MarLaw: En kommentar om de nya reglerna för politisk reklam

Marknadsföreningen Sverige | Fördjupning och tips, Gästblogg, Marknadsrätt

Avsedd effekt eller orimlig administrativ börda?

– Vår juridiska partner MarLaw om de nya EU-reglerna för politisk reklam

EU-förordningen om politisk reklam började tillämpas den 10 oktober 2025. Den ingår i en av flera åtgärder inom EU:s handlingsplan för att främja demokrati, där det huvudsakliga syftet är att öka transparens och att harmonisera regler för tillhandahållande av politiska reklamtjänster inom EU.

Det bakomliggande syftet med förordningen om transparens och inriktning när det gäller politisk reklam är att säkerställa att det tydligt framgår när det är fråga om politisk reklam samt vem som ligger bakom eller har finansierat budskapet. Regleringen togs fram i efterdyningarna av skandalen kring Cambridge Analytica som uppdagades 2018, där det kom fram att en konsultfirma fått tillgång till data om miljontals Facebook-användare, som användes för att rikta politisk reklam till dem.

Regelverket ska därmed förhindra otillbörlig valpåverkan. Det övergripande syftet är därmed att säkerställa en öppen och rättvis politisk debatt och att främja en välfungerande inre marknad för politisk reklam. Överträdelser av förordningen kan leda till sanktioner som ska fastställas av respektive medlemsstat.

I Sverige har regeringen beslutat om en proposition med kompletterande bestämmelser till förordningen, där syftet med lagförslagen är att kunna tillämpa förordningen fullt ut i Sverige. Den nya lagen och följdändringarna föreslås träda i kraft den 1 januari 2026. Mediemyndigheten har fått i uppdrag att utöva tillsyn över förordningen.

Det är oklart när ett budskap anses utgöra politisk reklam och inte. När det är fråga om kampanjer inför val är det tydligt att det omfattas. Mer oklart är dock specifika frågor som skulle kunna omfattas av en politisk agenda såsom exempelvis om Stockholms stad kommunicerar generellt kring frågor som relaterar till exempelvis vård och omsorg.

Förordningen innebär skyldigheter för flertalet parter och aktörer, såsom företag och medieplattformar som sprider politiska budskap inom EU samt politiska partier och kampanjorganisationer. De nya reglerna tillämpas från det att någon begär en politisk reklamtjänst fram till att det färdigställda reklammeddelandet görs tillgängligt för allmänheten.

Begreppet ”politisk reklam” definieras i artikel 3.2 i förordningen och innebär utarbetande, placering, främjande, publicering, tillhandahållande eller spridning, oberoende av metod, av ett budskap som normalt tillhandahålls mot ersättning eller genom intern verksamhet eller som en del av en politisk reklamkampanj. Det krävs vidare att budskapet är kopplat till en politisk aktör alternativt att det kan och är utformat för att påverka resultatet av ett val eller en folkomröstning, ett röstbeteende, en lagstiftnings- eller regleringsprocess.

Det är oklart när ett budskap anses utgöra politisk reklam och inte. När det är fråga om kampanjer inför val är det tydligt att det omfattas. Mer oklart är dock specifika frågor som skulle kunna omfattas av en politisk agenda såsom exempelvis om Stockholms stad kommunicerar generellt kring frågor som relaterar till exempelvis vård och omsorg. I skrivande stund finns ett utkast till vägledning till förordningen från EU-kommissionen som ger viss vägledning och som innebär att sådan information skulle anses falla utanför förordningens tillämpningsområde om det inte kan kopplas till en pågående politisk kampanjfråga. Det ställer dock höga krav på tillhandahållare av politiska reklamtjänster och utgivare av politisk reklam att hålla sig uppdaterade kring vilka frågor som är politiska och vilka som är rent informativa.

Märkning och transparensmeddelande

För att kunna uppfylla förordningens syfte avseende transparens för politisk reklam, ställer förordningen krav på att politisk reklam ska märkas och att den ska innehålla ett transparensmeddelande. Både märkningen och transparensmeddelandet ska vara tydligt utformade på så vis att omgivningen förstår att det rör sig om politisk reklam. Mediehus och plattformar som publicerar eller producerar politisk reklam ansvarar för att bevara, samla in och offentliggöra relevant information till allmänheten om reklamen och ansvarar även för att genomföra själva märkningen.

Både märkningen och transparensmeddelandet ska vara tydligt utformade på så vis att omgivningen förstår att det rör sig om politisk reklam.

Vad som ska framgå av märkningen är att den på ett klart, framträdande och otvetydigt sätt anges med en uppgift om att det rör sig om ett politiskt reklammeddelande, identiteten för sponsorn för det politiska reklammeddelandet och, i tillämpliga fall, den enhet som ytterst kontrollerar sponsorn, i tillämpliga fall, det val, den folkomröstning och den lagstiftnings- eller regleringsprocess som det politiska reklammeddelandet är kopplat till. Utöver detta ska det också anges, i tillämpliga fall, en uppgift om att det politiska reklammeddelandet har varit föremål för inriktningsteknik och annonsleveransteknik. Informationen ska lämnas i ett så kallat transpararensmeddelande, eller en tydlig angivelse om var den enkelt och direkt kan hämtas.

Ett transparensmeddelande ska bland annat ange uppgifter om sponsor för reklamen, den som betalar för reklamen om det är någon annan än sponsorn, tidsperiod då annonsen avses spridas/publiceras/levereras, och det totala belopp och värde av andra förmåner som betalats för reklamtjänsterna.

Hantering av personuppgifter

Förordningen ställer vidare krav på hanteringen av personuppgifter och när dessa får användas i syfte att rikta sådan reklam online. Förordningen begränsar hur personuppgifter får användas för att rikta politiska meddelanden till specifika grupper eller individer. Enligt artikel 18 krävs att personuppgifterna samlats in med den registrerades uttryckliga separata samtycke för att använda inriktnings- eller annonsleveransteknik vid politisk reklam online. Artikel 19 ställer krav på att ge information om den bakomliggande logiken och parametrarna för tekniken, inklusive mottagargrupper, personuppgiftskategorier och användning av artificiell intelligens, samt en länk till policy för detta.

Kommentar

Från näringslivets sida har det ifrågasatts om EU-regleringen verkligen har avsedd effekt eller om det innebär en orimlig administrativ börda för berörda aktörer. Både Meta och Google har infört förbud mot politisk annonsering på sina plattformar inom EU under oktober månad 2025. De anser att regelverket innebär en orimlig nivå av komplexitet och juridisk osäkerhet för annonsörer och plattformar som är verksamma i EU. Meta har även gått steget längre och inbegriper sociala frågor i förbudet vilket riskerar att drabba även välgörenhetsorganisationer och kampanjer för exempelvis HBTQ- och klimatfrågor. Kritiker menar att det snarare är kraven på särskilt samtycke för att använda personuppgifter för att rikta politiska annonser som ligger bakom Meta och Googles beslut då det har stor betydelse för deras intäktsmodell.

Det återstår att se vilken effekt förordningen får på den politiska debatten inför kommande valår 2026 och om det enbart kommer få de positiva resultat som den syftar till eller om det också kommer innebära en demokratisk begränsning gällande vem som kan få ta del av politisk annonsering.

___________

Daniel Tornberg och Alexander Jute
Advokater och partners på Advokatfirman MawLaw

AI, cookies och GDPR – är din datahantering redo för nya regler?

Marknadsföreningen Sverige | Blogginlägg, Fördjupning och tips, Gästblogg, Marknadsrätt, Referat

Foto (ovan): Sandra Birgersdotter Ek

Profilbaserad marknadsföring – vad gäller från legalt håll?

– Färska tips från vår juridiska partner MarLaw

Datadriven marknadsföring står inför stora förändringar. Nya EU-regler – från GDPR och AI-förordningen till marknadsföringslagen och cookie-kraven – skärper villkoren för hur företag får samla in och använda data. Profilering, AI-verktyg och cookies kräver i många fall uttryckligt samtycke, och felsteg kan leda till kännbara sanktioner. För marknadsförare gäller det nu att kombinera kreativitet med juridisk fingertoppskänsla för att bygga både effektiva och hållbara strategier.

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Vill du ha fler aktuella tips inom marknadsrätt ska du heller inte missa vårt webbinarium med MarLaw den 26 september >>

_________

Digital Single Market är EU:s stora projekt för att skapa en gemensam digital marknad. Projektet innehåller flera olika delar som har särskild betydelse för bl.a. dataskyddsregleringen, AI-förordningen, marknadsföringslagen, upphovsrätten och konsumentskyddet. Detta får givetvis stora konsekvenser på den digitala kommunikationen och marknadsföringen som bolag och organisationer vidtar. Under lång tid har många aktörer samlat på sig stora mängder data bland annat genom olika cookies vilken kompletterats med kunddata, inköpt data, delad data m.m. genom vilka man kunnat bygga upp profiler för mer skräddarsydd marknadsföring. Sådan profilering kräver inte sällan ett föregående samtycke, särskilt när observerad data behandlas eller sådana data som individerna inte rimligen kan förutse att den behandlas.

Till bilden ska även läggas användningen av olika AI-verktyg som ger stora möjligheter att skapa innehåll samtidigt processas stora mängder data som innebär att regleringarna kring AI, IT-säkerhet och dataskydd blir tillämpliga. Här ser lagstiftaren förhållandevis strängt på sådan användning/behandling vilket kommer till uttryck genom kraftiga sanktioner i några av de mest centrala regelverken. Dessutom regleras profilbaserad marknadsföring genom flera parallellt tillämpliga regelverk vilket gör att man behöver se över marknadsföringsåtgärderna från flera perspektiv. De mest centrala regelverken är marknadsföringslagen, dataskyddsförordningen och lagen om elektronisk kommunikation.

Kort om den relevanta lagstiftningen

Marknadsföringslagen (2008:486)(MFL)

MFL utgör den generellt tillämpliga lagstiftning som styr hur kommersiella marknadsföringsbudskap och åtgärder får utformas. Den innehåller även specifika regler om att det krävs s.k. opt-in (samtycke) för att rikta sig mot potentiella kunder och opt-out för att rikta sig mot befintliga kunder, jmf 19-21 §§ MFL. Dessa regler gäller dock endast när man riktar sig mot fysiska personer och inte mot andra bolag.

Lag (2022:482) om elektronisk kommunikation (LEK)

Övergripande syftar LEK dels till att enskilda och myndigheter ska få tillgång till säkra och effektiva elektroniska kommunikationer, dels till största möjliga utbyte för alla av elektroniska kommunikationstjänster sett till urvalet samt till deras pris, kvalitet och kapacitet. Den innehåller också en särskild bestämmelse om cookies som anger att uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Trots att samtycke inte har lämnats är sådan lagring eller åtkomst tillåten som 1. behövs för överföring av ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, eller 2. är nödvändig för tillhandahållande av en tjänst på uttrycklig begäran av användaren eller abonnenten.

Allmänna dataskyddsförordningen (GDPR)

GDPR anger att all behandling behöver ha en rättslig grund som anges i artikel 6. Av artikeln följer att behandling av personuppgifter endast är laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

6.1a: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
6.1f: Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Vidare följer även av GDPR att all behandling ska följa de rättsliga principer som följer av artikel 5 i GDPR, bland annat uppgiftsminimering, lagringsminimering m.m.

AI-förordningen

AI-förordningen definierar ett AI-system brett: ”ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.”

AI-system ska delas in i fyra olika riskgrupper (oacceptabel, hög, begränsad och minimal). Enligt artikel 6 följer att AI som kategoriseras som ”hög risk” indelas i två grupper:
i. AI-system som används i produkter som faller under EU:s produktsäkerhetslagstiftning
ii. AI-system som faller inom vissa specifika områden och som kommer att behöva registreras i en EU-databas

Av artikel 6.3d följer vidare att ett AI-system ska alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer. Med profilering avses definitionen i artikel 4.4 GDPR: ”…varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”.

Vägledande dokument

Den Europeiska dataskyddsstyrelsen (EDPB) har tagit fram ett flertal relevanta riktlinjer om användning av olika marknadsföringsåtgärder. För denna analys är särskilt EDPB:s riktlinjer om riktad annonsering i sociala medier av intresse. I riktlinjerna delas personuppgifter in i kategorierna uppgifter som den registrerade aktivt och medvetet tillhandahållit den personuppgiftsansvarige, observerade uppgifter som den registrerade tillhandahållit genom användning av tjänsten eller enheten och avledda och härledda uppgifter som skapats på grundval av de uppgifter som den registrerade tillhandahållit.

Enligt EDPB är det två rättsliga grunder som kan komma ifråga för att behandla sådana uppgifter som den registrerade aktivt och medvetet tillhandahållit, nämligen samtycke enligt 6.1 a och berättigat intresse enligt 6.1 f i dataskyddsförordningen. När det gäller uppgifter som samlats in genom observerade uppgifter som den registrerade tillhandahållit genom användning av en tjänst eller enhet, inklusive sådan som samlats in genom kakor, uttalar EDPB att artikel 6.1 f inte kan utgöra en rättslig grund för sådan riktad annonsering där enskilda personer spåras på flera olika webbplatser och platser. Vidare uttalar EDPB att för sådan behandling är samtycke troligen den lämpligaste rättsliga grunden i artikel 6 i dataskyddsförordningen. I bedömningen ska man vidare ta hänsyn till att behandlingen inkluderar aktiviteter som lagstiftaren i EU har velat ge ytterligare skydd.[1]

Svenska tillsynsmyndighetens tillsyn

IMY har i några nyligen fattade tillsynsbeslut (IMY-2023-16448, IMY-2023-16453, IMY-2023-15452) konstaterat att berättigat intresse ofta inte är en rimlig rättslig grund för den inte sällan omfattande personuppgiftbehandling som vissa cookies möjliggör. Då är snarare samtycke korrekt rättslig grund. Samtycke från den registrerade är ju enligt GDPR definierat som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, jmf artikel 4.11 GDPR.

Denna omfattande definition innebär att man behöver lämna tydlig information om den personuppgiftsbehandling som sker, även genom cookies. Detta samtycke ska inte förväxlas med ”cookiesamtycke” enligt LEK vilket tar sikte på själva kakorna och tekniken som sådan och inte personuppgiftshanteringen. Det är klart enklare att hantera från ett legalt perspektiv. Därutöver har vi ju även samtycke enligt MFL. Dock är det mest utmanande samtycket det som gäller enligt GDPR. Att verkligen förstå hur omfattande personuppgiftsbehandling som sker med olika kakor är en utmaning i sig, särskilt som det inte är ovanligt att kakor delar uppgifter med andra kakor. När den analysen väl är gjord behöver man bedöma om det är rimligt att hantera alla dessa personuppgifter som inte heller sällan träffas av definitionen av profilering[2] enligt GDPR. Man behöver även se till att följa principerna i artikel 5 GDPR. Dessa överväganden kan behöva dokumenteras genom en konsekvensbedömning om man kommer fram till att personuppgiftsbehandlingen innebär hög risk för de registrerade. I vissa fall kan man behöva begränsa sin användning av cookies eller till och med inte påbörja den/avsluta den.

Att IMY i de ovan refererade tillsynsärenden stannade vid att granska möjligheten att samtycke och återkalla samtycke är visserligen intressant men ger inte närmare vägledning om hur man bör hantera den efterföljande personuppgiftsbehandling som många kakor ger upphov till. Med tanke på att det är enkelt för en tredje part inklusive tillsynsmyndigheten att identifiera om en viss aktör använder kakor innebär det även en perdurerande legal risk att använda cookies utan en föregående analys av tekniken och den personuppgiftshantering som respektive kaka ger upphov till. Man kan möjligen se en ökad tillsyn på detta område då tillsynsmyndigheterna identifierat denna typ av personuppgiftshantering på senare tid. Den legala risken och arbetet med att analysera den egna användningen av cookies och profilbaserade marknadsföringsåtgärder bör hanteras för att undvika legala sanktioner.

____________

[1] Se EDPB:s riktlinjer 8/2020 om riktad annonsering I sociala medier Version 2.0, antagna 13 April 2021, punkt 40

[2] Artikel 4.4 GDPR: profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Mycket att ta till sig? Webbinariet den 26 september 2025 ger dig bättre koll!

Vi kommer närmare att behandla dessa frågor vid vårt webbinarium den 26 september 2025.

Vi går bl a igenom:

De marknadsföringsrättsliga förutsättningarna för direktmarknadsföring
Profilering och direktmarknadsföringen utifrån GDPR
E-privacyreglernas påverkan
Hur olika AI-system regleras av AI-förordningen, särskilt högrisksystem
Vilka immateriella rättigheter som gäller för AI-genererat material
Hur GDPR påverkar profilering, riktad marknadsföring, cookies, pixlar och analysverktyg
Sociala medier och personuppgifter
Hur bör man hantera verktyg/tjänster som innebär tredjelandsöverföringar

Det finns även möjlighet att ställa dina frågor efter föreläsningen. Välkommen den 26 september!

Mvh, Daniel Tornberg och Alexander Jute
Advokater & Partners, Advokatfirman MarLaw AB

26-sep-25

Webbinarium: Juridisk uppdatering med MarLaw hösten 2025

[ONLINE] 26 sep: Vad är det senaste inom marknadsrätt hösten 2025? Håll dig uppdaterad på förändringarna i lagstiftningen för dig som arbetar med marknadsföring och kommunikation.

Nyheter inom marknadsrätt våren 2025 – Färska tips från MarLaw

Marknadsföreningen Sverige | Blogginlägg, Fördjupning och tips, Marknadsrätt

Foto (ovan): Sandra Birgersdotter Ek

”Man kan förvänta sig mer omfattande tillsyn med risk för legala sanktioner”

– Färska tips från vår juridiska partner

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Snart är det dags för nästa juridiska uppdatering från MarLaw, i form av ett webinar, den 13 mars. Där får du koll på det senaste inom marknadsrätt, som marknadsförare behöver hålla koll på.

_________

Vilka fokusfrågor går ni igenom i webinariet?

– Juridiken som omgärdar marknadsföring utvecklas ständigt och nya rättsfall och riktlinjer tillkommer löpande. En av de snabbast växande marknadsföringskanalerna, TikTok, har sina utmaningar när det gäller bland annat säkerhet och dataskydd. Vi kommer gå igenom vad man behöver tänka på när man överväger att börja marknadsföra sig i nya kanaler såsom TikTok.

Vi har även ett flertal beslut som rör användning av pixlar i marknadsföringen där några har fått mångmiljonbelopp i sanktionsavgifter för att ha använt sådana. Vidare kommer vi ta upp marknadsföring med rabatter och reor mot bakgrund av att Konsumentverket nyligen meddelat att myndigheten kommer fortsätta att bedriva tillsyn av denna fråga eftersom överträdelser av regelverket är utbrett i många branscher. Från och med 2 februari i år tillämpas AI-förordningen i vissa delar, andra kommer börja tillämpas löpande under detta och nästa år – vi går igenom de praktiska konsekvenserna av AI-förordningen med utgångspunkt i marknadskommunikation.

Med tanke på att regelverket är strikt och att nya regler är på gång är det ytterst viktigt att hålla sig uppdaterad om vad som gäller legalt, inte minst mot bakgrund av att sanktionsnivåerna är höga.

Utöver vad vi nämnt ovan så finns förslag på nya regler avseende miljö- och hållbarhetspåståenden. Denna typ av kommunikation har ökat över tid och i takt med att fler efterfrågar hållbara val i sina köpbeslut. Med tanke på att regelverket är strikt och att nya regler är på gång är det ytterst viktigt att hålla sig uppdaterad om vad som gäller legalt, inte minst mot bakgrund av att sanktionsnivåerna är höga. Vi har även intressanta fall om smygreklam, affiliate-marknadsföring och digitala marknadsföringsåtgärder.

Vilka främsta fallgropar för marknadsförare ser du i vår & sommar?

– Det blir allt viktigare att hålla sig uppdaterad med användning av olika digitala verktyg för marknadsföring. Vi har bland annat sett att ändrad funktionalitet i olika verktyg kan medföra omfattande sanktionsavgifter av de bolag som använt sådana, trots att de inte varit medvetna om de nya funktionaliteterna.

Även prisfrågor i marknadsföring har sedan en tid tillbaka reglerats striktare och antalet överträdelser är omfattande enligt tillsynsmyndigheten Konsumentverket. Därför är det ett prioriterat område och man kan förvänta sig mer omfattande tillsyn med risk för legala sanktioner.

Med kännedom om dessa regler och förståelse för hur man kan hantera det praktiskt går det ofta förhållandevis smärtfritt att undvika onödiga legala risker. Vi kommer ge er tips och förslag på hur ni kan hantera detta i era organisationer.

____________

Säkra din plats till vårt webinar 13 mars!

13-mar-25

Webbinarium: Juridisk uppdatering med MarLaw våren 2025

[ONLINE] 13 mar: Vad är det senaste inom marknadsrätt våren 2025? Håll dig uppdaterad på förändringarna i lagstiftningen för dig som arbetar med marknadsföring och kommunikation.

GDPR, Meta och AI – Navigera legalt rätt i den digitala utvecklingen

Marknadsföreningen Sverige | Blogginlägg, Fördjupning och tips, Gästblogg, Marknadsrätt

MarLaw: GDPR, Meta och AI – Navigera legalt rätt i den digitala utvecklingen

– Färska tips från vår juridiska partner

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. I den här artikeln går de igenom den senaste utvecklingen inom privacy, GDPR, Meta-beslutet och AI, och ger sina egna praktiska tips och rekommendationer i slutet av texten.

Du som är medlem har fått artikeln i sin helhet i ett tidigare medlemsbrev (är du medlem och inte får dina medlemsbrev, kontakta gärna per@mis.se)

_________

Den snabba teknikutvecklingen för marknadsföring ökar behovet av att förstå och hantera gällande och kommande lagstiftning. I denna artikel gör vi några nedslag i den senaste utvecklingen avseende GDPR, Meta och AI och ger ett par tips på hur man navigerar rätt i förhållande till lagstiftning m.m.

Ett exempel på den senaste tidens tillsynsärenden är det s.k. Meta-beslutet. Meta Platforms Ireland Limited (Meta) fick den 12 maj 2023 en sanktionsavgift på 1,2 miljarder euro efter beslut från den irländska dataskyddsmyndigheten (Data Protection Commission, DPC). DPC fann att Meta har överfört personuppgifter till USA i strid med GDPR:s regler om tredjelandsöverföringar. Grunden för beslutet var att Meta inte vidtagit tillräckliga kompletterande skyddsåtgärder för att skydda de personuppgifter som varit föremål för överföringen. Beslutet har föregåtts av flera års rättsliga prövningar i flera instanser. Det ursprungliga klagomålet som låg till grund för beslutet lämnades av Maximilian Schrems, jurist och integritetsaktivist, år 2013 när han klagade på att Facebook (numera Meta) överförde EU-medborgares personuppgifter till USA.

Här kan du ladda ner artikeln i sin helhet, som bl a tar upp:

Nya beslut från IMY
Nytt beslut om adekvat skyddsnivå avseende USA
De juridiska utmaningarna med AI
MarLaws rekommendationer för EU-baserade företag avseende EU-US Data Privacy Framework
MarLaws rekommendationer för EU-baserade företag gällande IMY:s beslut avseende Google
Analytics

Till artikeln >>

MarLaw: Privacy, GDPR & Meta – 3 frågor inför vårt webinar 31 aug

Marknadsföreningen Sverige | Blogginlägg, Marknadsrätt

Google Analytics, GDPR, Meta-domen… var står vi idag och vart är vi på väg?

– Färska tips från vår juridiska partner

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Här svarar Alexander på 3 frågor om nuläget och om vad man får med sig från webbinariet den 31 augusti. Missa inte att anmäla dig till webbinariet här.

Nu i sommar har det hänt en hel del på privacy-området, med omskrivna miljardböter i ”Meta-domen” samt nya tillsynsbeslut kring profilering & Google Analytics. Det har säkert en del att göra med att det är högt tryck på vårt kommande webbinarium ”AI, GDPR och Meta – Navigera rätt i den digitala utvecklingen för marknadsföring & juridik”.

Den 31 augusti bjuder Daniel Tornberg & Alexander Jute från Advokatfirman MarLaw på en värdefull juridisk update inkl. frågestund under ett live webinar. Vi passade på att ställa 3 frågor till Alexander:

Google Analytics 4 – vad händer?
– Från legalt håll händer mycket just nu – vi har fått beslut om Google Analytics tidigare versioner från tillsynsmyndigheter runt om i Europa men även vägledningar som tar sikte på Google Analytics 4. Nu i somras kom även ett nytt beslut om adekvat skyddsnivå för USA vilket ger andra möjligheter till överföring av data dit. Men man kommer fortfarande behöva utvärdera vilka verktyg man använder och hur man tänker använda dem innan man börjar.
Vilka är de vanligaste frågorna man hör av sig till er med just nu?
– På temat med just GDPR, Google Analytics m.m. rör många frågor hur man ska gå till väga för att utvärdera verktygen, om det är möjligt att över huvud taget använda dem och vilka åtgärder man i så fall behöver vidta.
Vad får man med sig från webbinariet den 31 augusti?
– Det allra senaste på temat och även medskick om vad man behöver tänka på när man överväger att fortsätta använda befintliga verktyg men även hur man utvärderar nya.

Daniel Tornberg, Alexander Jute och Marie Sommar om medlemsförmånen "Fråga advokaten"

Advokatfirman MarLaw: Nya EU-direktiv för miljöpåståenden i marknadsföring

Marknadsföreningen Sverige | Blogginlägg, Gästblogg, Marknadsrätt

”Krafttag mot vilseledande miljöpåståenden”

– Färska tips från vår juridiska partner

Nya regler från EU som syftar till att förtydliga hur miljöpåståenden i marknadsföring bör användas

I mars 2022 lade EU-kommissionen fram sitt första lagförslag inom ramen för lagstiftningspaketet benämnt ”handlingsplan för den cirkulära ekonomin” [1]. Förslaget avsåg en uppdatering av EU:s konsumentskyddsregler för att ge konsumenterna mer inflytande över den gröna omställningen. Inom ramen för samma lagstiftningspaket har EU-kommissionen nu i mars 2023 lagt fram ytterligare ett förslag som syftar till att komplettera det tidigare förslaget, bland annat genom att ställa tydligare krav på miljöpåståenden så att de är tillförlitliga, jämförbara och verifierbara i hela EU och skydda konsumenterna från ”greenwashing”.

Förbud mot greenwashing

Direktivet om otillbörliga affärsmetoder är ett övergripande och generellt tillämpligt direktiv som sedan 2005 reglerar hur näringsidkare i största allmänheten får och ska utforma sin marknadsföring och affärsmetoder. I artikel 5 i direktivet föreskrivs bland annat ett allmänt förbud mot vilseledande affärsmetoder, och i artikel 6 stadgas när en affärsmetod ska anses vilseledande. Bilaga 1 till direktivet (den sk svarta listan) inbegriper en lista över affärsmetoder som under alla omständigheter är otillbörliga, dvs. de värsta överträdelserna av marknadsföringslagstiftningen.

Direktivet om otillbörliga affärsmetoder är i Sverige implementerat genom marknadsföringslagen (”MFL”) och vad gäller marknadsföring med miljöargument har de hittills huvudsakligen hanterats genom bestämmelserna om god marknasdföringssed /5 § MFL) och förbudet mot vilseledande marknadsföring (10 § MFL). Vid uttolkande av god marknadsföringsssed är Internationella handelskammarens (”ICC”) regler för reklam och marknadskommunikation av särskild betydelse. Av dessa följer bl.a. att man inte får misskreditera annans verksamhet eller produkt samt att man inte får missbruka tekniskt material, t.ex. använda vetenskapliga termer för att ge intryck av att ett påstående har vetenskaplig grund, när sådan i själva verket saknas. koden innehåller ett eget kapitel om just miljömarknadsföring (Kapitel D) och är tillämpliga på all marknadskommunikation där miljöpåståenden används.

Reglerna gäller alltså varje form av marknadskommunikation som uttryckligen eller underförstått hänvisar till miljömässiga eller ekologiska aspekter i fråga om produkters tillverkning/utförande, förpackning, distribution, användning/konsumtion, återvinning eller sluthantering.

Förslaget innebär alltså att vaga miljöpåståenden kommer att hanteras på ett helt annat sätt

Genom EU-kommissionens förslag från 2022 kan vilseledande miljöpåståenden komma att hanteras utifrån svarta listan istället för god marknadsföringssed då man avser lägga till och särskilt lyfta fram ett förbud mot grönmålning på svarta listan. Detta innebär ett tydliggörande av reglerna kring miljöpåståenden i marknadsföring men också en skräpning i sanktioner då överträdelser av svarta listan anses allvarligare än ageranden i strid med god marknadsföringssed. Den svenska marknadsföringslagen uppdaterades 2022 med nya sanktionsnivåer som innebär att de värsta överträdelserna ska kunna sanktioneras med upp till fyra (4) procent av näringsidkarens årsomsättning.

Det nya lagförslaget innehåller krav på att precisera och fastställa regler för hur frivilliga miljöpåståenden och miljömärkningssystem inom unionen ska tillämpas, kommuniceras och verifieras för att därigenom vidare motverka trenden av grönmålning.

Det nya förslagets centrala delar

En central del av det nya förslaget är att näringsidkare innan dess att ett miljöpåstående riktas mot konsumenten måste kunna visa på vederhäftiga och vetenskapligt underlag som styrker påståendet. Detta är dock närmast ett förtydligande av den rättspraxis som finns på området och som över tid bekräftat att vilseledande miljöpåståenden är i strid med god marknadsföringssed.

Ytterligare en viktig del i det nya förslaget är harmoniseringen av regleringen kring miljömärkningar. EU-kommissionen har genom sina undersökningar fastställt att det för närvarande förekommer drygt 200 olika miljömarkeringar inom unionen som i en beaktansvärd utsträckning är overifierade eller icke-verifierbara [2]. Detta minskar tillförlitligheten hos miljömarkeringar i största allmänhet, varför det förevarande lagförslaget ställer upp krav på att alla miljömarkeringar samt dess budskap måste verifieras av en självständig tredje part för att få användas inom unionen. Vidare anges det i förslaget att alla nya miljömarkeringar från och med ikraftträdandet av det föreslagna direktivet måste uppnå högre miljökrav- och standarder än vad som idag krävs för att få ett förhandsgodkännande.

Sammanfattningsvis ska miljöpåståenden enligt förslaget vara tillförlitliga, transparenta, oberoende verifierade och regelbundet granskade för att tillåtas användas i näringsidkares marknadsföring.

Exempel på vaga miljöpåståenden är ”miljövänlig”, ”eko” eller ”grön”, som kan felaktigt antyda eller ge ett intryck av utmärkt miljöprestanda.

Reflektion

Kommissionens nya förslag innebär ett krafttag mot vilseledande miljöpåståenden, inte bara för att de tydligare regler i EU-direktiv som medlemsstaterna ska implementera i sin lagstiftning utan särskilt för att många av de mest frekvent förekommande miljöpåståenden numera förs upp på den svarta listan där de allra allvarligaste överträdelserna av överträdelser listas. Detta visar att miljöpåståenden innehar en särställning från lagstiftarens sida då denna typ av påståenden anses ha en stor effekt på konsumenternas affärs- och köpbeslut. Den svenska marknadsföringslagen uppdaterades 2022 med nya sanktionsnivåer som innebär att de värsta överträdelserna ska kunna sanktioneras med upp till fyra (4) procent av näringsidkarens årsomsättning.

Förslaget innebär alltså att vaga miljöpåståenden kommer att hanteras på ett helt annat sätt då sådana kan innebära överträdelser av den svarta listan vilket typiskt sett ska sanktioneras hårdare än överträdelser av god marknadsföringssed. Exempel på vaga miljöpåståenden är ”miljövänlig”, ”eko” eller ”grön”, som kan felaktigt antyda eller ge ett intryck av utmärkt miljöprestanda.

Det kommer nu bli än viktigare att se över sin egen marknadskommunikation vad gäller miljöpåståenden för att säkerställa att deras användning av sådana påståenden håller legalt, särskilt som sanktionerna för överträdelser är kraftiga.

Daniel Tornberg & Alexander Jute
Advokater / Partners, Advokatfirman MarLaw AB

____________
[1] Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, A new Circular Economy Action Plan For a cleaner and more competitive Europe. COM(2020) 98 final.

[2] Se skäl 39 i EU-kommissionens nya lagförslag.

Uppdatering: Nya skärpta marknadsföringsregler sedan 1 september

Marknadsföreningen Sverige | Blogginlägg, Fördjupning och tips, Marknadsrätt

Nya ändringar i marknadsföringslagen, prisinformationslagen, avtalsvillkorslagen och distansavtalslagen

– En juridisk uppdatering från vår partner MarLaw

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Vårt nästa event tillsammans med MarLaw, med aktuella tips inom marknadsrätt, sker den 17 november.

TIPS: Med anledning av de lagändringar som nu är i kraft sedan den 1 september 2022, erbjuder MarLaw en skräddarsydd utbildning för ditt företag.

Denna vecka har det skett stora förändringar i lagstiftningen för dig som arbetar med marknadsföring och kommunikation. Marknadsföringslagen, prisinformationslagen, avtalsvillkorslagen och distansavtalslagen uppdateras för att ge ett starkare skydd för konsumenter.

”För att säkerställa att alla lever upp till de nya lagarna införs dessutom helt nya sanktioner som är lika de som kan utfärdas vid brott mot GDPR. Sanktionsavgiften kan fastställas till lägst tio tusen kronor och högst fyra procent av näringsidkarens omsättning. Att begå misstag kan alltså stå dig dyrt.”

Så skriver MarLaw själva i sin kommunikation kring de nya lagändringarna. Här får vi en uppdatering om nuläget.

_________

Hur har det har gått med införandet ni flaggade för i våra tidigare artiklar? Är detta lagändrat enligt förslaget nu?

– När propositionen skulle röstas igenom valde riksdagen att skjuta fram införlivandet till den 1 september 2022. Vidare noterades att en av reglerna kring realisationer/prissänkningar var något oklar. Konsumentskyddsdirektivet (som är det bakomliggande regelverket från EU) innehåller bl.a. en ny regel som tar sikte på tillkännagivande av prissänkningar och att sådana ska innehålla uppgift om det tidigare pris som näringsidkaren har tillämpat under en fastställd tidsperiod före prissänkningen.

Nämnda direktiv innehåller ett krav på att medlemsstaterna i EU inte får föreskriva en tidsperiod understigande 30 dagar för att bestämma tidigare pris. Dessutom ges medlemsstaterna möjlighet att implementera undantagen till nämnda huvudregel, vilka framgår enligt nedan.

Medlemsstaterna får föreskriva andra regler för varor som sannolikt kan försämras eller har kort sista förbrukningsdatum.
Om produkten har funnits på marknaden i mindre än 30 dagar får medlemsstaterna även föreskriva en kortare tidsperiod än 30 dagar.
I de fall där prissänkningen ökas gradvis får medlemsstaterna föreskriva att det tidigare priset utgör det pris som gällde före den första prissänkningen.

Den första punkten är sparsamt belyst och i Sverige pågår ett arbete med att ta fram en närmare vägledning om hur detta ska tillämpas. Vid kontakt med Regeringskansliet uppger man att frågan har börjat hanteras men att vägledningen förväntas publiceras senare och först efter den nya bestämmelsen trätt i kraft, dvs. efter den 1 september 2022.

Viss vägledning (om än knapphändig) går att utläsa från EU-kommissionens riktlinjer. Däri framgår det att vilka typer av varor som omfattas av undantaget ska bedömas i varje enskilt fall. Därefter exemplifieras varor som färska matvaror och drycker med korta hållbarhetsdatum. Vi fortsätter bevaka utvecklingen.

Vad mer är värt att belysa inom marknadsrätt hösten 2022?

– På marknadsföringsrättens område kommer de nya reglernas tillämpning bli av största intresse att följa. Konsumentverket har tillsyn över marknadsföringen och ska följa upp att företagen agerar i enlighet med lagstiftningen. Med tanke på att realisationer har varit ett prioriterat området för Konsumentverket blir det intressant att se hur myndigheten kommer förhålla sig till de nya reglerna för att se till att de efterlevs.

Det är helt klart hög tid att se över sin cookieanvändning och information

Vidare ska noteras att GDPR alltjämt genererar nya frågeställningar och överväganden. Under sommaren meddelade den irländska dataskyddsmyndigheten i ett utkast på beslut att man kommer blockera Meta från att skicka användaruppgifter till ISA. Detta skulle kunna medföra att Facebook och Instagram inte kan användas förrän ett nytt transatlantiskt dataöverföringsavtal (liknande privacy shield) är på plats. Beslutet är dock på remiss hos de andra tillsynsmyndigheterna i EU så det återstår att se vad som slutligen sker.

En annan intressant nyhet på temat är att organisationen Non of Your Business (NOYB) lämnat in ytterligare 226 klagomål hos olika tillsynsmyndigheter runt om i EU på grund av felaktig cookie-hantering. Det är helt klart hög tid att se över sin cookieanvändning och information.

Det har även kommit ett beslut från danska tillsynsmyndigheten som öppnar för att samtycke kan anses frivilligt när det för att kunna erhålla medlemskap i en kundklubb var villkorat med att få också få nyhetsbrev. Ärendet är högst intressant då det varit många frågor om huruvida man kan villkora medlemskap med marknadsföringsutskick med samtycke som grund. Beslutet synes alltså öppna för det och det är intressant att följa en eventuell fortsättning av ärendet.

Sammanfattningsvis händer det mycket på den juridiska fronten som påverkar spelplanen för marknadsföring. Se till att hålla dig uppdaterad.

Se även:

MarLaw: Nya regler om marknadsföring kopplade till kraftiga sanktioner

by: mis

27-apr-22

Med anledning av nya konsumentskyddslagen: Skräddarsydd utbildning för ditt företag i samarbete med MarLaw

by: mis

10-maj-22

Med anledning av nya konsumentskyddslagen: Skräddarsydd utbildning för ditt företag i samarbete med MarLaw

Marknadsföreningen Sverige | Fördjupning och tips, Kurser, Marknadsrätt

Konsumentskyddets GDPR införs i Sverige

– Skräddarsydd utbildning för ditt företag i samarbete med MarLaw

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Med anledning av de lagändringar gällande konsumentskyddet som trädde i kraft den 1 september 2022, erbjuder nu MarLaw en skräddarsydd utbildning för ditt företag.

Ändringar i konsumentskyddet

Ett moderniserat konsumentskydd (Regeringens proposition 2021/22:174) ställer högre och tuffare krav på marknadsföring riktad mot konsumenter.

Dessutom föreslås att sanktionerna ska bli kraftfullare, likt GDPR med belopp upp till 4% av ett bolags årsomsättning. Dessa lagändringar föreslås att träda i kraft den 1 juli 2022 och kommer bland annat att innebära:

Nya sanktioner upp till 4% av ett bolags årsomsättning
Nya krav för hur pris ska anges vid marknadsföring av prissänkningar
Nya informationskrav innan ett avtal ingås
Nya regler vid rankning av tjänster, produkter samt produktrecensioner
Nya förutsättningar för ångerrätt
Det måste framgå om den som erbjuder en produkt till försäljning på en marknadsplats är näringsidkare eller inte.
Distansavtalslagen omfattar även avtal som innebär betalningsförpliktelser och vissa fall där personuppgifter tillhandahålls

Mer information och bokning

Denna kurs syftar till att ge en övergripande förståelse för de nya konsumentskyddsreglerna samt hur ni kan anpassa er verksamhets kommunikation till de nya reglerna.

Kursen kommer att anpassas utifrån ert bolag och de frågeställningar som kan uppkomma.

Anmälan: Kontakta Marie Sommar; marie@mis.se för en offert.

MarLaw: Nya regler om marknadsföring kopplade till kraftiga sanktioner

Marknadsföreningen Sverige | Gästblogg, Marknadsrätt

Foto (ovan): Sandra Birgersdotter Ek

Med sikte på ”aktörers ansvar vid marknadsföring samt deras informationsplikt i den digitala miljön”

– Gästartikel från Advokatfirman MarLaw: Nya regler om marknadsföring kopplade till kraftiga sanktioner

Daniel Tornberg och Alexander Jute är advokater på Marknadsföreningens samarbetspartner Advokatfirman MarLaw, som erbjuder juridiskt stöd till våra medlemmar. Missa inte deras kommentar och praktiska tips i slutet av artikeln.

TIPS: Med anledning av de lagändringar gällande konsumentskyddet som föreslås att träda i kraft den 1 juli 2022, erbjuder nu MarLaw en skräddarsydd utbildning för ditt företag.

_________

Regeringen föreslår lagändringar i syfte att genomföra ”Europaparlamentets och rådets direktiv (EU) 2019/2161 om ändring av rådets direktiv 93/13/EEG och Europaparlamentets och rådets direktiv 98/6/EG, 2005/29/EG och 2011/83/EU vad gäller bättre upprätthållande och modernisering av unionens konsumentskyddsregler.”

Arbetet med det nya konsumentskyddsdirektivet har lett fram till en proposition som föreslås bli lag den 1 juli 2022. Det skall påpekas att de stora uppdateringarna av lagen är de första sedan 2008 och på så vis betydande. Det övergripande målet är att stärka konsumentskyddsnivån inom unionen ytterligare. På agendan är i synnerhet att med hjälp av lagen stärka upp skyddet för konsumenternas ekonomiska beteenden genom att ge dem tillräckligt med förutsättningar att fatta ett välgrundat affärsbeslut. Initiativet riktas även mot att anpassa regelverket till den ökade digitaliseringen som råder.

Förslagen i propositionen innebär lagändringar av fyra olika lagar. Dels marknadsföringslagen där de mest centrala delarna av implementeringen återfinns dels lagen om avtalsvillkor i konsumentförhållanden, prisinformationslagen och lagen om distansavtal och avtal utanför affärslokaler. För att komma tillrätta med bristerna i konsumentskyddslagstiftningen och se till att reglerna efterföljs tar bestämmelserna till stor del sikte på aktörers ansvar vid marknadsföring samt deras informationsplikt i den digitala miljön.

Ny sanktionsnivå om upp till 4 procent av årsomsättningen

Den största förändringen är den nya lagstiftningen om skarpare sanktioner. Sanktionsnivåerna blir högre och landar på en beloppsgräns om fyra procent av näringsidkarens årliga omsättning. I det svenska lagstiftningsarbetet var förslaget på remiss om 10 procent av årsomsättningen men istället landade nivån på 4 procent (motsvarande inom GDPR).

Tillräckligt mycket information ska tillhandahållas konsumenten vid marknadsföring

Utöver sanktioner införs en mängd olika informationsbestämmelser som kräver att marknadsföringen ska innehålla tillräckligt mycket information av särskild betydelse. Informationen kan variera från produkt till produkt men det bakomliggande syftet är trots allt att konsumenten överlag ska ges möjlighet att ta ett välgrundat affärsbeslut.

Förslaget ställer också krav på öppenhet med avseende på individualisering av priser utifrån algoritmer. Om så är fallet ska konsumenten bli tydligt informerad om att innehållet på en webbsida är anpassad efter insamlade data kring hur denne betett sig tidigare. Syftet är att göra konsumenten införstådd med det faktum att priset kan vara reglerat efter preferenser.

Beteendet med falska och oriktiga recensioner av olika slag anses så pass klandervärt att det lagts till på svarta listan över vad som under alla förhållanden ska anses otillbörligt.

En stor sak i propositionen är även kravet på information som tar sikte på rankning och där aktörer ger konsumenten tillgång till prisjämförelser. Förslagen som rankas högst kan vara baserat på priser, kvalitet eller vara resultatet av olika kommersiella incitament. Marknadsplatser och webbplatser för prisjämförelser måste därför redovisa för konsumenten de viktigaste kriterierna som sökresultatet baseras på. På så vis framkommer om rankningen är baserad på betalningar som mottagits från handlare, är påverkat av popularitet eller annat som kan ge vägledning och insikt vid konsumentens affärsbeslut.

En annan marknadsföringsmetod regeringen särskilt vill strama åt är recensioner. Med förslaget införs ett krav på att aktörer ska tillhandahålla information om omdömen och huruvida de kommer från konsumenter eller inte. Det finns inget krav på att kunna garantera kommentarernas riktighet men i sådant fall ska det framgå att aktören avskriver sig sådan försäkran. Beteendet med falska och oriktiga recensioner av olika slag anses så pass klandervärt att det lagts till på svarta listan över vad som under alla förhållanden ska anses otillbörligt.

Inom distansavtalslagens tillämpningsområde föreslås även ändringarna om ångerrätten avseende digitala tjänster som gäller personuppgifter och den data som lämnas därigenom. Givet teknikutvecklingen erbjuds många gratistjänster genom applikationer och anda digitala verktyg. Även om dessa tillhandahålls gratis lämnar kunden ifrån sig personuppgifter av stort värde för plattformen. I lagen införs därför en 14 dagars ångerrätt i dessa situationer.

Ändringar i prisinformationslagen

Det blir dessutom nya bestämmelser i prisinformationslagen. Med dagens förekomster av omfattande och återkommande priskampanjer är området något som varit särskilt prioriterat vid tillsynsärenden. Reglerna kommer att införa krav på att en produkt som tillhandahålls med angivande av en prissänkning måste ange det tidigare priset. Dessa ändringar lägger grund för hur aktörer får göra prisnedsättningar och priskampanjer. Vill en aktör kommunicera en prissänkning måste denne redovisa det lägsta priset som har tillämpat under de senaste 30 dagarna före prissänkningen. Undantag gäller om priset sänks gradvis under 30 dagars perioden. Detta kan vara fallet vid en utförsäljning samt möjligt vid varor som snabbt blir gamla.

Kommentar

För att förbereda sig på de förändringar som kommer behöver aktörerna ha i bakhuvudet att bestämmelserna talar för att höja konsumentskyddsnivån och ge konsumenterna kunskap om sina rättigheter, något som kommer vägas in i allt högre grad.

För att undvika sanktioner behöver därför identifieras vilka brister som finns i verksamheten och sätta sig in i konsumenträttigheterna i stort. Vi rekommenderar att man ser över följande:

Allmänna villkor/köpvillkor
Personuppgiftshantering och policy
Prissättning/REA-erbjudanden m.m.
Användning av recensioner
Användning av rankningssidor
Samarbeten/avtal med underleverantörer (t.ex. reklam/mediabyråer, etc.)
Rutiner för att säkerställa att marknadsföring är compliant

Daniel Tornberg och Alexander Jute
Advokater / Partners, Advokatfirman MarLaw AB

Gästartikel från MarLaw: Nya riktlinjer för tredjelandsöverföringar

Marknadsföreningen Sverige | Gästblogg, Marknadsrätt

Foto (ovan): Sandra Birgersdotter Ek

Hur överför man personuppgifter till tredje land när Privacy Shield inte längre gäller?

– Så ser den praktiska hanteringen ut efter uppdaterade riktlinjer

_________

Bakgrund

Förra sommaren kom den s.k. Schrems II-domen[i] från EU-domstolen vilken tar sikte på överföringar av personuppgifter till tredje land (i detta fall USA). Bakgrunden till målet är den österrikiska juristen Max Schrems (som bland annat driver organisationen Non Of Your Business; ”NOYB”) som återigen lyckats få till en prövning i EU-domstolen rörande rätten för Facebook Ireland Ltd att hantera personuppgifter som överförs till dess moderföretag i USA. Sådana överföringar till tredje land, exempelvis USA, är som huvudregel förbjudna om inte ett undantag i GDPR kan tillämpas (se artiklarna 45–50 i GDPR). Ett sådant undantag ger kommissionen rätt enligt artikel 45 att besluta om att visst tredje land har en adekvat skyddsnivå. Sådana beslut fattas efter att EU-kommissionen kommit överens med ett tredje land om villkoren för överföringar.

Ett sådant beslut var det mellanstatliga avtalet Privacy Shield-mellan EU och USA som sålunda upphävdes av EU-domstolen i juli. EU-domstolen menade bland annat att amerikanska myndigheters möjligheter att i stor skala övervaka och samla in personuppgifter om EU-medborgare gör att det reella skyddet för personuppgifter i USA inte lever upp till en adekvat skyddsnivå varken enligt GDPR eller EU-stadgan om de grundläggande rättigheterna, däribland rätten till privatliv och till personuppgifter.

…med tanke på den förhållandevis omfattande överföringen av data finns en överhängande risk att myndigheterna kommer fram till att användning av dessa verktyg som innebär överföring av personuppgifter till USA inte är förenligt med GDPR. Det är därför centralt att varje organisation granskar vilka verktyg och tjänster, cookies mm som man använder och som kan innebära en överföring till tredje land.

Vidare innehåller GDPR undantag enligt vilka personuppgiftsöverföring får ske till tredje land om de förenas med lämpliga skyddsåtgärder enligt artikel 46. En sådan skyddsåtgärd är att stödja sin personuppgiftsöverföring på standardavtalsklausuler som har godkänts av kommissionen. Prövningen i målet Schrems II omfattade förutom Privacy Shield också just personuppgiftsbehandling med stöd av sådana godkända standardavtalsklausuler. Domstolen konstaterade att standardavtalsklausulerna fortfarande kan användas. Klausulerna måste dock ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns under GDPR. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land blir således mycket långtgående även om man använder standardavtalsklausuler eftersom man har en undersökningsplikt både att ta reda på vilket skydd personuppgifterna i praktiken har i tredjelandet, hur lagstiftningen där ser ut och dessutom ett ansvar att informera de registrerade om skydd och risker.

Granskning av NOYB

Kort efter domen granskade NOYB ett antal företags webbplatser i EU och noterade att många använde Facebook Connect och/eller Google Analytics. Dessa verktyg innebär att data överförs från EU till USA där dessa bolag är skyldiga att tillhandahålla data till amerikanska myndigheter såsom NSA. Enligt NOYB fanns inte något behov att använda dessa verktyg för att kunna driva webbplatserna och dessa verktyg borde ha tagits bort eller deaktiverats efter domen. NOYB valde att anmäla 101 olika företag i EU till tillsynsmyndigheter i respektive land i anledning av dataöverföringarna.

Tillsyn från IMY

För svensk del anmäldes sex bolag till Integritetsskyddsmyndigheten (IMY) under hösten 2020. IMY inledde tillsyner mot samtliga sex avseende överföringar av personuppgifter till tredje land, det vill säga länder utanför EU och EES. IMYs granskning pågår alltjämt och att vi ännu inte har något beslut i dessa tillsyner beror på att IMY samordnar bedömningarna med de övriga tillsynsmyndigheterna runtom i EU.

Uppdaterade riktlinjer

Sedan domen förra sommaren har Europeiska Dataskyddsstyrelsen (EDPB) tagit fram vägledningar om hur man bör agera om man avser överföra personuppgifter till tredje land när Privacy Shield inte längre gäller. Den senaste versionen av EDPBs rekommendationer lanserades den 18 juni i år[1] och tar sikte på vilka ytterligare skyddsåtgärder som kan användas vid överföring av personuppgifter till länder utanför EU och EES vid användning av standardavtalsklausuler. För att kunna bedöma om det är möjligt att överföra uppgifter till ett visst land som saknar beslut om adekvat skyddsnivå ska man göra en bedömning i sex steg enligt nedan:

Kartlägg dina överföringar
Stäm av vilken grund du baserar din överföring på
Gör en bedömning av tredje landets lagstiftning i förhållande till art 46
Identifiera och anta tilläggsåtgärder för att komma upp i samma nivå av skydd som EU
Vidta nödvändiga formella åtgärder, t.ex. konsultera tillsynsmyndigheten
Gör förnyade bedömningar med lämpliga intervaller

Kommentar

Vi har i skrivande stund inte fått beslut från tillsynsmyndigheterna vad gäller användningen av Facebook Connect och Google Analytics men med tanke på den förhållandevis omfattande överföringen av data finns en överhängande risk att myndigheterna kommer fram till att användning av dessa verktyg som innebär överföring av personuppgifter till USA inte är förenligt med GDPR. Det är därför centralt att varje organisation granskar vilka verktyg och tjänster, cookies mm som man använder och som kan innebära en överföring till tredje land. Därefter ska respektive tredje lands lagstiftning granskas för att göra en bedömning av möjligheterna att med ytterligare skyddsåtgärder komma upp i samma nivå av skydd som i EU. Beroende på vad den egna analysen och legala bedömningen blir får varje organisation fatta ett affärsbeslut baserat på behovet av olika verktyg och den riskaptit man har.

Vi gör löpande bedömningar för olika klienter utifrån EDPBs riktlinjer och kan konstatera att det är en förhållandevis omfattande övning men som dock är nödvändig för att undvika risk för kostsamma sanktioner.

Daniel Tornberg och Alexander Jute
Advokater / Partners, Advokatfirman MarLaw AB

____________
[i] https://curia.europa.eu/juris/document/document.jsf

[1] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf