It-juristen reder ut: Så påverkas ni av EU:s nya e-privacylag, EPR

Skype, WhatsApp, Facebook Messenger och iMessage är bara några av de tjänster som föreslås omfattas av det nya direktivet, till skillnad från dagens regelverk.

Både GDPR och EPR ingår i EU:s arbete med att harmonisera reglerna för det som kallas en digital inre marknad. Eftersom förarbetena fortfarande pågår är det svårt att svara säkert på om EPR blir en förenkling och förbättring, eller bara krångligare än idag. Klart är i alla fall att företag bör hålla koll på frågan.

Den nuvarande lagen om elektronisk kommunikation ändrades 2009 så att det skulle krävas samtycke för alla cookies som inte behövdes direkt för funktionaliteten. Det ledde till en väldig aktivitet på webbplatser, där en efter en la till en så kallad cookie consent banner (pop up-rutan där användarens webbläsare måste acceptera cookies för att kunna använda alla tjänster på sidan). Det väckte också frågan om ett samtycke enligt lagen om elektronisk kommunikation kunde vara implicit, det vill säga att du samtycker till cookies bara genom att besöka en webbplats förutsatt att du har informerats om att sidan har cookies.

Hur man än borde se på saken så blev det snabbt en norm i branschen att implicit samtycke var tillräckligt för cookies.

Läs mer: Håll ögonen på EPR - nästa EU-smocka efter GDPR

Ett antal år senare presenterades som bekant EU:s dataskyddsförordning GDPR, som börjar gälla 25 maj i år, och det väckte en ny debatt kring cookiesanvändningen. Samtycke enligt GDPR måste ju vara en “entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande”. Det kan inte ett implicit samtycke anses vara.

Men ska man följa GDPR eller lagen om elektronisk kommunikation när det gäller cookies? Eller båda? EU-kommissionen insåg snart att det uppstod en normkonflikt och jobbar därför som bäst på att skapa EPR, e-privacy regulation, det vill säga en e-privacyförordning som ska gälla sida vid sida med GDPR. Och den tar upp fler saker än cookies.

Vad kommer EPR innebära?
Förslaget från EU-kommissionen innebär att man ska bredda begreppet elektroniska kommunikationstjänster till att även omfatta så kallade over-the-top-tjänster, som meddelandetjänster (chattjänster, kombinerade chatt- och samtalstjänster), webbaserade e-posttjänster och IoT-tjänster; det vill säga tjänster som idag är undantagna. Det skulle innebära att meddelandetjänster som till exempel Skype, WhatsApp, Facebook Messenger och iMessage, bara för att nämna några, omfattas av de jämfört med GDPR striktare reglerna i EPR om integritet och sekretess. 
Poängen är att få ett större förtroende hos konsumenter, bland annat genom kravet på uttryckligt samtycke.

Enligt förslaget ska EPR se till att integritet gäller både för innehållet i chatten, e-posten och annan kommunikation, liksom dess metadata i form av till exempel tidpunkt och plats för kommunikationen. Uppgifterna föreslås avidentifieras eller raderas om användaren inte har lämnat sitt samtycke, så länge uppgifterna inte behövs för exempelvis fakturering.

Men misströsta inte. Samtyckeskravet skulle kunna bli en möjlighet för teleoperatörer med flera att behandla såväl innehåll och metadata på nya sätt. Det beror helt på hur man formulerar informationstexten om vad användaren ska samtycka till.

Läs mer: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Samtycke till cookies föreslås förenklas. När det gäller cookies som gör webbplatsen mer användarvänlig eller som är till för statistiska ändamål ska samtycke inte krävas alls. Det handlar till exempel om cookies som gör att din kundvagn sparas.

Tanken är att informationen inför samtycke och själva samtycket ska bli tydligare så att användaren förstår vilka cookies som används och för vilket ändamål. Cookie consent banners som används idag innebär sällan att användaren förstår vilka cookies som är integritetskänsliga.

Opt-in, att användaren aktivt måste säga ja till tjänsten, föreslås gälla för obeställd reklam via sms och mobiltelefonsamtal. Telefonförsäljare måste också visa sitt telefonnummer eller använda ett särskilt riktnummer vid telefonförsäljning.

Slutligen föreslås uttryckliga regler för samtycke för att tas med i allmänt tillgängliga förteckningar, som abonnentupplysningstjänster. Fysiska personer ska ha rätt att själv bestämma vilka kontaktuppgifter, om några, som ska tas med genom ett uttryckligt samtycke (som kan återkallas när som helst). Och juridiska personer föreslås ha en möjlighet att ändra sina uppgifter.

För vem gäller EPR?
I GDPR gör man undantag för bolag eller andra som omfattas av datalagringsdirektivet, det direktiv som vi i Sverige implementerat genom lagen om elektronisk kommunikation. Redan idag omfattas alltså inte leverantörer av elektroniska kommunikationsnät och elektroniska kommunikationstjänster av GDPR. Samma förhållande kommer gälla när EPR träder i kraft.

Även om GDPR inte gäller för elektroniska kommunikationsnät och elektroniska kommunikationstjänster betyder det inte att dataskydd och integritet inte ska beaktas. Det är tvärtom så att det ställs högre krav bland annat om lagring och samtycke, både i lagen om elektronisk kommunikation liksom i förslaget till EPR.

När blir EPR verklighet då? Ja, det beror på när Europeiska rådet kommer med sitt slutliga förslag till lagtext. Det kan ske nu till sommaren 2018. Därefter ska Europeiska rådet, Europaparlamentet och EU-kommissionen komma överens om den slutliga texten. Så något beslut lär därför inte tas förrän 2019.