EPR – GDPR:s försenade lillasyster

Efter inträdet av GDPR är det lätt att glömma att förordningen skulle ha haft en systerförordning: EPR – e-privacyförordningen. Konsekvenserna av dess försening är att GDPR fått mer kritik än den förtjänat.

EPR_GDPRs_forsenade_lillasyster_16x9.jpg

EPR i korta drag


EPR med sina 43 beaktandesatser och 29 artiklar föreslås bli lex specialis i förhållande till GDPR och komplettera den allmänna lagstiftningen i fråga om sådan data från elektronisk kommunikation som klassificeras som personuppgifter. Det innebär också ett ökat skydd mot oönskad direktmarknadsföring, då det inte ska vara tillåtet att skicka marknadsföringsmeddelanden till någon som inte aktivt ”optat in”, samt att telefonförsäljare aldrig får ringa från ett hemligt nummer. Dessutom innebär förslaget en reglering för så kallade ”enkla cookies” vilket innebär att samtycke inte ska krävas för cookies som till exempel enbart anonymt mäter besöksantal på en hemsida eller sparar varor i varukorgen hos en e-handlare. För den som bryter mot EPR gäller samma regler för administrativa sanktionsavgifter som för GDPR, det vill säga 2 eller 4 procent av total global omsättning eller 10 respektive 20 miljoner euro.

Förseningens konsekvenser


Konsekvenserna av att EPR försenats och inte ännu kan tillämpas som komplement till GDPR blir flera. Det mest tydliga i vardagen är de otaliga ”cookie consent banners” som poppar upp så fort vi besöker en hemsida. Då samtycke krävs enligt GDPR omfattas idag alla cookies av detta och det ansvaret ligger på den som tillhandahåller hemsidan. Detta har lett till en hel del merarbete för de organisationer som driver hemsidor och dessutom blivit ett enormt irritationsmoment för hemsidesbesökaren. Hade EPR blivit klar i tid hade detta inte behövts överhuvudtaget, eftersom användaren ska kunna styra alla sina cookieinställningar via sin webbrowser istället och samtycke inte ska krävas för de allra vanligaste cookies som används.

Det är också beklagligt att gemene person troligen inte känner till att trots att hens integritet stärkts genom GDPR, så är meddelanden och samtal via Facebook Messenger, Skype och så vidare fortfarande långt ifrån lika privata och skyddade från avlyssning som ett vanligt SMS eller telefonsamtal. Det finns inte samma skyldigheter att radera metadata eller att tillämpa så kallad ”end to end-kryptering” som det finns för telekombolagen i dag. Vi är helt enkelt inte alls så skyddade som vi kanske tror att vi är.

En tredje konsekvens blir att vi dessvärre får stå ut med tveksamma marknadsföringsmetoder ett tag till. Fram till dess att EPR kan träda ikraft och börja tillämpas finns nämligen ingen skyldighet för en telefonförsäljare att ha ett telefonnummer som går att identifiera, och de mängder av reklam-SMS som skickas såvida vi inte optar ut kommer fortsätta att komma.

Vill du ta del av Hanna Kjellmans analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 30 jan 2019

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

2022 beslutade IMY att påföra Klarna Bank AB en sanktionsavgift om 7,5 miljoner kronor för att bolaget hade brustit i sin informationsskyldighet. Nu sänks sanktionsavgiften.

25 apr 2023

En utredare ska föreslå lagändringar i syfte att göra det enklare att kamerabevaka för bland annat kommuner som utför en uppgift av allmänt intresse.

24 apr 2023

I denna analys kommer vår expert Charlotta Kronblad att utforska förutsättningarna för den artificiella intelligensens intåg i skolans värld och hur vi bäst kan förbereda oss inför detta.

24 apr 2023