GDPR og brugen af personfølsomme data var et af de helt store fokusområder for virksomheder i 2018. Og allerede nu bør man vende blikket mod EU’s næste tiltag i kampen for at forbedre de europæiske borgeres digitale rettigheder. Den nye lov kaldes ePrivacy Regulation og kommer sandsynligvis til at blive vedtaget i 2019. Formålet er at ændre reglerne for al elektronisk kommunikation, og derudover forventes det, at loven kommer til at påvirke alle former for direkte marketing samt brugen af cookies. Læs videre for at finde ud af, hvad du bør vide om den nye lovgivning.
GDPR og de helt store spørgsmål i 2018
I slutningen af hvert år afslører Google, hvad de mest søgte ord og oftest stillede spørgsmål har været i det forgange år. Tallene bliver oplyst både globalt og for de enkelte lande og giver en god indikation af, hvad der har optaget folk. Nogle af de mest presserende spørgsmål, som danskerne i 2018 søgte svar på, var for eksempel: ”Hvornår spiller Wozniacki?”, ”Hvad er klokken i Miami?” eller ”Hvornår kommer Date mig nøgen på dansk?”. Og på en 10. plads på denne liste over mest stillede spørgsmål finder man ”Hvad er GDPR?”
GDPR eller General Data Protection Regulation også kendt som Den Europæiske Databeskyttelses-forordning blev vedtaget af den Europæiske Union i 2016 og implementeret med virkning fra 25. maj 2018. Og i året der gik, har den ligget til grund for utrolig meget omtale og måske endnu mere forvirring – både blandt den brede befolkning, men især inden for det danske erhvervsliv. Mange virksomheder stod i 2018 over for udfordringer i forbindelse med implementeringen og efterlevningen af de mange nye krav til behandlingen af såkaldt ”personfølsomme data.” (Se her for en nærmere gennemgang af de skærpede dataregler). Og i den kommende tid vil vi højst sandsynligt se flere eksempler på bøder uddelt på grund af brud på reglerne, som eksempelvis Google, der netop er blevet idømt en bøde på 373 millioner kroner af den franske stat for manglende transparens, information og samtykke om deres brug af persondata.
ePrivacy Regulation eller GDPR vol. 2.0
Selvom det endnu er uklart, hvad de langsigtede konsekvenser af GDPR kommer til at være, er det ikke et øjeblik for tidligt at vende blikket mod det næste skud på den europæiske databeskyttelsesstamme. Lovforslaget, som kaldes ePrivacy Regulation (ePR) er en tilføjelse til GDPR regulativet, og omhandler overordnet set ”beskyttelse af privatlivets fred for brugerne af elektroniske kommunikationstjenester.” (Hele lovforslaget kan findes her i dansk oversættelse). Det er endnu ikke vedtaget, men forventes at blive behandlet og potentielt vedtaget i 2019. Og på overfladen lyder det meget som GDPR, men der er nogle forskelle på de to, som er vigtige at forstå.
Kilde: EU-Kommission ePrivacy Factsheet
Hvad er ePrivacy Regulation?
Lovforslaget har til formål at erstatte de eksisterende europæiske regler for ”e-kommunikation”, som på nuværende tidspunkt er formuleret i ”e-databeskyttelsesdirektivet” fra 2002. EU-Kommissionen har i den forbindelse vurderet, at den digitale udvikling i løbet af de sidste 17 år, har været så omfattende, at reglerne må opdateres.
Den brede betegnelse e-kommunikation dækker, som navnet antyder, over al elektronisk kommunikation. Så det vil sige, alt fra e-mail til chat til online-telefoni. Særligt kommer lovforslaget til at begrænse brugen af data i forbindelse med e-kommunikation. Altså både indholdet af selve kommunikationen samt såkaldt metadata, så som hvorfra en besked er sendt, hvornår og til hvem. Der er altså tegn på, at særligt virksomheder som Facebook, Google, Twitter og Snapchat, der ligger inde med enorme mængder af den slags data kommer til at blive påvirket af de nye regler. Men lovforslaget ser også ud til at komme til at skærpe reglerne for e-mail-marketing, tele-marketing samt brugen af cookies. Eksempelvis nævner forslaget, at marketing e-mails bør indeholde links, som giver mulighed for at tilbagetrække samtykke eller at tele-marketing ikke må benytte sig af skjult nummer.
Når det kommer til cookies, tyder det også på, at den nye lovgivning vil medføre en række ændringer. Direktiver, som det nye lovforslag ønsker at erstatte, er også kendt som ”cookie-loven”, da den ligger til grund for de cookie-popups, som de fleste nok er bekendt med. I forslaget nævnes det, at den nuværende oplysning om cookies både er for grundig (da den dækker over brug af cookies, som ikke er personfølsomme) og samtidig ikke grundig nok (da der ikke informeres klart nok om andre tracking metoder, som ikke nødvendigvis er cookie-baserede). Så den endelige version af ePR vil nok inkludere en række nye krav til både brugen og informationen om cookies.
Kilde: EU-Kommission ePrivacy Factsheet
Forholdet til GDPR og dansk lovgivning
En ting, som er vigtigt at holde sig øje, er, at de tidligere regler på området var udstukket i et såkaldt direktiv, mens det nye lovforslag omhandler en forordning på samme vis som GDPR.
En EU-forordning er kort sagt direkte lovgivning fra EU’s side i modsætning til et direktiv, som skal implementeres af de enkelte medlemslande. Det betyder reelt set, at noget kan være ulovligt, selvom det ikke bryder nogen danske love, eftersom EU-lov ”trumfer” dansk lov.
For at gøre det endnu mere kompliceret, er ePR et såkaldt Lex Specialis, hvorimod GDPR er Lex Generalis. Det betyder, at ePR er særlovgivning og derfor ”trumfer” GDRP. Så selvom en virksomhed har taget alle forholdsregler for at blive GDPR-compliant, kan de risikere at bryde med nogle af de nye regler formuleret i ePR og dermed blive idømt en bøde, der ligesom med GDPR kan være på op til 150 mio. kr.
Det er med andre ord vigtigt, at man som virksomhed holder øje med, hvad der kommer til at ske med ePR, så man undgår at få fingrene i klemme.
Så hvad skal du gøre?
På nuværende tidspunkt er det svært at sige. Som sagt er der kun tale om et lovforslag, så før det har været frem og tilbage i det europæiske system og er blevet endeligt vedtaget, er det ikke sikkert, hvordan de egentlige lovkrav kommer til at blive formuleret. Og det kommer højst sandsynligt ikke til at ske tidligere end slutningen af 2019. Og derefter vil der nok ligesom med GDPR være en periode på et år eller to, før loven for alvor træder i kraft.
Der er dog stadig en række ting, som virksomheder allerede nu bør begynde at undersøge. Først og fremmest kommer ePR til at bygge videre på GDPR – så det første skridt bør være, at sikre, at man allerede nu er GDPR-compliant. Dernæst bør man undersøge i hvilken grad, man benytter sig af marketingmetoder, som kan falde ind under ePR – bruger man direkte marketing og hvis ja, har man styr på den data det genererer? Derudover bør man holde øje med relevante fagblade inden for ens felt, da ePR højst sandsynligt vil komme på dagsordenen i takt med, at den endelige lov konkretiseres og vedtages.
Vil du vide mere eller har du spørgsmål til artiklen? Så er du meget velkommen til at skrive til vores Adaptive Data Manager, Gustav Silberbrandt, på gustav.silberbrandt@mindshareworld.com