Forslag til E-privacyforordningen

Baggrund, status og væsentlige ændringer

Databeskyttelsesforordningen (GDPR) regulerer behandling af personoplysninger i bred forstand, mens E-privacyforordningen indeholder regler om behandling af (person)data digitalt. E-privacyforordningen forventes bl.a. at få betydning for anvendelse af cookies, OTT-tjenester, reglerne om spam mv.

Det var oprindeligt hensigten, at E-privacyforordningen skulle træde i kraft samtidig med databeskyttelsesforordningen (GDPR). Dette skyldes, at begge forordningers formål er at styrke de europæiske privatlivsrettigheder. E-privacyforordningen blev offentliggjort i 2017, men forelægger stadig kun i forslagsform. Det er endnu uvist, hvornår forslaget bliver vedtaget. I skrivende stund er forordningen stadig under forhandling, og forslagets ordlyd er stadig omdiskuteret. Følgende artikel er derfor alene en beskrivelse af de områder, hvor forordningen forventes at få særlig betydning.

 

Elektronisk kommunikation

Hvor GDPR udgør den generelle ramme for behandling af persondata, har E-privacyforordningen det specifikke formål at beskytte privatlivet herunder data ved anvendelse af elektronisk kommunikation. E-privacyforordningen forventes derfor at fungere som lex specialis/særlovgivning i forhold til GDPR, når der behandles (person)data i elektronisk kommunikation. Det er hensigten, at E-privacyforordningen skal erstatte e-databeskyttelsesdirektiv fra 2002, som ikke afspejler nutidens teknologi.

 

Cookies

Et centralt område i E-privacyforordningen er anvendelse og placering af cookies. Slutbrugeres samtykketræthed over for cookiebannere har medført, at slutbrugere i dag accepterer cookies uden reelt at tage stilling til dem. Dette har medført, at forslaget til E-privacyforordningen skærper samtykkekravet.

Funktionelle cookies vil efter forordningsforslaget ikke kræve samtykke fra slutbrugerne. Tracking eller placering af cookies - som ikke er nødvendige - vil imidlertid kræve samtykke for slutbrugerne (eksempelvis tredjepartscookies til brug for markedsføring). Der henvises i den forbindelse til GDPR’s samtykkekrav. Samtykket gives fremover ved en frivillig, positiv og utvetydig handling på baggrund af en klar, tydelig og let forståelig information. Dette bevirker, at bannere, der udelukkende informerer om brugen af cookies eller tilskynder til accept af cookies, ikke længere vil være tilstrækkelige til opfyldelse af samtykkekravet. Slutbrugerne skal ydermere hver 12. måned påmindes om sin mulighed for at trække sit samtykke tilbage.

 

Behandling og særligt om spam

E-privacyforordningen indeholder – som i gældende ret – stadig meget restriktive regler om adgangen til at behandle kommunikationsdata. Det vil som hovedregel stadig være forbudt at behandle kommunikationsdata herunder forbudt at sende e-mails til kunder uden samtykke. Erhvervsdrivende har imidlertid stadig mulighed for markedsføring af egne tilsvarende produkter, som det er tilfældet i dag. Kunden skal oplyses om retten til at frabede sig markedsføring og skal tilbydes en nem adgang til at udøve sin ret – både når kunden afgiver sine kontaktoplysninger og hver gang, der sendes en ny markedsføringsmeddelelse til kunden.

 

Væsentlige ændringer og opdatering af gældende ret

Alle former for kommunikationstjenester er omfattet af E-privacyforordningen. Nedenfor er der imidlertid en oplistning af nogle af de nydannelser, som E-privacyforordningen medfører.

Metadata

E-privacyforordningen regulerer behandling af metadata (data om data) herunder krav om anonymisering, men også en udvidelse af anvendelsesmulighederne på baggrund af en række nødvendighedshensyn eller ved indhentning af slutbrugernes samtykke.

Internet of Things (IoT)

Kommunikation mellem netforbunde apparater og maskiner, som kan kommunikere med hinanden, er også en væsentlig nydannelse. Dette skyldes, at der i stigende grad findes kommunikation og (person)dataindsamling på tværs af forbundne elektronisk apparater. Der er yderligere behov for beskyttelse af kommunikationshemmeligheden og for at fremme sikker databehandling ved brug af IoT.

OTT-tjenester

E-privacyforordningen regulerer også over-the top tjenester (OTT-tjenester) f.eks. Facebooks Messenger, Skype, SnapChat og andre App’s, der kan anvendes til interpersonel kommunikation. OTT-tjenester er i e-databeskyttelsesdirektivet ikke beskyttet mod uanmodede henvendelser. Dette skyldes, at der ikke i gældende ret er taget højde for, at elektroniske kommunikationstjenester ikke kun kan tilbyde en transmission men også et reelt indhold som OTT-tjenester. E-privacyforordningen vil sikre, at OTT-tjenester ikke er ubeskyttet mod uanmodede henvendelser, samt at OTT-tjenester vil leve op til samme krav om f.eks. fortrolighed, som teleselskaber er underlagt i dag.

Bødeniveau

E-privacyforordningen vil indeholde samme høje bødeniveau som GDPR. Når E-privacyforordningen træder i kraft, vil det derfor kunne få store konsekvenser for de virksomheder som ikke har iagttaget regelsættet.

Virksomheder kan allerede nu være på forkant

Virksomheder kan for at være på forkant med E-privacyforordningen allerede nu undersøge og kortlægge i hvilken grad, den pågældende virksomhed anvender elektronisk data og metadata. Det kan herunder også undersøges hvilke af virksomhedens markedsføringsmetoder, der falder under E-Privacyforordningen. Dette kan eksempelvis være brug af direkte markedsføring eller placering af tredjepartscookies til brug for markedsføring.

 

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.