Status på ePrivacyforordningen

03 oktober 2018

Nyt forslag til ePrivacyforordningen (ePR) fra det østrigske formandskab indebærer ændringer indenfor de centraler emner omkring i) muligheden for at teleselskaber og OTT-tjenester kan udnytte metadata (lokaliseringsdata) til uspecificerede formål, ii) cookie-mure bør tillades, og ingen krav om blokering af tracking i browseren, og iii) udgangspunktet om Privacy by design i relation til browserindstillinger vedrørende cookies slettes. ePR er kontroversiel regulering med et sanktionsniveau tilsvarende GDPR. Det er derfor nok ikke det sidste ord, der er sagt i denne forbindelse.

Formålet med ePrivacyforordningen

ePR erstatter e-databeskyttelsesdirektivet (2002/58) og cookiedirektivet (ændringen til e-databeskyttelsesdirektivet: 2009/136) og udgør en specialregulering af GDPR. ePR vedrører således behandling af personoplysninger via elektroniske kommunikationstjenester indenfor samme anvendelsesområde, som det tidligere e-databeskyttelsesdirektiv, og ophøjer e-privacy til at være et forhold, der ligesom GDPR er reguleret på forordningsniveau.

Udkastet til ePR blev offentliggjort af EU-Kommissionen i januar 2017, opdateret af Europa Parlamentet i januar 2018, og Rådet skal nu komme med det endelige forslag til Europa Parlamentet. Det er i denne forbindelse, at det østrigske formandskab har lavet et revideret forslag. Det østrigske formandskab har imidlertid alene lagt op til en såkaldt fremskridtsrapport i december 2018, så forhandlingerne om ePR fortsætter ind i 2019. Det rumænske formandskab tager over i 2019, og valg til EU-Parlamentet i foråret 2019 udskyder formentligt processen yderligere.

Formandskabets forslag indeholder markante ændringer til Kommissionens og Europa-Parlamentets standpunkt. Udspillet trækker derfor op til flere hårde forhandlinger, hvor den rette balance mellem på den ene side at sikre beskyttelsen af borgernes privatliv og på den anden side sikre de bedste forudsætninger for udviklingen af det digitale marked skal findes.

Væsentligste nyskabelser i ePrivacyforordningen

Nye spillere – OTT udbydere omfattet på linje med traditionelle ISPere

OTT-udbydere (Over The Top) er eksempelvis Skype, Facebook Messenger og WhatsApp, og andre indholdstjenester, der leveres over nettet, men som ikke har forbindelse til selve PSTN netværket. OTT-udbydere er ikke omfattet af den traditionelle definition af teleudbydere, og har dermed ikke været underlagt eksempelvis e-datebeskyttelsesdirektivets skærpede krav til fortrolighed og begrænset behandling af lokaliseringsdata og andre trafikdata. Grænserne for traditionelle teleudbydere og OTT-udbydere bliver imidlertid mere og mere udviskede, hvorfor ePR nu sidestiller dem indenfor ePR's anvendelsesområde.

Udvidede anvendelsesmuligheder for metadata (trafik -og lokaliseringsdata)

Trafikdata, herunder lokaliseringsdata er under e-databeskyttelsesdirektivet underlagt skærpede krav til fortrolighed og begrænset behandling. ePR sikrer denne ret på forordningsniveau, men åbner samtidig også op for en mere åben tilgang til nye anvendelsesmuligheder for trafikdata.

Forsimpling af cookiereglerne

Cookie-reglerne har resulteret i et overload af pop-up samtykkeforespørgsler, der ikke har bidraget til en sikker behandling af cookies, men rettere har været en generel irritation for både brugere og udbydere. De nye regler om cookies under ePR lægger op til en mere brugervenlig tilgang, hvor nødvendigt samtykke gives via browserindstillinger. Derudover lægges der op til, at der ikke kræves samtykke til non-privacy indgribende cookies, som f.eks. er cookies til brug for at huske hvilke produkter der er lagt i en indkøbskurv, eller cookies der bruges til at tælle antallet af besøgende.

Sanktioner tilsvarende GDPR

ePR lægger op til bøder i en størrelsesorden svarende til GDPR. ePR kommer også til at indeholde spamregler, hvorfor manglende overholdelse af spamreglerne nu kan have ganske store konsekvenser. ePR må derfor forventes at blive den næste bølge af GDPR tiltag, der bliver relevante for de fleste virksomheder med en grænseflade til elektroniske kommunikationstjenester.

Det østrigske formandsskabs forslag til ændringer

Nedenfor fremhæves nogle af de væsentligste nyskabelser ved det østrigske formandskabs udkast:

Mulighed for at teleselskaber og OTT-tjenester kan udnytte metadata til uspecificerede formål

Det østrigske formandskab foreslår, at den skærpede tilgang til anvendelse af metadata, herunder lokaliseringsdata, som vi kender fra e-databeskyttelsesdirektivet, udvides til uspecificerede formål uden samtykke fra kunderne:

"further processing for such processing, other than for which the metadata were initially collected may take place without the consent of the end-users concerned, provided that such processing is compatible with the purposes for which the metadata was originally collected, certain additional conditions are met and safeguards are in place, including the consultancy of the supervisory authority and the requirements to anonymize the result before sharing the analysis."

Denne "further use" kan dog ikke anvendes til profilering af slutbrugeren, ligesom slutbrugeren skal oplyses om disse behandlingsaktiviteter.

Ja til cookie-mure, og ingen krav om blokering af tracking i browseren

Lovligheden af såkaldte tracking-mure, hvor adgangen til hjemmesider betinges af accept af overvågningscookies, har været et hedt emne. Siden GDPR trådte i kraft, er versioner af sådanne 'mure' blevet brugt hyppigt, fordi GDPR har medført, at der skal indhentes samtykke til behandling af personoplysninger i forbindelse med behandling af besøgendes personoplysninger.

Det østrigske formandskab åbner nu op for anvendelse af de såkaldte cookie-mure.

Det østrigske formandskab går endvidere væk fra kravet om blokering af tracking via browserindstillinger.

Privacy by design i relation til cookies slettes

Artikel 10 i ePR om privacy by design har vakt meget modstand, da den blandt andet lægger op til, at der per default skal ske nægtelse af 3. parts cookies.

Det østrigske formandskab foreslår helt at slette artikel 10 om privacy by design med henvisning til "samtykke-træthed."

Bird & Birds kommentarer

ePR lægger som nævnt op til bøder i størrelsesordnen tilsvarende GDPR, og kommer til at indeholde regler om spam. Manglende overholdelse af spamreglerne kan derfor ende med at have ganske store konsekvenser for de virksomheder, der er omfattet af ePR, og forordningen derfor må forventes at blive den næste bølge af GDPR tiltag, der bliver relevante for de fleste virksomheder med en grænseflade til elektroniske kommunikationstjenester. Der er ingen tvivl om, at det østrigske forslag ikke er det sidste skrevne forslag til ePR, som vi får at se.

Bird & Bird følger udviklingen tæt og vil løbende holde dig opdateret.