E-privacy förordningen

Som marknadsförare bör du hålla ett extra öga på den nya E-Privacy förordningen (EPR). Inte minst om du erbjuder tjänster inom digital direktmarknadsföring, retargeting och telemarketing. Regleringen som ska stärka skyddet för människors privatliv banar också väg för nya affärsmöjligheter.

[>> Artikel från Wistrand, Text: Christel Rockström, Erik Ullberg, Foto: Andrew Worley]

 

EFTER GDPR-STORMEN: DAGS FÖR EPR

EPR är förordningen som är på tapeten efter att kulmen av GDPR-stormen har passerat. EPR ersätter E-Privacy och innebär en uppdatering av den befintliga Lagen (2003:389) om Elektronisk Kommunikation (LEK) samt en anpassning av den svenska marknadsföringslagen i förhållande till direktmarknadsföring (E-Privacyreglerna). EPR bedöms skapa nya möjligheter för att behandla kommunikationsdata samt öka förutsättningarna för att stärka konsumenternas förtroende för tjänsteleverantörer inom elektronisk kommunikation.

ETT FÖRÄNDRAT BETEENDE KRÄVER NYA REGLER

LEK började gälla år 2003 och omfattar i huvudsak enbart traditionella telekomoperatörer. Sedan dess har digitala medier för kommunikation drastiskt förändrats. En målsättning med EPR är att säkerställa sekretess för kommunikation och metadata vid användning av elektronisk kommunikation genom exempelvis mobil, surfplatta och dator. EPR utvidgar därmed definitionen av elektroniska kommunikationstjänster till att omfatta samtliga leverantörer av sådana tjänster, vilket innebär att tjänsteleverantörer såsom iMessage, WhatsApp och Facebook Messenger, som för närvarande är undantagna från E-Privacyreglerna, fortsättningsvis kommer att omfattats.

PRECISERAR OCH KOMPLETTERAR GDPR

Även om det finns en viss överlappning mellan EPR och GDPR, är den stora skillnaden att GDPR omfattar hanteringen av personuppgifter i alla former, medan EPR omfattar elektronisk kommunikation mer specifikt. Tillsammans med GDPR ska EPR tillse att den elektroniska kommunikationens integritet skyddas av moderna och ändamålsenliga regler där samtliga medlemsstater och institutioner inom EU upprätthåller enhetliga standarder som ger likvärdigt högt skydd för individen.

På samma sätt som GDPR innehåller EPR bestämmelser som kan innebära kraftiga sanktioner om förordningen inte efterlevs, vilka inte heller begränsas till företag inom EU. Framöver kommer de nationella dataskyddsmyndigheterna utöva tillsyn i fråga om efterlevnad av förordningens bestämmelser, vilket i Sverige innebär att Datainspektionen kommer att överta tillsynsansvaret från PTS.

NYA REGLER OM SAMTYCKE FÖR BEHANDLING AV COOKIES

LEK ändrades under 2009, vilket innebar att samtycke numera krävs för behandling av cookies som inte enbart behövs för webbsidan eller tjänstens funktionalitet. Följden av detta har blivit att webbplatsbesökare med jämna mellanrum möts av en cookiebanner med meddelande om att besökaren måste godkänna att cookies används.

EPR kommer i viss mån att lätta på reglerna om samtycke för behandlingen av cookies, då besökaren inte längre behöver samtycka eller tacka nej till cookies och andra nätidentifierare (såsom pixlar och web-beacons) som enbart behandlas för att göra webbsidan användarvänlig eller används för statistiska ändamål.

Samtycke till behandling av cookies föreslås vidare kunna lämnas av användaren redan genom en inställning i användarens egen mjukvara. Förslaget har dock starkt kritiserats av marknadsförare eftersom det föreligger risk att användare istället väljer att blockera användningen av cookies som default utan kännedom om vad det innebär i praktiken. Notera även att begreppet samtycke kommer att ha samma innebörd som i GDPR, vilken anger att ett samtycke ska vara en frivillig, specifik, informerad och otvetydig viljeyttring.

DIREKTMARKNADSFÖRING

I förhållande till reglerna för direktmarknadsföring via e-post, sms och push-notiser innebär EPR inga direkta förändringar i materiellt hänseende för marknadsförare i Sverige. Även fortsättningsvis kommer det som utgångspunkt krävas ett samtycke eller en befintlig kundrelation för att kommunicera direktmarknadsföring genom dessa kanaler. Den stora skillnaden består istället av den redan nämnda exponeringen för striktare sanktioner.

Samtliga EU-länder kommer att på egen hand kunna besluta om användarnas möjlighet att spärra sina telefonnummer för telemarketing. Det betyder att det befintliga systemet, såsom NIX-spärregister, kan komma att fortsätta tillåtas om den svenska staten så önskar. En nyhet i förordningen är att telefonförsäljare måste tillhandahålla sitt telefonnummer eller använda sig av ett särskilt riktnummer vid telemarketing.

FRAMTIDEN

Ambitionen var inledningsvis att både GDPR och EPR skulle börja gälla den 25 maj 2018, men EPR har blivit kraftigt försenad. Kommissionens förslag till förordning behandlas av Europaparlamentet och Rådet, och orsakerna till förseningarna antas vara att det inkommit över 800 ändringsförslag från olika remissutskott.

Detta innebär dock inte att marknadsförare kan släppa blicken från förordningen. Förordningen förväntas träda i kraft någon gång under 2019.