ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 11601/SV WP 90 Yttrande 5/2004 om icke begärd kommunikation i marknadsföringssyfte enligt artikel 13 i direktiv 2002/58/EG Antaget den 27 februari 2004 Denna arbetsgrupp är inrättad enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ för uppgiftsskydd och integritetsskydd. Arbetsuppgifterna finns beskrivna i artikel 30 i direktiv 95/46/EG och i artikel 14 i direktiv 97/66/EG. Sekretariatet tillhandahålls av direktorat E (Tjänster, Upphovsrätt, Industriellt Äganderätt och uppgiftsskydd) inom Europeiska kommissionens generaldirektorat för inre marknaden, B-1049 Bryssel Belgien Kontor: C100-6/136. Webbadress:

2 ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER som inrättades genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober HAR ANTAGIT DETTA YTTRANDE med beaktande av artiklarna 29, 30.1 a och 30.3 i det direktivet, och med beaktande av sin arbetsordning, särskilt artiklarna 12 och 14 i denna. Yttrande 5/2004 om icke begärd kommunikation i marknadsföringssyfte enligt artikel 13 i direktiv 2002/58/EG 1. INLEDNING Direktiv 2002/58/EG om integritet och elektronisk kommunikation har särskilt harmoniserat villkoren för användning av elektronisk kommunikation (t.ex. e-post, SMS, fax och telefon) i marknadsföringen 1. Det här dokumentet behandlar särskilt dessa villkor, men arbetsgruppen konstaterar att även andra bestämmelser i direktivet kan kräva uppmärksamhet i framtiden. Genom artikel 13 i direktiv 2002/58/EG, som bygger på de regler om samtycke (opt-in) som finns i vissa medlemsstater, införs ett harmoniserat system för direkt marknadsföring på elektronisk väg till fysiska personer. Trots denna harmonisering är den allmänna uppfattningen att vissa begrepp som används i artikel 13 i direktiv 2002/58/EG om icke begärd kommunikation verkar tolkas på olika sätt. I enlighet med artikel 15.3 i direktiv 2002/58/EG tillsammans med artikel 30 i direktiv 95/46/EG har arbetsgruppen undersökt dessa begrepp närmare och antagit detta yttrande för att bidra till en enhetlig tillämpning av nationella åtgärder enligt direktiv 2002/58/EG. Observera att kommunikation för direkt marknadsföring har behandlats i tidigare dokument från arbetsgruppen Direktivet skall vara införlivat senast den 31 oktober Se exempelvis yttrande 7/2000 om Europeiska kommissionens förslag till Europaparlamentets och rådets direktiv om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation av den 12 juli 2000 och rekommendation 2/2001 om vissa minimikrav för insamling av personuppgifter på Internet inom Europeiska unionen. 2

3 2. ÖVERSIKT AV FRÅGOR SOM TAS UPP I DETTA YTTRANDE Regeln om samtycke kräver att abonnenterna samtycker innan uppringningsautomat, fax eller elektronisk post, inklusive SMS, får användas för direkt marknadsföring. Det finns ett undantag för kommunikation som på vissa villkor (se nedan) skickas till befintliga kunder. För marknadsföring via telefonsamtal över (fast och mobil) rösttelefoni som inte går via automatisk uppringningsutrustning får medlemsstaterna välja mellan ett samtyckes- och ett avböjandesystem 3. Dessutom får den avsändare för vars räkning meddelandet skickas inte dölja eller hemlighålla sin identitet. Det måste också finnas en giltig adress till vilken mottagaren kan skicka en begäran om att sådana meddelanden upphör. 4 Arbetsgruppen hade beslutat lämna ett yttrande om följande detaljer i detta nya system: begreppet elektronisk post, begreppet samtycke i förväg från abonnenter, begreppet direkt marknadsföring, undantag från regeln om samtycke, och systemet för kommunikation till juridiska personer. 3. BEHANDLADE FRÅGOR 3.1. Begreppet elektronisk post Begreppen telefaxapparater (fax) och automatiska uppringningssystem utan mänsklig betjäning (automatisk uppringningsutrustning) finns i direktiv 97/66/EG, föregångaren till direktiv 2002/58/EG, men begreppet elektronisk post är nytt och skall behandlas särskilt. Elektronisk post definieras på följande sätt (se artikel 2 h i direktiv 2002/58/EG): ett meddelande i form av text, röst, ljud eller bild som sänds via ett allmänt kommunikationsnät och som kan lagras i nätet eller i mottagarens terminalutrustning tills mottagaren hämtar det. Kort sagt omfattar begreppet elektronisk post varje meddelande som sänds på elektronisk väg och där avsändaren och mottagaren inte behöver medverka samtidigt. 3 Artikel 13.3: 3. Medlemsstaterna skall vidta lämpliga åtgärder för att säkerställa att, kostnadsfritt, icke begärd kommunikation för direkt marknadsföring, som sker i andra fall än de som anges i punkterna 1 och 2, inte tillåts utan den berörda abonnentens samtycke eller till abonnenter som inte önskar få sådan kommunikation; vilken av dessa möjligheter som väljs skall avgöras enligt nationell lagstiftning. 4 Punkt 4 i direktiv 2002/58/EG har följande lydelse: 4. Under alla omständigheter skall det vara förbjudet att skicka elektronisk post för direkt marknadsföring om identiteten på den avsändare för vars räkning meddelandet skickas döljs eller hemlighålls eller om det inte finns en giltig adress till vilken mottagaren kan skicka en begäran om att sådana meddelanden upphör. 3

4 Denna definition är vid och avsedd att vara teknikneutral. Syftet var att anpassa föregångaren till direktiv 2002/58/EG 5 till utvecklingen av marknaderna och tekniken för elektroniska kommunikationstjänster så att ett likvärdigt skydd av personuppgifter och integritet kan erbjudas alla användare av allmänt tillgängliga elektroniska kommunikationstjänster, oavsett vilken teknik som används. (skäl 4 i direktiv 2002/58/EG) Befintliga tjänster som täcks av definitionen på elektronisk post är exempelvis post som baseras på SMTP (Simple Mail Transport Protocol), dvs. klassisk e-post, SMS (Short Message Service) - skäl 40 i direktiv 2002/58/EG förtydligar att även SMS är elektronisk post - och MMS (Multimedia Messaging Service), meddelanden som lämnas på telefonsvarare 6, röstpostsystem inklusive mobiltelefon och nätsänd kommunikation som går direkt till en IP-adress. Nyhetsbrev som skickas med e-post faller också under denna definition. Listan kan inte betraktas som uttömmande och kan behöva revideras med hänsyn till marknadens och teknikens utveckling Samtycke i förväg Regeln om samtycke bygger på samtycke i förväg, vilket framgår av artikel 13.1 i direktiv 2002/58/EG: 1. Användningen av automatiska uppringningssystem utan mänsklig medverkan (automatisk uppringningsutrustning), telefaxapparater (fax) eller elektronisk post för direkt marknadsföring får bara tillåtas i fråga om abonnenter som i förväg har gett sitt samtycke. Enligt artikel 2 f och skäl 17 bör dock en användares eller abonnents samtycke, oavsett om den senare är en fysisk eller juridisk person, ha samma betydelse som den registrerades samtycke enligt vad som definieras och i övrigt fastställs i direktiv 95/46/EG. ( ) Direktiv 95/46/EG definierar samtycke från den registrerade som varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom. (artikel 2 h i direktiv 95/46/EG) Samtycke i detta sammanhang är inte specifikt för kommunikation för direkt marknadsföring. Det kan hänvisas till arbetsgruppens rekommendation 2/2001 om vissa minimikrav för insamling av personuppgifter på Internet inom Europeiska unionen 7. Enligt gemenskapslagstiftningen kan samtycke inhämtas på olika sätt. Vilken metod som skall användas för att inhämta samtycket föreskrivs inte i direktiv 2002/58/EG. Detta bekräftas i skäl 17: ( ) Samtycke kan ges i varje lämplig form som gör det möjligt att frivilligt lämna särskilda och informerade uppgifter om användarens önskemål, däribland genom markeringar i en ruta vid besök på en webbplats. Utan att andra tillämpliga krav på t.ex. information påverkas förefaller sådana metoder vara förenliga med direktivet som innebär att en abonnent i förväg ger sitt samtycke Direktiv 97/66/EG, EGT L 24, Observera att vissa tjänsteleverantörer erbjuder översättning av SMS till röstmeddelanden. Om meddelandet kommer med ett manuellt befordrat samtal och inte lagras vidare som elektroniskt meddelande är artikel 13.3 tillämplig. Dokument WP 43, antaget den 17 maj Här kan också hänvisas till den första rapporten om genomförandet av direktivet om skydd av personuppgifter 95/46/EG (KOM(2003) 265 slutlig, s. 18). 4

5 genom registrering på en webbplats och senare uppmanas bekräfta sin registrering och samtycket. Andra metoder kan också vara förenliga med lagens krav. Däremot skulle det inte vara förenligt med artikel 13 i direktiv 2002/58/EG att enbart genom att skicka vanlig e-post till mottagarna begära deras samtycke att ta emot e-post om marknadsföring, eftersom syftet måste vara legitimt, tydligt och specifikt. Dessutom måste samtycke som lämnas vid allmän acceptans av de villkor som gäller för det eventuella huvudavtalet (t.ex. ett abonnemangsavtal i vilket samtycke också söks att skicka kommunikation för direkt marknadsföring) uppfylla kraven i direktiv 95/46/EG, dvs. vara välunderrättat, specifikt och frivilligt. Om dessa senare villkor uppfylls kan den registrerade ge sitt samtycke exempelvis genom att kryssa i en ruta. Indirekt samtycke att ta emot sådan post uppfyller inte definitionen på samtycke i direktiv 95/46/EG, och särskilt inte kravet på att samtycket skall vara en viljeyttring, exempelvis om det skulle lämnas om man inte motsätter sig det (avböjande). Inte heller uppfyller i förväg ifyllda rutor, t.ex. på webbplatser, definitionen i direktivet. Syftet eller syftena bör också anges klart. Detta innebär att abonnenten bör få klart besked om de varor och tjänster eller kategorier av varor och tjänster för vilka e-post med marknadsföring får sändas. Samtycke att vidarebefordra personuppgifter till tredje man bör också begäras i tillämpliga fall. I den information som lämnas till den registrerade bör då anges syftet eller syftena och de varor och tjänster eller kategorier av varor och tjänster om vilka tredje man skulle skicka e-post. Arbetsgruppen kommer att uppmana näringslivet, exempelvis via näringslivsorgan som den europeiska organisationen för direktmarknadsföring (Federation of European Direct Marketing, FEDMA) att i sina uppförandekodexar ta in och främja specifika metoder att inhämta samtycke enligt gemenskapslagstiftningen. Arbetsgruppen kommer att uppmana industrin att särskilt uppmärksamma system som kan antas ge bättre garantier för att abonnenten har lämnat faktiskt och effektivt samtycke. I sådana kodexar bör också ingå skyldighet för företagen att på allvar ta itu med klagomål från e-postmottagare. Enligt artikel 30 i direktiv 95/46/EG erinrar arbetsgruppen också om att den kan avge yttrande om uppförandekodexar som utarbetas på gemenskapsnivå. Praktiska detaljer som särskilda antydningar i rubriker kan också övervägas i dessa uppförandekodexar, så att användarna (och eventuella filter) lättare kan känna igen e- post som uppfyller kodexen 8. Listor med e-postadresser Listor som inte fyller kravet på samtycke i förväg får i princip inte längre användas i samtyckessystemet, i varje fall inte förrän de har anpassats till de nya kraven. Det är inte heller lagligt att sälja sådana oförenliga listor till tredje man. Företag som vill köpa listor med e-postadresser bör vara noga med att listorna uppfyller gällande krav, och särskilt att samtycke i förväg har lämnats enligt dessa krav. Övriga villkor Även om ingen särskild metod föreskrivs för att lämna samtycke - opt-in - till att ta emot e-post måste de villkor som fastställs i gemenskapslagstiftningen iakttas. Arbetsgruppen 8 I detta sammanhang erinras om kravet i direktivet om elektronisk handel att kommersiella meddelanden skall vara klart identifierbara som sådana (se artikel 6 a i direktiv 2000/31/EG). 5

6 vill erinra om att villkoren i det allmänna direktivet 95/46/EG om behandling av personuppgifter måste iakttas. I artikel 10 i direktiv 95/46/EG krävs särskilt att information lämnas vid insamlingen om åtminstone - den registeransvariges och dennes eventuella företrädares identitet, och - ändamålet med uppgiftsinsamlingen. Det krävs också att information lämnas till enskilda om de mottagare eller kategorier av mottagare som tar emot uppgifterna, om det är obligatoriskt eller frivilligt att besvara frågorna samt om eventuella följder av att inte svara, och att man har rätt att få tillgång till och rättelse av uppgifterna i den utsträckning sådan information, med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in, är nödvändig för att tillförsäkra den registrerade en korrekt behandling (se artikel 10 i direktiv 95/46/EG). Observera att artikel 13 även fastställer en förpliktelse att ge möjlighet att vägra på varje meddelande som skickas. Detta bör åtminstone kunna göras via samma kommunikationstjänst (t.ex. genom att skicka SMS för att slippa vara med på en SMSbaserad marknadsföringslista). Arbetsgruppen påminner också om att harvesting, dvs. automatisk insamling av personuppgifter på allmänna Internetplatser, t.ex. nätet, chatrooms etc., är olaglig enligt det allmänna direktivet 95/46/EG. Den innebär en klart otillåten behandling av personuppgifter och följer varken principen för begränsning av syftet (ändamålet) eller den informationsskyldighet som nämns ovan. Detta är också fallet när automatisk insamling sköts av mjukvaran. Dessa frågor diskuteras i arbetsdokumentet Privacy on the Internet - An Integrated EU Approach to On-line Data Protection 9. Detta skall inte påverka ytterligare krav i annan lagstiftning om marknadsföring eller försäljning av (specifika) produkter eller tjänster (t.ex. finansiella produkter och tjänster, hälsoprodukter och -tjänster, distansförsäljning) Begreppet direkt marknadsföring Det finns ingen definition av direkt marknadsföring i vare sig de särskilda eller allmänna direktiven om skydd av personuppgifter. Marknadsföringens ändamål beskrivs dock i skäl 30 i direktiv 95/46/EG: ( ) Medlemsstaterna får även närmare ange på vilka villkor personuppgifter i marknadsföringssyfte får vidarebefordras till tredje man, oavsett om detta sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av politisk karaktär, men förutsatt att regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att de uppgifter som rör honom behandlas utan att behöva ange sina skäl och utan att åsamkas kostnader för detta. Arbetsgruppen anser därför att artikel 13 i direktiv 2002/58/EG omfattar varje form av säljfrämjande åtgärder, däribland direkt marknadsföring av organisationer som bedriver välgörenhet eller politisk verksamhet (penninginsamling etc.). Observera att en vid definition har använts i FEDMA:s uppförandekodex för användning av personuppgifter i direkt marknadsföring som arbetsgruppen godkände den 13 juni Dokument nr WP 37, antaget den 21 november 2000, särskilt på s. 77. Se arbetsgruppens yttrande 3/2003 över FEDMA:s europeiska uppförandekodex för användning av personuppgifter i direkt marknadsföring, som finns på webbplatsen 6

7 3.4. Kommunikation till juridiska personer Artikel 13.5 i direktiv 2002/58/EG har följande lydelse: 5. Punkterna 1 och 3 skall gälla för abonnenter som är fysiska personer. Medlemsstaterna skall också, inom ramen för gemenskapslagstiftningen och tillämplig nationell lagstiftning, säkerställa att berättigade intressen för abonnenter som inte är fysiska personer är tillräckligt skyddade när det gäller icke begärd kommunikation. Även om medlemsstaterna måste säkerställa att juridiska personers legitima intressen ges tillräckligt skydd, står det dem alltså fritt att avgöra vilka skyddsmekanismer som skall tillämpas. År 2002 hade några medlemsstater - fem av åtta - med samtyckessystem för e-post valt att tillämpa samma system även på juridiska personer 11. Gränsdragningen mellan fysiska och juridiska personer kan verka relativt enkel, men den är inte alltid så lätt att göra i praktiken. En enkel situation skulle vara när en potentiell adressat har lämnat uppgifter om elektronisk kontakt exempelvis på en webbplats eller på annat sätt. Det kan då vara ganska enkelt att ta fram uppgifter om denna person t.ex. genom en enkel fråga, eller genom att fråga efter ställningen för den person som lämnat uppgifterna. Detta är ändå en viktig detalj, eftersom det är avsändaren som skall förvissa sig om att reglerna följs. Särskilt i de medlemsstater som skiljer mellan kommunikation till juridiska och fysiska personer anser arbetsgruppen att praktiska regler bör utarbetas. Det kan bli nödvändigt att ägna mera uppmärksamhet åt denna speciella fråga på grundval av medlemsstaternas tillämpning av artikel 13, men arbetsgruppen vill här ta upp följande frågor: - Sådana praktiska regler bör beakta gränsöverskridande konsekvenser. En fråga som tagits upp i detta avseende är vilken regel som skall tillämpas på e-post som kommer från en medlemsstat som inte skyddar juridiska personer men tas emot i en medlemsstat som tillämpar samma skyddsnivå på juridiska och fysiska personer. - En fråga återstår om hur avsändaren kan avgöra om mottagaren är en fysisk eller juridisk person. Med andra ord, hur stora ansträngningar skall det krävas att en avsändare gör för att kontrollera om numret/adressen verkligen tillhör en juridisk person? Stor försiktighet kommer att krävas så länge avsändaren inte är säker på att e-postadressen tillhör en juridisk person (sekretariat@företag.com). Fysiska personer använder ofta e- postadresser med pseudonymer eller generiska termer men är ändå berättigade till det skydd direktivet ger. - En annan fråga berör personer som inte direkt abonnerar på elektroniska kommunikationstjänster. Detta kan vara fallet med medlemmar av en enskild familj eller FEDMA- kodexen finns på följande URL-adress: Direkt marknadsföring definieras i kodexen på följande sätt: Kommunikation av alla slag (inklusive men inte begränsad till post, fax, telefon, Internettjänster etc.) av varje slags annons- eller marknadsföringsmaterial som utförs av direktmarknadsföraren själv eller på dennes uppdrag och som riktas till särskilda personer. 11 Europeiska kommissionens åttonde genomföranderapport, december

8 anställda i ett visst företag. I fall där en familjemedlem eller ett företag håller andra familjemedlemmar eller sina anställda med e-postadresser där firmanamnet ingår (t.ex. namn.efternamn@företag.com) skulle dessa personer i princip inte vara abonnenter 12. Vissa EU-medlemsstater har beslutat tillämpa samtyckessystemet på sådana e- postadresser. Medlemsstaterna bör observera att sådana adresser innehåller personuppgifter som måste skyddas som sådana. Arbetsgruppen anser att detta skydd innebär att man bör betrakta marknadsföring genom att elektronisk post skickas till en personlig e-postadress, antingen det görs i kommersiellt syfte eller ej, som marknadsföring till fysiska personer. I varje fall måste bestämmelserna i direktiv 95/46/EG iakttas Undantag för liknande produkter och tjänster I artikel 13.2 görs ett harmoniserat undantag från regeln om samtycke för befintliga kunder på vissa villkor. 2. Utan hinder av punkt 1 får en fysisk eller juridisk person, som från sina kunder fått deras uppgifter om elektronisk adress för elektronisk post i samband med försäljning av en vara eller en tjänst, i enlighet med direktiv 95/46/EG, använda dessa uppgifter om elektronisk adress för direkt marknadsföring av sina egna, likartade varor eller tjänster, under förutsättning att kunderna klart och tydligt ges möjlighet att, kostnadsfritt och enkelt, motsätta sig sådan användning av uppgifter om elektronisk adress, när de samlas in och i samband med varje meddelande om kunden inte inledningsvis har motsatt sig sådan användning. I skäl 41 lämnas viktiga uppgifter som hjälp för att förstå artikel 13.2: (41) Inom ett befintligt kundförhållande är det rimligt att tillåta användning av uppgifter om elektronisk adress för att erbjuda liknande produkter eller tjänster, men endast av samma företag som har fått uppgifterna om elektronisk adress i enlighet med direktiv 95/46/EG. När uppgifterna om elektronisk adress har erhållits bör kunden informeras om deras ytterligare användning för direkt marknadsföring på ett klart och tydligt sätt och få möjlighet att vägra att uppgifterna används på ett sådant sätt. Denna möjlighet bör fortsättningsvis erbjudas kostnadsfritt vid varje följande kommunikation 12 Begreppet abonnent definieras i direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv). Enligt artikel 2 i direktiv 2002/58/EG är detta den innebörd som skall tillämpas om inte annat sägs. Begreppet abonnent definieras i ramdirektivet som varje fysisk eller juridisk person som har ingått avtal med en leverantör av allmänt tillgängliga elektroniska kommunikationstjänster om tillhandahållande av sådana tjänster (se artikel 2 k i direktiv 2002/21/EG). Skäl 12 i direktiv 2002/58/EG klargör begreppet genom följande konstaterande: (12) Abonnenter av en allmänt tillgänglig elektronisk kommunikationstjänst kan vara antingen fysiska eller juridiska personer. Detta direktiv kompletterar direktiv 95/46/EG och syftar till att skydda såväl fysiska personers grundläggande rättigheter, särskilt deras rätt till integritet, som juridiska personers berättigade intressen. Det här direktivet medför inte någon skyldighet för medlemsstaterna att utvidga tillämpningsområdet för direktiv 95/46/EG till att omfatta skydd av juridiska personers berättigade intressen, vilket garanteras inom ramen för tillämplig gemenskapslagstiftning och nationell lagstiftning. 8

9 för direkt marknadsföring, med undantag för eventuella kostnader för att överföra denna vägran. Beskrivningen ger ett visst tolkningsutrymme, men arbetsgruppen vill betona att detta undantag är begränsat på flera sätt och måste tolkas restriktivt. För det första begränsas undantaget till kunder enligt första meningen i artikel Dessutom får e-post skickas endast till kunder från vilka elektroniska uppgifter för kontakt via elektronisk post har hämtats in i samband med försäljning av en produkt eller tjänst, och enligt direktiv 95/46/EG. Detta senare krav innefattar exempelvis information om insamlingens ändamål (se ovan). Ändamålsprincipen (förenlig användning, korrekt behandling) bör vara en hjälp i det avseendet. I detta sammanhang bör man också uppmärksamma den tidsperiod under vilken samtycket rimligen kan anses gälla och under vilken e-post alltså får skickas. För det andra får endast samma fysiska eller juridiska person som har samlat in uppgifterna skicka marknadsföring med e-post. Exempelvis dotter- eller moderbolag är inte samma företag. För det tredje är detta begränsat till marknadsföring av liknande produkter och tjänster. Arbetsgruppen anser att även om inte heller begreppet liknande produkter och tjänster är lätt att tillämpa i praktiken för att motivera vidare uppmärksamhet, kan likhet bedömas särskilt ur mottagarens objektiva perspektiv (rimliga förväntningar) snarare än från avsändarens perspektiv. Arbetsgruppen erinrar om att det även vid undantag finns en skyldighet att fortsätta att ge möjlighet till avböjande i varje marknadsföringsmeddelande. Bryssel den 27 februari 2004 På arbetsgruppens vägnar Stefano RODOTA Ordförande 9