På gott och ont med ny E‑privacy förordning

E‑Privacy Regu­al­tion (EPR) är för­ord­ning­en som är uppe på tape­ten efter att kul­men av GDPR-stor­men har pas­se­rat. För­ord­ning­en ersät­ter E‑Privacy direk­ti­vet från 2002 och inne­bär en upp­da­te­ring av den befint­li­ga Lagen (2003:389) om Elektro­nisk Kom­mu­ni­ka­tion (LEK) samt en anpass­ning av den svens­ka marknadsföringslagen.

EPR utvid­gar reg­ler­na till att omfat­ta samt­li­ga leve­ran­tö­rer av elektro­nis­ka kom­mu­ni­ka­tions­tjäns­ter och bedöms ska­pa nya möj­lig­he­ter för att behand­la kom­mu­ni­ka­tions­da­ta samt öka för­ut­sätt­ning­ar­na för att stär­ka kon­su­men­ter­nas för­tro­en­de för tjäns­te­le­ve­ran­tö­rer inom elektro­nisk kommunikation.

Ett förändrat beteende kräver nya regler

En av de pri­mä­ra mål­sätt­ning­ar­na med för­ord­ning­en är att säker­stäl­la sek­re­tess vid använd­ning av elektro­nisk kom­mu­ni­ka­tion genom exem­pel­vis mobil, surf­plat­ta och dator. EPR ska säker­stäl­la att all kom­mu­ni­ka­tion, och dess meta­da­ta (det vill säga data som gene­re­ras om sam­ta­let, infor­ma­tion om dess tid­punkt och geo­gra­fis­ka posi­tion), kom­mer att omfat­tas av för­ord­ning­en och dess integri­tets­skydd garanteras.

I dags­lä­get träf­far den befint­li­ga regle­ring­en om elektro­nisk kom­mu­ni­ka­tion enbart tra­di­tio­nel­la tele­ko­mo­pe­ra­tö­rer. LEK stif­ta­des år 2003 och använd­ning­en av digi­ta­la medi­er för kom­mu­ni­ka­tion har dras­tiskt för­änd­ras sedan dess. EPR kom­mer såle­des att omfat­ta leve­ran­tö­rer av kom­mu­ni­ka­tions­tjäns­ter såsom iMes­sage, WhatsApp och Face­book Mes­seng­er, som för när­va­ran­de är undantagna.

Preciserar och kompletterar GDPR

Även om det finns en viss över­lapp­ning, är den sto­ra skill­na­den mel­lan EPR och den nya data­skydds­för­ord­ning­en GDPR att GDPR omfat­tar han­te­ring­en av per­son­upp­gif­ter i alla for­mer, medan EPR omfat­tar elektro­nisk kom­mu­ni­ka­tion mer spe­ci­fikt. All behand­ling av data som gene­re­ras vid elektro­nisk kom­mu­ni­ka­tion ska genom EPR anpas­sas till kra­ven som upp­ställs i GDPR, och för­ord­ning­en kom­mer såle­des att pre­ci­se­ra och kom­plet­te­ra GDPR i många avseenden.

Till­sam­mans med GDPR ska EPR till­se att den elektro­nis­ka kom­mu­ni­ka­tio­nens integri­tet skyd­das av moder­na och ända­måls­en­li­ga reg­ler där samt­li­ga med­lems­sta­ter och insti­tu­tio­ner inom EU upp­rätt­hål­ler enhet­li­ga stan­dar­der som ger lik­vär­digt högt skydd för individen.

På sam­ma sätt som GDPR så inne­hål­ler EPR bestäm­mel­ser som kan inne­bä­ra sto­ra sank­tions­av­gif­ter på mot­sva­ran­de nivå­er som GDPR om för­ord­ning­en inte efter­levs, vil­ket inte begrän­sas till före­tag inom EU. Fram­ö­ver kom­mer de natio­nel­la data­skydds­myn­dig­he­ter­na utö­va till­syn i frå­ga om efter­lev­nad av för­ord­ning­ens integri­tets­be­stäm­mel­ser, vil­ket i Sve­ri­ge inne­bär att Data­in­spek­tio­nen kom­mer att över­ta till­syns­an­sva­ret från Post- och Telestyrelsen.

Nya regler om samtycke för behandling av cookies

I den nuva­ran­de LEK inför­des en änd­ring under 2009, vil­ket inne­bar att sam­tyc­ke krävs för behand­ling av coo­ki­es som inte enbart behövs för web­si­dan eller tjäns­tens funk­tio­na­li­tet. Följ­den av det­ta blev att webb­plats­be­sö­ka­re med jäm­na mel­lan­rum möts av en coo­kie­ban­ner med med­de­lan­de om att besö­ka­ren mås­te god­kän­na att coo­ki­es används.

EPR kom­mer i viss mån att lät­ta på reg­ler­na om sam­tyc­ke för behand­ling­en av coo­ki­es, då besö­ka­ren inte läng­re behö­ver sam­tyc­ka eller tac­ka nej till coo­ki­es och and­ra näti­den­ti­fi­e­ra­re (såsom pix­lar och web-beacons) som enbart behand­las för att göra web­si­dan använ­dar­vän­lig eller behövs för att kun­na sam­la in sta­tis­tisk data om besökare.

Sam­tyc­ke till behand­ling av coo­ki­es föreslås kun­na läm­nas av använ­da­ren redan genom en inställ­ning i använ­da­rens egen mjuk­va­ra i syf­te att under­lät­ta dess han­te­ring. För­sla­get har starkt kri­ti­se­rats av mark­nads­fö­ra­re eftersom det före­lig­ger risk att använ­da­re istäl­let väl­jer att bloc­ke­ra använd­ning­en av coo­ki­es som default utan att egent­li­gen ha någon kän­ne­dom om vad det i prak­ti­ken innebär.

Note­ra även att begrep­pet sam­tyc­ke kom­mer att ha sam­ma inne­börd som i GDPR, vil­ket anger att ett sam­tyc­ke ska vara en fri­vil­lig, spe­ci­fik, infor­me­rad och otve­ty­dig vil­jeytt­ring. Genom att upp­stäl­la ett krav på ett sam­tyc­ke och att läm­na infor­ma­tion om vad för coo­ki­es som behand­las och för vil­ka ända­mål bedöms använ­da­rens för­tro­en­de till tjäns­te­le­ve­ran­tö­ren öka.

Direktmarknadsföring

I reg­ler­na för direkt­mark­nads­fö­ring via e‑post, sms och push-noti­ser sker inga direk­ta för­änd­ring­ar för mark­nads­fö­ra­re i Sve­ri­ge. Även fort­sätt­nings­vis kom­mer det som utgångs­punkt krä­vas ett sam­tyc­ke eller en befint­lig kund­re­la­tion för att kom­mu­ni­ce­ra direkt­mark­nads­fö­ring genom des­sa kanaler.

Samt­li­ga EU-län­der kom­mer att på egen hand kun­na beslu­ta om använ­dar­nas möj­lig­het att spär­ra deras tele­fon­num­mer för tele­mar­ke­ting. Det bety­der att det befint­li­ga syste­met, såsom NIX-Tele­fons spärr-regis­ter, kan kom­ma att fort­sät­ta tillå­tas om den svens­ka sta­ten så öns­kar. En nyhet i för­ord­ning­en är att tele­fon­för­säl­ja­re mås­te till­han­da­hål­la sitt tele­fon­num­mer, eller använ­da sig av ett sär­skilt rikt­num­mer vid telemarketing.

Kraftiga förseningar

Tan­ken var från bör­jan att både GDPR och EPR skul­le rul­la igång den 25 maj 2018, men EPR har bli­vit kraf­tigt för­se­nat och det är ännu oklart när exakt den nya för­ord­ning­en kom­mer att vara på plats. Kom­mis­sio­nens för­slag till för­ord­ning behand­las av Euro­pa­par­la­men­tet och Rådet, och orsa­ker­na bakom för­e­ning­ar­na antas vara att det inkom­mit över 800 änd­rings­för­slag från oli­ka remissutskott.

Det­ta inne­bär dock inte att mark­nads­fö­ra­re kan släp­pa blic­ken från för­ord­ning­en. För­ord­ning­en för­vän­tas trä­da i kraft någon gång under 2018.