W pozostałych przypadkach firmy telekomunikacyjne i agencje marketingowe będą zobowiązane do uzyskania zgody klienta przed wysłaniem mu komunikatu marketingowego. Odbiorca musi mieć też możliwość łatwego i bezpłatnego cofnięcia w każdej chwili swojej zgody. Na dodatek komunikacja marketingowa będzie się mogła odbywać tylko na specjalnych, powszechnie obowiązujących zasadach. Na przykład w obszarze telemarketingu trzeba będzie korzystać z umożliwiających identyfikację przychodzącego połączenia oznaczeń. Proponuje się używanie odpowiedniego prefiksu lub kodu, aby odbiorca mógł się zorientować, że dzwoniący chce mu przedstawić ofertę handlową. Innym proponowanym rozwiązaniem jest prowadzenie przez państwa unijne specjalnych rejestrów, do których każdy mógłby zgłosić swój numer telefonu jako nieprzyjmujący połączeń marketingowych.

Pliki pod specjalnym nadzorem

Z założenia wszystkie dane generowane w związku z łącznością elektroniczną mają być traktowane jako poufne. Na ich przetwarzanie w celach marketingowych ma być udzielona wyraźna zgoda użytkownika, wyrażona w sposób dobrowolny, w pełni świadomie i jednoznacznie. Będzie się to wiązało m.in. ze zwiększeniem wymogów w zakresie uzyskiwania zgód na wykorzystanie plików cookie, jak również innych metod zbierania informacji o użytkownikach (ETagi, localstorage, fingerprinting, pixele, web beacony, spyware). Jednoznacznej zgody użytkownika będzie wymagało też uzyskanie dostępu do wszelkich informacji znajdujących się na urządzeniu końcowym, na przykład do zdjęć czy kontaktów w telefonie.

Znaczna część projektu rozporządzenia poświęcona jest plikom cookie. Nie wiadomo jednak, jakie zasady korzystania z nich zostaną przyjęte ostatecznie w proponowanych przepisach. Rozważana jest przede wszystkim możliwość określenia przez użytkownika generalnie akceptowanego poziomu i zakresu wykorzystania tzw. ciasteczek do zbierania informacji o jego aktywności poprzez wybór odpowiednich ustawień w przeglądarkach internetowych. Ich dostawcy musieliby zapewnić każdemu taką właśnie możliwość.

Znowu surowe kary

Za nieprzestrzeganie przepisów ePrivacy przewidziane są, podobnie jak w przypadku RODO, dotkliwe sankcje. Kara administracyjna może wynosić nawet do 20 mln euro lub w przypadku firm do 4 proc. ich całkowitego, światowego przychodu z poprzedniego roku obrachunkowego. Za egzekwowanie przepisów mają odpowiadać krajowe urzędy ochrony danych osobowych. W przypadku Polski jest to Urząd Ochrony Danych Osobowych. Projekt rozporządzenia zakłada również możliwość uzyskania rekompensaty z tytułu poniesionej szkody majątkowej lub niemajątkowej w wyniku naruszeń przepisów o e-prywatności.