Nya förslag för E-privacy regleringen (ePR) kan kräva opt-in för telemarketing

Dataskyddsförordningen är ett viktigt område för Giva Sverige att bevaka – så att våra medlemmar kan få aktuell information och rekommendationer baserat på hur regelverket tolkas och utvecklas. Som en del i detta bidrar Axel Tandberg med regelbundna kommentarer och reflektioner. Du hittar mer om dataskyddsförordningen och Giva Sveriges riktlinjer här.

Sommaren är numera nästan ett minne blott och hösten har börjat sitt intåg över landet med allt vad det innebär med svamp, bär och skiftande färger i skogens bladverk.

Skiftningar är också det som sker inom dataskyddsvärlden. Bryssel och dess lagstiftare har börjat känna att det kan vara dags för ett kyligare klimat, dataskyddsmyndigheterna inom den Inre Marknaden, som visserligen var aktiva under sommaren, börjar spänna musklerna och privacy aktivisterna (NYOB (Österrike) och Brave (Irland)) börjar sprida sina aktiviteter likt flyttfåglar.

Låt oss börja i Bryssel och utvecklingen där:
E-privacy Regulation (ePR), förhandlingarna pågår mellan representanter från Kommissionen, Rådet och Europaparlamentet. Utveckling har dock inte stannat där, utan i parlamentet har politiska krafter lagt fram förslag till ändringar i texten. Av dessa är två av särskilt intresse för Giva Sveriges medlemmar. Den första är att även politisk och icke-kommersiell kommunikation ska inkluderas i vad som definieras som ”direktmarknadsföringskommunikation”, det andra är att möjligheten för medlemsstater att behålla opt-out för telemarketing har tagits bort. Dessa två sammanslaget skulle innebära att ett GDPR-samtycke skulle krävas för att en ideell organisation ska kunna få ringa upp en potentiell givare/medlem.

Redan nu pågår en intensiv lobbying via en koalition av branschorganisationer i Bryssel för att förhindra detta, vilken European Fundraising Association (EFA) är en del av. Koalitionens mål är att dels stoppa förslaget i Europaparlamentet och påminna Kommissionen och Rådet om varför man hade lagt in möjligheten i ursprungsförslaget till e-PR. Vad jag förstår är inte bara Giva Sverige aktiva rörande detta i Sverige, utan ett flertal andra branschorganisationer har börjat uppvakta den svenska regeringen i syfte att förhindra att förslaget accepteras under förhandlingarna.

Vidare har arbetet med två nya förslag påbörjats bland EUs institutioner i Bryssel, Digital Services Act (DSA) och Digital Markets Act (DMA), där båda förslagen kan få konsekvenser för hur vi kan marknadsföra oss på Internet.

DSA riktar sig främst mot själv leveransen av digitala tjänster där återigen Europarlamentet vill införa striktare krav på hur personuppgifter får användas, t.ex. att man endast får använda sig av dem för att leverera tjänsten och skicka fakturan utan ett samtycke från kunden (idag är det tillåtet att marknadsföra sig digitalt till sina kunder utan ett samtycke).
DMA handlar mer om själva marknadsföringen som görs alternativt baserar sig på den digitala närvaron hos individen. Här vill man återigen ge de som äger webbrowsern makten att förhindra att personuppgifter samlas in och kombineras för att kunna bättre rikta marknadsföring till de personer som är aktiva på en webbplats.

När det gäller de europeiska dataskyddsmyndigheterna så har vi flera fall där sanktioner har delats ut under sommaren. Låt oss titta på de fall som kan vara av intresse vad gäller sanktioner. Den största av dem är där den luxemburgska dataskyddmyndigheten ålade Amazon en sanktion om 746 miljoner euro. Skälet till detta är troligen (inte säkert då den luxemburgska dataskyddsmyndigheten inte kan publicera sitt beslut förrän alla rättsliga medel är uttömda) att dataskyddsmyndigheten ansåg att Amazons webbshop inte behandlade kunders personuppgifter på rätt rättslig grund och man anser att Amazon manipulerar kundernas köpbeteende baserat på vilken reklam som de exponeras för.

En annan sanktionsavgift som är av intresse är den som den irländska dataskyddsmyndigheten tilldelade Whatsapp. Sanktionsavgiften blev till slut 225 miljoner euro för att man inte är tillräckligt transparanta i sina villkor hur man kommer att behandla användarnas personuppgifter och hur man även delar dessa med Facebook. Men det intressanta här är att EDPB (European Data Protection Board) tvingade den irländska dataskyddsmyndigheten att öka sin sanktion från 50 millioner till 255 millioner efter påtryckningar från åtta andra dataskyddsmyndigheter.

Låt oss nu rikta vårt fokus på aktivistorganisationerna NYOB och Brave, båda organisationerna som säger sig företräda individer i enlighet med artikel 80 GDPR vilket ger dem rätt att inlämna klagomål till dataskyddsmyndigeter utan att det finns ett enskilt fall i grunden. Både NYOB och Brave har hittills främst riktat in sina ansträngningar gentemot Google och Facebooks användning av personuppgifter vid leverans av deras tjänster. Men NOYB har även beslutat att ”väcka talan” mot 422 företag i 10 länder då de inte anser att de följer kraven för cookie och samtycken för att lägga dessa.

Här är det snarare fenomenet i sig som är av intresse, att det har bildats organisationer som ser det som sin främsta uppgift att föra individers talan på eget bevåg. Detta kommer att leda till liknande organisationer bildas i Sverige av personer som anser att vi tar för lätt på skyddet av personuppgifter i Sverige. Något som vi måste vara beredda på när de dyker upp.

Men låt inte allt detta tynga ditt sinne för mycket, utan kom ihåg att det viktigaste är att fortsätta underhålla din organisations arbete med behandling av personuppgifter så kommer förhoppningsvis hösten att bli en tid av reflektion under långa promenader i skog och mark blandat med svamp- och bärplockning istället.

Axel Tandberg
Legal Works

Mer om detta kan ni även läsa i EFA:s artikel:
Why new e-privacy proposals could give the sector an even bigger headache