Forslag til ny ePrivacyforordning

Den 10. januar 2017 fremsatte Kommissionen sit forslag til en ny ePrivacyforordning, som skal erstatte det nuværende ePrivacydirektiv.

Forslaget er fremsat på baggrund af en analyse foretaget af EU-Kommissionen i 2015, hvori Kommissionen har taget stilling til, hvorvidt ePrivacydirektivet har opfyldt sine mål, herunder særligt at beskytte borgernes privatliv ved elektronisk kommunikation. En såkaldt "Regulatory Fitness and Performance Evaluation" (REFIT).

Resultatet af REFIT-evalueringen

Ikke overraskende blev direktivet fundet at være ude at trit med den teknologiske udvikling. Samme konklusion blev tidligere af Kommissionen draget ved gennemgangen af databeskyttelsesdirektivet, hvilket resulterede i den nu kommende persondataforordning. Flere tilpasninger var ifølge REFIT nødvendige på grund af ændringer i markedet og i det lovgivningsmæssige landskab.

Udvidet anvendelsesområde

Det stadigt gældende ePrivacydirektiv omfatter kun et begrænset udvalg af kommunikationsudbydere, og såkaldte "Over-the-Top" (OTT)-tjenester, såsom VoIP og instant messaging services, er slet ikke omfattet. Dette har givet OTT-udbydere en betydelig  fordel i forhold til de, som udbyder tjenesteydelser omfattet af direktivet. Flere medlemsstater har dog valgt at inkludere disse nyere teknologier og udbydere i national lov.

I forslaget til ePrivacyforordningen defineres anvendelsesområdet teknologineutralt, således det er egnet til at omfatte også fremtidige teknologier.

Samspil med persondataforordningen

Sikkerhedsbestemmelsen i ePrivacydirektivets art. 4 er ikke taget med i forslaget til ePrivacyforordningen, eftersom en tilsvarende (udvidet) bestemmelse findes i persondataforordningens art. 32 og 33.

Et af Kommissionens kritikpunkter i REFIT-evalueringen var desuden håndhævelsen af reglerne hos de enkelte medlemsstater. Flere medlemsstater opererer med flere tilsynsmyndigheder, ofte med overlappende kompetence, hvilket har medført unødvendig forvirring hos de berørte borgere. Forslaget til ePrivacyforordningen henviser her til bestemmelserne vedr. tilsynsmyndigheder i persondataforordningen, herunder sammenhængsmekanismen, fælles tilsynsmyndighed og The European Data Protection Board (EDPB).

Det kan i øvrigt nævnes, at overtrædelser af ePrivacyforordningen ligestilles med overtrædelse af persondataforordningen ift. erstatningsansvar og bøder(!).

Forskellige regler for indhold og metadata

Forslagets artikel 6 fastsætter, hvornår udbydere af elektroniske kommunikationsservices må behandle hhv. indhold og metadata.

'Indhold' udgør selve indholdet af transmissionen, dvs. tekst, stemme, video, billede og lyd. 'Metadata' udgør de oplysninger, som er nødvendige for transmissionen, fx oplysninger om placering og identificering, samt oplysninger, som genereres i forbindelse med transmissionen, fx tidspunkt, dato, varighed og hvilken type kommunikationsmiddel, som blev brugt til transmissionen.

Metadata må kun behandles af udbyderne, hvis

1. det er nødvendigt for at imødekomme obligatoriske krav iht. europæisk kodeks for elektronisk kommunikation eller netneutralitetsforordningen 2015/2120,

2. nødvendigt af hensyn til fakturering for ydelser eller at forhindre misbrug eller

3. slutbrugeren har samtykket hertil for ét eller flere specifikke formål, forudsat formålet ikke kunne opfyldes ved at bruge data i anonymiseret form.

    

   Indhold må kun behandles af udbyderne, hvis

1. det er nødvendigt for at tilvejebringe ydelsen og slutbrugeren har samtykket hertil eller

2. slutbrugeren har samtykket hertil for ét eller flere specifikke formål, forudsat formålet ikke kunne opfyldes ved at bruge data i anonymiseret form. 

Nye cookieregler

Reglerne om cookies får desuden en tiltrængt opdatering. Cookiereglerne har været under hård kritik siden reglerne blev introduceret, særligt fordi reglerne ikke reelt har forbedret folks retsstilling i forhold til før. Folk gider sjældent læse samtykkerne og klikker oftest OK blot for at få banneret væk.

Direktivets cookieregler er ifølge Kommissionen både overinkluderende, fordi samtykket også kræves for ikke-privatlivsforstyrrende cookies, og underinkluderende, fordi reglerne ikke omfatter nyere teknologier, som fx fingeraftryksscanning. Dette vil alt andet lige blive løst med ePrivacyforordningens udvidede anvendelsesområde.

Det vil ifølge forslaget ikke være nødvendigt at give samtykke til førstepartscookies, som bruges til "web audience measuring". Hvad der nærmere ligger i begrebet fremgår ikke af forslaget, men umiddelbart synes det at dække oplysninger om fx antal besøgende, hvilken browsersoftware eller –version brugeren anvender, hvilke sider der besøges hyppigst og andre overordnede oplysninger, som kan danne et generelt billede af brugen af websitet.

En af de største nyskabelser i forslaget er, at reguleringen af cookies også pålægges udviklere af software, som bruges til elektronisk kommunikation, herunder browsere. Disse forpligtes ifølge forslagets artikel 10 til at implementere en valgmulighed, hvorefter brugeren af softwaren kan vælge at slå tredjepartscookies helt fra. Brugeren skal allerede kunne tage stilling til dette under installationen af softwaren eller, hvis brugeren allerede har installeret softwaren, ved næste opdatering. Forslaget vil være med til at "fordele byrden" ift. at sikre den rette balance mellem sikkerhed og smidighed, hvad angår cookies.

Direkte uanmodet markedsføring

Forslaget indeholder desuden mindre opdateringer ift. reglerne om direkte markedsføring, dvs. erhvervsdrivendes mulighed for at sende markedsføringsmateriale, såsom reklamer, direkte via elektronisk kommunikation.

Definitionerne på direkte markedsføring og elektronisk kommunikation er bredere end i direktivet for at sikre, at også nye og fremtidige former for markedsføring er omfattet af definitionen.

Der skelnes desuden mellem B2C ("business to consumer") markedsføring og B2B ("business to business") markedsføring. B2C-markedsføring kræver, ligesom direktivet, forudgående samtykke med visse (samme) undtagelser.

B2B-markedsføring derimod efterlader medlemsstaterne et vist skøn med henblik på udarbejdelse af regler, som behørigt sikrer de erhvervsdrivendes interesse i at være beskyttet mod uanmodet markedsføring. Danmark har allerede formuleret en lempende B2B-markedsføringsbestemmelse i den kommende markedsføringslov, som forventes vedtaget 1. juli 2017.

Afsluttende bemærkninger

Forslaget til den nye ePrivacyforordning læner sig meget op ad persondataforordningen, herunder særligt dens princip om Privacy by Design, som gennemsyrer mange af bestemmelserne i forslaget.

Der bliver lagt ekstra vægt på mellemmændene, fx softwareudviklerne, som skal implementere løsninger i deres produkter, hvorigennem brugerne nemt, effektivt og gratis skal kunne kontrollere indsamling af deres personlige oplysninger. Ifølge REFIT-evalueringen vil dette medføre besparelser på efterlevelse af reglerne på omkring 950 mio. euro, idet omkostningerne i det væsentlige flyttes fra de små- og mellemstore virksomheder over på softwareproducenterne, herunder Google og Microsoft. Det skal selvfølgelig også ses i sammenhæng med, at rent analytiske førstepartscookies undtages fra samtykkekravet. Bestemmelsens formulering synes dog ikke at undtage rent analytiske tredjepartscookies, såsom eksempelvis Google Analytics, der i dag anvendes af størstedelen af websites.