Oppdatering – nye EU-regler for kommunikasjonsvern og direkte markedsføring nærmer seg
Det har de siste fire årene pågått en intens kamp i Brüssel om hvor grensene skal gå for vern av retten til privatliv på nett. Nå har omsider medlemslandene i Rådet for den europeiske union blitt enige om hvordan de mener EUs forordning om kommunikasjonsvern (ePrivacy-forordningen) skal se ut. Neste punkt på programmet er forhandlinger med Parlamentet og Kommisjonen, som siden 2017 har hatt sine versjoner av forordningen liggende i skuffen.
Forordningen omhandler flere svært sentrale spørsmål, blant annet hvordan myndighetene skal kunne bruke kommunikasjonsdata for å forhindre terror og stoppe overgrep mot barn. Men ettersom dette er en blogg om markedsføringsrett, nøyer vi oss med å oppsummere de viktigste punktene man bør merke seg fra et markedsføringsperspektiv.
Dagens regler om kommunikasjonsvern og direkte markedsføring finnes i direktiv 2002/58/EF. Disse er tatt inn i norsk rett på nokså uoversiktlig vis, og ansvaret for håndhevingen er fordelt på en ikke helt optimal måte mellom Nkom, Datatilsynet og Forbrukertilsynet. I tillegg har man plusset på litt nasjonale regler her og der.
Når man nå får en forordning som avløser 2002-direktivet, gjelder denne ordrett. Det vil ikke være mulig å justere på eller legge til egne regler innenfor området som er regulert av forordningen. Dette betyr blant annet at man vil måtte vinke farvel til noen av de særnorske reglene om telefonsalg.
Ansvaret for håndhevingen av regelverket vil også bli strømlinjeformet. Både Kommisjonen og Parlamentet har pekt på de nasjonale datatilsynene og EDPB som naturlige håndhevere. Medlemslandene har vinglet litt fram og tilbake, men endte til slutt opp med en løsning som legger opp til at det aller meste av tilsynsansvaret havner hos datatilsynene, med EDPB som støttespiller. Her hjemme vil det bety at Nkom og muligens også Forbrukertilsynet vil bli fritatt for noe av tilsynsansvaret de har etter dagens regelverk.
Sanksjonsregimet blir det samme som i GDPR, med bøter (eller overtredelsesgebyr som vi opererer med her til lands) på inntil 20 mill. EUR/4 % eller 10 mill. EUR/2 % av årsomsetningen til virksomheten. For brudd på markedsføringsreglene i forordningen er det den laveste “satsen” som skal anvendes. Personer som får privatlivet sitt krenket ved brudd på forordningen skal, i tillegg til å kunne klage til tilsynsmyndighetene, også kunne anlegge søksmål og kreve kompensasjon. Forordningen vil, på samme måte som GDPR, bli ført opp på lista over rettsakter som kan danne grunnlag for gruppesøksmål etter det nye gruppesøksmålsdirektivet.
Her er noen punkter i forordningen av særlig betydning for markedsføring:
- Bruk av lokasjonsdata og andre typer metadata, og da spesielt hvor det ligger kommersielle interesser bak, er et stort diskusjonstema. Her åpner Rådet for en viss bruk av metadata også i tilfeller hvor brukeren ikke har gitt samtykke. Parlamentet har alt signalisert at de er skeptiske til dette, og det ligger an til tøffe diskusjoner.
- Det samme gjelder reguleringen av cookies, og særlig spørsmålet om det skal være lov å stenge brukere ute fra nettsteder dersom de ikke samtykker. Artikkel 8 i forordningen viderefører, ikke overraskende, kravet om samtykke for plassering av bl.a. markedsføringscookies på elektroniske enheter. I fortalen oppfordres tilbydere av software som f.eks. nettlesere, om å tilby løsninger som gjør det mulig å forhåndssamtykke til eller avslå bestemte typer cookies på alle nettsteder som man besøker. Dette finnes jo for så vidt også i dag, så det er noe uklart hva slags effekt en slik oppfordring i fortalen til forordningen vil få.
- Når det gjelder elektronisk direkte markedsføring til fysiske personer, så må næringsdrivende fortsatt innhente samtykke før slik markedsføring sendes ut. Flere typer kommunikasjonstjenester enn e-post og SMS vil nå bli omfattet av regelverket, blant annet Bluetooth og nettbaserte meldingstjenester.
- Fra eksisterende kunder trenger man ikke samtykke, men kunden må informeres om at det vil bli sendt ut elektronisk direkte markedsføring og få mulighet til å takke nei til dette. Landene kan også sette en tidsbegrensning for hvor lenge en næringsdrivende kan sende elektronisk markedsføring til eksisterende kunder.
- For telefonsalg skal fortsatt landene selv kunne bestemme om man vil ha et reservasjonsregister (opt out) eller en samtykkeordning (opt in). Landene skal også kunne vedta at alle telefonsalgsoppringninger skal skje fra en bestemt nummerserie.
- Markedsførere må identifisere seg og bruke elektroniske returadresser eller telefonnummer som det er mulig å benytte for å komme i kontakt med den næringsdrivende. Personer som har gitt samtykke til å motta markedsføring skal også kunne trekke dette tilbake når som helst på en enkel og kostnadsfri måte. Det skal være like enkelt å trekke tilbake samtykke som å avgi det.
- Juridiske personer skal også gis et «tilstrekkelig vern» mot direkte markedsføring.
Tiden vil vise om man nå kommer i mål med forhandlingene mellom EU-institusjonene og får vedtatt forordningen i løpet av våren. Saksordfører i Parlamentet har i det minste gitt uttrykk for at det er en viss vilje til å komme fram til et kompromiss nå som medlemslandene i Rådet endelig har blitt enige. Så det er et visst håp om at vi snart får avsluttet den europeiske delen av føljetongen om den nye ePrivacy-forordningen og etter hvert kan rette fokus mot gjennomføringen i Norge.