EPR – GDPR:s försenade lillasyster

Efter inträdet av GDPR är det lätt att glömma att förordningen skulle ha haft en systerförordning: EPR – e-privacyförordningen. Konsekvenserna av dess försening är att GDPR fått mer kritik än den förtjänat.

EPR i korta drag

EPR med sina 43 beaktandesatser och 29 artiklar föreslås bli lex specialis i förhållande till GDPR och komplettera den allmänna lagstiftningen i fråga om sådan data från elektronisk kommunikation som klassificeras som personuppgifter. Det innebär också ett ökat skydd mot oönskad direktmarknadsföring, då det inte ska vara tillåtet att skicka marknadsföringsmeddelanden till någon som inte aktivt ”optat in”, samt att telefonförsäljare aldrig får ringa från ett hemligt nummer. Dessutom innebär förslaget en reglering för så kallade ”enkla cookies” vilket innebär att samtycke inte ska krävas för cookies som till exempel enbart anonymt mäter besöksantal på en hemsida eller sparar varor i varukorgen hos en e-handlare. För den som bryter mot EPR gäller samma regler för administrativa sanktionsavgifter som för GDPR, det vill säga 2 eller 4 procent av total global omsättning eller 10 respektive 20 miljoner euro.

Förseningens konsekvenser

Konsekvenserna av att EPR försenats och inte ännu kan tillämpas som komplement till GDPR blir flera. Det mest tydliga i vardagen är de otaliga ”cookie consent banners” som poppar upp så fort vi besöker en hemsida. Då samtycke krävs enligt GDPR omfattas idag alla cookies av detta och det ansvaret ligger på den som tillhandahåller hemsidan. Detta har lett till en hel del merarbete för de organisationer som driver hemsidor och dessutom blivit ett enormt irritationsmoment för hemsidesbesökaren. Hade EPR blivit klar i tid hade detta inte behövts överhuvudtaget, eftersom användaren ska kunna styra alla sina cookieinställningar via sin webbrowser istället och samtycke inte ska krävas för de allra vanligaste cookies som används.

Det är också beklagligt att gemene person troligen inte känner till att trots att hens integritet stärkts genom GDPR, så är meddelanden och samtal via Facebook Messenger, Skype och så vidare fortfarande långt ifrån lika privata och skyddade från avlyssning som ett vanligt SMS eller telefonsamtal. Det finns inte samma skyldigheter att radera metadata eller att tillämpa så kallad ”end to end-kryptering” som det finns för telekombolagen i dag. Vi är helt enkelt inte alls så skyddade som vi kanske tror att vi är.

En tredje konsekvens blir att vi dessvärre får stå ut med tveksamma marknadsföringsmetoder ett tag till. Fram till dess att EPR kan träda ikraft och börja tillämpas finns nämligen ingen skyldighet för en telefonförsäljare att ha ett telefonnummer som går att identifiera, och de mängder av reklam-SMS som skickas såvida vi inte optar ut kommer fortsätta att komma.

Vill du ta del av Hanna Kjellmans analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 30 jan 2019