Synergien mellem den generelle GDPR og ePR

Ikke længe efter at organisationer har indledt og næsten færdiggjort deres køreplaner mod GDPR compliance, er et nyt sæt krav til databeskyttelse på vej: e-databeskyttelsesforordningen. Vi vil undersøge synergien mellem den generelle databeskyttelsesforordning (GDPR) og e-databeskyttelsesforordningen (ePR) for at belyse sammenhængen mellem de to regulativer, samt hvad e-databeskyttelsesforordningen har af yderligere indvirkning på organisationer.

Referencerne til ePR i denne artikel er baseret på det seneste udkast af denne forordning, som det er blevet godkendt af EU-Rådet i marts 2019. 

Hvad er sammenhængen mellem GDPR og ePR?

Da hensigten er at harmonisere og præcisere e-databeskyttelsesforordningens krav i overensstemmelse med GDPR-kravene, kan GDPR og ePR anses som komplementerende forordninger. For det første har regulativerne samme sigte, nemlig at gøre det muligt at beskytte og frit udveksle (person)oplysninger. For det andet er de nationale tilsynsmyndigheder ansvarlige for håndhævelsen af både GDPR og ePR. For det tredje har ePR, ligesom GDPR, ekstraterritorielle virkninger, og for det fjerde kan den medføre administrative bøder på op til 4% af den årlige omsætning på verdensplan.

På den anden side afviger forordningernes materielle anvendelsesområder fra hinanden; hvor GDPR har til formål at beskytte fysiske personers personoplysninger, sigter ePR i stedet at beskytte elektronisk kommunikations fortrolighed og sikre slutbrugeres datasikkerhed i onlinemiljøer.

Ikke desto mindre er det muligt for en behandlingsaktivitet at være omfattet af begge forordninger på samme tid. GDPR foreskriver de grundlæggende krav til datasikkerhed for alle behandlingsaktiviteter, der omhandler personoplysninger, mens ePR præciserer dem, så de passer til anvendelsesområdet for elektronisk kommunikation. Cookies kan for eksempel indeholde personoplysninger og således resultere i anvendelsen af både GDPR og ePR. Desuden vil metadata genereret på baggrund af kommunikation være omfattet af både GDPR og ePR. Sammenhængen mellem forordningerne er også tydelig, fordi ePR i flere paragrafer referer til de tilsvarende GDPR-forpligtelser, såsom reglerne for direkte markedsføring og samtykke.

Hvad bliver det nye?

Cookie-håndtering er et af de hovedpunkter, hvor ePR fastlægger et ekstra sæt bestemmelser særskilt fra dem i GDPR. ePR indfører en måde at indsamle samtykke til cookies på, som vil afskaffe de cookiebannere, vi kender i dag. Dette sker for at gøre noget ved den “samtykketræthed”, som slutbrugere oplever ved at skulle klikke “Jeg accepterer cookies” på hver side, de besøger.

Med undtagelse af de rent analytiske cookies vil de strenge betingelser for samtykke, som de er formuleret iht. GDPR, stadig gælde, dog på en måde der minimerer byrden på brugeren og forbedrer brugeroplevelsen. ePR fastlægger, at samtykke kan udtrykkes ved at bruge de passende tekniske indstillinger i den software, der tillader elektronisk kommunikation. Det betyder, at brugere kan indikere cookiepræferencer i softwaren og internetbrowseren og behøver derfor ikke at specificere deres præferencer for hver enkelt websted. Ejere af websteder vil være i stand til at placere cookies i overensstemmelse med de indstillinger brugeren har valgt. 

For at styrke brugerens position fuldt ud mht. cookieindstillinger pålægger ePR organisationer et krav om periodisk at informere registrerede om muligheden for at trække samtykke tilbage.

ePR er på tilsynsmyndighedernes radarer

Selvom ePR stadig er under færdiggørelse og måske først træder i kraft i løbet af 2021, har forskellige tilsynsmyndigheder allerede organisationers cookie-håndtering på deres radarer. For eksempel, udstedte de hollandske og britiske myndigheder håndhævelsesforanstaltninger, og Det Europæiske Databeskyttelsesråd gav vejledning omkring brugen af “cookie walls” på websteder. Kort sagt fastlægger de, at cookie walls ikke er i overensstemmelse med kravet om at indhente ”informeret samtykke”, fordi tilbageholdelse af samtykke har negative konsekvenser for brugeren. Alt i alt anbefales organisationer, der er i gang med at revidere deres meddelelser om databeskyttelse, marketing strategier og cookie-håndtering at imødese ePR, særligt pga. dens sammenfaldende anvendelsesområde med GDPR og strenge håndhævelsesordning.