2011-12-22

Analys av EU-förslag till ny dataskyddsförordning

SWEDMA har lagt ner ett grannlaga arbete på att försöka förstå vilka avsikter bland annat EU-kommissionären Viviane Reding, med ansvar för EUs dataskyddsdirektiv, har vad gäller utformningen av ett förslag till uppdaterat europeiskt dataskyddsdirektiv.

Ur ett direktmarknadsföringsperspektiv innebär den föreslagna lagförändringen stora och, i vissa fall, drastiska skillnader mot dagens situation. Mot bakgrund av dessa skillnader och de konsekvenser de skulle kunna få för dm-branschen är SWEDMA nu i färd med, i såväl egen regi som i samarbete med FEDMA (de europeiska dm-organisationernas paraplyorganisation) att analysera lagförslaget och vidta de åtgärder som krävs för att dm-branschens syn på förslaget ska beaktas i Kommissionens arbete.

Här följer en sammanfattning över de föreslagna förändringarna och vilka effekter de kan komma att få för dig som aktör inom direktmarknadsföringen:

1. Den första förändringen är att lagförslaget blir en förordning i stället för ett direktiv. Detta får till följd att texten i förordningen inte kan ändras eller anpassas till de kulturella aspekterna i varje medlemsstat, utan att förordningen kommer att rakt av att ersätta dagens Personuppgiftslag (PuL).

2. En annan förändring är att samtyckeskraven ändras, då speciellt för dm, genom att det kommer att krävas ett aktivt, informerat och frivilligt samtycke (opt-in) för behandling av personuppgifter. Det betyder att i stället för dagens system, där företagen får behandla personuppgifter så länge personen uppgifterna rör inte tackat nej till behandling, måste marknadsföraren visa att företaget har ett samtycke från varje enskild individ som det tänker sig kontakta. För såväl leverantör som annonsör ställer detta höga krav på att kunna redogöra för när, var och hur ett sådant samtycke inhämtats.

3.Detta innebär i sin tur att avvägningsprincipen försvinner helt. Avvägningsprincipen har gjort det möjligt för oss att i dag behandla data om vi kan peka på att företaget och privatpersonen vinner på att man gör ett mindre intrång i den personliga integriteten genom ett urval eller en selektering.

4. Ett samtycke föreslås kunna återkallas när som helst, och all marknadsföring måste innehålla information om att den registrerade har rätt att återkalla när som helst. Informationstexten måste läggas tydligt på enheten och även innehålla en beskrivning av hur mottagaren ska gå tillväga för att återkalla sitt samtycke. Det åligger leverantören att informationen utformas korrekt, även om det är annonsören som gör dm-utskicket.

5. Det föreslås även ett krav på aktivt samtycke för att få genomföra en selektering, i synnerhet vid bland annat bedömning av kreditvärdighet, tillförlitlighet eller beteende. Totalförbud mot selektering av uppgifter rörande barn. Kraven omintetgör i princip möjligheten att göra urval för såväl leverantör som annonsör och därmed minskar träffsäkerheten och relevansen.

6. Samtyckeskravet i förhållande till Skatteverkets nuvarande inställning till användningen av personuppgifter skulle kunna innebära slutet för användningen av SPAR som källa för information för dm eftersom Skatteverket kommer att vara tvungna att kräva intyg på att företaget inhämtat samtycke från varje enskild individ som ett adressuttag omfattar.

7. För första gången definieras barn som alla personer under 18 år. För att få behandla deras uppgifter krävs ett aktivt samtycke av målsman. Utan det får du inte längre kommunicera med dem över huvud taget.

8. Förslaget inkluderar även en rätt för privatpersoner att bli "bortglömda". Det vill säga ett tvång för ett företag att säkerställa en fullständig radering av samtliga lagrade uppgifter i samtliga förekommande kanaler om en person om denne begär det. Kravet omfattar även de kanaler som informationen kan ha spridits vidare till, till exempel via sociala medier, och de register till vilka du, men individens samtycke, sålt informationen vidare.

9. Det har även lagts till ett krav på att vid inhämtande av samtycke ange hur länge företaget avser spara data. När angivet datum nås ska all data raderas. Det innebär att den som är registeransvarig måste bygga in mekanismer som ser till att man påminns i god tid om att inhämta nytt aktivt samtycke. Inkommer inget sådant samtycke måste all data raderas.

10. Företagens information om PuL måste skrivas på ett lättförståeligt och tydligt sätt så att privatpersonen verkligen förstår vad denne ger sitt samtycke till.

11. Dessutom måste företaget redan vid insamlingen ange till vem eller till vilken sektor som informationen kommer att delas ut. Det betyder att man inte längre kan skriva exempelvis "väl utvalda samarbetspartners" utan dessa måste anges vid namn eller sektor, exempelvis "Vålerängens hälsokost" alternativt "hälsopreparatsbranschen".

12. Den registrerade kommer dessutom att få rätt att ta del av all kommunikation mellan samarbetspartners i syfte att korrigera, stoppa eller radera informationen eller helt enkelt se till att denne "glöms bort" av företagen. Detta kommer att ställa höga krav på hur vi kommunicerar med våra leverantörer och andra samarbetspartners.

13. Vidare kommer en privatperson att få rätten att helt sonika flytta all information som ett företag samlat ihop och byggt upp om denne till ett annat företag. All information ska lämnas ut på ett sätt som möjliggör för mottagaren att använda informationen. Detta kommer att göra det möjligt för dina konkurrenter eller för blufföretag att komma över alla resultat som ditt företag har arbetat fram.

14. Personuppgiftsansvarig kommer att vara tvungen att genomföra en konsekvensanalys av riskerna med behandlingen av personuppgifter. Om det finns risk för att det sker ett intrång i den registrerades personliga integritet ska Datainspektionen informeras och deras råd inväntas innan man får genomföra behandlingen. Ingenstans anges hur lång tid Datainspektionen har på sig för att lämna sådana råd.

15. Företagen måste dokumentera alla steg i processen och vara beredda på att lämna ut denna information till antingen berörd privatperson eller datainspektionen. Det betyder ett långtgående krav på dokumentation och försiktighet i val av information.

16. Alla företag med fler än 250 fast anställda eller vars huvudsakliga näring är behandling av data ska ha ett dataskyddsombud anställt. Dataskyddsombudet ska se till att företaget följer förordningens krav och larma till myndigheterna om företaget inte gör det. Personen ska vara anställd på minst två år, får inte vara i beroende ställning och kan nästan inte alls sparkas.

17. Alla företag som lagrar data måste ha ett skyddssystem av i princip senaste slag. Allt för att förhindra att personer som inte ska ha tillgång till informationen kommer över den. Det betyder högre krav på uppgraderingstakten av företagens system.

18. Skulle ett intrång ske måste Datainspektionen och den registrerade meddelas inom 24 timmar. Meddelandet ska innehålla information om hur intrånget skedde, vilka data inkräktaren kommit över, vilka konsekvenser det kan ha för den registrerade och hur man ska se till att intrång inte sker igen. I princip ställer det krav på jourberedskap dygnet runt.

19. Om ett företag inte följer reglerna i förordningen kommer det att finnas möjligheter för den enskilde att begära skadestånd och för Datainspektionen att döma ut administrativa straffavgifter för företaget. Straffavgifterna kommer att sträcka sig från 100 - 300 000 euro för mindre grova brott till 100 000 - 1 000 000 euro eller 5 procent av företagets globala omsättning för de grövsta. Bland de grövsta brotten återfinns exempelvis selektering utan inhämtande av lagstadgat samtycke.

Arbetet med att säkerställa fortsatta bra möjligheter för företag som levererar respektive köper tjänster inom området fortskrider skyndsamt i såväl Sverige som Europa, och vi kommer att få anledning att återkomma inom kort angående den föreslagna förändringen av EUs dataskyddsdirektiv.

http://swedma.se/2011/12/22/analys-dataskyddsdirektiv/