Nyt udkast til e-data­beskyttelses­forordningen vil betyde ændringer af dansk praksis

Den 10. januar 2021 var det præcis fire år siden, at EU-Kommissionen fremsatte et forslag til en e-databeskyttelsesforordning. Et forslag, hvor den store uenighed om forordningsteksten blandt EU's medlemsstater nu har medført hele 14 forskellige omskrivninger. I denne nyhed kan du blive klogere på den nyeste version, hvad den lægger op til, og hvilke konsekvenser den kan få for databehandlingen i Danmark.

E-databeskyttelsesforordningen (eller ePrivacy-forordningen) skulle efter planen have trådt i kraft samtidig med databeskyttelsesforordningen den 25. maj 2018. I stedet er e-databeskyttelsesforordningen strandet i Det Europæiske Råd, fordi EU-landene ikke har kunnet nå til enighed om forordningsteksten.
 
Formålet med e-databeskyttelsesforordningen er at opdatere det efterhånden 19 år gamle e-databeskyttelsesdirektiv og at bringe reglerne for kommunikationsudbyderes behandling af personoplysninger i overensstemmelse med GDPR.

 

Den 1. januar 2021 overtog Portugal roret i det roterende formandskab i Det Europæiske Råd for de næste seks måneder. Allerede den 5. januar 2021 offentliggjorde det portugisiske formandskab det 14. udkast til e-databeskyttelsesforordningen, der indeholder væsentlige ændringer. Formålet med ændringerne i det nye udkast er at:

 

  • simplificere teksten 
  • bringe forordningen i bedre overensstemmelse med GDPR 
  • fremhæve, at reglerne i e-databeskyttelsesforordningen trumfer reglerne i GDPR i tilfælde af overlap mellem regelsættene. 

 

De nye ændringer

En af de mest nævneværdige ændringer i forslaget er, at bestemmelser, der relaterer sig til kontraktopfyldelse, bringes i overensstemmelse med GDPR og gøres mindre restriktive, så udbydere lovligt kan behandle elektronisk kommunikationsdata med det formål at "levere en elektronisk kommunikationsservice".
 
Udkastet åbner for, at udbydere kan behandle slutbrugeres personoplysninger, selv om behandlingsaktiviteten ikke er teknisk nødvendig for leveringen af selve transmissionsydelsen. Eksempelvis tillades det, at kontraktopfyldelse kan anvendes som behandlingsgrundlag i forbindelse med fakturering, beregning af samtrafikpriser samt opsporing og standsning af svigagtig brug af kommunikationstjenesterne.
 
Derudover genindsættes en bestemmelse, der tillader, at elektronisk kommunikationsdata kan behandles til et andet formål end det, som det er indsamlet til, hvis formålet er foreneligt med det oprindelige behandlingsformål. 

 

EDPB's forventninger og de danske konsekvenser

Den 4. januar 2021 offentliggjorde Det Europæiske Databeskyttelsesråd (EDPB) en generel udtalelse om dets forventninger og forslag til den kommende e-databeskyttelsesforordning. Udtalelsen forholder sig kun til Det Europæiske Råds løbende diskussioner og altså ikke til det seneste udkast til forordningen.
 
I udtalelsen understreger EDPB blandt andet, at fordi flere af bestemmelserne i den kommende e-databeskyttelsesforordning vedrører behandling af personoplysninger, bør kompetencen til at håndhæve e-databeskyttelsesforordningen tilkomme de nationale databeskyttelsesmyndigheder, der også håndhæver GDPR. 

Dette synspunkt er i overensstemmelse med EU-Kommissionens oprindelige forslag til e-databeskyttelsesforordningen. Hvis EDPB's forslag efterkommes, vil det betyde, at den danske kompetence til at føre tilsyn med kommunikationsudbyderes behandling af personoplysninger skal flyttes fra Erhvervsstyrelsen til Datatilsynet.
 

Hvad så nu?

Uenighederne om e-databeskyttelsesforordningen er fortsat mange, og det er stadig uvist, hvornår en endelig version vil blive vedtaget. 

Om uenighederne kan løses under det portugisiske formandskab, vil tiden vise. Vi følger forhandlingerne tæt og holder dig opdateret, så snart der er nyt. 

 

Læs det seneste udkast til e-databeskyttelsesforordningen.