Framsteg i förhandlingarna om ePrivacyförordningen

Nya regler om cookies och liknande teknik

Sedan tillkomsten av allmänna dataskyddsförordningen ”GDPR” har det pågått förhandlingar i EU för att även uppdatera lagstiftningen om cookies och liknande teknik. Nuvarande regler tillkom 2002 och en hel del teknisk utveckling har naturligtvis skett sedan dess. Idag används dessutom betydligt mer avancerade marknadsförings- och analystjänster än 2002. En uppdatering är alltså på sin plats.

Sedan GDPR trädde i kraft den 25 maj 2018 har en hel rad nya förslag till ePrivacyförordning presenterats. Vi har tidigare skrivit om förslagen från Kroatien och Finland. Den 1 januari 2021 tog Portugal över ordförandeklubban i Europeiska rådet och lade fram ett nytt utkast till ePrivacyförordning. Till skillnad från tidigare förslag har Europeiska rådet antagit Portugals utkast. De långdragna förhandlingarna verkar alltså lida mot sitt slut.

Vad innebär det nya förslaget för den som använder cookies och liknande teknik?

En stor förändring jämfört med dagens regler i lagen om elektronisk kommunikation är att övertramp kan innebära sanktionsavgifter upp till 10 miljoner euro eller 2 % av företagets totala omsättning globalt.

Den nya ePrivacyförordningen innebär dessutom en del andra ändringar att ha koll på när ni använder cookies och liknande teknik, bl.a. följande:

Ni behöver inte alltid be om samtycke för att använda cookies

• Ni kan fortsättningsvis använda cookies utan samtycke om det är nödvändigt för att tillhandahålla en elektronisk kommunikationstjänst. Det används idag t.ex. för att minnas vilka produkter en besökare lagt i varukorgen. Bestämmelsen har gjorts mindre restriktiv än i nuvarande regler och har även anpassats efter GDPR.
• Cookies kan dock användas för ”audience measuring” analys av besökare på en hemsida eller en app utan samtycke – ett begrepp som sannolikt kommer få en del uppmärksamhet. European Data Protection Board (EDPB) som samlar företrädare från EU-ländernas tillsynsmyndigheter har önskat att ”audience measuring” ska vara tillåtet utan samtycke endast om det inte riskerar enskildas integritet.[1] Den som planerat att använda mer avancerade tjänster riskerar därför ändå att behöva be om användarens samtycke.

Höga krav på samtycke

• Ni kan inte använda intresseavvägning för att använda cookies utan samtycke. Om era cookies inte är nödvändiga för att tillhandahålla en elektronisk kommunikationstjänst eller ni kan förlita er på någon annan grund i ePrivacyförordningen behöver ni istället inhämta ett samtycke. Många hoppades att de nya reglerna skulle innehålla en möjlighet att förlita sig på intresseavvägning även för cookies och liknande teknik.
• Ni kommer även fortsättningsvis behöva inhämta samtycke för användning av cookies i en mängd fall.
• Kraven på samtycke är höga. Det här är viktigt att tänka på när ni tar fram samtycken i cookiebanners m.m. Här kan ni läsa vårt blogginlägg om samtycken för att använda cookies.

Portugals utkast är vidare tänkt att förenkla texten i ePrivacyförordningen, anpassa innehållet för att bättre stämma överens med formuleringarna i GDPR och tydliggöra att ePrivacyförordningen är speciallag som kompletterar GDPR.

Nu fortsätter förhandlingarna om det nya ePrivacyförslaget

Den 10 februari 2021 kom Europeiska rådet överens om ett förhandlingsmandat för ePrivacyförordningen. Nu kvarstår samtal med EU-parlamentet om förordningens slutliga utformning och mycket talar för att arbetet med att ta fram en ePrivacyförordning efter fjorton utkast[2] börjar röra sig framåt. Spännande! Vi fortsätter att bevaka händelseutvecklingen.

[1] European Data Protection Board (EDPB), Statement 03/2021 on the ePrivacy Regulation, antagen den 9 mars 2021, s. 3.

[2] EU Council Agrees on Proposed ePrivacy Regulation, Sidley Austin LLP, 10 mars 2021, https://www.lexology.com/library/detail.aspx?g=e1acf2ae-a601-4eb2-86cd-eea5fbfc02db.