EPR (e-Privacy Regulation) - doldisen bakom GDPR

EPR ligger på skissbordet och skrämmer de amerikanska mjukvaruföretagen till att spendera miljoner på lobbying.

EPR (e-Privacy Regulation) – doldisen bakom GDPR

Samtidigt som företag jobbar hårt för att GDPR-anpassa sig spenderar jättar som Facebook och Google tiotals miljoner kronor på att stoppa systerlagen EPR, e-Privacy Regulation. Lobbyverksamheten gentemot EU-institutionerna kan liknas vid en tyst, ekonomisk krigföring enligt anti-korruptionsorganisationen Transparency International. Vad är det då med EU:s nästa lag, tänkt att komma under 2019, som skrämmer de amerikanska mjukvaruföretagen?

EPR, e-Privacy Regulation, är menad att säkra integriteten i e-post, chattar och annan elektronisk kommunikation. Några av de tjänster som kommer att påverkas av det nya direktivet är Skype, WhatsApp, Facebook Messenger och iMessage – Facebook och Google dominerar den globala, digitala annonsmarknaden, för dem står mångmiljardbelopp på spel.

Andra kritiska röster menar att EPR kan hämma de tjänster som är till gagn för den lilla människan, så som trafikinformation live och automatisering av exempelvis olika funktioner i hemelektroniken. Hur det blir återstår att se. EPR, e-Privacy Regulation, och GDPR är delar av EU:s mål att sammanföra reglerna för en digital inre marknad med syftet att öka konsumenternas förtroende, med andra ord stimulera handeln och ekonomin. Och ta bättre hand om den data som samlas in om oss alla.

Lagen om elektronisk kommunikation som vi har nu kom 2009 och kräver samtycke för de cookies som inte behövs för funktionaliteten. Så kallade cookie consent banners började läggas till på webbplatser i form av pop-ups-rutor och användaren måste acceptera dessa innan hen kan använda alla tjänster. Detta ledde dock till en diskussion om huruvida samtycket enligt lagen om elektronisk kommunikation kunde vara implicit – att man samtycker till cookies enbart genom att besöka en webbplats, förutsatt att man blivit informerad om sidans cookies. Branschen anammade snabbt normen att implicit samtycke för cookies är tillräckligt, även om svaret på frågan är oklart.

Sedan kom GDPR och med den en ny diskussion kring cookiesanvändning. Enligt GDPR måste samtycke vara en ”entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande”, och där faller implicit samtycke bort.

Vad innebär EPR, e-Privacy Regulation?

EPR, E-privacy Regulation, skapas utifrån artikel 7 i EU:s stadga om de grundläggande rättigheterna och är menad att omfatta besökarnas privatliv – integriteten ska skyddas vid varje steg i varje online-interaktion. EPR, E-privacy Regulation, vill bredda begreppet elektroniska kommunikationstjänster till att omfatta så kallade over-the-top-tjänster, exempelvis meddelandetjänster (chattjänster, kombinerade chatt- och samtalstjänster), webbaserade e-posttjänster och IoT-tjänster (Internet of Things), tjänster som idag är undantagna.

EPR, E-privacy Regulation, kan ses som striktare än GDPR. Enligt förslaget ska lagen gälla integriteten för både innehåll i chatt, e-post och annan kommunikation samt metadatan, exempelvis tidpunkt, plats. Om användaren inte lämnat samtycke ska uppgifterna avidentifieras eller raderas, med vissa undantag, exempelvis att uppgifterna behövs för fakturering. Följs inte EPR, E-privacy Regulation, blir straffpåföljderna liknande dem för avvikande från GDPR.

Vem gäller EPR, e-Privacy Regulation, och från när?

GDPR undantar bolag och andra verksamheter som omfattas av datalagringsdirektivet, det vi i Sverige implementerat genom lagen om elektronisk kommunikation. Med andra ord omfattas inte leverantörer av elektroniska kommunikationsnät och elektroniska kommunikationstjänster av GDPR, och samma förhållande gäller när EPR träder i kraft. Dock betyder det inte att dessa kan bortse från dataskydd och integritet, tvärtom. Lagring och samtycke ställs som höga krav både i lagen om elektronisk kommunikation liksom EPR, e-Privacy Regulation.

Från början var EPR menad att träda i kraft samtidigt som GDPR. Dock insåg man att tiden var för knapp för lagen att passera genom EU:s ordinarie lagstiftningsförfarande. Därmed är EPR, e-Privacy Regulation, fortfarande på skissbordet.Europeiska rådet kan komma med sin slutliga lagtext nu till sommaren 2018, sedan ska det tillsammans med Europaparlamentet och EU-kommissionen komma överens om den slutliga texten.
Beslutet förväntas först 2019, förutsatt att de allra muskligaste lobbyverksamheterna inte fördröjer lagen än mer.

EPR, e-Privacy Regulation, i korthet

Det kan låta krångligt att sätta sig in i EPR, e-Privacy Regulation, därför har vi satt ihop en punktlista. Håll tillgodo!

  • Dagens cookie consent banners är sällan så pass tydliga att besökarna förstår vilka cookies som är integritetskänsliga, vad olika cookies används till och för vilket ändamål, exempelvis cookies som sparar din kundvagn. EPR, e-Privacy Regulation, anser att informationen och samtycket ska förenklas. För cookies som gör webbplatsen mer användarvänlig eller som finns för statistiska ändamål ska inget samtycke krävas.
  • Opt-in, när besökaren aktivt måste svara ja till tjänsten, vill EPR, e-Privacy Regulation, göra gällande för obeställd reklam via sms och mobiltelefonsamtal. Telefonförsäljare måste därtill visa sitt telefonnummer eller använda ett särskilt riktnummer.
  • Till sist har EPR, e-Privacy Regulation, som förslag att uttryckliga regler för samtycke ska krävas för att tas upp i allmänt tillgängliga förteckningar, exempelvis abonnentupplysningstjänster. Fysiska personer ska ha rätten att bestämma vilka kontaktuppgifter, om några, som ska finnas med genom uttryckligt samtycke (som kan återkallas när som helst), och juridiska personer ska få ändra sina uppgifter.