Kopi af ERU alm. del - bilag 187, henvendelse af 14/5-18 fra Forbrugerrådet Tænk, vedrørende EU’s forslag om ny e-Privacyforordning

Fiolstræde 17 B, Postboks 2188, 1017 København K
taenk.dk · fbr@fbr.dk · +45 7741 7741
CVR: 6387 0528
Forbrugerrådet Tænk ønsker med dette brev at gøre opmærksom på vores syn på forslaget til
en ny e-Privacyforordning1.
Som bekendt er problemstillingen, at forbrugerne i dag må acceptere, at alle former for
tracking-cookies og andre sporing-teknologier kan blive placeret på deres computer og
mobiltelefon, når hjemmesider og apps benyttes. Sporingen betyder i praksis, at den enkeltes
onlineadfærd automatisk registreres og deles i et stort netværk af annoncefirmaer, som
opbygger profiler og videresælger data. Dertil kommer risikoen for misbrug af data, som øges
i takt med den vidtgående indsamling på tværs af nettet, forskellige platforme og devices.
For forbrugerne har det den konsekvens, at vi mister kontrollen over vores online-profil og
de oplysninger, der bliver delt om os. Vi ved ikke, hvor oplysningerne havner, hvordan de
bliver brugt på sigt eller i hvilket omfang registreringen får betydning for de frie valg, vi
gerne vil kunne tage på nettet. Dette gælder både i forhold til køb af varer, bestilling af
tjenester, den pris vi ender med at skulle betale eller det afslag vi evt. får på et lån eller en
forsikring.
Vi mener ikke, at de regler, vi har i dag, hvor forbrugere via pop-up bannere på hjemmesider
eller vilkår i øvrigt, alene orienteres om cookies mv., giver en tilstrækkelig beskyttelse imod
videregivelse af deres online færden. Ønsker den enkelte ikke at blive tracket, må
vedkommende således selv installere programmer, som blokerer for cookies eller slette dem
via browsere. Dette forebygger dog kun en vis del, idet ikke alle typer tracking-teknologier
kan blokeres af brugeren selv.
Den digitale udvikling har givet forbrugerne en masse fordele, men den har også skabt
betydelige udfordringer for beskyttelsen af vores privatliv, fordi det er blevet standarden i
mange it-systemer at indsamle data automatisk uden skelen til forbrugernes ønsker eller
risikoen for misbrug.
Facebook/Cambridge Analytica-skandalen viser med al tydelighed, at der er et presserende
behov for at få opdateret e-Privacy-reglerne på en måde, der i langt højere grad end i dag,
sætter forbrugernes ret til privatliv i fokus.
Vi finder på linje med de øvrige forbrugerorganisationer i Europa, at det derfor er
nødvendigt med et nyt opdateret regelsæt, som beskytter forbrugernes grundlæggende
rettigheder og sikrer en høj grad af datasikkerhed. Vi mener også, at bedre regler er
nødvendige for, at forbrugerne får mere gavn af den digitale økonomi og bevarer tilliden til
digitale tjeneste og produkter, hvilket er en forudsætning for innovation og vækst. Desværre
oplever vi ofte, at databeskyttelse spilles ud imod innovation og vækst, hvilket, vi mener, er
misforstået.
Erhvervsstyrelsen
Sendt pr. e-mail til jeplja@erst.dk m.fl.
Att.: Kontorchef Jette Plenge Jakobsen
Cc Erhvervs-, Vækst- og Eksportudvalget og de danske medlemmer af Europaparlamentet
07-05-2018
Dok. 175425/ah
Forbrugerrådet Tænks holdning til EU’s forslag om ny e-Privacyforordning.
Europaudvalget 2017
KOM (2017) 0010 Bilag 3
Offentligt
2
e-Privacy-forordningen skal flugte databeskyttelsesforordningens formål om
øget kontrol med data og it-sikkerhed
Reglerne for e-Privacy beskytter specifikt fortroligheden i online kommunikation og i
forbrugerudstyr som fx smartphones og computere, således at risikoen for hacking
minimeres. Reglerne er desuden forbrugernes garanti for, at deres aktiviteter på nettet ikke
overvåges uden deres samtykke.
Derfor opfordrer vi politikere til at støtte følgende krav, som skal sikre, at e-
Privacybeskyttelsen sikrer forbrugerne effektivt:
1) ”Supplerende” kommunikationstjenester skal omfattes af
kommunikationsfortroligheden
”Supplerende” kommunikationstjenester skal omfattes af definitionen af ”digitale
kommunikationstjenester” og forblive indenfor forordningens dækningsområde.
Oplysninger der udveksles på chatsider, såsom Tinder eller AirBnB, kan afsløre meget
følsomme og personlige data og skal derfor omfattes af den samme beskyttelse som
informationer udvekslet via beskedtjenester såsom WhatsApp eller Facebook Messenger.
2) Forordningen skal omfatte al slags elektronisk kommunikation, herunder
også indhold og metadata.
Al digital kommunikation skal være fortrolig. Det er et af de centrale elementer i e-
Privacyforordningen og en af hovedårsagerne til, at forordningen er nødvendig. Der er ingen
anden særlig EU-lovgivning, der specifikt indfører princippet om fortrolighed i digital
kommunikation i tråd med artikel 7 i EU's charter om grundlæggende rettigheder. Artikel 5 i
e-Privacyforordningen skal således forbyde enhver anden end slutbrugerens indblanding i
digital kommunikation og skal sikre, at fortroligheden omkring digital kommunikation også
gælder for data, der er forbundet med eller behandles via digitalt udstyr og
internetforbundne (IoT) tjenester.
Kommunikationsdata skal både beskyttes mens de behandles, men også når behandlingen er
gennemført. Ifølge forordningens artikel 6, som omhandler lovlig behandling af
kommunikationsdata skal der være samtykke fra forbrugeren før kommunikationsmetadata
eller indholdsdata behandles til andre formål. Dvs. også hvis oplysningerne bruges til nye
formål udover selve dataforsendelsen eller af tekniske årsager såsom netværkssikkerhed,
fakturering eller for at indfri påbudte servicekvalitetskrav.
3) Databehandling ud fra ”legitime interesser” eller viderebehandling ”til nye
uforenelige formål” bør ikke være tilladt.
Hvis man tillader databehandling ud fra ”legitime interesser”, vil det udgøre en alvorlig
svaghed i beskyttelsen af kommunikationsfortroligheden og direkte modarbejde selve
formålet med ePrivacyforordningen. Det vil sænke beskyttelsen væsentligt under det
nuværende niveau, hvilket vil være uacceptabelt for forbrugerne. Af samme grund skal det
heller ikke være tilladt at viderebehandle kommunikationsdata til nye uforenelige formål.
4) Undtagelsen for at behandle kommunikationsdata uden samtykke skal være
så begrænset som muligt.
Når en slutbruger benytter en digital tjeneste og samtykker til databehandling i tråd med det
oplyste formål, må det ikke være en betingelse for brugen, at kunden samtidigt giver
samtykke til behandling af data, der ikke er nødvendige for at benytte tjenesten. Dette er i
tråd med minimerings- og nødvendighedsprincippet i databeskyttelsesforordningen.
5) Det er essentielt at beskytte imod uønsket adgang til terminaludstyr som fx
computere og hjemmesider. Det skal således ikke være muligt at overvåge
forbrugere uden deres samtykke.
Brugernes digitale udstyr skal beskyttes effektivt imod uønsket adgang. Undersøgelser
3
foretaget af Eurobarometer viser tydeligt, at det er vigtigt for størstedelen af alle forbrugere,
at ingen kan få adgang til deres udstyr uden deres tilladelse og at deres onlineadfærd ikke
overvåges uden samtykke2.
Som nævnt indledningsvist kan digital sporing og firmaers overvågning af internettet kan
have negative konsekvenser for forbrugerne i dag. Der findes omfattende sporings- og
profilteknikker, der kan (mis)bruges til at diskriminere kunder fx på pris og udbud og
påvirke deres handlinger på en uønsket måde.
6) Et af forordningens hovedformål bør være at beskytte mod moderne
sporingsteknikker på forbrugernes udstyr.
Ligesom i artikel 6, så skal de tilfælde, hvor samtykke er unødvendigt ifølge artikel 8, forblive
meget snævert defineret, så undtagelsen kun bruges, når det er strengt teknisk nødvendigt,
eller når der ikke er risiko for krænkelse af privatlivets fred (fx ikke-sporende cookies). Det
må ikke være muligt at skaffe sig adgang til dataudstyr uden brugersamtykke med
begrundelsen ”legitime interesser” eller bredt definerede formål såsom at ”forbedre
brugeroplevelsen”.
Vi foreslår, at det udtrykkeligt fremgår af artikel 8, at ingen bruger skal nægtes adgang til en
digital tjeneste eller funktionalitet fx en hjemmeside, en app eller et IoT-prodkt, fordi
brugeren ikke ønsker at give samtykke til behandling af personlige oplysninger eller til brug
af dataudstyret, som ikke er nødvendig for den pågældende tjenestes funktionalitet.
7) ”Tracking walls” skal ikke være lovlige
Forbrugere må ikke overvåges uden samtykke og de må ikke forbydes adgang til en service,
fordi de ikke vil acceptere at blive sporet til formål, som ikke er strengt nødvendige for at
tilbyde tjenesten. Derfor foreslår vi et forbud mod de såkaldte trackingwalls.
Dette forhindrer ikke tjenesteydelsers reklamefinansiering - af følgende årsager:
 Reklame behøver ikke at invadere forbrugerens privatliv. Der findes former for
netreklamer ud over adfærdsmålretning, som ikke kræver konstant brugersporing
tværs over nettet, som for eksempel kontekstuel reklame, der baserer sig på tidligere
interageren med virksomheder.
 Forordningen forhindrer ikke, at de der vil udbyde adfærdsbestemt reklame kan gøre
det ved at efterspørge og opnå brugernes samtykke til det bestemte formål.
 Valget mellem ”den reklamefinansierede model versus abonnementsmodellen”
udgør ikke to modsætninger. Der eksisterer valgmuligheder mellem forskellige
reklamemodeller. Forordningen bør forsøge at skabe grobund for privatlivsvenlige
reklame- forretningsmodeller og undgå, at privatliv bliver en luksus kun for dem, der
har råd til det.
Vi ved, hvor vigtig reklame er for at finansiere internetplatforme og netindhold. Vi finder det
alligevel meget beklageligt, at den førende, reklamebaserede forretningsmodel er blevet
udviklet på bekostning af forbrugernes privatliv. Det skyldes, at modellen er baseret på, at en
omfattende antal af brancher såsom reklamefolk, medier, forlag, reklamenetværk og
dataforhandlere/databrockere konstant overvåger og måler ”pengeværdien” af hver eneste
handling som forbrugeren foretager på nettet.
Undersøgelser fra Eurobarometer viser, at hovedparten af forbrugerne finder det
uacceptabelt, at deres netaktiviteter overvåges, som ”prisen” for ubegrænset adgang til en
given hjemmeside3. Selv reklameindustriens egne tal viser, at forbrugerne ikke er tilfredse
med, hvordan den mest udbredte netreklameforretningsmodel er skruet sammen4.
4
8) Reglerne bør sikre, at hard- og softwareopsætninger – som standard – skal
sikre højst mulige niveau af privatlivsbeskyttelse (Privacy by design)
Artikel 10 bør indeholde en forpligtelse for tjenesteudbydere og hardwareproducenter til at
levere fabriksindstillingerne med ”bedst mulig privatlivsbeskyttelse”, således at udstyr og
software fra starten er konfigureret, så man sikres det højeste beskyttelsesniveau af sine
personlige oplysninger. En sådan forpligtelse harmonerer endvidere med principperne i
databeskyttelsesforordningen om indbygget databeskyttelse og databeskyttelse i
standardindstillingerne. Eurobarometers analyse viser bred opbakning fra forbrugerne til
denne regel5.
9) Aktivt tilvalg skal fortsat være den gældende regel for alle typer af
uopfordret, kommerciel kommunikation.
Artikel 16.1 skal fastholde forhåndssamtykke fra forbrugere som et generelt krav, før der kan
målrettes direkte markedsføring, uanset hvilken type kommunikation, der er tale om.
Ligeledes skal situationen omfattet artikel 16.2 om, at sælger efter produktsalg eller –service
kan bruge kundens kontaktdata til at tilbyde yderligere produkter eller service, forblive
begrænset til e-mailkorrespondance om sælgers egne, lignende produkter eller service.
10) Forbrugere skal have ret til at lade sig repræsentere af non-profit
forbrugerorganisationer til at indgive klager og gå rettens vej på deres vegne.
Reglerne bør omfatte særlige bestemmelser for, at non-profit organisationer kan
repræsentere forbrugerne og sikre disse organisationers muligheder for at handle i
offentlighedens interesse jf. artikel 80 i databeskyttelsesforordningen.
Vi opfordrer Erhvervsstyrelsen, Erhvervsudvalget samt medlemmerne af Europaudvalget til
at arbejde for at ovennævnte krav indgår i e-Privacy forordningen, således at det nye regelsæt
matcher indhold og formål med databeskyttelsesforordningen.
I er velkommen til at kontakte os for uddybning eller andet.
Med venlig hilsen
Mette Raun Fjordside Anette Høyrup
Afdelingschef Seniorjurist
……………………………………………………………………………..
Noter:
1. Proposal for a Regulation on Privacy and Electronic Communications,
2017/0003(COD) -
http://www.europarl.europa.eu/RegData/docs_autres_institutions/commission_eu
ropeenne/com/2017/0010/COM_COM(2017)0010_EN.pdf
2. Eurobarometer om e-Privacy (December 2016): 9 ud af 10 respondenter svarer, at
det er vigtigt, at informationen på deres computere kun kan tilgås med deres
samtykke.
3. Eurobarometer om e-Privatliv: 74% af respondenterne synes, det er uacceptabelt at
skulle betale for at slippe for overvågning ved brugen af en hjemmeside. 64% synes,
5
det er uacceptabelt at deres netaktiviteter bliver overvåget til gengæld for
ubegrænset adgang til en bestemt hjemmeside.
4. Se grafen på side 7 – ”Europe Online: An experience Driven by Advertising”. Kun
20% af respondenterne er tilfredse med, at deres data bliver delt med tredjepart til
brug for reklamer, og 50% kan ikke lide, at deres browserhistorik bliver anvendt til
målrettede reklamer.
5. Eurobarometer om e-Privacy: 89% af respondenterne er enige i, at deres browsers
fabriksindstilling bør forhindre informationsdeling.