Nařízení ePrivacy má spolu s dnes již dobře známým GDPR představovat dva základní legislativní pilíře ochrany dat a soukromí na internetu a základní regulatorní rámec pro datový business. Zatímco předmětem GDPR je samotná ochrana osobních údajů, nařízení ePrivacy stanovuje pravidla zejména pro využívání metadat, používání cookies, online marketing, online identifikaci, tzv. Internet of Things, atp. Možná právě vzhledem k tomu, že ePrivacy se více napřímo dotýká podnikání a možná vzhledem k tomu, jak zásadním zásahem do života byznysu se ex post ukázalo být GDPR, setkal se již počáteční návrh ePrivacy se zásadními připomínkami ze strany zástupců členských států.
První návrh předložila Evropská komise v roce 2017 a teprve začátkem února 2021 se členské státy dohodly na společné vyjednávací pozici pro další legislativní proces. Bez této společné pozice byl přitom další legislativní proces vyloučen, neboť zatímco jediný, kdo může evropskou legislativu navrhovat, je Evropská komise, tak ke schválení nařízení je vždy potřeba konsenzu zástupců členských států (Rady) a Evropského parlamentu.
Dle dohodnutého společného mandátu Rady by se mělo ePrivacy týkat jak obsahu elektronické komunikace, tak metadat, a to nejen pokud jde o komunikaci mezi osobami, ale též komunikace mezi věcmi (tj. internetu věcí). Pravidla se mají týkat situací, kdy koncový uživatel se nachází ne území EU bez ohledu na to, zda je předmětná služba poskytována osobou usazenou mimo unii. Základním pravidlem, které ePrivacy zakotvuje, je důvěrnost takovéto komunikace a příslušných přenášených dat. Jakýkoliv zásah do těchto dat včetně jejich odposlechu, monitorování nebo zpracování kýmkoliv jiným, než koncovým uživatelem (resp. s jeho souhlasem) bude zakázáno. Nařízení ePrivacy stanoví konkrétní výjimky z tohoto zásahu, kterých bude nutno se držet. Mezi takováto povolená zpracování dat bez souhlasu uživatele bude například zajištění integrity sítě, obrana proti škodlivým kódům nebo výkon veřejné moci v oblasti prevence zločinnosti a ochrany veřejné bezpečnosti.
Metadata pak budou moci být využívána například pro usnadňování finančních transakcí, předcházení podvodnému jednání, pro veřejné využití v rámci plánování dopravní infrastruktury, předcházení a ochraně před zdravotními riziky jako jsou epidemie, reakci na živelné pohromy a obdobné situace.
Velmi důležitou částí ePrivacy je komplexní úprava přístupu externích aplikací nebo služeb do koncového zařízení uživatelů a k datům v těchto zařízeních uložených. To se týká jednak přístupu k samotným datům uloženým v koncovém zařízení, jako jsou například fotografie, adresář kontaktů, atp., ale také ukládání cookies či obdobných identifikátorů do zařízení uživatele. Konečně tedy budou existovat specifická a snad i jasná a předvídatelná pravidla a mantinely pro užívání cookies, a nebude tak nutné tato pravidla pouze dovozovat z obecných principů obsažených v GDPR, jako je tomu dnes (například se výslovně stanoví, že udělení souhlasu lze dokládat jen technickým protokolem identifikujícím zařízení a nikoliv uživatele). Základní princip pro ukládání (tzv. non-essential, tj. marketingových) cookies se nezmění – i nadále bude třeba jednoznačného souhlasu koncového uživatele, nicméně členské státy navrhují, aby poskytovatelé služeb mohli legitimně požadovat povolení cookies jako alternativu k přímé platbě za službu, pokud uživateli nabídnou skutečnou volbu mezi dvěma ekvivalentními možnostmi. Pravděpodobně bude zavedena povinnost upozornit jednou za rok na možnost odvolat souhlas, pokud si uživatel takové upozornění sám nevypne – ve srovnání s předchozími návrhy se jedná o kompromisní prodloužení lhůty, změnu z automatického vypršení souhlasu a možnost uživatele upozorňování ovlivnit lze jistě též vítat jako krok ve prospěch oprávněných marketingových aktivit.
Dnes dohodnutá společná pozice členských států není v žádném případě finálním textem nařízení. Jedná se o vyjednávací mandát pro účely dalšího legislativního procesu. V rámci tohoto mandátu tedy vyjednavači Rady povedou jednání s Evropským parlamentem a z tohoto jednání vznikne finální text, který musí být schválen jak Radou tak Evropským parlamentem. Vzhledem k tomu, jak dlouho a obtížně se tento společný mandát rodil, tak se dá očekávat, že zástupci Rady nebudou ochotni k mnoha změnám a výsledný text by se tak mohl současnému návrhu celkem podobat a portugalské předsednictví by si mohlo připsat zářez na pažbě jako v roce 2016 to nizozemské za GDPR.
Návrh předpokládá dvouletou lhůtu od přijetí k účinnosti, tedy možná v roce 2023 – o finální podobě nového nařízení Vás pak samozřejmě včas budeme informovat.