Orientering fra Danske Medier: Ny e-databeskyttelsesforordning

Orientering om e-databeskyttelsesforordning

23. januar, 2017 | Orientering

 

Ny e-databeskyttelsesforordning

Sammenfatning EU Kommissionen har fremlagt et forslag til en ny e-databeskyttelsesforordning, der skal afløse ”Cookie-direktivet” og kan få stor betydning for digitale medier og al digital annoncering. Det centrale element er kravet om forudgående samtykke for stort set alle former for databrug (ikke kun persondata), som denne gang forventes håndhævet.

 

Stort set al digital annoncering (ikke kun programmatic) omfatter databehandling, som i dag primært er baseret på persondatalovens regler for legitim interesse uden samtykke, hvorfor en forslaget vil medføre et behov for ændringer af praksis på området.

 

Forslaget skal nu behandles i Parlamentet og efterfølgende Rådet. Kommissionen håber på en hurtig behandling, så reglerne kan træde i kraft sammen med Databeskyttelsesforordningen fra maj 2018. Danske Medier er i samarbejde med de europæiske medie- og reklameorganisationer fokuseret på at få ændret på forslaget.

 

Sammenhæng Forslaget er fremsat til en forordning og vil dermed have direkte virkning i modsætning til et direktiv. Forslaget skal erstatte det nuværende e-databeskyttelsesdirektiv (2002/58/EC) også kendt som ”Cookie-direktivet”. Det har hele tiden været planen, at direktivet skulle revideres og evt. afskaffes efter den generelle databeskyttelsesforordning, GDPR (2016/679) var kommet på plads. GDPR blev vedtaget i april 2016, og træder i kraft senest d. 25. maj 2018. Det forekommer dog uhensigtsmæssigt, at branchen og myndighederne, midt i arbejdet med at fortolke og implementere den generelle forordning, samtidigt skal forhandle og tage stilling til endnu et byrdefuldt og lidet gennemtænkt lovforslag. Udfordringerne er særligt store hvis begge forordninger skal implementeres samtidigt, som der lægges op til fra Kommissionens side.

 

Formål og grundlæggende problemstilling Intentionen med e-databeskyttelsesforordningen er at sikre, at al digital kommunikation som udgangspunkt skal være fortrolig ud fra et princip om at intet må behandles uden et samtykke. Men i lyset af den enorme mængde digital kommunikation, der finder sted, bliver det i praksis meget uoverskueligt for brugere, der enten får sagt ja til en masse, de ikke kan overskue, eller siger nej til en masse brug af data, der reelt ville forbedre deres forhold.

 

Omfang Hvor GDPR er begrænset til persondata, så omfatter e-databeskyttelsesforordningen alle typer digital information – inkl. tidligere gemte data. Som noget nyt vil det også gælde for kommunikation via fx messengers, chat apps, VoIP, data om data inkl. metadata, logdata og fingerprinting samt dataudveksling mellem digitale enheder (Internet of Things). Både fysiske personer og juridiske personer (firmaer o.lign.) er omfattet, hvis afsender eller modtager befinder sig i EU. Som udgangspunkt skal man altså antage at, hvis en information er digital – så er den omfattet af forordningen og at der derfor skal foreligge et forudgående samtykke til at databehandling må finde sted i form af enten lagring, tilgang og behandling.

 

Tilsyn og bøder Lovgivningen skal håndhæves af de samme myndigheder som håndhæver persondataforordningen og hermed lægges der op til, at området kan overgå fra Erhvervsstyrelsen til Datatilsynet. Det er endnu ikke bekræftet, at dette vil blive tilfældet, men det kan ikke udelukkes, at en sådan overgang kan betyde en strammere tolkning og håndhævelse. Overtrædelser vil have de samme store bøderammer på op til 4 pct. af den årlige globale omsætning, men det forventes ikke, at en enkelt begrænset overtrædelse øjeblikkeligt vil resultere i bøder af den størrelse.

 

Samtykke Et forudgående samtykke defineres på samme måde som i den generelle persondataforordning, hvorved der skal være tale om en frivillig aktiv handling som fx et klik, der angiver, at man er indforstået med forhold, som man er klart informeret om. Som medie skal man kunne dokumentere samtykket, der desuden skal kunne trækkes tilbage til hver en tid. Man må på ingen måde begynde at gemme data m.v. før der er indhentet samtykke.

 

Browser-indstillinger For at gøre det lettere for brugere at afgive samtykke til fx brug af tredjeparts-cookies til brug for målrettet annoncering, anerkendes det som gyldigt forudgående samtykke, hvis brugeren aktivt har indstillet sit browser til at tillade dette. Det er dog et krav at brugeren har modtaget tilstrækkelig oplysning om konsekvenserne heraf. Det vil kræve nyskabelser fra browser-producenter før dette evt. bliver en option. Default-indstillinger er ikke gyldige.

 

Directories (telefonbøger) Offentligt tilgængelige digitale opslagsværker over fx telefonnumre og adresser m.v. vil fremover som noget nyt kræve et aktivt opt-in fra fysiske personer. Forbrugeren skal i den forbindelse oplyses om de søgefunktioner, der vil være forbundet med det digitale opslagsværk. Firmaer skal som hidtil have muligheden for opt-out. Privatpersoner kan selvfølgelig også vælge at blive slettet igen.

 

Direct marketing Alle former for elektronisk henvendelse målrettet til bestemte personer eller firmaer med henblik på markedsføring inkl. programmatic og retargeting er omfattet og vil kræve forudgående samtykke. Det er dog fortsat muligt at sende e-mails til eksisterende kunder, som er oplyst om at deres emails vil blive anvendt til marketing, hvis de ikke har frabedt sig det. Alle e-mails skal have link til at frabede sig yderligere mails og må kun omhandle tilsvarende produkter.

 

Telefonsalg Opkald fra telefonsælgere må ikke være fra skjulte numre men kan evt. blot være med et særligt præfix, der gør det muligt at identificere, at der er tale om opkald fra en sælger. Medlemslande kan vælge at indføre, at det skal være muligt at fravælge opkald fra telefonsælgere, som det kendes fra Robinson-listen i Danmark.

 

Undtagelser for krav om forudgående samtykke Der er nævnt en række undtagelser i forslaget samt i præsentationen heraf, som bl.a. omfatter:

  • Teknisk nødvendig behandling af data for at kommunikationen kan finde sted.
  • Offentligt tilgængeligt indhold: Publicering af opslag på fx en Facebook tidslinje anses ikke som konfidentiel kommunikation mellem to personer eller enheder, hvorved det må antages at åbne kommentarer til en artikel heller ikke er.
  • Webshops: 1. parts cookies, der f.eks. bruges til at huske indholdet i en virtuel indkøbskurv, mens man browser rundt i en webshop.
  • Simpel webstatistik: 1. parts web analytics cookies til at tælle brugere.
  • Fysiske hotspots: Hvis det er tydeligt skiltet, kan man registrere mobilers wifi-signaler, der kan bruges til at måle omfanget af personer i et afgrænset område.
  • Adblock detection: Det er tilladt for medier at undersøge om brugere har installeret en adblocker uden at der skal indhentes samtykke.

 

Spørgsmål og kommentarer

Alle spørgsmål eller kommentarer vedr. forslag e-databeskyttelsesforordning bedes rettet til Allan Sørensen på as@danskemedier.dk

Læs hele nyhedsbrevet online