MarLaw

Gästblogg: GDPR – Detta har hänt

Marknadsföreningen Stockholm | Gästblogg, Marknadsrätt

Stor osäkerhet gällande marknadsföring och digitala verktyg

Vår juridiska partner MarLaw står för ett redan välbokat seminarium i december: ”GDPR – vad hände sedan?”. Det är tydligt att GDPR fortsätter att väcka många frågor och tankeställningar. Här ger advokaterna Daniel Tornberg och Alexander Jute en kort sammanfattning av läget sedan nya dataskyddsförordningen trädde i kraft tidigare i år.

MarLaw

_________

Snart har ett halvår passerat sedan EU:s dataskyddsförordnings ikraftträdande. Det kan förvisso diskuteras om det i sammanhanget är lång eller kort tid men allt fler trevande frågor kommer nu oundvikligen upp till ytan. Har någon ”åkt dit”? Hur ser det ut i andra EU-länder? Vilka delar av regleringen är i fokus? Vad gör tillsynsmyndigheterna?

Europeiska skillnader

Det är så här långt uppenbart att det finns betydande skillnader vad gäller tillsynsmyndigheternas agerande och kapacitet i de olika europeiska länderna. I vissa medlemsstater har man till synes tampats med nationella utmaningar vad gäller regeringssituation, omorganisering och bemanning. I andra länder har ett eller ett fåtal ärenden avgjorts, med sanktionsavgifter som följd för organisationer i Frankrike, Österrike och Portugal – då i storleksordningen några tusen Euro upp till 400 000 Euro för grövre överträdelse.

Den svenska modellen

Den svenska Datainspektionen har nyligen slagit sig för bröstet i och med tillkännagivandet av den första avklarade GDPR-granskningen, omfattandes 400 företag och myndigheter. Det bör dock påpekas att denna granskning var mycket smal då den i princip endast rörde frågan om huruvida dataskyddsombud utsetts och i sådant fall, om detta rapporterats till Datainspektionen. Centrala aspekter såsom dataskyddsombudets kvalifikationer, insyn, kontroll och påverkan avseende organisationens totala dataskyddsarbete, d.v.s. frågan om huruvida dataskyddsombudsrollen i praktiken fungerar som avsett, berördes inte.

Ett område där osäkerheten är stor gällande dataskyddsförordningens genomslag är marknadsföring. Då framförallt avseende digitala verktyg för att rikta marknadsföring relaterat till segmentering, retargeting, att beteendestyra och individuellt rikta annonser…

Datainspektionen har meddelat att granskningsarbetet nu fortskrider vad gäller dataskyddsombud samt inom kategorierna inhämtade samtycken och relation mellan ansvarig och biträde. Samtidigt är man öppen med att tillsynsarbetet delvis syftar till att ”skapa vägledning”.

Marknadsföring och GDPR

Ett område där osäkerheten är stor gällande dataskyddsförordningens genomslag är marknadsföring. Då framförallt avseende digitala verktyg för att rikta marknadsföring relaterat till segmentering, retargeting, att beteendestyra och individuellt rikta annonser med hjälp av cookies, pixels och annan spårningsteknologi i webbmiljön och i sociala medier. Att den s.k. intresseavvägningen i vissa fall är användbar som rättslig grund för personuppgiftsbehandling vid direktmarknadsföring är klarlagt men i övrigt finns många frågetecken.

Frågan anknyter också till den ännu inte framröstade e-integritetsförordningen (”ePrivacy Regulation” eller ”ePR”), vilken till synes kommer att innebära betydande begränsningar i möjligheten att utnyttja webbplatsbesökares data och metadata. Tillsammans med GDPR siktar EU på ett heltäckande integritetsskydd med två delvis överlappande förordningar. Intensiv lobbyverksamhet och kritik från branschföreträdare visar dock att flera aktörer ser på e-integritetsförordningen med stor oro. Man målar upp en bild av omöjliggjord annonsfinansiering, betalspärrar online och en explosion av pop-up-rutor som ideligen kräver slutanvändarens ok.

Det är tydligt att dataskydd och e-integritet som rättsområden betraktade fortsatt är under utveckling, både vad gäller tillsynsarbete, vägledning och praktisk tillämpning. Genomförandet av ett harmoniserat och moderniserat regelverk med universell tillämplighet har, åtminstone inledningsvis, snarast blottat skillnader och otydligheter. Aktörer som vill göra rätt för sig även i fortsättningen bör alltså hålla sig underrättade.

____________

Missa inte vårt seminarium: GDPR – vad hände sedan?

MarLaw

Gästartikel från MarLaw: GDPR

Marknadsföreningen Stockholm | Marknadsrätt, Övrigt

GDPR – Nu börjar det verkliga arbetet

Många är de företag, organisationer och myndigheter som de sista månaderna kämpat med det viktiga arbetet att få i ordning inventering av de personuppgifter som behandlas, olika typer av policydokument och biträdesavtal för att anpassa sig till den nya dataskyddsförordningen (GDPR) som ju som bekant träder i kraft nu på fredag (den 25 maj 2018). Det är dock lika viktigt att framåtblickande ha en plan för hur verksamheten löpande ska hantera sitt ansvar enligt GDPR. I denna artikel beskriver advokaterna Daniel Tornberg och Alexander Jute på Advokatfirman Marlaw vad som är viktigt att hålla koll på framöver för att undvika att komma i konflikt med dataskyddsförordningen.

Tillsyn och praxis

Som de flesta förstått råder en hel del oklarheter i hur förordningen ska tillämpas praktiskt i olika typer av situationer. Vissa frågor kräver helt enkelt vägledning från tillsynsmyndigheten Datainspektionen (som önskar att byta namn till Dataskyddsmyndigheten), nationella tillsynsmyndigheter i de olika medlemsstaterna eller den europeiska datatillsynsmannen. Därutöver lär en hel del frågor inte få något närmare svar innan de prövats av domstol. Det blir således viktigt att följa rättsutvecklingen på området för att kunna bedöma om de egna bedömningar som verksamheten gjort håller eller måste justeras.

Grundarbetet

Det lär alltså dröja innan alla frågor blir belysta. Till dess bör verksamheten koncentrera sig på det grundläggande arbete som tydligt kan utläsas av förordningen. Ett sådant arbete är den grundläggande inventeringen av vilka personuppgifter som verksamheten behandlar. Denna ska dokumenteras i en förteckning som beskriver vilka uppgifter som behandlas samt de olika sätt som man hanterar personuppgifter på och med vilket lagligt stöd som behandlingen baseras på.

Nästa område som bör ses över är verksamhetens personuppgiftspolicy (både extern och intern). De behövs normalt sett uppdateras och kommuniceras med kunder och samarbetspartners respektive den egna personalen. I vissa fall kan det också krävas att nya samtycken samlas in och dokumenteras. Till grundarbetet tillhör också att gå igenom och identifiera vilka parter som behandlar personuppgifter åt verksamheten eller om verksamheten själv behandlar personuppgifter åt andra. I dessa fall ställer förordningen krav på att skriftliga personuppgiftsbiträdesavtal upprättas.

Det framtida arbetet

När man kommit så långt krävs emellertid också att verksamheten faktiskt också börjar arbeta med ett nytt förhållningssätt till personuppgiftshantering. De upprättade policydokumenten ska ju inte bara följas utan verksamheten måste löpande följa upp att det faktiskt görs och justeras efter hand. Därför krävs att uppföljningsrutiner införs så att verksamheten med återkommande mellanrum stämmer av att både personuppgiftsförteckningen, policydokumenten och förekommande biträdesavtalen är aktuella. I annat fall ska dessa uppdateras – även med beaktande av klargöranden eller förändringar i rättstillämpningen.

Det framtida GDPR arbetet kommer därför från och med nu behöva löpa som en central del av verksamhetens regelefterlevnadsrutiner – och det arbetet börjar nu.

Daniel Tornberg
Alexander Jute