Utveckling – Internet… Personuppgiftslagen

Vad innebär EUs förslag till
ny datalag?
Axel Tandberg
Jurist
SWEDMA
Bakgrund
Dataskyddsdirektivet (95/46/EG)
• Antogs 1995
• Har inte uppdaterats/anpassats sedan dess
• Utveckling – Internet…
Personuppgiftslagen (1998:204)
• Baseras på dataskyddsdirektivet
• Uppdaterades senast 2010
• ”Missbrukarlag”
Förändring inom Kommissionen sedan 1995
Ansvarigt generaldirektorat har skiftats från GD inre marknad
till GD för rättsfrågor
Ändrat fokus från fri rörlighet till individens skydd
Förordningen
Förordningen publicerades den 25 januari 2012
Kommissionär Reading sa att den baserar sig på Europas
bästa – den tyska som har en restriktiv syn på hantering av
personuppgifter.
46 delegerade akter – Kommissionen tolkar i efterhand
Områden som förändras
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Samtycket
Definitionen av personuppgift
Källa och tid för sparandet av information
Barn definieras
Selektering
Data portabilitet
Rätten till att glömmas bort
Konsekvensanalyser ett måste
Dokumentationskrav på processen
Dataskyddsombud inom företaget
Anmälningar av data intrång
Vid bristande efterlevnad
Grupptalan
Privacy by design
Global jurisdiktion
Viktiga områden
• Villkor för att kunna behandla uppgifter
– Aktivt samtycke eller ev. legitimt intresse
• Profilering
– Aktivt samtycke krävs för att kunna genomföra
selektering eller segmentering
• Offentlighetsprincipen och Tryckfrihetsförordningen
– Begränsningar då andra länder anser att allt är hemligt
tills det offentliggörs
Vad har hänt sedan dess?
•
Förordningen har skickats över till Europeiska Rådet,
dvs. medlemsstaternas regeringar, och
Europaparlamentet.
•
För att förordningen ska träda i kraft så måste rådet
och parlamentet komma överens.
Rådet
• Ändring av utformning:
Risk- och innehållsavvägning (liknar
missbruksmodellen)
• All data är inte lika, uppgifterna som anses:
– känsliga (ex. hälsa) då får man högre krav
– mindre känsliga (ex. namn + telenummer) lägre krav
Vad händer nu? Rådet
• Efter det irländska ordförandeskapet kan vi ta med oss
följande:
– Inget är klart än, inga beslut – behöver tänka på saken
– Legitimt intresse kan komma att omfatta 3e part, dock inte definierat
– Profilering har ändrats till det bättre – baseras på beslut + negativ
effekt
– Offentlighetsprincipen och Tryckfrihetsförordningen kan komma att
respekteras
– Väldigt få delegerade akter kvar
• Litauen?
Parlamentet
• Utskottet för Medborgerliga fri- och rättigheter samt
rättsliga och inrikes frågors rapportör, Jan Albrecht (tysk
MP/Vänstern Gröna) publicerade sina förslag till ändringar
8 jan. 2013
• Det som är viktigt för Albrecht är individens fundamental
rätt till sin egen data i enlighet med EU fördraget (Art. 8)
Parlamentet
• Över 4000 ändringsförslag till Albrechts text
• Kompromisstext framtagen baserad på förslagen – kanske
omröstning i utskott innan sommaruppehållet
• Osäkert på utgång.
• EPP och ELDR verkar ha en balanserad inställning
Slutet för personligt riktad kommunikation?
SWEDMA välkomnar en modernisering av nuvarande
personuppgiftslag
Men EUs förslag riskerar att få förödande konsekvenser, både
för företag och för samhällsekonomin i stort. Främst
beroende på förordningens oerhört restriktiva syn på
hantering av personuppgifter.
Påverkar företags möjligheter att kontakta konsumenter.
SWEDMAs syn
Vi ser följande brister i förslaget:
• Överdrivet strikt, byråkratiskt och tungrott.
• Det saknas en rimlig balans mellan den personliga
integriteten och legitima affärsintressen.
• Höga kostnader för att följa lagstiftningen
• Juridiska oklarheter kommer att hindra utvecklingen,
avskräcka investerare och lägga onödiga hinder för nya
jobb inom flera olika branscher.
SWEDMAs syn (fortsättning)
• Kommer att vara särskilt skadligt för småföretagarna.
• Illa definierade rättigheter kommer att skapa orealistiska
förväntningar hos konsumenterna
• Kommissionen uppskattar 2,3 miljarders besparing för företagen –
något som är ifrågasatt
• UK DMAs forskning visar att förslaget kan kosta varje företag i snitt
cirka SEK 800 000.
• SWEDMA uppskattar en total kostnad i minskad försäljning i
mångmiljardklassen för svenskt näringsliv i stort.
Juridisk osäkerhet
I förlängningen:
• Svårt att formulera ”PuL”-texter som fungerar inom hela den
inre marknaden (dvs. EU + EES)
• Då inget är beslutat rörande de delegerade akterna så antar vi
att Kommissionen fortfarande kommer ta sig rätten att tolka
På kort sikt:
• När kommer förordningen att träda i kraft?
• Två år efter det att rådet och parlamentet är överens
Adresserad direktreklam
• Övergång från opt-out till opt-in – uttryckligt samtycke
krävs för att skicka ett meddelande till en mottagare,
förutom till redan befintliga kunder.
• Existerande databaser kan bli oanvändbara
• Möjligheten att bygga listor över potentiella kunder
försämras kraftigt
• Information om demografi måste raderas.
Onlinemarknadsföring
• Krav för att få spåra ip-adresser (personuppgift) nära omöjliggör
analyser.
• Praktiskt taget omöjligt att göra selekteringar utan konsumentens
uttryckliga godkännande.
• Skräddarsydda online-anpassningar som är till för att förenkla för
konsumenten kommer att kräva uttryckligt godkännande.
• Annonser kan inte längre anpassas för enskilda individer utan
samtycke.
• Bef data kan inte längre användas för framtida
marknadsföringsaktiviteter.
• Osäkerhet kring huruvida historiska data ska undantas från de nya
reglerna eller om den ska bli oanvändbar.
Adressförsäljning
• Kommer att påverkas mest genomgripande. De flesta av de aktiviteter
som nu genomförs kommer att bli kraftigt reglerade eller helt
förbjudna.
• Det kommer att bli både opraktiskt och dyrt att lagra och uppdatera
data. Befintliga databaser kan komma att bli oanvändbara med de nya
reglerna, vilket riskerar att decimera möjligheten att bygga listor över
potentiella kunder.
• Försäljning av kundlistor kommer att begränsas kraftfullt.
• SPAR mfl försvinner?
Tack
Tack för att ni lyssnade
För mer information se
www.swedma.se,
www.iabsverige.se,
www.tu.se