EPR – GDPR:s försenade lillasyster

Efter inträdet av GDPR är det lätt att glömma att förordningen skulle ha haft en systerförordning: EPR – e-privacyförordningen. Konsekvenserna av dess försening är att GDPR fått mer kritik än den förtjänat.

EPR_GDPRs_forsenade_lillasyster_16x9.jpg

EPR i korta drag


EPR med sina 43 beaktandesatser och 29 artiklar föreslås bli lex specialis i förhållande till GDPR och komplettera den allmänna lagstiftningen i fråga om sådan data från elektronisk kommunikation som klassificeras som personuppgifter. Det innebär också ett ökat skydd mot oönskad direktmarknadsföring, då det inte ska vara tillåtet att skicka marknadsföringsmeddelanden till någon som inte aktivt ”optat in”, samt att telefonförsäljare aldrig får ringa från ett hemligt nummer. Dessutom innebär förslaget en reglering för så kallade ”enkla cookies” vilket innebär att samtycke inte ska krävas för cookies som till exempel enbart anonymt mäter besöksantal på en hemsida eller sparar varor i varukorgen hos en e-handlare. För den som bryter mot EPR gäller samma regler för administrativa sanktionsavgifter som för GDPR, det vill säga 2 eller 4 procent av total global omsättning eller 10 respektive 20 miljoner euro.

Förseningens konsekvenser


Konsekvenserna av att EPR försenats och inte ännu kan tillämpas som komplement till GDPR blir flera. Det mest tydliga i vardagen är de otaliga ”cookie consent banners” som poppar upp så fort vi besöker en hemsida. Då samtycke krävs enligt GDPR omfattas idag alla cookies av detta och det ansvaret ligger på den som tillhandahåller hemsidan. Detta har lett till en hel del merarbete för de organisationer som driver hemsidor och dessutom blivit ett enormt irritationsmoment för hemsidesbesökaren. Hade EPR blivit klar i tid hade detta inte behövts överhuvudtaget, eftersom användaren ska kunna styra alla sina cookieinställningar via sin webbrowser istället och samtycke inte ska krävas för de allra vanligaste cookies som används.

Det är också beklagligt att gemene person troligen inte känner till att trots att hens integritet stärkts genom GDPR, så är meddelanden och samtal via Facebook Messenger, Skype och så vidare fortfarande långt ifrån lika privata och skyddade från avlyssning som ett vanligt SMS eller telefonsamtal. Det finns inte samma skyldigheter att radera metadata eller att tillämpa så kallad ”end to end-kryptering” som det finns för telekombolagen i dag. Vi är helt enkelt inte alls så skyddade som vi kanske tror att vi är.

En tredje konsekvens blir att vi dessvärre får stå ut med tveksamma marknadsföringsmetoder ett tag till. Fram till dess att EPR kan träda ikraft och börja tillämpas finns nämligen ingen skyldighet för en telefonförsäljare att ha ett telefonnummer som går att identifiera, och de mängder av reklam-SMS som skickas såvida vi inte optar ut kommer fortsätta att komma.

Vill du ta del av Hanna Kjellmans analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 30 jan 2019

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

Hur vet man när man ska genomföra en konsekvensbedömning och när det är aktuellt att göra en informationsklassning? Här redogör vi för vad som gäller.

14 nov 2023

I denna analys går vår expert Didrik Värmon igenom frågan i ljuset av ett rättsligt ställningstagande från Finansinspektionen (FI 2023:1).

13 nov 2023

Regeringen har gett en särskild utredare i uppdrag att se över grundlagsskyddet för vissa söktjänster som offentliggör personuppgifter. Uppdraget ska redovisas senast den 15 november 2024.

13 nov 2023