Sam naslov je dosadan i nejasan, stoga ovim postom želimo približiti ovu temu svima, jer se zaista odnosi na sve vlasnike web stranica i raznih aplikacija na internetu, od raznih kolačića i pixela, praćenja prema IP adresi, najava nekih tehnoloških giganata da će ukinuti kolačiće treće strane, IoT tehnologije, ma svakakve kombinacije su tu.
Nove EDPB Smjernice - Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive od 07.10.2024. dostupne su ovdje:
Pa što kažu?
Jel ima nešto bitno u njima?
Temelj cijele priče leži u odredbama članka 5(3) ePrivacy Direktive 2002/58/EC iz 2002. godine, koji kaže, priprostim rječnikom prevedeno:
„pohrana informacija ili pristup već pohranjenim informacijama na terminalnoj opremi korisnika je dozvoljena samo temeljem pristanka korisnika ili kad je to nužno za određene zakonite svrhe.“
„Terminalna oprema korisnika elektroničkih komunikacijskih mreža i sve informacije pohranjene na takvoj opremi dio su privatne sfere korisnika i zahtijevaju zaštitu prema Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda kao i temeljem članka 7. Povelje EU o temeljnim ljudskim pravima.“
A što je obuhvaćeno pojmom terminalne opreme?
To može, ali ne mora, biti u obliku fizički zatvorenog uređaja koji ugošćuje sav hardver za prikaz, obradu, pohranu i periferni hardver (na primjer, pametni telefoni, prijenosna računala, mrežni uređaj za pohranu, povezani automobili ili povezani televizori, pametne naočale).
Kad god neka strana poduzme korake prema dobivanju pristupa informacijama pohranjenim u terminalnoj opremi, primjenjivat će se članak 5(3) ePrivacy Direktive.
Obično to podrazumijeva da strana koja pristupa proaktivno šalje specifične upute terminalnoj opremi kako bi natrag primio ciljane informacije. Na primjer, to je slučaj s kolačićima, gdje jedna strana koja pristupa daje upute terminalnoj opremi da proaktivno šalje informacije o svakoj sljedećoj Hypertext Transfer Protocol ('HTTP') komunikaciji.
To je jednako slučaj kada jedna strana koja distribuira softver na terminalnoj opremi korisnika i proaktivno poziva krajnju točku sučelja za programiranje aplikacije ('API') preko mreže. Dodatni primjeri uključuju JavaScript kod, gdje strana koja pristupa upućuje pregledniku korisnika da pošalje asinkrone zahtjeve s ciljanim informacijama. Takav pristup jasno spada u područje primjene članka 5. stavka 3. ePrivacy Direktive, budući da strana koja pristupa izričito daje upute terminalnoj opremi da pošalje informacije.
S druge strane, postoje neki konteksti u kojima lokalne aplikacije instalirane u terminalnoj opremi koriste neke informacije isključivo unutar terminala, kao što bi to mogao biti slučaj za API-je sustava pametnih telefona (pristup kameri, mikrofonu, GPS senzoru, akceleratorskom čipu, radiju čip, pristup lokalnim datotekama, popis kontakata, pristup identifikatorima itd.). To također može biti slučaj s web-preglednicima koji obrađuju podatke pohranjene ili generirane unutar uređaja (kao što su kolačići, lokalna pohrana, WebSQL ili čak informacije koje pružaju sami korisnici). Upotreba takvih informacija od strane aplikacije ne bi predstavljala „stjecanje pristupa informacijama koje su već pohranjene” u smislu članka 5. stavka 3. ePrivacy Direktive sve dok informacije ne napuste uređaj, ali kada se pristupi tim informacijama, primjenjuje se članak 5(3) ePrivacy Direktive.
Naposljetku, u nekim slučajevima neke strane distribuiraju elemente zlonamjernog softvera, na primjer softver za kripto rudarenje ili općenito zlonamjerni softver, iskorištavajući sposobnosti obrade terminalske opreme za dobrobit aktera koji distribuira. Distribucija navedenog zlonamjernog softvera u korisničkoj terminalnoj opremi predstavljala bi „pohranu” u smislu članka 5. stavka 3. ePrivacy Direktive. Nadalje, ako bi softver uspostavio mrežnu vezu za slanje informacija u kasnijoj fazi, to bi predstavljalo „stjecanje pristupa” u smislu članka 5. stavka 3. ePrivacy Direktive.
Piksel za praćenje je hiperlink na izvor, obično ne ispunjava svrhu koja se odnosi na sam traženi sadržaj; jedina mu je svrha automatski uspostaviti komunikaciju klijenta s hostom piksela, što se inače ne bi dogodilo. To, međutim, nije sustavno i pikseli za praćenje također se mogu stvoriti dodavanjem dodatnih informacija hiperlinku koji učitava slike koje su relevantne za sadržaj koji se prikazuje korisniku. Uspostavom komunikacije prenose se različite informacije hostu piksela, ovisno o specifičnom slučaju uporabe.
U slučaju e-maila, pošiljatelj može uključiti piksel za praćenje kako bi otkrio kada primatelj čita mailove. Pikseli za praćenje na web stranicama mogu se povezati sa stranom koji prikuplja mnoge takve zahtjeve i tako može pratiti ponašanje korisnika. Takvi pikseli za praćenje također mogu sadržavati dodatne identifikatore, metapodatke ili sadržaj kao dio linka.
Neki pružatelji usluga razvijaju rješenja koja se oslanjaju samo na prikupljanje jedne komponente, IP adrese, kako bi pratili navigaciju korisnika, u nekim slučajevima kroz više domena. U tom kontekstu članak 5. stavak 3. ePrivacy Direktive mogao bi se primijeniti iako je uputu za stavljanje IP-a na raspolaganje dao drugi subjekt, a ne onaj koji prima.
U svakom slučaju IoT uređaj, kada je povezan (izravno ili neizravno) s javnom komunikacijskom mrežom, sam bi se smatrao terminalnom opremom. Činjenica da se informacije prenose ili pohranjuju u predmemoriju za povremeno izvješćivanje ne mijenja prirodu tih informacija. U obje bi se situacije primjenjivao članak 5. stavak 3. ePrivacy Direktive jer postoji, putem upute koda na IoT uređaju za slanje dinamički pohranjenih podataka na udaljeni poslužitelj, „stjecanje pristupa”.
#gdprcroatia
