Att få ordning inför den nya dataskyddsförordningen i maj är ett stort jobb som påverkar alla företag, myndigheter och organisationer. Men det gäller att inte missa att det finns fler lagar på väg. En av dem är e-privacy regulation, EPR.

Men medan GDPR gäller all behandling av personuppgifter så handlar EPR om att säkra integriteten i elektronisk kommunikation, där det inte nödvändigtvis behöver gälla personuppgiftsbehandling.

– De är systerlagar där EPR delvis specificerar delar som redan täcks in av GDPR och delvis kompletterar den och utökar scopet, säger Agnes Hammarstrand, it-advokat på advokatfirman Delphi.

Rent praktiskt handlar det om att reglera sådant som elektronisk kommunikationsdata, cookies, internet of things, direktmarknadsföring via elektroniska kommunikationer, retargeting, metadata och tjänster som Skype, Whatsapp eller Messenger.

Medan GDPR har en enorm påverkan på alla företag och organisationer där det handlar om att anpassa it-system, organisera om sig och se över processer för att man ska kunna efterleva lagen är EPR inte alls lika genomgripande för de flesta.

Läs också: Kommuner tar hjälp av AI i GDPR-jobbet

Ändå råder Agnes Hammarstrand företagen att vara förberedda. 

Agnes Hammarstrand.
Agnes Hammarstrand.

– Tar man ett vanligt företag – exempelvis inom handeln – så är det självklart viktigt att ha koll på den nya lagen så att man anpassar sig. Men de regler för exempelvis direktmarknadsföring som det talas om är inga direkta nyheter jämfört med de regler som redan gäller i Sverige – som att man som huvudregel ska ha samtycke eller en befintlig kundrelation, säger hon.

– Däremot finns det ju företag som har tjänster inom digital direktmarknadsföring, retargeting och spårningstjänster online som sin kärnverksamhet. De måste ju följa det här supernoga. Det kan ju handla om att vissa tjänster som dessa företag erbjuder kan bli olagliga.

Från början var tanken att GDPR och och EPR skulle kommit på plats samtidigt. Men EPR har blivit rejält försenat och ännu är det oklart när förordningen kan komma på plats.

Och det finns några punkter som det strids lite extra om. Det handlar exempelvis om hur samtycke ska inhämtas. Där diskuteras om det är okej att du gör en inställning i din webbläsare om att du godkänner viss behandling så att företag som du visat intresse för kan rikta reklam till dig, så kallad retargeting.

– Hur länge gäller det? Så länge man inte ändrar det tycker många företag. Eller ska det krävas mer av enskilda samtycken från fall till fall, som konsumentorganisationerna förordar?

En annan het potatis är om telefonförsäljare ska ha ett särskilt prefix framför sitt nummer så att de går att identifiera. Något som de som livnär sig på det tycker är ett långtgående krav.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Både GDPR och EPR är exempel på EU:s arbete med att harmonisera reglerna för det som man kallar en digital inre marknad.

– Roaminglagen var en annan sådan lag liksom det som handlar om geoblockering, säger Agnes Hammarstrand.

Andra delar handlar om att modernisera upphovsrättslagar, se till att motarbeta näthat, öka den digitala kompetensen hos EU-medborgarna, se till att EU är uppkopplat och att stärka skyddet mot it-attacker.