Vad innebär EUs förslag till ny datalag? Axel Tandberg Jurist SWEDMA Bakgrund Dataskyddsdirektivet (95/46/EG) • Antogs 1995 • Har inte uppdaterats/anpassats sedan dess • Utveckling – Internet… Personuppgiftslagen (1998:204) • Baseras på dataskyddsdirektivet • Uppdaterades senast 2010 • ”Missbrukarlag” Förändring inom Kommissionen sedan 1995 Ansvarigt generaldirektorat har skiftats från GD inre marknad till GD för rättsfrågor Ändrat fokus från fri rörlighet till individens skydd Förordningen Förordningen publicerades den 25 januari 2012 Kommissionär Reading sa att den baserar sig på Europas bästa – den tyska som har en restriktiv syn på hantering av personuppgifter. 46 delegerade akter – Kommissionen tolkar i efterhand Områden som förändras • • • • • • • • • • • • • • • Samtycket Definitionen av personuppgift Källa och tid för sparandet av information Barn definieras Selektering Data portabilitet Rätten till att glömmas bort Konsekvensanalyser ett måste Dokumentationskrav på processen Dataskyddsombud inom företaget Anmälningar av data intrång Vid bristande efterlevnad Grupptalan Privacy by design Global jurisdiktion Viktiga områden • Villkor för att kunna behandla uppgifter – Aktivt samtycke eller ev. legitimt intresse • Profilering – Aktivt samtycke krävs för att kunna genomföra selektering eller segmentering • Offentlighetsprincipen och Tryckfrihetsförordningen – Begränsningar då andra länder anser att allt är hemligt tills det offentliggörs Vad har hänt sedan dess? • Förordningen har skickats över till Europeiska Rådet, dvs. medlemsstaternas regeringar, och Europaparlamentet. • För att förordningen ska träda i kraft så måste rådet och parlamentet komma överens. Rådet • Ändring av utformning: Risk- och innehållsavvägning (liknar missbruksmodellen) • All data är inte lika, uppgifterna som anses: – känsliga (ex. hälsa) då får man högre krav – mindre känsliga (ex. namn + telenummer) lägre krav Vad händer nu? Rådet • Efter det irländska ordförandeskapet kan vi ta med oss följande: – Inget är klart än, inga beslut – behöver tänka på saken – Legitimt intresse kan komma att omfatta 3e part, dock inte definierat – Profilering har ändrats till det bättre – baseras på beslut + negativ effekt – Offentlighetsprincipen och Tryckfrihetsförordningen kan komma att respekteras – Väldigt få delegerade akter kvar • Litauen? Parlamentet • Utskottet för Medborgerliga fri- och rättigheter samt rättsliga och inrikes frågors rapportör, Jan Albrecht (tysk MP/Vänstern Gröna) publicerade sina förslag till ändringar 8 jan. 2013 • Det som är viktigt för Albrecht är individens fundamental rätt till sin egen data i enlighet med EU fördraget (Art. 8) Parlamentet • Över 4000 ändringsförslag till Albrechts text • Kompromisstext framtagen baserad på förslagen – kanske omröstning i utskott innan sommaruppehållet • Osäkert på utgång. • EPP och ELDR verkar ha en balanserad inställning Slutet för personligt riktad kommunikation? SWEDMA välkomnar en modernisering av nuvarande personuppgiftslag Men EUs förslag riskerar att få förödande konsekvenser, både för företag och för samhällsekonomin i stort. Främst beroende på förordningens oerhört restriktiva syn på hantering av personuppgifter. Påverkar företags möjligheter att kontakta konsumenter. SWEDMAs syn Vi ser följande brister i förslaget: • Överdrivet strikt, byråkratiskt och tungrott. • Det saknas en rimlig balans mellan den personliga integriteten och legitima affärsintressen. • Höga kostnader för att följa lagstiftningen • Juridiska oklarheter kommer att hindra utvecklingen, avskräcka investerare och lägga onödiga hinder för nya jobb inom flera olika branscher. SWEDMAs syn (fortsättning) • Kommer att vara särskilt skadligt för småföretagarna. • Illa definierade rättigheter kommer att skapa orealistiska förväntningar hos konsumenterna • Kommissionen uppskattar 2,3 miljarders besparing för företagen – något som är ifrågasatt • UK DMAs forskning visar att förslaget kan kosta varje företag i snitt cirka SEK 800 000. • SWEDMA uppskattar en total kostnad i minskad försäljning i mångmiljardklassen för svenskt näringsliv i stort. Juridisk osäkerhet I förlängningen: • Svårt att formulera ”PuL”-texter som fungerar inom hela den inre marknaden (dvs. EU + EES) • Då inget är beslutat rörande de delegerade akterna så antar vi att Kommissionen fortfarande kommer ta sig rätten att tolka På kort sikt: • När kommer förordningen att träda i kraft? • Två år efter det att rådet och parlamentet är överens Adresserad direktreklam • Övergång från opt-out till opt-in – uttryckligt samtycke krävs för att skicka ett meddelande till en mottagare, förutom till redan befintliga kunder. • Existerande databaser kan bli oanvändbara • Möjligheten att bygga listor över potentiella kunder försämras kraftigt • Information om demografi måste raderas. Onlinemarknadsföring • Krav för att få spåra ip-adresser (personuppgift) nära omöjliggör analyser. • Praktiskt taget omöjligt att göra selekteringar utan konsumentens uttryckliga godkännande. • Skräddarsydda online-anpassningar som är till för att förenkla för konsumenten kommer att kräva uttryckligt godkännande. • Annonser kan inte längre anpassas för enskilda individer utan samtycke. • Bef data kan inte längre användas för framtida marknadsföringsaktiviteter. • Osäkerhet kring huruvida historiska data ska undantas från de nya reglerna eller om den ska bli oanvändbar. Adressförsäljning • Kommer att påverkas mest genomgripande. De flesta av de aktiviteter som nu genomförs kommer att bli kraftigt reglerade eller helt förbjudna. • Det kommer att bli både opraktiskt och dyrt att lagra och uppdatera data. Befintliga databaser kan komma att bli oanvändbara med de nya reglerna, vilket riskerar att decimera möjligheten att bygga listor över potentiella kunder. • Försäljning av kundlistor kommer att begränsas kraftfullt. • SPAR mfl försvinner? Tack Tack för att ni lyssnade För mer information se www.swedma.se, www.iabsverige.se, www.tu.se