På læsiden af GDPR eller nyt stormvejr på vej?
Næppe er vi blevet færdige med implementering af GDPR (persondataforordningen), før ny dataregulering er på vej fra EU. Denne gang handler det om ePrivacy-forordningen, der er en opdatering af det nuværende ePrivacy-direktiv (cookie-bekendtgørelsen), som regulerer indsamling og brug af elektroniske data.
Hvor GDPR blev hilst velkommen som en tiltrængt, konkurrenceforbedrende strømlining af datareguleringen i EU, er der imidlertid risiko for, at en overregulerende ePrivacy-forordning kommer til at modarbejde intentionen i EU's privacy- og dataprojekt.
GDPR – godt for konkurrencevilkår og dataetik
Da vi passerede 25. maj, mødte vi en ny virkelighed, hvor indsamling, opbevaring og brug af data er blevet strømlinet og strammet op på tværs af alle EU-lande.
Det er godt, at konkurrencevilkårene nu er ens, selv om den langsommelige tilblivelse af den danske databeskyttelseslov samt manglende forudgående vejledninger og orientering gjorde det svært for de danske virksomheder at tilpasse sig de nye regler. Spørgsmålet var, hvordan for-ordningen egentlig skulle tolkes i praksis.
Forløbet medførte imidlertid en god og sund debat, for når virksomheder, organisationer og myndigheder indsamler vores data, er det kun rimeligt, at de også passer godt på dem og bruger dem med omhu.
Samtidig er vi også nødt til at bevare en pragmatisme i datareguleringen, for ellers bliver vi låst og tør til sidst ikke foretage os noget af frygt for de hårde sanktioner, Datatilsynet nu kan pålægge os.
Det vil være en katastrofe i en digital tidsalder, hvor data spiller en stadig vigtigere rolle i virksomheders, organisationers og myndigheders muligheder for at træffe bedre beslutninger og opnå større sikkerhed.
Fornuften sat over styr med ny forordning?
Det er netop de digitale data, der også er i centrum i den nye ePrivacy-forordning, som forventes vedtaget i år. Den er en tiltrængt opdatering af det nuværende ePrivacy-direktiv, idet retningslinjerne for ePrivacy skal justeres, så de passer til principperne i GDPR, og samtidig er der også erfaringer fra implementeringen af det eksisterende direktiv.
Det betyder bl.a., at der vil blive lempet en smule på reglerne for brug af eksempelvis tekniske cookies, idet det tyder på, at man fremover ikke behøver at indhente samtykke til anvendelse heraf.
Til gengæld skal brugeren have bedre mulighed for at fravælge markedsføringscookies. Browser-udbyderne pålægges at skabe en default-indstilling, hvor brugeren kan takke nej. Indstillingen gælder derefter overalt, hvor brugeren surfer. Det er en kærkommen opdatering, der virker både rimelig og fornuftig, og som vil rette op på mange års misforståelser af, hvad en cookie bør og kan.
ePrivacy omhandler imidlertid også brugen af offentlige, åbne data i registre som fx telefonbøger (også kendt som 118-nummeroplysningsdata). I det forslag til ePrivacy-forordningen, der blev fremsat i begyndelsen af året, var der lagt op til, at enhver person, der optages i en offentlig fortegnelse, skulle give sit samtykke i overensstemmelse med samtykkereglerne i GDPR, og at dette skulle ske som et aktivt tilvalg med en fornyet godkendelse hver 6. måned.
Teledata er med til at skabe vækst
Mange vil måske umiddelbart tænke, at telefonbøger og nummeroplysningstjenesten, som vi traditionelt har kendt den, allerede er fortid. Imidlertid udgør netop disse registre nogle af de vigtigste grundregistre for ikke blot at kunne overholde GDPR’s regler om ajourføring af persondata, men også for at give virksomheder muligheden for at kunne målrette kommunikation og markedsføring mod forbrugerne og dermed kunne afsætte deres varer og skabe vækst og værdi for samfundet.
Uden de nationale teledata har virksomhederne ikke den nødvendige adgang til kontaktoplysninger på nye potentielle kunder. Derfor er det vigtigt allerede nu at sætte sig ind i udkastet til den nye forordning og deltage aktivt i debatten, så det kan sikres, at EU ikke lovgiver imod egne interesser.
Risiko for de facto-monopol til giganterne
Virkeligheden er, at hvis SMV’er, herunder selvstændigt erhvervsdrivende, pålægges denne regulering, opstår der et de facto-monopol på kommunikations- og oplysningstjenester, som kun de største globale spillere vil have styrken til at kunne håndtere. Det handler om evnen til at kunne ekspandere på forbrugermarkedet og indhente nødvendige samtykker til videre anvendelse af data til bl.a. markedsføring.
Der er en risiko for, at dette bliver unødigt besværligt eller nærmest umuligt for små og mellemstore europæiske virksomheder, og dette er stik imod EU’s intention med GDPR.
Teledata er allerede godt reguleret
Ud over at det teknisk ville være nærmest umuligt at indhente de foreslåede samtykker, vil det også være en unødvendig forstyrrelse af privatpersoner at indhente samtykke til en databehandling, som gennem årtier har fungeret uden problemer.
Anvendelsen af teledata til markedsføring og opdatering af kunde- og medlemsdata er i dag reguleret i Teleloven, Markedsføringsloven, Dørsalgsloven, Databeskyttelsesloven og CPR-loven. Herunder findes den såkaldte Robinson-liste, hvor privatpersoner har mulighed for at foretage et fravalg, dvs. skrive sig på listen og dermed opnå beskyttelse mod uopfordrede henvendelser.
Derudover kan enhver person direkte hos sit teleselskab til enhver tid frabede sig videregivelse af sit navn, adresse og telefonnummer. Dermed er forbrugerne allerede i dag ganske godt beskyttet mod uønsket, uopfordret markedsføring.
Danmark kæmper for at bevare pragmatismen
Ved granskning af det første forslag til den nye ePrivacy-forordning blev det hurtigt klart, at den var mere omfattende og indgribende i virksomheders mulighed for at bygge eller anvende både digitale og analoge kommunikationstjenester.
I samarbejde med Dansk Erhverv, Dansk Markedsføring og en lang række andre interessenter blev der udarbejdet en rapport, der dokumenterede de store konsekvenser, den nye forordning ville få for dansk erhvervsliv. Det har ført til, at den danske regering aktivt arbejder for at få pragmatismen og fornuften tilbage i ePrivacy.
Indtil videre ser det ud til at lykkes, for i den seneste version af teksten er der tilføjet en mulighed for, at man nationalt kan lovgive om fravalgsbaserede nummerregistre.
Det betyder, at man i Danmark kan vedtage at fravige udgangspunktet i ePrivacy-forordningen og vælge en løsning, hvor borgerne har mulighed for at gøre indsigelse mod registreringen af deres oplysninger. Dette er præcis, som det fungerer i dag.
Forordningen vil have en stor effekt for virksomheders og organisationers fortsatte handlekraft og værdiskabende brug af data. Eftersom forordningen imidlertid endnu ikke er vedtaget, fortsætter arbejdet med at oplyse om de reelle konsekvenser, hvis man i en misforstået ePrivacy-rus glemmer fornuften