Niniejszym artykułem kontynuujemy refleksje dotyczące plików cookies rozpoczęte we wpisie czerwcowym i podtrzymane w lipcowej publikacji na naszym blogu. Ten wpis poświęcony zostanie problematyce ePrivacy, czyli aktu prawnego, który ma zastąpić obecną dyrektywę 2002/58/WE o prywatności oraz dostosować przepisy w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych standardów oraz postępu technologicznego. Z założenia rozporządzenie ePrivacy ma uzupełniać i uszczegóławiać Rozporządzenie UE 2016/679, czyli RODO. Wprowadzać zasady ochrony danych osobowych konkretnie do środowiska cyfrowego Natomiast w aspekcie komunikacji elektronicznej będzie zmieniało i zaostrzało przepisy RODO. Dlatego wielu określa je mianem „RODO II”.
Większość osób kojarzy to mające wejść w życie rozporządzenie z plikami cookies i nazywa je „rozporządzeniem ciasteczkowym” (o czym więcej w dalszej części artykułu). Rozporządzenie ePrivacy to bardzo pożądane źródło prawa, które regulować ma znacznie więcej kwestii niż tylko stosowanie plików cookies. ePrivacy wymusi również poważne zmiany w branży reklamowej, a przede wszystkim tej bazującej na marketingu bezpośrednim. W obecnych czasach bardzo wiele firm decyduje się na skorzystanie z marketingu bezpośredniego w celu zdobycia nowych klientów, dlatego każdy administrator korzystający z podobnych usług drogą elektroniczną będzie musiał dostosować się do nowej rzeczywistości, jaką wprowadzi ePrivacy.
Czytelnicy artykułu będą mogli się dowiedzieć:
- Jak przebiegały prace nad projektem
- Co ma regulować ePrivacy
- Co zmieni ePrivacy
- Na czym polega rewolucja dotycząca plików cookies
- Przechowywanie i usuwanie danych pochodzących z łączności elektronicznej
- Zgoda na marketing bezpośredni
- Połączenia marketingowe łatwe do rozpoznania
- Marketing a istniejąca relacja z klientem
- Jakie nowe obowiązki ePrivacy nałoży na administratorów
- ePrivacy to odpowiedź na postępujący rozwój technologii
Historia prac nad projektem
Rozporządzenie ePrivacy pierwotnie miało zacząć obowiązywać równolegle z RODO. Zarówno RODO, jak i ePrivacy były przygotowywane w ramach Strategii Jednolitego Rynku Cyfrowego w celu zwiększenia bezpieczeństwa i budowy zaufania użytkowników do usług cyfrowych. Między 12 kwietnia a 5 lipca 2016 r. Komisja Europejska przeprowadziła konsultacja społeczne z zainteresowanymi stronami w sprawie problematyki ePrivacy. Na ich podstawie wysunięto wnioski, że potrzeba specjalnych zasad dla sektora łączności elektronicznej, które dotyczyć będą poufności komunikacji elektronicznej. Zauważono również potrzebę rozszerzenie zakresu aktu prawnego o nowe usługi łączności, dostosowane do postępu technologicznego. W lipcu 2016 r. przeprowadzono przegląd dyrektywy 2002/58/WE. Stwierdzono, że cele i zasady zawarte w tym akcie prawnym pozostają nadal słuszne, ale z uwagi na istotne zmiany technologiczne i gospodarcze konieczne jest ustanowienie nowej regulacji w tym zakresie. Odpowiedzią na zaspokojenie tych potrzeb było opracowanie projektu ePrivacy.
Projekt rozporządzenia ePrivacy został opublikowany przez Komisję Europejską 10 stycznia 2017 r., a podpisany 15 czerwca 2021 r. W toku prac legislacyjnych nad projektem ePrivacy państwa członkowskie UE zgłaszały liczne propozycje modyfikacji pierwotnej treści rozporządzenia. W trakcie prezydencji Niemiec w lipcu 2020 r. przedstawiciele rządu niemieckiego postulowali o gwarancję możliwości przetwarzania metadanych w celu monitorowania epidemii lub zorganizowania pomocy w przypadku wystąpienia klęski żywiołowej. Następnie w kolejnym półroczu Portugalia postulowała o umożliwienie przetwarzania metadanych pochodzących z łączności elektronicznej podmiotom odpowiedzialnym za bezpieczeństwo i obronność oraz o wykorzystanie urządzeń użytkowników końcowych w celu gromadzenia i dalszego przetwarzania określonych informacji. Zakończono już zbieranie uwag do projektu i są one w ostatniej fazie negocjacji pomiędzy instytucjami Unii Europejskiej.
Co ma regulować ePrivacy?
W uzasadnieniu umieszczonym na początku projektu prawodawca określa, że „Celem strategii jednolitego rynku cyfrowego jest zwiększenie zaufania względem usług cyfrowych i poprawa ich bezpieczeństwa”. Rozporządzenie ePrivacy, poza uregulowaniem kwestii korzystania z ciasteczek, ma zapewnić wysoki poziom ochrony danych pochodzących z łączności elektronicznej oraz prywatności użytkowników tzw. urządzeń końcowych (m.in. komputerów, telefonów komórkowych, tabletów). Ma wprowadzić równe warunki działania dla podmiotów świadczących usługi komunikacji elektronicznej na rynku europejskim bez względu na miejsce siedziby poza obszarem Unii Europejskiej. Założeniem ePrivacy jest również gwarancja swobodnego przepływu danych, sprzętu i usług związanych z łącznością elektroniczną w UE. Projekt rozporządzenia zakłada, że akt ten będzie zawierał zasady przetwarzania danych pochodzących z komunikacji elektronicznej, takich jak m.in. treść e-maili, SMS, MMSów czy też informacji o lokalizacji geograficznej używanego urządzenia. Rozporządzenie ma ograniczyć dostęp do tych danych dostawcom usług komunikacji elektronicznej i możliwość ich wykorzystania.
ePrivacy ma unormować tryb zabezpieczenia łączności za pomocą hotspotów. W Preambule projektu ePrivacy określono, że „W zakresie, w jakim takie sieci łączności są udostępniane nieokreślonej grupie użytkowników końcowych, należy chronić poufność komunikacji przekazywanej przez takie sieci. Fakt, iż bezprzewodowe usługi łączności elektronicznej mogą być pomocnicze względem innych usług, nie powinien stać na przeszkodzie zapewnieniu ochrony poufności danych pochodzących z łączności i zastosowaniu niniejszego rozporządzenia”.
Projekt rozporządzenia zakłada, że regulacja ta będzie dotyczyć dostawców Internetu oraz podmiotów, które nie są objęte obecnie dyrektywą o prywatności, czyli dostawców świadczących usługi typu Facebook, Messenger, Gmail, WhatsApp. Podmioty mające siedzibę poza obszarem Unii Europejskiej będą miały obowiązek stosować przepisy rozporządzenia jeżeli świadczyć będą usługi obywatelom UE. Będą miały również obowiązek wyznaczyć przedstawiciela w Unii Europejskiej w celu ułatwienia dochodzenia ewentualnych roszczeń przez Europejczyków.
Rozporządzenie ePrivacy ma obejmować ochroną dane pochodzące z usług łączności elektronicznej. Projekt przewiduje również ochronę danych opisujących źródła informacji, czyli „metadanych”. Są to ustrukturyzowane informacje opisujące, tłumaczące, lokalizujące i ułatwiające we wszelki inny sposób odnalezienie, wykorzystanie lub zarządzanie zasobem informacji. Określa się je często mianem „dane o danych”. W odniesieniu do Internetu można je rozumieć jako usystematyzowanie treści obiektów, które znajdują się w sieci. Metadane zawierają ustrukturyzowane dane opisujące dokument elektroniczny w dowolnym formacie.
Co zmieni ePrivacy?
Wyżej wspomnieliśmy, że ePrivacy zastąpi dyrektywę 2002/58/WE. Wymusi to konieczność zmiany lub uchylenia obowiązującego w Polsce Prawa Telekomunikacyjnego. Przyjęcie ePrivacy może stanowić wyzwanie dla polskiego ustawodawcy, ponieważ konieczne będzie doprecyzowanie niektórych kwestii wynikających z rozporządzenia. Przykładowo wymagane będzie określenie organu właściwego do kontroli przestrzegania ePrivacy. Nie wiadomo jeszcze, czy będzie to Prezes UODO czy raczej Prezes Urzędu Komunikacji Elektronicznej. Jedno jest już pewne – organ właściwy będzie miał możliwość nakładania kar administracyjnych w wysokości podobnej jak w RODO, czyli do 20 mln euro albo 2-4% światowego rocznego obrotu.
Projekt ePrivacy rozszerza definicję danych pochodzących z łączności elektronicznej. Zalicza do nich nie tylko przesyłane treści, ale także informacje o użytkownikach końcowych, dane służące do śledzenia i zidentyfikowania źródła, miejsca łączności, lokalizację geograficzną, datę, godzinę, czas trwania i rodzaj łączności. Projekt do danych pochodzących z łączności elektronicznej zalicza również wspomniane wcześniej metadane. Wszystkie te informacje powinny być traktowane jako poufne. Oznacza to, że – zgodnie z preambułą do projektu ePrivacy – „jakiekolwiek ingerowanie w przesył danych pochodzących z łączności elektronicznej, czy to za sprawą bezpośredniej ingerencji człowieka, czy za pośrednictwem zautomatyzowanego przetwarzania przez maszyny, dokonywane bez zgody wszystkich komunikujących się stron, powinno być zakazane”.
Istnieje jednak dość oczywisty wyjątek od tej zasady. Zgodnie z projektowanym art. 6 dostawcy sieci i usług łączności elektronicznej mogą przetwarzać dane pochodzące z łączności elektronicznej, jeżeli:
a) jest to konieczne do realizacji przesyłu komunikatu – przez okres konieczny do realizacji takiego celu; lub
b) jest to konieczne w celu utrzymania lub przywrócenia bezpieczeństwa sieci i usług łączności elektronicznej lub wykrycia usterek technicznych lub błędów w przesyłaniu komunikatów elektronicznych – przez okres konieczny do realizacji takiego celu.
Rewolucja dotycząca plików cookies
W poprzednich artykułach opublikowanych na naszym blogu przedstawiliśmy rozbieżności różnych aktów prawnych względem plików cookies. Różnice te znieść ma rozporządzenie ePrivacy, które stanowić będzie kompleksową regulację stosowania technologii cookies.
Obecnie zapisywanie różnorodnych informacji na urządzeniach końcowych oraz późniejsze wykorzystywanie tych informacji jest wręcz standardem. Technologia ta umożliwia lepsze funkcjonowanie witryn internetowych. Jest to możliwe dzięki tzw. plikom cookies. Aktualnie w Polsce kwestie wykorzystywania plików cookies reguluje art. 173 prawa telekomunikacyjnego, który odnosi się do każdej technologii wiążącej się z przechowywaniem lub uzyskiwaniem informacji znajdującej się na urządzeniu końcowym użytkownika. Więcej informacji o obowiązującej regulacji znajdziecie Państwo w naszej poprzedniej publikacji.
Projektowany art. 8 ust. 1 ePrivacy zakłada, że „korzystanie z możliwości urządzenia końcowego do przetwarzania i przechowywania oraz gromadzenie informacji z urządzenia końcowego użytkowników końcowych, w tym informacji o oprogramowaniu i sprzęcie, inne niż dokonywane przez użytkownika końcowego, którego dotyczą, jest zakazane”. Te działania będą możliwe po uprzednim uzyskaniu zgody, która będzie zgodna z RODO. Oznacza to, że zgoda nie będzie mogła być milcząca – nie będzie mogła wynikać z braku aktywności użytkownika. Konieczne będzie sprecyzowanie celu wykorzystywania tej technologii. A użytkownik wyrazi na to zgodę (lub nie) przez konkretne działanie i będzie miał możliwość ewentualnego wycofania zgody w każdym czasie.
Prawodawca unijny przewidział jeszcze trzy inne wyjątki od w/w zakazu. Ogólnie korzystanie z technologii cookie będzie możliwe pod warunkiem wypełnienia następujących przesłanek:
a) jest to konieczne jedynie w celu dokonania transmisji komunikatu elektronicznego za pośrednictwem sieci łączności elektronicznej; lub
b) użytkownik końcowy wyraził na to zgodę; lub
c) jest to konieczne do świadczenia usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego; lub
d) jeżeli jest to konieczne w celu pomiaru odbiorców w sieci web, pod warunkiem, że pomiar taki jest wykonywany przez dostawcę usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego.
Projekt zakłada, że wymóg zgody nie będzie dotyczył operacji, których wyłącznym celem jest umożliwienie lub ułatwienie komunikacji drogą elektroniczną. Wykorzystywane do tego są ciasteczka, które nie wkraczają w sferę prywatności użytkownika. Zaliczamy do nich pliki cookies służące do dostosowywania interfejsu użytkownika. Przykładowo, mogą być to ciasteczka wykorzystywane do zapamiętywania zawartości koszyka w sklepie internetowym lub wybranego wcześniej języka strony.
Nowością, jaką wprowadzi ePrivacy będzie konieczność zmiany sposobu informowania przez dostawców usług internetowych o zapisywaniu i korzystaniu z ciasteczek, czyli tzw. polityki cookies. Aktualnie wiele stron wprowadziło tzw. „cookie walls”, dzięki którym użytkownik nie wejdzie na stronę internetową, dopóki nie zaakceptuje banneru informującego o cookies. Rozporządzenie dopuszcza stosowanie takich praktyk, o ile instalowane pliki cookies nie będą zanadto ingerowały w prywatność użytkowników (np. nie będą to cookies marketingowe).
Przechowywanie i usuwanie danych pochodzących z łączności elektronicznej
Projekt rozporządzenia reguluje również kwestię przechowywania i usuwania danych pochodzących z łączności elektronicznej. Zgodnie z art. 7 ePrivacy dostawcy usług łączności elektronicznej muszą usunąć lub zanonimizować dane po otrzymaniu treści łączności elektronicznej przez docelowego odbiorcę. Omawiany przepis dopuszcza możliwość zapisywania lub przechowywania tych danych przez użytkowników końcowych lub przez osoby trzecie, którym powierzono zapisywanie, przechowywanie lub przetwarzanie tych danych w innych sposób, zgodnie z RODO.
W drodze wyjątku dostawcy mogą przechowywać metadane niezbędne do naliczania płatności do czasu zakończenia okresu, w jakim można zakwestionować rachunek lub w jakim można egzekwować płatność zgodnie z prawem krajowym.
Zgoda na marketing bezpośredni
Projekt ePrivacy wprowadzi nowe zasady prowadzenia marketingu bezpośredniego. Zgodnie z przyjętym założeniem sformułowanie to będzie odnosić się do „wszelkich form reklamy, w ramach których osoba fizyczna lub prawna wysyła materiały do celów marketingu bezpośredniego, kierując je bezpośrednio do jednego zidentyfikowanego użytkownika końcowego lub większej liczby zidentyfikowanych użytkowników końcowych lub do możliwych do zidentyfikowania użytkowników końcowych przy użyciu usług łączności elektronicznej”. Marketingiem bezpośrednim będą nie tylko oferty produktów i usług, ale również wiadomości o charakterze politycznym lub promujące organizacje. Co ważne, projekt ePrivacy rozróżnia komunikację B2C – czyli adresowaną do indywidualnych użytkowników i B2B – czyli taką, której odbiorcą są firmy. W przypadku komunikacji B2C, nadawca wiadomości będzie musiał mieć wyraźną zgodę od odbiorcy na dostarczanie mu reklam. Tryb komunikacji B2B prawodawca unijny pozostawił natomiast w gestii państw członkowskich. Zastrzeżono jednak, że należy zapewnić określony poziom ochrony przed niechcianymi wiadomościami.
Zgoda musi zostać wyrażona przez klienta przed wysłaniem mu komunikatu marketingowego i będzie musiała spełniać warunki określone w RODO. Musi zatem być dobrowolna, świadoma, jasna, wyraźna, łatwa do odwołania w każdym dowolnym momencie i wyrażona odrębnie w odniesieniu do poszczególnych celów, które jej wymagają. Co ciekawe, zgoda będzie mogła być wyrażona poprzez wybór odpowiednich ustawień oprogramowania. O możliwości wycofania zgody będzie trzeba przypominać użytkownikom końcowym nie rzadziej niż co 12 miesięcy.
ePrivacy wprowadza wyraźny zakaz świadczenia usług w zamian za pozyskanie zgody na marketing bezpośredni. Obecnie większość przedsiębiorców świadczących usługi serwisów internetowych lub aplikacji mobilnych „za darmo”, robi to w zamian za możliwość sprzedaży reklamodawcom danych o aktywności użytkowników. Dzięki temu na portalach typu Facebook pojawiają reklamy produktów lub usług, które wcześniej były przez nas wyszukiwane. ePrivacy wprowadza zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi.
Projekt dopuszcza jednak tzw. „zgodę miękką” w zakresie danych dotyczących poczty elektronicznej. Jeżeli dany administrator pozyskuje od klienta dane dotyczące poczty elektronicznej w związku ze sprzedażą produkty lub usługi, to może wykorzystać te informacje do celów marketingu bezpośredniego własnych produktów lub usług. Jest to możliwe jedynie w tym przypadku, gdy klienci mają dostatecznie jasną i wyraźną możliwość wyrażenia sprzeciwu.
Połączenia marketingowe łatwe do rozpoznania
ePrivacy ma wprowadzić również przełom w odniesieniu do marketingu telefonicznego, poprzez zmiany w zakresie prawidłowego zidentyfikowania się dzwoniącego przed użytkownikiem końcowym oraz umożliwienia użytkownikowi końcowemu swobodnego i bezproblemowego wyrażenia sprzeciwu na łączność elektroniczną w celach marketingowych, a także wycofania wcześniej wyrażonej zgody. Zgodnie z art. 16 ust. 3a podmioty wykonujące połączenia w ramach marketingu bezpośredniego będą miały obowiązek podać identyfikator linii, pod którą można się z nimi skontaktować oraz konkretny kod (lub prefiks) umożliwiający rozpoznanie, że jest to połączenie marketingowe. Natomiast operatorzy wykorzystujący usługi łączności elektronicznej do przekazywania komunikatów do celów marketingu bezpośredniego będą zobowiązani do informowania użytkowników końcowych o marketingowym charakterze materiałów i tożsamości osoby prawnej lub fizycznej, w której imieniu przekazywane są komunikaty. Dzięki temu każda osoba będzie mogła świadomie odrzucać połączenia marketingowe. W pewnym zakresie funkcjonalność ta już jest wdrażana przez producentów telefonów i aplikacji mobilnych, ale opiera się na innych źródłach danych.
Oprócz tego reklamodawcy będą musieli podawać informacje niezbędne odbiorcom do zrealizowania ich prawa do wycofania w łatwy sposób zgody na otrzymywanie komunikatów marketingowych. Państwa członkowskie, zgodnie z art. 16 ust. 4, będą mogły wprowadzić również tzw. listy robinsonów, czyli osób nieżyczących sobie otrzymywania połączeń w ramach marketingu bezpośredniego. Za pomocą list robinsonów każdy użytkownik będzie mógł zastrzec swój numer telefonu lub adres e-mail przed niechcianymi próbami kontaktu o charakterze marketingowym.
Marketing a istniejąca relacja z klientem
Rozporządzenie nie ograniczy możliwości korzystania z danych kontaktowych w odniesieniu do istniejącej już relacji z klientem. Podmioty będą mogły oferować klientom, od których uprzednio prawidłowo uzyskały zgodę, podobne usługi lub produkty. Rozporządzenie ePrivacy rozróżni również marketing bezpośredni własnych produktów lub usług od marketingu oferującego cudze produkty lub usługi. Jak stanowi art. 16 ust. 2 projektu „Jeżeli osoba fizyczna lub prawna otrzymuje od swojego klienta elektroniczne dane kontaktowe dotyczące poczty elektronicznej w związku ze sprzedażą produktu lub usługi, zgodnie z rozporządzeniem (UE) 2016/679, taka osoba fizyczna lub prawna może wykorzystywać te elektroniczne dane kontaktowe do celów marketingu bezpośredniego własnych podobnych produktów lub usług jedynie wówczas, gdy klienci mają jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych”.
Jakie nowe obowiązki ePrivacy nałoży na administratorów?
Rozporządzenie ePrivacy wprowadzi zmiany przede wszystkim dla administratorów branż intensywnie działających w Internecie. Regulacja w największym stopniu dotknie tzw. cyfrowych gigantów, takich jak Google czy Facebook. Jednak nie obejdzie się ono bez echa także wśród mniejszych firm, głównie z branży reklamowej.
Projekt rozporządzenia ma zakładać, że wszelka interwencja w dane (słuchanie, monitorowanie i przetwarzanie) przez kogokolwiek poza użytkownikiem końcowym będzie zakazana. W związku z tym przedsiębiorcy świadczący usługi związane z komunikacją elektroniczną będą zobowiązani wprowadzić zabezpieczenia połączeń, które zapewnią poufność danych przekazywanych tą drogą. W tym celu konieczne będzie uruchomienie silniejszych zabezpieczeń, które z pewnością będą kosztowniejsze od tych stosowanych dotychczas. W myśl ePrivacy operatorzy usług telekomunikacyjnych (takich jak np. poczta elektroniczna) będą musieli zagwarantować użytkownikom pełną prywatność. Oznacza to, że poczta elektroniczna będzie musiała być szyfrowana przez operatorów, a nie przez użytkowników.
Dostawcy oprogramowania umożliwiającego wyszukiwanie i przedstawianie informacji w Internecie będą musieli działać zgodnie z zasadą Privacy by default. Zasada ta stanowi uzupełnienie Privacy by design. Zgodnie z Privacy by default domyślnie przetwarzane powinny być wyłącznie te dane, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Jest ona powiązana z zasadami przetwarzania danych osobowych określonymi w art. 5 RODO ograniczenia celu, minimalizacji danych oraz ograniczenia przechowywania. Każdy administrator, który działa zgodnie z zasadą Privacy by default przed rozpoczęciem przetwarzania danych musi zastanowić się, czy dla prawidłowej realizacji konkretnego procesu konieczne jest przetwarzanie danych osobowych, czyli identyfikacja użytkownika końcowego. Jeżeli odpowiedź będzie twierdząca, to administrator musi zapewnić, by gromadzenie i przetwarzania danych osobowych było ograniczone do minimum. Niedozwolone jest gromadzenie danych „na zapas”, co jest niestety obecnie praktykowane przez wielu administratorów.
ePrivacy to odpowiedź na postępujący rozwój technologii
Z roku na rok powstają nowe technologie, za którymi prawodawcy starają się nadążać. W związku z zastosowaniem nowych narzędzi oraz algorytmów zbieranych i wykorzystywanych jest coraz więcej danych osobowych użytkowników. Znaczenie danych osobowych jest na tyle duże, że są już one uznawane za walutę. W 2020 r. Polski Instytut Ekonomiczne (PIE) przeprowadził badania pod nazwą „Ile warte są nasze dane?”. Według wyników raportu w 2020 r. wartość danych polskich użytkowników dla Google wynosiła 4,025 mld zł, a 2,196 mld zł dla Facebooka. Aż 87 proc. uczestników badania PIE twierdziło, że firmy technologiczne wiedzą o nas za dużo, a 84 proc. uważało, że działalność firm technologicznych powinna podlegać większej kontroli. ePrivacy ma być odpowiedzią na potrzebę ograniczenia zbierania danych osobowych. Rozporządzenie ma dotyczyć wszystkich Europejczyków, a nowe regulacje przede wszystkim odczują administratorzy działający na rynku UE. Coraz więcej firm podąża za rozwojem technologicznym i przenosi swoją działalność w świat cyfrowy. Obecnie niemal standardem jest posiadanie przez firmę własnej domeny i strony internetowej lub przynajmniej wizytówki na jakimś portalu, np. na Facebooku. Administratorzy witryn internetowych będą musieli dostosować ich funkcjonalność do nowej regulacji prawnej.
Rozporządzenie ePrivacy ma być „złotym środkiem” pomiędzy rozwojem usług cyfrowych i prywatnością użytkowników. Wnioski wysunięte w poprzednich naszych artykułach odzwierciedliły ogromną potrzebę wprowadzenia tej regulacji. Obecnie projekt ePrivacy jest w ostatniej fazie negocjacji pomiędzy instytucjami Unii Europejskiej. ePrivacy jako rozporządzenie nie będzie wymagało implementacji do porządku prawnego państw członkowskich UE. Oznacza to, że regulacja będzie obowiązywać bezpośrednio każdy podmiot działający na terenie Unii. Ustawodawcy krajowi będą zobowiązani dostosować regulacje krajowe tak, aby były one zgodne z nowym rozporządzeniem. Warto już teraz zastanowić się jak ePrivacy wpłynie na funkcjonowanie każdego z nas.