Artikel 29-gruppen om den föreslagna ePrivacy förordningen

På Delphi Data Protection Blog har vi tidigare rapporterat om förslaget till den nya ePrivacy förordningen. Nu har Artikel 29-gruppen publicerat en opinion angående förslaget, där arbetsgruppen tar upp fördelar, farhågor samt vilka delar av förslaget som behöver förtydligas. I detta inlägg redogör vi för utvalda delar av Artikel 29-gruppens opinion.

Fördelar med förslaget
Artikel 29-gruppens opinion tar framförallt upp de områden av förordningen som behöver förbättras och förtydligas, men några positiva aspekter tas upp, b.la.:

• Valet av att ta fram kompletterande bestämmelser i förhållande till dataskyddsförordningen: detta innebär att vissa områden som inte täcks av dataskyddsförordningen kan regleras i ePrivacy förordningen, framförallt konfidentialitet för data från elektronisk kommunikation och terminalutrustning. Bestämmelserna som rör detta är relevanta för att den personuppgiftsansvarige ska säkerställa att det föreligger ett adekvat skydd för sådana tjänster.
• Samma myndighet: förslaget till ePrivacy förordningen stadgar att den myndighet som ansvarar för kontroll och efterlevnad av förordningen är densamma som ansvarar för kontroll och efterlevnad av dataskyddsförordningen. Artikel 29-gruppen menar att det, tillsammans med att båda regelverken antas i form av förordningar, bidrar till enhetlighet.
• Möjligheterna till utdömande av administrativa sanktionsavgifter: förslaget till ePrivacy förordningen innehåller samma möjligheter att utdöma administrativa sanktionsavgifter som återfinns i dataskyddsförordningen.
• Fokus på att tillhandahålla en jämn skyddsnivå för alla slutanvändare: ePrivacy förordningen gör ingen skillnad mellan abonnenter och andra användare av elektroniska kommunikationsmedel.
• Utvidgat tillämpningsområde: förslaget till ePrivacy förordningen omfattar t.ex. kommunikation från maskin till maskin (internet of things), innehåll och metadata från elektronisk kommunikation samt har en bredare formulering rörande skyddet för terminalutrustning.

Områden som kan medföra stora bekymmer
Artikel 29-gruppen lyfter fram fyra områden som gruppen anser vara särskiltbekymmersamma, eftersom dessa punkter skulle kunna underminera det skydd som dataskyddsförordningen ger. De fyra områdena är följande:

• Spårbarhet av terminalutrustnings belägenhet: bestämmelserna i den föreslagna förordningen ger intryck av att organisationer kan samla information utsänd från terminalutrustning för att spåra individers rörelsemönster (t.ex. ”WiFi-spårning” eller ”Bluetooth-spårning”) utan att individen behöver lämna sitt samtycke till det. Skyldigheterna i ePrivacy förordningen bör i denna del överensstämma med de som finns i dataskyddsförordningen.
• Analys av innehållet och metadata: i förslaget till ePrivacy förordningen anges för vilka olika syften metadata respektive innehåll från elektronisk kommunikation får behandlas och att olika typer av skyddsnivåer gäller i förhållande till behandling av metadata och innehåll. Artikel 29-gruppen menar att både metadata och innehåll i elektroniska kommunikationstjänster utgör mycket känsliga uppgifter och bör därför ges samma höga skydd. Utgångspunkten bör vara att det är förbjudet att behandla både metadata och innehåll utan slutanvändarens samtycke, men att behandling av sådana uppgifter kan ske utan samtycke i specificerade undantagsfall.
• Terminalutrustning och programvara måste erbjuda integritetsskydd som standard och tillhandahålla information om olika alternativ: Trots att förslaget påför tillhandahållare av programvara en skyldighet att erbjuda möjligheten att hindra tredje part från att lagra information på en slutanvändares terminalutrustning eller behandla information som redan lagras i utrustningen, kan detta inte jämställas med privacy by default. Artikel 29-gruppen menar att förslaget underminerar både bestämmelserna om privacy by design och privacy by default som återfinns i dataskyddsförordningen.
• Uttryckligt förbud mot spårningsväggar: med detta menas när någon nekas tillgång till en webbsida eller tjänst om individen inte godkänner att denne spåras på andra webbsidor eller tjänster. Sådana ”take it or leave it” sätt är sällan lagenliga och därför menar Artikel 29-gruppen att förordningen bör innehålla ett uttryckligt förbud mot sådana.

Utöver dessa delar av ePrivacy förordningen pekar Artikel 29-gruppen på en rad områden som de klassar som bekymmersamma, men inte i samma omfattning som de ovan nämnda. Det rör sig bl.a. om att den territoriella och materiella omfattningen bör utvidgas, skyddet för terminalutrustning behöver stärkas samt olika problematiska aspekter i förhållande till direktmarknadsföring för att nämna ett fåtal.

Som nämndes i början av inlägget tar arbetsgruppen även upp de delar av ePrivacy förordningen som behöver förtydligas. De efterfrågade förtydligandena rör bl.a. begreppet slutanvändare som enligt Artikel 29-gruppen även bör innefatta individuella användare, att den territoriella omfattningen utvidgas till alla slutanvändare inom unionen, hur ePrivacy förordningen ska tillämpas när maskiner interagerar med varandra, att alla allmänna ”hotspots” för trådlöst internet bör omfattas av förordningen samt ett flertal önskade förtydliganden rörande samtycke.

Av Artikel 29-gruppens opinion kan man dra slutsatsen att det finns mycket i förordningsförslaget som kan förbättras. Förhoppningen är att förordningen ska träda i kraft i samband med dataskyddsförordningen, alltså om drygt ett år. Efter att Artikel 29-gruppen nu tillhandahållit gruppens syn på förslaget kan tidsramen dock anses vara väl optimistisk, och det återstår att se om det kommer att vara två förordningar som träder i kraft den 25 maj 2018.

Läs Artikel 29-gruppens opinion här.