiant saugoti duomenis paslaugų gavėjo galiniame įrenginyje ar prie jų prieiti, gavėjo sutikimas gali būti išreiškiamas naudojant tinkamus techninius taikomosios programos, kuri naudojama prieigai prie interneto užtikrinti, nustatymus. Ši nuostata e. Privatumo reglamento projekte detalizuojama toliau, 10 straipsnyje numatant, kad rinkai pateiktoje programinėje įrangoje, kuri naudojama elektroniniams ryšiams, be kita ko, informacijai ieškoti ir jai pateikti internete, numatoma galimybė neleisti, kad trečiosios šalys saugotų informaciją galutinio paslaugų gavėjo galiniuose įrenginiuose arba tvarkytų tuose įrenginiuose jau saugomą informaciją. O diegimo procese programinė įranga informuoja galutinį paslaugų gavėją apie galimybę nustatyti privatumo nustatymus ir prieš tęsiant diegimą prašo, kad galutinis paslaugų gavėjas duotų su nustatymais susijusį sutikimą.
Autoriaus vertinimu, nustatytas teisinis reguliavimas yra detalesnis nei prieš tai galiojęs e. Privatumo direktyvos 5 straipsnio 3 dalyje ir atnaujintos e. Privatumo direktyvos preambulės 66 punkte (nustatęs galimybę gauti paslaugų naudotojo sutikimą per atitinkamus naršyklės nustatymus ar kitas programas), tačiau neišspręs visų problemų, susijusių su šios nuostatos taikymu. Tiek galiojanti atnaujinta e. Privatumo direktyva (preambulės 66 p.), tiek e. Privatumo reglamento projektas (jau tiesiogiai) numato, kad duomenų subjekto sutikimas gali būti išreikštas pasitelkiant elektroninių ryšių paslaugoms naudojamą programinę įrangą, o Europos Sąjungos Teisingumo Teismo praktikoje buvo aiškiai nurodyta, kad asmens duomenų sutikimas turi būti išreikštas aktyviais veiksmais44. Nors e. Privatumo reglamento projekto 10 straipsnio 2 dalies nuostata ir reikalauja paslaugų gavėjo patvirtinimo dėl pasirenkamų diegiamos programinės įrangos nustatymų, autorius abejoja, ar tokiu būdu gautas naudotojo sutikimas galės būti laikomas atitinkančiu informuoto, laisvai duoto sutikimo sąlygas, nes diegiama bendrinio pobūdžio programinė įranga suteikia galimybę naudotojui priimti tik bendrinį (numatytąjį) nustatymą, o ne informuotą sutikimą naudoti konkrečią ar atskirą elektroninių ryšių paslaugą (įskaitant programine įranga paremtas aplikacijos). Pavyzdžiui, pagal e. Privatumo reglamento projektą, diegiant interneto naršyklę, naudotojams bus suteikiama teisė pasirinkti jų pageidaujamus nustatymus dėl slapukų ir galimai jų naudojimo srities (pvz., naudojimo suasmenintos reklamos tikslais), tačiau šis sutikimas bus naudojamas kaip blanketinis, visų per tą priemonę naudotojo užsakysimų elektroninių ryšių paslaugų atžvilgiu (pvz., el. pašto, socialinių tinklų ir kt. atžvilgiu) duotas sutikimas.
Penkta, e. Privatumo reglamento projekte teisinė apsauga nuo neužsakytų pranešimų iš esmės nesiskiria nuo e. Privatumo direktyvos teisinio reguliavimo. E. Privatumo reglamento projekto 16 straipsnio 6 dalyje nustatyta kokybiškai nauja pareiga pranešimus siunčiantiems subjektams informuoti galutinius paslaugų gavėjus apie tai, kad pranešimas susijęs su rinkodara (kitos minimo e. Privatumo reglamento projekto straipsnio dalyje nustatytos pareigos jau buvo įtvirtintos e. Privatumo direktyvos 13 str. 4 d.).
Galiausiai, atkreiptinas dėmesys, kad e. Privatumo reglamento projektu yra nuspręsta svarbius privatumo ir konfidencialumo apsaugos elektroninių ryšių srityje santykius saugoti nebe direktyvos, o reglamento teisiniu reguliavimu. Ši aplinkybė turėtų padėti užtikrinti de facto vienodą teisės įgyvendinimą skirtingose valstybėse narėse, aiškumą priežiūros institucijoms ir rinkoje veikiantiems ūkio subjektams. Be to, toks sprendimas (reglamentu patvirtinti BDAR detalizuojančias ir papildančias taisykles) atrodo logiškas, atsižvelgiant į didelį BDAR vaidmenį reguliuojant asmens duomenų teisinės apsaugos santykius, inter alia, ir elektroninių ryšių srityje.
Apibendrinant šiame skirsnyje nurodytus argumentus, darytina išvada, kad e. Privatumo reglamento projekte numatyta daug pakeitimų įvairiose (probleminėse ir ne) e. Privatumo direktyvos taikymo srityse. Autoriaus vertinimu, svarbiausi iš jų – e. Privatumo direktyvos taikymo srities išplėtimas (tiek teritorijos, tiek materialine prasme) ir pasirinkimas privatumo ir konfidencialumo apsaugos elektroninių ryšių srityje santykius reguliuoti reglamentu, nebe direktyva. Turint omenyje, kad e. Privatumo reglamento projekte siūlomas reguliavimas nėra savitikslis ir yra būtinas dėl konkrečių e. Privatumo direktyvos taikymo ar tikslų pasiekimo problemų, tolesniame skirsnyje pateikiamas autoriaus vertinimas, kiek naujasis siūlomas reguliavimas išsprendžia buvusias šioje srityje problemas.
E. Privatumo direktyva, kurią turėtų pakeisti e. Privatumo reglamento projektas, reguliuoja tiek savo turiniu, tiek forma sudėtingus teisinius santykius. Todėl nėra nuostabu, kad, galiojant e. Privatumo direktyvai, buvo nustatytos konkrečios jos taikymo problemos. Kaip nurodyta šiame straipsnyje, autoriaus vertinimu, šios problemos laikytinos reikšmingiausiomis: (i) valstybių narių piliečių privatumas ir konfidencialumas ryšių srityje nėra visiškai užtikrintas; (ii) valstybių narių piliečiai nėra efektyviai apsaugoti nuo neužsakytų pranešimų (angl. spam); (iii) ūkio subjektai susiduria su kliūtimis ir nebūtinomis išlaidomis dėl neaiškaus, fragmentiško ir pasenusio teisinio reguliavimo45.
Pirmoji problema, susijusi su piliečių privatumo ir konfidencialumo ryšių srityje neužtikrinimu, e. Privatumo reglamento projektu, tikėtinai, yra išsprendžiama, nes, skirtingai nei e. Privatumo direktyva, reglamento (i) taikymo materialinė sritis, pakeitus elektroninių ryšių paslaugų sąvoką, yra itin reikšmingai išplečiama, įtraukiant programine įranga paremtas aplikacijas; (ii) taikymo teritorinė sritis yra išplečiama, nustatant, kad reglamentas taikomas, kai elektroninių ryšių paslaugų gavėjas yra Europos Sąjungoje, nesvarbu, kad ir kur būtų paslaugų teikėjo buvimo vieta; (iii) sudėtingi santykiai reguliuojami reglamentu ir tai turėtų padidinti efektyvią ir vienodą teisinę apsaugą visoje Europos Sąjungoje. Ankstesniame skirsnyje identifikuotos teisinės problemos dėl paslaugų teikėjų galimybės gauti blanketinį (bendrinį) paslaugų gavėjų sutikimą prieiti prie jų duomenų galiniame įrenginyje ar saugoti informaciją jame, priėmus e. Privatumo reglamentą galimai neliks, nes e. Privatumo reglamento projekto nuostatos tokius veiksmus de jure leis46. Todėl priėmus reglamento nuostatas tokia redakcija, kokios jos yra išdėstytos šio straipsnio rengimo metu, galimai egzistuos faktinė, tačiau nebe teisinė problema dėl paslaugų gavėjų informuoto sutikimo dėl prieigos prie duomenų jų galiniame įrenginyje suteikimo. Tačiau vien nurodyti argumentai pagrindžia, kad e. Privatumo reglamento projektas, neabejotinai, užtikrins geresnę elektroninių ryšių paslaugų naudotojų privatumo ir konfidencialumo apsaugą elektroninių ryšių srityje.
Antroji problema, susijusi su valstybių narių piliečių apsauga nuo neužsakytų pranešimų, e. Privatumo reglamento projektu tiesiogiai sprendžiama nėra. Kaip nurodyta ankstesniame skirsnyje, šioje srityje nustatoma tik viena nauja neužsakytų pranešimų siuntėjų pareiga – siunčiamą pranešimą aiškiai identifikuoti kaip rinkodarinį elementą. Tačiau netiesiogiai piliečių apsauga nuo neužsakytų pranešimų e. Privatumo reglamento projektu yra stiprinama, nes jo nuostatos taikomos plačiau (tiek materialine, tiek teritorine prasme), nei iki šiol galiojusios ePrivatumo direktyvos. Todėl pagal e. Privatumo reglamento projektą, reglamentavimas dėl neužsakytų pranešimų bus taikomas platesniam spektrui ūkio subjektų, pvz., ir programine įranga paremtų aplikacijų teikėjams. Atsižvelgiant į šį argumentą, manytina, kad įvardyta problema dėl neužsakytų pranešimų, nors ir netiesioginėmis priemonėmis, tačiau e. Privatumo reglamento projekte yra sprendžiama.
Trečioji problema buvo identifikuota elektroninių ryšių srityje veikiančių ūkio subjektų ir yra susijusi su jų patiriamomis kliūtimis ir nebūtinomis išlaidomis dėl neaiškaus, fragmentiško ir pasenusio teisinio reguliavimo. Manytina, kad ši problema e. Privatumo reglamento projektu taip pat išsprendžiama, nes privatumo ir konfidencialumo apsaugos elektroninių ryšių srityje santykiai, tikėtina, bus saugomi nebe direktyva, o reglamentu. Tai turėtų padėti užtikrinti de facto vienodą teisės įgyvendinimą skirtingose valstybėse narėse, aiškumą priežiūros institucijoms bei rinkoje veikiantiems ūkio subjektams ir, be to (reguliavimo vienodinimo), suvienodinti konkurencinę aplinką iš esmės panašias paslaugas teikiantiems ūkio subjektams (pvz., skambučių paslaugas teikiantiems telekomunikacijų sektoriaus dalyviams ir programine įranga paremtų aplikacijų teikėjams). Atkreiptinas dėmesys, kad nelygiateisiškos skirtingų ūkio subjektų padėties problema yra sprendžiama ir netiesiogiai, išplėtus e. Privatumo reglamento projekto taikymą teritoriniu aspektu – asmenims, besinaudojantiems elektroninių ryšių paslaugomis Europos Sąjungoje, e. Privatumo reglamento projekto apsauga bus taikoma neatsižvelgiant į paslaugų teikėjo buvimo vietą.
Apibendrinant pateiktus argumentus, darytina išvada, kad priimtas e. Privatumo reglamentas reikšmingai prisidės prie privatumo ir konfidencialumo ryšių srityje apsaugos problemų, kurios buvo identifikuotos įvertinus e. Privatumo direktyvos nuostatas ir jų taikymo praktiką, sprendimo.
Teisės aktai dažniausiai yra skirti skirtingų šalių interesams konkrečiu klausimu suderinti. Turint omenyje, kad derinami interesai kartais būna priešingi, priimamu teisės aktu pasiekti visoms teisiniuose santykiuose dalyvaujančioms šalims priimtiną sutarimą neabejotinai yra sudėtinga užduotis. Todėl nieko keisto, kad rengiami teisės aktai yra kritikuojami skirtingus interesus turinčių subjektų atstovų ar jų grupių. Ne išimtis yra ir e. Privatumo reglamento projektas, kai dar jo rengimo metu (ir šio straipsnio rengimo metu) ūkio subjektai kritikuoja siūlomą teisinį reguliavimą. Manytina, kad, reguliuojant tokius reikšmingus – privatumo ir konfidencialumo apsaugos elektroninių ryšių srityje – teisinius santykius, kitaip būti ir negali, nes naudotojų ir rinkoje veikiančių ūkio subjektų nuomonės išsiskiria net dėl tokio pamatinio dalyko kaip specialaus (e. Privatumo reglamento projekto) teisinio reguliavimo poreikis47. Tačiau net turint omenyje, kad bet kurio proceso kritika yra neišvengiama, autoriaus vertinimu, kai kurias identifikuojamas e. Privatumo reglamento projekto įgyvendinimo problemas būtina išanalizuoti ir aptarti plačiau.
Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės vertinimu, egzistuoja problema dėl galimo vartotojų galinių įrenginių sekimo e. Privatumo reglamento projekto 8 str. 2 d. b) p. pagrindu. Jame nustatoma, kad rinkti informaciją, kuri siunčiama iš galinių įrenginių, galima, kai matomoje vietoje pateikiamas aiškus pranešimas, kuriame informuojama bent apie informacijos rinkimo sąlygas, informacijos rinkimo tikslą, už tai atsakingą asmenį ir pateikiama kita informacija (pagal BDAR 13 straipsnį reikalaujama pateikti tais atvejais, kai renkami asmens duomenys); taip pat informuojama apie priemones, kurių galinius įrenginius naudojantis galutinis paslaugų gavėjas gali imtis, kad sustabdytų informacijos rinkimą̨ arba kuo labiau sumažintų to rinkimo mastą. Darbo grupės vertinimu, tokiu atveju e. Privatumo reglamento projekto nuostatos sukuria įspūdį, kad ūkio subjektai gali rinkti informaciją, kurią išleidžia galinė įranga, kad būtų galima stebėti asmenų fizinį judėjimą (pvz., stebėti naudotojus WiFi arba Bluetooth technologijos pagrindu) be suinteresuoto asmens sutikimo, o šalis, renkanti šiuos duomenis, viso labo gali informuoti vartotojus, kad jie gali išjungti savo įrenginius, jei nenori būti stebimi48. Toks požiūris prieštarautų pagrindiniam Europos Komisijos telekomunikacijų politikos tikslui užtikrinti greitą mobiliojo interneto ryšį, garantuojant tvirtą privatumo apsaugą visiems europiečiams tarpvalstybiniu mastu49.
Antra, e. Privatumo reglamento projekte numatyta galimybė vartotojui duoti sutikimą dėl prieigos prie galiniame įrenginyje saugomų duomenų diegiant (net nebūtinai to paties paslaugų teikėjo) programinę įrangą, kuria ar jos pagrindu yra teikiamos elektroninių ryšių paslaugos (10 str. 2 d., plačiau žr. šio straipsnio 4.1 skirsnį). Nors pasiūlytame reglamente programinės įrangos tiekėjai ir yra įpareigojami vartotojams pasiūlyti pasirinkti – saugoti savo privatumą ar sutikti su siūlomu nustatymu, toks pasirinkimas neatitinka deklaruotos „privatumas pagal nutylėjimą“ politikos (angl. privacy by default), nors būtent dėl tokių priežasčių, remiantis BDAR, buvo pasirinkta sąmoninga privatumo apsaugos politikos kryptis – duomenų apsaugos ir privatumo principus traktuoti kaip numatytąsias nuostatas (angl. default settings ir privacy by design)50.
Trečia, tiek galiojantis asmens duomenų apsaugos teisinis reguliavimas, tiek e. Privatumo reglamento projektas pažodžiui nedraudžia elektroninių paslaugų teikėjams teikti „priimk arba išeik“ (angl. take it or leave it arba tracking wall) pasirinkimus naudotojams ir iš esmės interneto tinklalapių valdytojams leidžiama įdiegti vartotojų stebėjimo mechanizmus, kurie neleidžia tiems lankytojams patekti į tinklalapius, kurie nesutinka, kad juos būtų galima stebėti51. Atsižvelgiant į interneto svarbą piliečių gyvenime apskritai ir ypač suteikiant pagrindinę teisę į saviraiškos laisvę, įskaitant teisę susipažinti su informacija, asmens galimybė pasiekti turinį internete neturėtų priklausyti nuo to, ar jis suteikia prieigą prie savo įrenginio ir ar yra stebima jo veikla galiniuose įrenginiuose ir svetainėse / programose52. Todėl e. Privatumo reglamento projekte turėtų būti nurodyta, kad prieiga prie elektroninių ryšių paslaugos turinio, pvz., interneto svetainėse ir programose, negali būti teikiama tik su sąlyga, kuria reikalaujama sutikti su tokia invazyvia veikla, neatsižvelgiant į taikomą stebėjimo technologiją, ypač turint omenyje minėtą deklaruotą „privatumo pagal nutylėjimą“ (angl. privacy by default) politiką53.
Ketvirta, doktrinoje pateikiama nuomonė, kad galiojanti vartotojo sutikimui keliama sąlyga „duotas laisvai“ yra neaiški, todėl tikslinga detalizuoti ir teisinio reguliavimo srityje įtvirtinti bent nebaigtinį sąrašą aplinkybių, kurių įvertinimas (ar atsižvelgimas į kurias) leistų daryti išvadas apie duoto sutikimo tinkamumą ir galiojimą (angl. validity)54.
Penkta, kai kurie reklamos rinkoje veikiantys ūkio subjektai rekomenduoja e. Privatumo reglamente palikti e. Privatumo direktyvos preambulės 25 straipsnio paaiškinimą, kad priėjimas prie tam tikro tinklalapių turinio naudotojui gali būti siejamas su jo aiškiai išreiškiamu sutikimu leisti įtaisyti „sausainėlį“ (angl. cookie) ar kitą panašų įtaisą, naudojamą teisėtais tikslais. Europos interaktyvios reklamos biuras nurodo, kad, to neatlikus, būtų sukelta didelė grėsmė reklama finansuojamoms paslaugoms internete, dėl kurio reikšmingai sumažėtų tokių (nemokamų) paslaugų kokybė ar kiekis bei būtų apmokestinta daugybė anksčiau nemokamų paslaugų55.
Apibendrinant nurodytus argumentus, susijusius su e. Privatumo reglamento projekto turinio problemomis, darytina išvada, kad tikslintinų nuostatų reglamento projekte, be abejo, yra. Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės pateiktą nuomonę, kai kuriais atvejais e. Privatumo reglamento projekto teisinis reguliavimas netgi sumažina privatumo apsaugos lygį, suteikiamą BDAR reguliavimu, teritorinė ir subjektų taikymo sritis turėtų būti išplėsta, prieigos prie vartotojų galinių įrenginių apsauga turi būti sustiprinta, tiesioginės rinkodaros teisinis reguliavimas – patikslintas56. Tačiau, nepaisant pateikiamos kritikos, neabejotina, kad bent dalis e. Privatumo direktyvos taikymo problemų bus išspręsta, elektroninių ryšių paslaugų naudotojų teisėms bus taikoma didesnė teisinė apsauga nei iki šiol (e. Privatumo direktyvos pagrindu), o konkuruojantys paslaugų teikėjai veiks, nors ir griežtesnėmis, tačiau, tikėtina, visiems rinkos dalyviams vienodomis sąlygomis.
1. E. Privatumo direktyvos nuostatos laikytinos papildančiomis BDAR reguliavimą ir nustatančiomis papildomą elektroninių ryšių paslaugų naudotojų apsaugą. BDAR apsauga teikiama (i) tik fiziniams asmenims ir (ii) tik asmens duomenims, todėl e. Privatumo direktyvos teisinis reguliavimas ir jo atnaujinimas e. Privatumo reglamentu yra būtinas, norint užtikrinti veiksmingą asmenų privatumo apsaugą.
2. E. Privatumo reglamento projekto teisinis reguliavimas pasižymi šiomis reikšmingiausiomis naujovėmis:
(i) E. Privatumo reglamento projekto taikymo sritis geografiškai nėra vien Europos Sąjunga ir jis galimai bus taikomas visame pasaulyje veikiantiems ūkio subjektams, kol elektroninių ryšių paslaugų galutiniai vartotojai yra Europos Sąjungoje;
(ii) išplečiamas e. Privatumo direktyvos taikymo spektras, į jį įtraukiant programine įranga paremtas aplikacijas ir jų teikėjus;
(iii) detalizuojami reikalavimai paslaugų naudotojo sutikimui, duodamam elektroninių ryšių paslaugų teikėjams apribojant paslaugų naudotojo privatumą ar duomenų konfidencialumą.
3. E. Privatumo reglamento atnaujintas teisinis reguliavimas yra kritikuotinas dėl kelių aspektų:
(i) ūkio subjektai gali rinkti informaciją, kurią išleidžia galinė įranga, kad būtų galima stebėti asmenų fizinį judėjimą (pvz., stebėti naudotojus pasitelkus WiFi arba Bluetooth technologijas) be vartotojo sutikimo;
(ii) nuostatos, susijusios su vartotojų sutikimo dėl prieigos prie galiniame įrenginyje saugomų duomenų, laikytinos nepakankamai aiškiomis ir neatitinka deklaruotos „privatumas pagal nutylėjimą“ politikos (angl. privacy by default) ir formuojamo aukšto privatumo apsaugos standarto;
(iii) nustatomas griežtesnis privatumo apsaugos teisinis reguliavimas kelia grėsmę reklama finansuojamoms paslaugoms internete, dėl kurių gali reikšmingai sumažėti tokių (nemokamų) paslaugų kokybė ar kiekis.
1. Europos Parlamento ir Tarybos reglamentas 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OJ L 119, 4.5.2016.
2. Europos Parlamento ir Tarybos 2002 m. liepos 12 d. direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), L 201, 31/07/2002.
3. Europos Parlamento ir Tarybos direktyva Nr. 97/66/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos telekomunikacijų sektoriuje.
4. Europos Komisijos pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM/2017/010, 2017/0003(COD). [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2017:0010:FIN>
5. Europos Sąjungos pagrindinių teisių chartija, OJ C 326, 26.10.2012.
6. Europos Sąjungos Teisingumo Teismo 2008 m. vasario 14 d. sprendimas byloje C-450/06.
7. Europos Sąjungos Teisingumo Teismo 2010 m. birželio 29 d. sprendimas byloje C-28/08.
8. VOSS, G. W. First the GDPR, Now the Proposed ePrivacy Regulation, Journal of Internet Law, Vol. 21, No. 1.
9. BORGESIUS, F. J. Z; KRUIKEMEIER, et. al. Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, European Data Protection Law Review Vol. 3 (2017), < https://doi.org/10.21552/edpl/2017/3/9>.
10. Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2010 m. birželio 22 d. nuomonė Nr. 2/2010 dėl elgesiu pagrįstos reklamos (angl. behavioural advertising) [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_en.pdf>.
11. Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2013 m. vasario 27 d. nuomonė Nr. 02/2013 dėl aplikacijų išmaniuosiuose įrenginiuose (angl. apps on smart devices) [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf>.
12. Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. nuomonė Nr. 01/2017 dėl ePrivatumo reglamento projekto [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/document.cfm?doc_id=44103>.
13. 2017 m. spalio 26 d. Europos Parlamento protokolas [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą <http://www.europarl.europa.eu/sides/getDoc.do?type=PV&reference= 20171026&secondRef=ITEM-010-05&language=LT&ring=A8-2017-0324>.
14. Europos Parlamento 2017 m. spalio 23 d. pranešimas dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM(2017) 0010 – C8-0009/2017 – 2017/0003(COD) [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0324+0+DOC+XML+V0//LT>.
15. Europos Komisijos ataskaita dėl viešos konsultacijos apie e-privatumo direktyvos įvertinimą ir peržiūrą [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40777>.
16. Europos Komisijos darbuotojų 2017 m. sausio 10 d. darbinis dokumentas – poveikio analizė dėl ePrivatumo reglamento projekto, SWD(2017) 3 final, skirsnis Nr. 1.3.2 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52017SC0003>.
17. Europos Komisijos komunikatas Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos bendrosios skaitmeninės rinkos strategija“, COM(2015) 192 final.
18. Europos Komisijos užsakymu atlikta direktyvos 2002/58 įvertinimo ir peržiūros galutinė ataskaita [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/document.cfm?doc_id=41232>.
19. Europos interaktyvios reklamos biuro 2017 m. kovo 28 d. pozicija dėl ePrivatumo reglamento projekto [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://iabeurope.eu/wp-content/uploads/2018/06/IABEU_ePR_Position_Paper_2018.pdf>.
Edgaras Markevičius
(Mykolas Romeris University)
In the recent years, the entry into force of the General Data Protection Regulation (GDPR) has caused a great deal of fuss, in particular regarding the possibility of hefty fines and a promised breakthrough in the protection of personal data. In the light of all this preparation for the implementation of the GDPR, another European Union regulation has been developed which has the potential to have no less of an impact on the market for electronic communications services – the Regulation on Privacy and Electronic Communications, which is being negotiated in the European Commission and Member States.
Even though aim of the ePrivacy Directive was to harmonize national rules on confidentiality of communications, its application faced challenges, and, in reality, the situation seems far from harmonized, with different implementation occurring in the Member States and seemingly ineffective protection and enforcement of citizens’ rights.
The ePrivacy Directive does not cover the technological changes that have occurred in telecommunications and digital technologies over the last 15 years (electronic communications are no longer largely restricted to traditional telecommunication services such as GSM calls or SMS), and the next generation (when compared to GSM and SMS) OTT (Over-the-Top) services (e.g. Viber, Whatsapp, Netflix, etc.) are not covered at all by the current European Union electronic communications system, including the ePrivacy Directive.
This article presents the author’s assessment of the problems identified in the application of the ePrivacy Directive and the solving thereof in the ePrivacy Regulation. The paper concludes that there is a need for special rules that provide additional and GDPR-supplementing legal protection, due to the peculiarities of electronic communications services. According to the author, the draft ePrivacy Regulation introduces updated rules that take into account the technological developments of the last decade and the expectations of users regarding the protection of their privacy in when using electronic communications services. Although the draft of ePrivacy Regulation can be subject to criticism, it is likely that some of the problems of the ePrivacy Directive will be resolved by the new regulation.
Edgaras Markevičius
(Mykolo Romerio universitetas)
Per pastaruosius metus didelį susidomėjimą sukėlė įsigaliojęs Bendrasis duomenų apsaugos reglamentas (toliau – BDAR); ypač daug informacijos buvo skleista apie didelių baudų taikymo galimybę ir žadamą perversmą asmens duomenų apsaugoje. Viso šio pasirengimo BDAR įgyvendinti fone buvo kuriamas kitas Europos Sąjungos reglamentas, kuris turi galimybę padaryti ne mažesnę įtaką elektroninių ryšių paslaugų rinkai – Reglamentas dėl privatumo ir elektroninių ryšių, kuris yra svarstomas Europos Komisijoje ir valstybėse narėse.
Galiojant e. Privatumo direktyvai išryškėjo jos taikymo problemų, siekiant suderinti nacionalines ryšio konfidencialumo taisykles, tačiau tikrovėje situacija atrodo toli nuo suderintos, valstybėms narėms skirtingai įgyvendinus direktyvą, ir su skirtingu direktyvos įgyvendinimu valstybėse narėse ir neefektyvia valstybių narių piliečių teisių apsauga ir jų įgyvendinimo lygmeniu.
E. Privatumo direktyva neapima technologinių pokyčių, kurių atsirado telekomunikacijų ir skaitmeninių technologijų srityje per pastaruosius 15 metų (elektroniniai ryšiai nebėra iš esmės apriboti tradicinėmis telekomunikacijos paslaugomis, tai skambučiai ar SMS žinutės), o naujos kartos (palyginti su skambučiais GSM tinklu ir SMS žinutėmis) internetinėms asmenų tarpusavio ryšio paslaugoms (virštinklinėms paslaugoms; angl. OTT (Over-the- Top) services; pvz., Viber, Whatsapp, Netflix etc.), šiuo metu galiojanti Europos Sąjungos elektroninių ryšių sistema, įskaitant e. Privatumo direktyvą, apskritai netaikoma.
Straipsnyje pristatomas autoriaus nustatytų e. Privatumo direktyvos taikymo problemų sprendimo e. Privatumo reglamente vertinimas. Pasisakoma dėl specialių taisyklių, suteikiančių papildomą, palyginti su BDAR, teisinę apsaugą ar BDAR nustatytą apsaugą detalizuojančių, poreikio dėl elektroninių ryšių paslaugų specifikos. Autoriaus vertinimu, e. Privatumo reglamento projekte nustatomos atnaujintos taisyklės, kurios atsižvelgia į pastarojo dešimtmečio technologinius pokyčius ir į paslaugų naudotojų lūkesčius dėl jų privatumo apsaugos elektroninių ryšių srityje. Nors e. Privatumo reglamento projekte nustatytas teisinis reguliavimas ir turi kritikuotinų elementų, tačiau, tikėtina, bent dalis e. Privatumo direktyvos taikymo problemų naujuoju reglamentavimu bus išspręsta.
1 Europos Parlamento ir Tarybos reglamentas 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OJ L 119, 4.5.2016.
2 2017 m. spalio 26 d. Europos Parlamento protokolas [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą <http://www.europarl.europa.eu/sides/getDoc.do?type=PV&reference= 20171026&secondRef=ITEM-010-05&language=LT&ring=A8-2017-0324>.
3 Europos Parlamento ir Tarybos 2002 m. liepos 12 d. direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), L 201, 31/07/2002.
4 Europos Parlamento 2017 m. spalio 23 d. pranešimas dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM(2017) 0010 – C8-0009/2017 – 2017/0003(COD) [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0324+0+DOC+XML+V0//LT>.
5 Europos Komisijos pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM/2017/010, 2017/0003(COD) [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2017:0010:FIN>.
6 Ten pat, 29 str.
7 Ten pat, 94, 95 str.
8 Europos Parlamento ir Tarybos 2002 m. liepos 12 d. direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), L 201, 31/07/2002, preambulės 12 p.
9 Ten pat, 5 str.
10 Ten pat, 13 str.
11 Ten pat, 4 str.
12 Ten pat, 9 str.
13 Ten pat, 5 str. 3 p.
14 Ten pat, preambulės 8 p.
15 Ten pat.
16 Europos Komisijos pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM/2017/010, 2017/0003(COD) [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2017:0010:FIN>, 2 psl., 1.1 p.
17 Europos Parlamento ir Tarybos reglamentas 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OJ L 119, 4.5.2016, 1 str. 2 d.
18 Europos Parlamento ir Tarybos direktyva Nr. 97/66/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos telekomunikacijų sektoriuje.
19 Europos Parlamento ir Tarybos reglamentas 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OJ L 119, 4.5.2016, 6 str. 1 d. 1 p., 7 str.
20 Europos Parlamento ir Tarybos 2002 m. liepos 12 d. direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), L 201, 31/07/2002, 1 str. 2 d.
21 Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2010 m. birželio 22 d. nuomonė Nr. 2/2010 dėl elgesiu pagrįstos reklamos (angl. behavioural advertising), p. 10 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_en.pdf>.
22 Europos Parlamento ir Tarybos 2002 m. liepos 12 d. direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), L 201, 31/07/2002, preambulės 24 p.
23 Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2013 m. vasario 27 d. nuomonė Nr. 02/2013 dėl aplikacijų išmaniuosiuose įrenginiuose (angl. apps on smart devices), p. 14 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf>.
24 VOSS, G. W., First the GDPR, Now the Proposed ePrivacy Regulation, Journal Of Internet Law, Vol. 21, No. 1, p. 4.
25 Europos Sąjungos pagrindinių teisių chartija, OJ C 326, 26.10.2012, 7 str.
26 Ten pat, 8 str.
27 Europos Sąjungos Teisingumo Teismo 2008 m. vasario 14 d. sprendimas byloje C-450/06, para 48.
28 Europos Komisijos pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM/2017/010, 2017/0003(COD), p. 2.
29 Ten pat, p. 4.
30 VOSS, G. W. First the GDPR, Now the Proposed ePrivacy Regulation, Journal Of Internet Law, Vol. 21, No. 1, p. 5.
31 Europos Komisijos ataskaita dėl viešos konsultacijos apie e-privatumo direktyvos įvertinimą ir peržiūrą, p. 3 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40777>.
32 Europos Komisijos darbuotojų 2017 m. sausio 10 d. darbinis dokumentas – poveikio analizė dėl ePrivatumo reglamento projekto, SWD(2017) 3 final, skirsnis Nr. 1.3.2 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52017SC0003>.
33 Europos Parlamento ir Tarybos reglamentas 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), OJ L 119, 4.5.2016, preambulės 15 p.
34 VOSS, G. W. First the GDPR <...>, p. 5.
35 Europos Komisijos pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM/2017/010, 2017/0003(COD), preambulės 9 p.
36 Ten pat, 3 str. 2 ir 3 d.
37 Ten pat, 2 str. 1 d.
38 Ten pat, 4 str. 1 d. b p.
39 Komisijos komunikatas Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos bendrosios skaitmeninės rinkos strategija“, COM(2015) 192 final.
40 Ten pat, preambulės 13 p.
41 Ten pat, preambulės 3 p., 1 str. 1 p.
42 Ten pat, 6 str. 3 d. b p.
43 Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2017 m. balandžio 4 d. nuomonė Nr. 01/2017 dėl e. Privatumo reglamento projekto, p. 28 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/document.cfm?doc_id=44103>.
44 Europos Sąjungos Teisingumo Teismo 2010 m. birželio 29 d. sprendimas byloje C-28/08, para 77.
45 Europos Komisijos užsakymu atlikta direktyvos 2002/58 įvertinimo ir peržiūros galutinė ataskaita, p. 230 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/document.cfm?doc_id=41232>.
46 Europos Komisijos pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM/2017/010, 2017/0003(COD), 10 str. 2 d.
47 63,4 proc. apklaustų ūkio subjektų nurodė, kad ES lygmens reguliavimas nėra būtinas siekiant užtikrinti privatumą ir konfidencialumą, o 90,3 proc. vartotojų mano priešingai. Plačiau žr. Europos Komisijos ataskaitą dėl viešos konsultacijos apie e-privatumo direktyvos įvertinimą ir peržiūrą, p. 4–5 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=40777>.
48 Pagal 29 straipsnį įkurtos duomenų apsaugos darbo grupės 2013 m. vasario 27 d. nuomonė Nr. 01/2017 dėl e. Privatumo reglamento projekto, p. 11 [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <http://ec.europa.eu/newsroom/document.cfm?doc_id=44103>.
49 Ten pat.
50 Ten pat, p. 14.
51 BORGESIUS, F. J. Z; KRUIKEMEIER, et. al., Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, European Data Protection Law Review, Vol. 3 (2017), p. 355.
52 Ten pat, p. 15.
53 VOSS, G. W. First the GDPR <...>, p. 8.
54 BORGESIUS, F. J. Z; KRUIKEMEIER, et. al., Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, European Data Protection Law Review, Vol. 3 (2017), p. 368.
55 Europos interaktyvios reklamos biuro 2017 m. kovo 28 d. pozicija dėl ePrivatumo reglamento projekto [interaktyvus. Žiūrėta 2019 m. rugpjūčio 18 d.]. Prieiga per internetą: <https://www.iabeurope.eu/wp-content/.../06/IABEU_ePR_Position_Paper_2018.pdf>.
56 Ten pat, p. 10.