ePrivacy Forordningen – EU er på vej med endnu en databeskyttelsesforordning
Skrevet af partner Hans Abildstrøm og advokatfuldmægtig Aleksander B. Abildgaard
GDPR og personfølsomme data var et af de helt store fokusområder i 2018. Med Persondataforordningen oplevede EU i maj 2018 den største ændring i lovgivning om beskyttelse af personlige oplysninger i over 25 år. Men selvom virksomheder og organisationer har haft travlt med at gennemføre de forskellige ændringer som GDPR medførte, bør de allerede nu vende blikket mod EU's næste forslag inden for databeskyttelse og digitale rettigheder - det der kaldes ePrivacy Regulation (ePR).
ePrivacy Forordningen kommer til at supplere GDPR, hvor elektronisk kommunikation indeholder personoplysninger, og forordningen vil erstatte det eksisterende e-databeskyttelsesdirektiv, og opdatere reglerne om behandling af elektronisk kommunikation, cookies og uopfordret direkte markedsføring.
Det nuværende udkast til forordningen foreslår en række vigtige ændringer af gældende lovgivning på disse områder:
Bødeniveau
ePrivacy Forordningen benytter samme bødeniveau som er fastsat i GDPR. En overtrædelse af forordningens regler kan således medføre bøder på op til 20 mio. euro, eller på op til 4 % af en koncerns samlede globale årlige omsætning, såfremt dette beløb er højere.
Læs mere om udstedelsen af rekordbøden til Google for brud på GDPRs regler her.
Samtykke til lagring af cookies
Måden, hvorpå der i dag indhentes samtykke til lagring af cookies på et websted, vil ikke være tilstrækkelig i henhold til de kommende regler, da det på linje med reglerne i GDPR kræves, at samtykke til behandling af data blandt andet skal være informeret, entydigt og specifikt. Webstedets operatører vil heller ikke længere kunne lagre cookies på baggrund af et underforstået samtykke givet ved den blotte færden på et websted.
Måden, hvorpå der indhentes samtykke skal være mere gennemsigtig og brugervenlig og skal forhindre bombarderingen af anmodninger om samtykke til at spore cookies, hver gang brugeren klikker sig ind på et nyt websted.
For fremtiden skal brugere - i henhold til det seneste forslag til ePrivacy Forordningen - kunne administrere deres samtykke til cookies gennem indstillingerne i deres webbrowsere, således at der f.eks. helt overordnet kan gives samtykke til lagring af mindre indgribende typer af cookies, mens f.eks. lagring af markedsføringscookies fra tredjepartsannoncører helt udelukkes.
Samtykke vil generelt være nødvendigt for lagring af cookies, undtagen under visse begrænsede omstændigheder som nødvendige funktionelle cookies eller cookies til måling af websiteanalyser.
Flere udbydere er omfattet
Lovgivningen kommer som noget nyt til også at gælde for nyere udbydere af elektroniske kommunikationstjenester som WhatsApp, Facebook Messenger og Skype. Dette vil sikre, at disse populære tjenester sikrer det samme niveau af fortrolighed for kommunikation som de traditionelle telekommunikationsoperatører, herunder udbydere af internet- eller taletelefonitjenester.
Kommunikationsindhold og metadata
Forordningen omfatter også kommunikationsindhold og metadata, f.eks. tidspunktet for et opkald og en fysisk lokalitet. Denne type skal som hovedregel anonymiseres eller slettes, hvis brugeren ikke giver sit samtykke til behandlingen.
ePrivacy Forordningen bearbejdes for øjeblikket gennem EU's lovgivningsproces, og der forventes at komme yderligere ændringer, inden den endelige tekst vedtages. Særligt er reglerne om, hvorledes samtykke til lagring af cookies opnås, årsag til megen uenighed.
Det nuværende udkast til teksten dikterer, at de nye regler først vil finde anvendelse 24 måneder efter forordningens vedtagelse, hvorfor der kan gå længe, før vi ser den nye forordning træde i kraft.
Dette nyhedsbrev udgør ikke, og kan ikke erstatte juridisk rådgivning. Mazanti-Andersen Korsø Jensen påtager sig intet ansvar for skade eller tab, der direkte eller indirekte kan henføres til anvendelse af nyhedsbrevet.