EU-kommisjonens fremmet i 2017 et forslag til nye regler for personvern og elektronisk kommunikasjon (e-privacy regulation). Dette er en oppdatering av dagens regler for kommunikasjonsvern og erstatter dagens kommunikasjonsverndirektiv fra 2002.
Regelendringen er nødvendig for å møte kravene i de nye personvernreglene (GDPR) som gjelder fra mai 2018. Mye tyder på at dette er regler som vil bli vedtatt i løpet av 2019. Så foreløpig er det kun et forslag vi forholder oss til og vi venter ennå på endelig tekst. Så vidt vi vet jobbes det fortsatt med å «spikke» på den endelige teksten.
Målet med revisjonen er å sikre en effektiv og god beskyttelse av konfidensialitet for elektronisk kommunikasjon, og å oppdatere reglene i tråd med den markedsmessige og teknologiske utviklinga.
Dette personvernreglementet vil i fremtiden også gjelde for nye aktører som tilbyr elektroniske kommunikasjonstjenester som WhatsApp, Facebook Messenger og Skype. Dermed må disse populære tjenestene garantere det samme nivå for konfidensialitet for kommunikasjonen som leverandører av tradisjonelle teletjenester.
For bruk av e-post, SMS og telefon vil i all hovedsak regelverket som gjelder i dag føres videre. Men, det er foreslått å utvide selve virkeområdet til også å omfatte frivillige organisasjoner når det gjelder henvendelser via e-post og SMS. Dette kan følgelig få betydning for hvordan frivillige organisasjoner kan kommunisere med sine støttespillere.
Hva sier dagens regler?
Markedsføring av kommersielle produkter og tjenester gjennom e-post og sms krever at det er innhentet samtykke fra den enkelte kunde som defineres som en fysisk person. Det kan for eksempel være therese.fevang@datafactory.no, mens adressen post@datafacotry.no ikke defineres som en fysisk person og det kreves ikke samtykke for å kommunisere med disse via e-post.
Dersom det er etablert et eksisterende giverforhold kreves det imidlertid ikke et samtykke i forkant for å kommunisere via e-post. Dette forutsetter i så fall at vedkommende har oppgitt e-postadressen ved etableringen av kundeforholdet og at det er gitt informasjon om at det vil bli sendt markedsføringshenvendelser via denne kanalen.
I dag – er det imidlertid ikke krav om samtykke for innsamling og informasjonsformidling. Krav om samtykke for henvendelser via sms og e-post gjelder for markedsføringshenvendelser og henvendelser for innsamling og annen informasjon er ikke definert som markedsføringshenvendelser og derfor gjelder heller ikke kravet om samtykke for disse type henvendelser.
Innsamlingsrådet har imidlertid gitt følgende føringer som de anbefaler at frivillige organisasjoner forholder seg til i sin bransjenorm:
Hva tror vi kommer med ny e-privacy forordning ang elektronisk kommunikasjon?
Reglene om samtykke for elektroniske markedsføringshenvendelser til personer som ikke er eksisterende kunder videreføres.
Men – det nye regelverket foreslår nå å endre regelverket ved å definere «direkte markedsføring» bredere enn det som i dag følger av markedsføringsloven. Det følger av punkt 32 i fortalen til e-privacy forordningen at også meddelelser fra politiske partier og meddelelser fra «nonprofitorganisasjoner» for å hente støtte til organisasjonenes formål også skal omfattes av regelverket.
Dette innebærer derfor at det kan se ut som at gjeldende unntak fra regelverket som frivillige organisasjoner har hatt for henvendelser som gjelder ren innsamling eller informasjon også vil kreve et forutgående samtykke for å kunne sende ut.
Det er imidlertid verdt å merke seg at unntaket fra kravet til samtykke for kommunikasjon med «eksisterende kunder» vil videreføres. Hva som defineres som «eksisterende kundeforhold» har Innsamlingsrådet nærmere definert i sin bransjenorm.
Hva er så å definere som en «eksisterende kunde» i relasjon til innsamling?
Her videreføres de reglene som i dag er regulert i markedsføringsloven og av Forbrukertilsynet. Innsamlingsrådet har laget en veiledning i forhold til hva som kan være å anse som et «eksisterende kundeforhold» for innsamlingsvirksomhet i sin bransjenorm.
Nedenfor finnes noen eksempler som gir en veiledning om hva som kan anses som eksisterende kunde- eller giverforhold:
– Medlemskap (ordinært, familie- og støttemedlem)
– Fast giverforhold, fadderordning, loddabonnement eller annen forhåndsavtalt økonomisk støtte
– Aktiv frivillig deltagelse gjennom tillitsverv, medlem av organisasjonens råd og utvalg, kursdeltagelse eller annen frivillig innsats av en viss varighet og omfang siste 3 år
– Gitt enkeltbidrag og/eller kjøpt produkter, lodd eller lignende der forbrukeren i tillegg har ytret ønske om å bli kontaktet igjen eller på annen måte gitt til kjenne en forventning om å ha en relasjon til organisasjonen.
– Den registrerte har anmodet – muntlig eller skriftlig – om å motta informasjon, bli kontaktet på nytt eller stå i organisasjonens register
– Giveren har gitt ett eller flere enkeltbidrag de tre siste år.
– Abonnement på blader/aviser/publikasjoner – uavhengig om dette skjer mot vederlag. Å motta henvendelser er dermed en del av den avtalen den registrerte inngår når støtten gis, og hjemmelen for å behandle personopplysningene er personvernforordningens artikkel 6, punkt 1b). Det skal i så fall informeres om denne ytelsen på forhånd (jf. kapittel 7.3) og det bør gis informasjon gjennom publikasjonen om organisasjonens behandling av personopplysninger og hvor man henvender seg for å bli slettet.
Det har tidligere vært vanskelig å avgjøre om det foreligger et eksisterende giverforhold eller ikke når en giver gir sporadiske bidrag – ofte med to-tre års mellomrom – uten å ønske å inngå en avtale. I sin innstilling til endringer i markedsføringsloven (Prop. 43 L 2016-2017) er Stortingets familie- og kulturkomité tydelige i sin uttalelse om at de ønsker en utvidelse av definisjonen sammenlignet med tidligere: «Det er komiteens oppfatning at tolkning av begrepet eksisterende giverforhold må kunne utvides til å gjelde sporadiske bidrag gitt innenfor en tre-års periode …».
Fra 1.1. 2018 lyder markedsføringslovens § 12 siste ledd slik: «For frivillige organisasjoner skal et eksisterende giverforhold også anses å foreligge dersom giveren etter første bidrag har samtykket til eller bedt om å bli kontaktet ved en senere anledning, eller giveren innenfor en treårsperiode har ytet sporadiske bidrag.»
Noen ganger kan det være vanskelig å avgjøre om en relasjon er et eksisterende kunde- eller giverforhold fordi organisasjonene er ulike når det gjelder egenart, aktivitetsnivå og metode for kontakt med de registrerte. Derfor må hver organisasjon utarbeide en skriftlig, begrunnet redegjørelse for hvordan begrepet eksisterende kunde- eller giverforhold er definert i forhold til ulike grupper registrerte i sin organisasjon. Denne redegjørelsen må være i samsvar med minstekravene som følger av punktene ovenfor.
En god, generell veiledning er å legge til grunn den registrertes forventning om å ha en relasjon og videre kontakt med organisasjonen. I vurderingen må det legges vekt på det formål og den egenart organisasjonen har og ut fra dette hvor hyppig det er naturlig å forutsette at den registrerte selv tar kontakt med organisasjonen.
Bruk av cookies (informasjonskapsler)
Dagens regler for bruk av cookies eller informasjonskapsler er også regulert i e-privacy regelverket. Dagens regler har til dels medført en overdreven bruk av spørsmål om samtykke fra internettbrukere for nettsiders bruk av informasjonskapsler. Dette er et ønske om å forenkle.
De foreslåtte nye reglene har til hensikt å bli mer brukervennlige ved at nettleserinnstillinger gir brukerne mulighet til å akseptere eller avvise sporings-cookies og andre identifiserende løsninger. Forslaget presiserer også at det ikke er nødvendig med samtykke for å bruke informasjonskapsler som ikke berører brukerens personvern, men for eksempel skal bedre brukeropplevelsen (for eksempel det å huske handlekurvhistorie) eller informasjonskapsler som brukes for å telle antall besøkende.
Dersom informasjonskapslene innsamler personopplysninger (opplysninger som direkte eller indirekte kan identifisere enkeltpersoner) vil imidlertid reglene i GDPR regulere dette.
Hvordan kan og bør du som organisasjon forholde deg til dette?
Det er viktig å huske på at endelige regler pr i dag ennå ikke er vedtatt i EU. Det foregår en diskusjon om hvordan de ulike bestemmelsene skal utformes og det er mange aktører som er på banen for å sikre gode regler. Det var først varslet at disse bestemmelsene skulle være klare til GDPR trådte i kraft i mai 2018, det skjedde imidlertid ikke. Det antas nå at de nye reglene vil være klare ila 2019.
Vi vet derfor ennå ikke helt hva som vil bli de endelige bestemmelsene.
For å være helt på den sikre siden kan det selvfølgelig innhentes samtykke så mye som mulig for å kunne sende e-post, sms eller annen elektronisk kommunikasjon med støttespillere. Uansett er det lurt å se nærmere på hva som pr i dag er grunnlaget og vurdere dette opp mot dagens og eventuelt nytt regelverk.
Så er det bare å følge med å se når de nye reglene kommer og hva som til slutt vil følge av disse bestemmelsene.
Av Therese Fevang, advokat i Data Factory og Netlife Dialog,