Gästblogg: GDPR – Detta har hänt
Marknadsföreningen Sverige | Gästblogg, Marknadsrätt
Stor osäkerhet gällande marknadsföring och digitala verktyg
Vår juridiska partner MarLaw står för ett redan välbokat seminarium i december: ”GDPR – vad hände sedan?”. Det är tydligt att GDPR fortsätter att väcka många frågor och tankeställningar. Här ger advokaterna Daniel Tornberg och Alexander Jute en kort sammanfattning av läget sedan nya dataskyddsförordningen trädde i kraft tidigare i år.
_________
Snart har ett halvår passerat sedan EU:s dataskyddsförordnings ikraftträdande. Det kan förvisso diskuteras om det i sammanhanget är lång eller kort tid men allt fler trevande frågor kommer nu oundvikligen upp till ytan. Har någon ”åkt dit”? Hur ser det ut i andra EU-länder? Vilka delar av regleringen är i fokus? Vad gör tillsynsmyndigheterna?
Europeiska skillnader
Det är så här långt uppenbart att det finns betydande skillnader vad gäller tillsynsmyndigheternas agerande och kapacitet i de olika europeiska länderna. I vissa medlemsstater har man till synes tampats med nationella utmaningar vad gäller regeringssituation, omorganisering och bemanning. I andra länder har ett eller ett fåtal ärenden avgjorts, med sanktionsavgifter som följd för organisationer i Frankrike, Österrike och Portugal – då i storleksordningen några tusen Euro upp till 400 000 Euro för grövre överträdelse.
Den svenska modellen
Den svenska Datainspektionen har nyligen slagit sig för bröstet i och med tillkännagivandet av den första avklarade GDPR-granskningen, omfattandes 400 företag och myndigheter. Det bör dock påpekas att denna granskning var mycket smal då den i princip endast rörde frågan om huruvida dataskyddsombud utsetts och i sådant fall, om detta rapporterats till Datainspektionen. Centrala aspekter såsom dataskyddsombudets kvalifikationer, insyn, kontroll och påverkan avseende organisationens totala dataskyddsarbete, d.v.s. frågan om huruvida dataskyddsombudsrollen i praktiken fungerar som avsett, berördes inte.
Ett område där osäkerheten är stor gällande dataskyddsförordningens genomslag är marknadsföring. Då framförallt avseende digitala verktyg för att rikta marknadsföring relaterat till segmentering, retargeting, att beteendestyra och individuellt rikta annonser…
Datainspektionen har meddelat att granskningsarbetet nu fortskrider vad gäller dataskyddsombud samt inom kategorierna inhämtade samtycken och relation mellan ansvarig och biträde. Samtidigt är man öppen med att tillsynsarbetet delvis syftar till att ”skapa vägledning”.
Marknadsföring och GDPR
Ett område där osäkerheten är stor gällande dataskyddsförordningens genomslag är marknadsföring. Då framförallt avseende digitala verktyg för att rikta marknadsföring relaterat till segmentering, retargeting, att beteendestyra och individuellt rikta annonser med hjälp av cookies, pixels och annan spårningsteknologi i webbmiljön och i sociala medier. Att den s.k. intresseavvägningen i vissa fall är användbar som rättslig grund för personuppgiftsbehandling vid direktmarknadsföring är klarlagt men i övrigt finns många frågetecken.
Frågan anknyter också till den ännu inte framröstade e-integritetsförordningen (”ePrivacy Regulation” eller ”ePR”), vilken till synes kommer att innebära betydande begränsningar i möjligheten att utnyttja webbplatsbesökares data och metadata. Tillsammans med GDPR siktar EU på ett heltäckande integritetsskydd med två delvis överlappande förordningar. Intensiv lobbyverksamhet och kritik från branschföreträdare visar dock att flera aktörer ser på e-integritetsförordningen med stor oro. Man målar upp en bild av omöjliggjord annonsfinansiering, betalspärrar online och en explosion av pop-up-rutor som ideligen kräver slutanvändarens ok.
Det är tydligt att dataskydd och e-integritet som rättsområden betraktade fortsatt är under utveckling, både vad gäller tillsynsarbete, vägledning och praktisk tillämpning. Genomförandet av ett harmoniserat och moderniserat regelverk med universell tillämplighet har, åtminstone inledningsvis, snarast blottat skillnader och otydligheter. Aktörer som vill göra rätt för sig även i fortsättningen bör alltså hålla sig underrättade.
____________
Missa inte vårt seminarium: GDPR – vad hände sedan?