Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Status på ePrivacyforordningen

Bird & Bird
09/10/2018
Status på ePrivacyforordningen
Nyt forslag til ePrivacyforordningen (ePR) fra det østrigske formandskab indebærer ændringer indenfor de centraler emner omkring i) muligheden for at teleselskaber og OTT-tjenester kan udnytte metadata (lokaliseringsdata) til uspecificerede formål, ii) cookie-mure bør tillades, og ingen krav om blokering af tracking i browseren, og iii) udgangspunktet om Privacy by design i relation til browserindstillinger vedrørende cookies slettes. ePR er kontroversiel regulering med et sanktionsniveau tilsvarende GDPR. Det er derfor nok ikke det sidste ord, der er sagt i denne forbindelse.


Formålet med ePrivacyforordningen


ePR erstatter e-databeskyttelsesdirektivet (2002/58) og cookiedirektivet (ændringen til e-databeskyttelsesdirektivet: 2009/136) og udgør en specialregulering af GDPR. ePR vedrører således behandling af personoplysninger via elektroniske kommunikationstjenester indenfor samme anvendelsesområde, som det tidligere e-databeskyttelsesdirektiv, og ophøjer e-privacy til at være et forhold, der ligesom GDPR er reguleret på forordningsniveau.

Udkastet til ePR blev offentliggjort af EU-Kommissionen i januar 2017, opdateret af Europa Parlamentet i januar 2018, og Rådet skal nu komme med det endelige forslag til Europa Parlamentet. Det er i denne forbindelse, at det østrigske formandskab har lavet et revideret forslag. Det østrigske formandskab har imidlertid alene lagt op til en såkaldt fremskridtsrapport i december 2018, så forhandlingerne om ePR fortsætter ind i 2019. Det rumænske formandskab tager over i 2019, og valg til EU-Parlamentet i foråret 2019 udskyder formentligt processen yderligere.

Formandskabets forslag indeholder markante ændringer til Kommissionens og Europa-Parlamentets standpunkt. Udspillet trækker derfor op til flere hårde forhandlinger, hvor den rette balance mellem på den ene side at sikre beskyttelsen af borgernes privatliv og på den anden side sikre de bedste forudsætninger for udviklingen af det digitale marked skal findes.


Væsentligste nyskabelser i ePrivacyforordningen



Nye spillere – OTT udbydere omfattet på linje med traditionelle ISPere


OTT-udbydere (Over The Top) er eksempelvis Skype, Facebook Messenger og WhatsApp, og andre indholdstjenester, der leveres over nettet, men som ikke har forbindelse til selve PSTN netværket. OTT-udbydere er ikke omfattet af den traditionelle definition af teleudbydere, og har dermed ikke været underlagt eksempelvis e-datebeskyttelsesdirektivets skærpede krav til fortrolighed og begrænset behandling af lokaliseringsdata og andre trafikdata. Grænserne for traditionelle teleudbydere og OTT-udbydere bliver imidlertid mere og mere udviskede, hvorfor ePR nu sidestiller dem indenfor ePR's anvendelsesområde.


Udvidede anvendelsesmuligheder for metadata (trafik -og lokaliseringsdata)

Trafikdata, herunder lokaliseringsdata er under e-databeskyttelsesdirektivet underlagt skærpede krav til fortrolighed og begrænset behandling. ePR sikrer denne ret på forordningsniveau, men åbner samtidig også op for en mere åben tilgang til nye anvendelsesmuligheder for trafikdata.


Forsimpling af cookiereglerne


Cookie-reglerne har resulteret i et overload af pop-up samtykkeforespørgsler, der ikke har bidraget til en sikker behandling af cookies, men rettere har været en generel irritation for både brugere og udbydere. De nye regler om cookies under ePR lægger op til en mere brugervenlig tilgang, hvor nødvendigt samtykke gives via browserindstillinger. Derudover lægges der op til, at der ikke kræves samtykke til non-privacy indgribende cookies, som f.eks. er cookies til brug for at huske hvilke produkter der er lagt i en indkøbskurv, eller cookies der bruges til at tælle antallet af besøgende.


Sanktioner tilsvarende GDPR


ePR lægger op til bøder i en størrelsesorden svarende til GDPR. ePR kommer også til at indeholde spamregler, hvorfor manglende overholdelse af spamreglerne nu kan have ganske store konsekvenser. ePR må derfor forventes at blive den næste bølge af GDPR tiltag, der bliver relevante for de fleste virksomheder med en grænseflade til elektroniske kommunikationstjenester.


Det østrigske formandsskabs forslag til ændringer


Nedenfor fremhæves nogle af de væsentligste nyskabelser ved det østrigske formandskabs udkast:


Mulighed for at teleselskaber og OTT-tjenester kan udnytte metadata til uspecificerede formål


Det østrigske formandskab foreslår, at den skærpede tilgang til anvendelse af metadata, herunder lokaliseringsdata, som vi kender fra e-databeskyttelsesdirektivet, udvides til uspecificerede formål uden samtykke fra kunderne:

"further processing for such processing, other than for which the metadata were initially collected may take place without the consent of the end-users concerned, provided that such processing is compatible with the purposes for which the metadata was originally collected, certain additional conditions are met and safeguards are in place, including the consultancy of the supervisory authority and the requirements to anonymize the result before sharing the analysis."

Denne "further use" kan dog ikke anvendes til profilering af slutbrugeren, ligesom slutbrugeren skal oplyses om disse behandlingsaktiviteter.


Ja til cookie-mure, og ingen krav om blokering af tracking i browseren


Lovligheden af såkaldte tracking-mure, hvor adgangen til hjemmesider betinges af accept af overvågningscookies, har været et hedt emne. Siden GDPR trådte i kraft, er versioner af sådanne 'mure' blevet brugt hyppigt, fordi GDPR har medført, at der skal indhentes samtykke til behandling af personoplysninger i forbindelse med behandling af besøgendes personoplysninger.

Det østrigske formandskab åbner nu op for anvendelse af de såkaldte cookie-mure.

Det østrigske formandskab går endvidere væk fra kravet om blokering af tracking via browserindstillinger.


Privacy by design i relation til cookies slettes


Artikel 10 i ePR om privacy by design har vakt meget modstand, da den blandt andet lægger op til, at der per default skal ske nægtelse af 3. parts cookies.

Det østrigske formandskab foreslår helt at slette artikel 10 om privacy by design med henvisning til "samtykke-træthed."


Bird & Birds kommentarer


ePR lægger som nævnt op til bøder i størrelsesordnen tilsvarende GDPR, og kommer til at indeholde regler om spam. Manglende overholdelse af spamreglerne kan derfor ende med at have ganske store konsekvenser for de virksomheder, der er omfattet af ePR, og forordningen derfor må forventes at blive den næste bølge af GDPR tiltag, der bliver relevante for de fleste virksomheder med en grænseflade til elektroniske kommunikationstjenester. Der er ingen tvivl om, at det østrigske forslag ikke er det sidste skrevne forslag til ePR, som vi får at se.

Bird & Bird følger udviklingen tæt og vil løbende holde dig opdateret.

 

 



 




 

 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted