I raketfart håller EU på att begränsa möjligheterna för marknadsföring. Redan nästa vår kan både ministerrådet och parlamentet ha klubbat regler som skärper reglerna rejält. Det framgick under de synnerligen välbesökta seminarier som Swedmas jurist Axel Tandberg höll i början av september.
– Personlig integritet är den gemensamma nämnaren i det tyska förslag som EU nu bearbetar och gör till sitt eget, säger Axel Tandberg, samtidigt som han påpekar att tyskarna – med sin historiska bakgrund – är mycket skeptiska till de flesta former av datainsamlande.
Framför allt kommer det att bli problem för den som vill sälja en uppgift till tredje man. Detta eftersom det i reglerna antagligen kommer att framgå att man först måste få tillstånd från varje person man vill skicka marknadsföring till. Här hjälper det inte att den mest använda databasen, SPAR, får alla sina uppgifter från staten.
Uttryckligt eller underförstått
I Sverige arbetar vi i dag med underförstått samtyckte. Det innebär att vi kan skicka ett mejl och samtidigt ge möjlighet för den som vill avregistrera sig. I exempelvis Danmark får man redan i dag inte skicka mejl till någon utan uttryckligt samtycke i förväg.
Det förslag som EU arbetar med, kommer att … som i Danmark – kräva uttryckligt samtycke. Och det EU lägger fram är en förordning – inte ett direktiv. Ett direktiv innebär att varje medlemsstat kan anpassa det till de förhållanden som råder i just det landet. En förordning kräver däremot att alla medlemsstater ordagrant antar lagen såsom den är skriven. Och här är, som sagt, en förordning.
Fysiska adresser
Europeiska rådet tycker man även fortsatt ska få sälja fysiska adresser, medan parlamentet är inne på en strängare linje, där inte ens staten får sälja adressuppgifter. När det gäller e-postadresser är dock alla överens om att de bara får användas av den som fått samtycke att använda dem.
Varje gång de används, ska man också dokumentera att man tänkt igenom hur mottagarnas integritet ska skyddas. Så jag måste alltså skriva en lapp och arkivera den varje gång jag gör ett utskick. Där ska jag för mig själv ha beskrivit allt kring just detta utskick.
– Du måste göra risk- och konsekvensbehandling av varje hantering av personuppgifterna, säger Axel Tandberg. Går du för långt i ditt användande av den här personens data? Det här måste dokumenteras, typ: ”Jag behandlade Axels data i dag och gjorde riskbedömning 1B.”
B2B och B2C
En annan knäckfråga gäller om begränsningarna bara ska gälla kontakt med privatpersoner, eller om man inte heller ska få kontakta företag utan samtycke.
Pusselbitarna kring det slutgiltiga förslaget faller på plats i raskt tempo. Här i höst ska ett kapitel vara klart var tionde dag, så att parlamentet kan besluta i månadsskiftet januari/februari. När förordningen väl är spikad, så har varje medlemsland 2 år på sig att införa det. Även Norge och Island måste anta förordningarna, på grund av EES-avtalet.
Ett hål i hela systemet handlar om mejl inom EU. I texterna står det att dessa regler även gäller företag utanför EU som kontaktar medborgare i EU. Där kan man fundera hur EU tänker hålla koll på det. Ska de övervaka all datatrafik in i EU och pricka av om just denna mottagare givit grönt ljus för att just denna avsändare får kontakta dem?
Förbereder sig nu
De stora svenska företagen förbereder sig redan nu. De säkerställer att de vid varje kontakt med en kund frågar om de får använda deras kontaktuppgifter för att meddela sig med dem. I många fall handlar det om att man inte kommer åt support och liknande utan att ge medgivande.
Riktigt bra är det när företag har en ”min sida”, där kunden själv går in och reglerar vilken typ av utskick de godkänner. Eftersom all korrespondens kan kräva ett OK, så ska det bli mycket intressant ifall kunden klickar i att deras adress inte får användas för utskick av fakturor.