ePrivacy: Nyeste udspil udvander regler om metadata og cookies
Ja til cookie-mure, ingen krav om blokering af tracking i browseren, og mulighed for at teleselskaber og OTT-tjenester kan udnytte metadata til uspecificerede formål.
Sådan lyder et udkast til den forsinkede ePrivacy-forordning, som det nye østrigske formandskab for EU præsenterede i midten af juli.
Forslagene ligger både ekstremt langt fra Europa-Parlamentets standpunkt og ville også rulle privatlivsbeskyttelsen tilbage i forhold til Europa-Kommissionens oprindelige forslag til forordningen.
»Formandskabets forslag er fuldstændig uacceptabelt. Deres mål synes at være ikke at forholde sig til kommissionens forslag og at boykotte denne vigtige lov. Kort sagt så vil formandskabet sælge borgernes rettigheder og demokrati for profit,« udtalte parlamentets chefforhandler Birgitte Sippel i forbindelse med udkastet.
Dermed trækker det op til flere hårde forhandlinger om den massivt forsinkede ePrivacy-forordning, der blandt andet på cookie-området skal supplere og specificere den generelle Databeskyttelsesforordning, der trådte i kraft d. 25. maj i år.
Manglende vished om tracking-mure
Oprindeligt skulle ePrivacy-forordningen være trådt i kraft samme tid som GDPR, men den ser kun ud til at blive forsinket yderligere. I dette halvår bliver det ikke til mere end en fremskridtsrapport i december, har det nye østrigske formandskab allerede meldt ud.
Herefter tager det rumænske formandskab over, hvorefter valg til EU-Parlamentet næste forår formentlig udskyder processen yderligere.
E-privacyforordningen – eller E-databeskyttelsesforordningen – skal ikke forveksles med EU’s generelle databeskyttelsesforordning – GDPR – der trådte i kraft tilbage i maj. Den lange titel er: Forordning vedrørende respekt for privatlivets fred og beskyttelse af persondata ved elektronisk kommunikation. E-privacyforordningen skulle egentlig have været klar til implementering samtidig med GDPR. Det bliver dog alligevel ikke tilfældet, og det er nu uklart, hvornår forordningen træder i kraft. E-privacyforordningen erstatter det eksisterende direktiv af samme navn, og dermed også det udskældte cookie-direktiv. I forslaget til forordningen er der desuden lagt op til, at tilsynsansvaret med loven flyttes fra blandt andet Erhvervsstyrelsen til Datatilsynet. Som noget nyt kræver E-privacyforordningen, at såkaldte Over-The-Top-tjenester – som Messenger, Skype og WhatsApp – lever op til samme krav til fortrolighed og behandling af data, som teleselskaber gør i dag. De områder, som ikke er nærmere beskrevet i e-privacyforordningen, vil reglerne fra GDPR dække.Forordningsforvirring
Med ePrivacy-forordningens forsinkelse hersker der endnu uvished om, hvor rammerne for virksomheders digitale færden i Europa under GDPR ender med at blive sat.
Blandt andet er lovligheden af såkaldte tracking-mure, hvor adgangen til hjemmesider betinges med accept af overvågningscookies, endnu ikke afgjort.
Siden GDPR trådte i kraft, er versioner af sådanne 'mure' blevet brugt hyppigt, fordi databeskyttelsesforordningen kræver samtykke til behandling af persondata.
Om murene er lovlige, er dog et spørgsmål om fortolkning, inden enten domstole eller ePrivacy-forordningen afklarer situationen.
I marts foreslog det bulgarske formandskab at afklare den ved at tillade dem som udgangspunkt. Det østrigske formandskab har siden tilføjet, at murene især er gyldige, hvis brugere også har mulighed for at betale med penge i stedet for persondata.
Det strider dog fuldstændig mod EU’s principper for beskyttelse af persondata, mener Jesper Lund, der er formand for IT-Politisk Forening.
»Den usikkerhed, der er nu, over, hvorvidt man kan afpresse et samtykke til overvågningscookies, den vil formandskabet afklare ved at gøre personoplysninger til en vare, som man kan handle med. Det mener vi er kritisabelt,« siger han.
Østrigsk formandskab vil stryge helt afsnit om 'privacy by design'
Mest kontroversielt i det nye udkast er to andre forslag. Det ene går ud på helt at stryge den centrale 'artikel 10', som omhandler 'privacy by design'.
Artikel 10 har vakt meget modstand, da den kræver, at nyinstalleret software giver brugere mulighed for at nægte, at softwaren lader andre end slutbrugeren lægge eller læse data på enheden.
I dag bliver eksempelvis overvågningscookies hyppigt lagt og læst gennem browsere, så annoncer kan målrettes på hjemmesider. Bestemmelsen vil dermed kunne få enorme konsekvenser for de mange virksomheder, der lever af online-annoncering.
Især parlamentets forslag, hvor afvisningen af cookies skal være standardindstillingen i softwaren, kan få vidtgående betydning. De potentielle konsekvenser bekymrer, skriver det østrigske formandskab i deres udkast.
»Artikel 10 har vakt en del bekymring inklusiv med hensyn til byrden for browsere og apps, konkurrenceaspektet, forbindelsen til bøder for ikke-compliance, men også virkningen for brugerne og hvordan bestemmelsen evner at imødegå fx. samtykke-træthed, dermed er der tvivl om den tilføjede værdi.«
Jesper Lund mener, at argumentet om ‘samtykke-træthed’ er misvisende. Han tror nemlig, at forslagene kun vil skabe flere cookie-pop-ups og dermed irritation blandt europæiske borgere.
»Konsekvensen af de østrigske forslag vil være, at vi vil komme til at se endnu flere cookie-pop-ups, hvor vi ikke har andre muligheder, end at klikke, ‘acceptér’. Dermed vil borgerne i europa blive mere og mere irriterede over lovgivningen, da de kommer til at blive stillet over for valg, som ikke er reelle,« siger Jesper Lund.
Udnyttelse af metadata
Det mest vidtgående og radikale af de nye forslag vedrører dog ikke cookies, mener Jesper Lund. Det østrigske formandskab foreslår nemlig også en tilføjelse, der giver virksomheder mulighed for at indsamle og behandle metadata fra elektronisk kommunikation til uspecificerede formål uden samtykke fra kunderne.
En helt central anledning til den nye ePrivacy-lovgivning var, at de nye såkaldte OTT-tjenester (Facebook Messenger, Skype, WhatsApp) ligger uden for det regelsæt, der gælder for teleselskaber.
Dermed har OTT-tjenesterne modsat teleselskaberne i dag mulighed for at udnytte den metadata, der genereres ved brug af tjenesterne (for eksempel lokationsdata) til en lang række formål.
Både kommissionens og parlamentets forslag til forordningen ville indskrænke OTT-tjenesternes muligheder gevaldigt. Ministerrådets seneste udkast vil derimod skabe lige konkurrence på komplet modsat vis, mener Jesper Lund.
»Det er virkelig at give teleselskaberne samme muligheder, som Facebook og Skype har i dag til at bruge de metadata, der bliver genereret, når man benytter tjenesten. Det er ekstremt vidtgående,« siger han.
De europæiske teleselskaber tager derimod positivt imod forslaget, som vil lovliggøre uspecificeret behandling af metadata, så længe en række betingelser overholdes, og hensyn tages.
»I et hurtigt udviklende digitalt marked er det umuligt at forudse, hvordan kundepræferencer, teknologi og forretningsmodeller vil udvikle sig i de kommende år. Af denne grund har vi konsekvent advaret mod en kortsigtet liste af undtagelser til et overordnet forbud mod behandling af metadata udelukkende baseret på nutidens sager og behov,« udtalte teleselskabernes europæiske forening, ETNO.
Seneste møde, hvor udkastet blev diskuteret, fandt sted den 17. juli, men da disse foregår bag lukkede døre, er det ikke let at sige, hvor de enkelte medlemsstater i Ministerrådet står i forhold til forslaget. Dog kunne den radikale karakter af formandskabets forslag tyde på, at næste version bliver mindre ekstrem.
»Offentligheden får ikke andet end de løbende udkast, medmindre medlemslandene selv vælger at udtale sig. Så det er ikke til at sige, hvor resten af landene står. Det kan dog godt være, at det her udspil fra det østrigske formandskab er den radikale udgave, og at man så i næste version vil se en delvis tilbagetrækning,« siger Jesper Lund.
