EUROPEISKA GEMENSKAPERNAS KOMMISSION

EUROPEISKA GEMENSKAPERNAS KOMMISSION Icke begärd marknadskommunikation och dataskydd Sammanfattning av slutsatserna i studien (*) - Januari 2001 Serge Gauthronet och Étienne Drouard I över fem år har Europaparlamentet och rådet antagit viktiga direktiv för att säkerställa en hög skyddsnivå för enskilda med avseende på databehandling av personuppgifter. Det gäller direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt direktiv 97/66/EG om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet. Samtidigt som unionens medlemsstater avslutar arbetet med att överföra direktivet till nationell lagstiftning, står moderna företag inför allt större utmaningar i samband med utvecklingen av Internet och elektronisk handel: vild insamling av personuppgifter, upprättande av omfattande profilbaser, okontrollerad handel med information, reklamanstormning, mångfaldigande av otillåtna metoder, allvarliga kränkningar av enskilda personers privatliv. Kommissionen har i flera år sysslat med dessa problem och ägnar särskilt intresse åt frågan om icke begärd marknadskommunikation, vanligtvis kallad spamming. Serge Gauthronet och Étienne Drouard, konsulter hos företaget ARETE, har haft i uppdrag att fullständigt belysa denna fråga. Studien omfattar två delar: en industriell och en juridisk del. I den industriella delen analyseras verksamheten, de senaste årens utveckling, det tekniska utbudet och metoderna. För att få med viktiga detaljer utfördes denna del av studien i Förenta staterna. Därigenom kunde man klarlägga hur det amerikanska samhället under Internetaktörernas påtryckningar sakta byggde upp instrument för att försvara sig mot reklaminvasionen i Internetanvändarnas elektroniska postlådor. Genom att studera situationen i USA upptäcktes nya allt kraftfullare strategier för marknadsföring via e- post som grundas på samtycke och tillstånd och som några ledande företag utvecklat på den globala marknaden. Med dessa betydligt mer integritetsvänliga ( privacy friendly ) strategier förskjuts problematiken om skyddet för privatliv utan att lämna ett helt tillfredsställande svar. Studiens juridiska del innehåller en översikt över de rättsliga, administrativa, prejudicerande, doktrinära och etiska ramar, inom vilka icke begärd elektronisk direkt marknadsföring utvecklas eller förväntas utvecklas i Europeiska unionens medlemsstater utifrån gemenskapsrättens nuvarande konstruktion. Dessutom beskrivs likheter och skillnader mellan olika nationella synsätt inom både den offentliga och den privata sektorn. Genom analyserna framkommer slutligen idéer och rekommendationer till den rättsliga ram som på bästa sätt gynnar europeiska ) GD Inre marknaden Kontrakt nr ETD/99/B5-3000/E/96

on line-firmornas rättssäkerhet och skyddar de rättigheter som Internetanvändare i Europa tillförsäkrats. I) Den industriella delen av marknadsföring via e-post och spamming: allmän situation, metoder och erbjudande om tjänster De iakttagelser som gjorts inom ramen för studien kan sammanfattas i sex huvudpunkter som omfattar den ekonomiska ramen för marknadsföring via e-post, dess historia och operatörernas nuvarande metoder, den tekniska utvecklingen och de nya formerna som bygger på tillståndsbaserad marknadsföring. I.1) För den interaktiva marknadsföringen är Internet ett väl anpassat utvecklingsområde, något som annonsörernas ändrade inriktning på investeringarna i Förenta staterna visar. Där uppgår redan kostnaderna för direkt marknadsföring till 50 % av den totala budgetsumma som annonsörerna avsatt för marknadskommunikation. Det finns tre huvudskäl till den ökade användningen av Internet: Reklamkostnaderna är betydligt lägre på Internet än i traditionella media: genomsnittskostnaden för en marknadsföringskampanj via e-post i Förenta staterna är cirka 10 cent per meddelande, medan kostnaden för ett utskick med vanlig postgång varierar mellan 50 cent och 1 dollar per försändelse. Konkretionsgraden för marknadsföring via e-post varierar mellan 5 och 15 % jämfört med traditionella postutskick, där den endast uppgår till mellan 0,5 % och 2 %. Det finns en betydande skillnad i effektivitet mellan marknadsföringen via e-post med en andel click-through (1) på ca 18 % och den av annonsrutor genererade andelen som minskar alltmer sedan en tid tillbaka och uppgår till högst 0,65 % enligt Forrester Research. Enligt andra källor (Nielsen Netratings Mars 2000) skulle den till och med ha minskat från 2,5 % i mitten av 90-talet till 0,36 % i mars 2000. Det är därför högst troligt att vi under kommande år får uppleva att allt mer investeras i direkt marknadsföring på Internet, i synnerhet i marknadsföringen via e-post. I.2) Spamming var en barnsjukdom hos marknadsföringen via e-post. Man kan hävda att spamming, i den form som den förekom i mitten av 90-talet och huvudsakligen i Förenta staterna, för närvarande minskar. Det räcker med att titta på de svarta listor över masspostavsändare som finns tillgängliga online för att konstatera att det rör sig om en företeelse som hade sin gyllene tid mellan 1995 och 1998 och att registreringarna på de svarta listorna tenderar att minska sedan två år tillbaka. Fyra faktorer förklarar den senaste utvecklingen: 1) Dvs. det som användaren gör när han/hon klickar på en hyperlänk och därmed kommer direkt till annonsörens webbplats och kommersiella erbjudande; övergången till själva köpet sker genom en klick-order. 2

Faktor 1: verksamheten hos Internetleverantörer som har ett bra grepp om flödena på e-post- och nyhetsservrar och snabba reaktionsåtgärder i beredskap: MAPS-RBL-system för Internet (The Mail Abuse Prevention System och Realtime Blackhole List) (2) och UDP för Usenet (Usenet Death Penalty). Faktor 2: de amerikanska bestämmelserna (3), visserligen otillräckliga, men med den egenskapen att masspostavsändare döms till höga böter. De genomsnittliga böterna ligger på 10 dollar per skräppostutskick och upp till 25 000 dollar per dag. För mindre operatörer med begränsade finansiella resurser anses detta utgöra ett relativt och ibland även radikalt avskräckande medel. Faktor 3: yrkesorganisationernas och fackföreningarnas verksamhet, i synnerhet The Association of Interactive Media (AIM), en oberoende filial till den inflytelserika Direct Marketing Association (DMA), som med utgångspunkt i mycket pragmatiska studier bedriver ett bestämt och otvetydigt motstånd mot spamming. Av organisationens arbete framgår skillnaden i effektivitet mellan icke begärd marknadskommunikation och marknadsföring via e-post, som baseras på att det redan finns en kommersiell relation. AIM har i år antagit flera mycket tydliga direktiv i vilka masspostavsändarnas välkända metoder fördöms. DMA har inte kommit så långt i analysen och erbjuder en tjänst för registrering på en stopplista (e-mps - Electronic Mail Preference Service) (4). 2) Flertalet tjänsteleverantörer bedriver idag klappjakt på masspostavsändare; en bland flera åtgärder är att organisera ett frivilligt administratörsnät kallat The Mail Abuse Prevention System (MAPS Redwood City, Calif.) som ligger till grund för den svarta listan Realtime Blackhole List (RBL). Listan utgör ett instrument för massbojkott. Internetleverantörernas systemadministratörer som kontrollerar tusentals routers och postservrar får därmed möjlighet att ömsesidigt och regelbundet utbyta information om attackerna, dvs. de massutskick som de drabbas av och registrera kända Internetadresser och domännamn som skickar icke begärda kommersiella meddelanden. En masspostavsändares uppsagda abonnemang registreras på listan så att övriga Internetleverantörer, i synnerhet de 2 000 Internetleverantörer i världen som är abonnenter hos RBL, d.v.s. 1/3 av marknaden, och som masspostavsändaren skulle kunna vända sig till, får omgående information om denne kunds rätta verksamhet och därmed kan vägra honom/henne en värdtjänst. Utöver denna tämligen klassiska rapporteringsfunktion utgör MAPS-systemet även ett filter som med algoritmer automatiskt kan blockera utskick av meddelanden från en identifierad masspostavsändare samt den Internetleverantör där han har sin adress och som därmed inte anses utföra det saneringsarbete i nätet som den borde göra för att bevara Internets kollektiva intressen. 3) Drygt tjugo amerikanska stater ligger steget före den federala administrationen och antog i fjol eller är i färd med att anta lagen mot massutskick. Vissa lagtexter har redan använts inom ramen för offentliga förfaranden mot masspostavsändare. Ddet bör observeras att flera av texterna samtidigt omfattar kommersiella meddelanden via fax. I texternas huvudbestämmelser föreskrivs att det skall finnas ett opt-out-system och att en Internetanvändares begäran om utträde verkligen skall beaktas. I texterna föreskrivs naturligtvis att felaktig adress och förfalskning av sidhuvuden eller ärenden är förbjudet, något som är mycket vanligt förekommande i samband med massutskick. I några texter föreskrivs att det av sidhuvudet skall framgå om det rör sig om ett reklammeddelande (ADV) eller en annons om en webbplats för vuxna (ADLT). I en tredjedel av texterna definieras massutskick som ett utskick av meddelanden till Internetanvändare utan uttrycklig begäran från deras sida. 4) Listan fungerar som en gratistjänst och alla användare kan registrera sina e-postadresser där samt ange de kategorier meddelanden som opt-out-valet avser ( business-to-consumer, business-tobusiness eller båda). Operatörer som bedriver direkt marknadsföring kan för sin del, mot en betalning på 100 dollar för icke medlemmar, begära att deras e-postadresser rensas ut från e-mps-systemet; det sker online och tar endast några timmar. Amerikanska motståndare till massutskick, särskilt MAPS, Junkbusters Corp. och CAUCE, kritiserar starkt upprättandet av denna lista; vissa DMAmedlemmar är inte heller solidariska med sina yrkesorganisationers ställningstaganden. Flera kritiska synpunkter om systemet har framförts: det är faktiskt beklagligt att DMA inte vill att e-mps-systemet skall vara tillgängligt för Internetleverantörerna som eventuellt skulle välja en global opt-out för alla 3

Faktor 4: e-handelns motkultur grundas alltmer på tillståndsbaserad marknadsföring ( permission marketing ) som är en reaktion mot massreklam som överbelastar och sprider allmän förvirring. Tillståndsbaserad marknadsföring innebär kommunikation med konsumenterna på frivillig basis samtidigt som en intresse- och därefter förtroenderelation byggs upp: konsumenten stimuleras genom skräddarsydda löften, som naturligtvis uppfylls (incentive marketing), och blir mer benägen till ytterligare samtycke allteftersom förtroendet ökar, samtycke till att samla information om livsstil, hobbyverksamhet, fritidsintressen; samtycke till att ta emot information om nya produkter och tjänster, samtycke till att ta emot present- och bonuspoäng, provexemplar, ett provabonnemang osv. Efterhand blir den anonyme individen en kontakt, en potentiell kund, så småningom en kund och slutligen en trogen kund. För att bygga upp denna relation krävs det tid och regelbundna kontakter; helst skal det ske inom rimliga kostnadsramar. Finns det något medium som kan erbjuda denna interaktivitet och progressivitet bättre än Internet? Finns det ett gynnsammare tillståndsbaserat system än det som grundas på frivillig registrering på opt-in-listor? Kostnaderna för postbefordran är ytterst begränsade, resultaten från kampanjer så gott som omedelbara, svarsfrekvenserna femton gånger högre, kontakten med potentiella kunder kan ske kontinuerligt utan att det belastar varken annonsörernas kommunikationsbudget eller budgeten för kundrelationer alltför hårt, under förutsättning att det sker i tillräcklig stor skala och det finns inga kostnader för tryckning. Seth Godin, vice VD för Yahoo, belyser hela denna tendens utomordentligt väl och branschfolket liksom on line-handeln är alltmer förtjusta i den tillståndsbaserade marknadsföringens möjligheter: de upptäcker effektiviteten i det nya konceptet för kampanjer riktade mot frivilliga och samtyckande populationer. I Förenta staterna talas det idag endast om marknadsföring via e-post med opt-in. II.3) Spamming förekommer tyvärr fortfarande i form av ett erbjudande om produkter ( spamware ) och tjänster, oftast från små företag. Två kategorier spamware kan urskiljas, nämligen pull -instrument för insamling av adresser och push -instrument för massutskick av meddelanden. Programvaror för harvesting är för det första relativt enkla att använda. De fungerar enligt principen om automatisk navigering på webbplatser samt på Usenets allmänna platser genom att använda antingen en i förväg specificerad URL-förteckning eller nyckelord kopplade till sökmotorer som gör det möjligt att upprätta en relevant URL-förteckning. Programvaran utför för det andra en systematisk insamling av alla e-postadresser som hittats på dessa platser eller forum. Alla dessa programvaror påstås kunna ta sig förbi spamtraps. Push -instrumenten är motorer som gör massutskick möjliga utan att gå via en specifik postserver eller en Internetleverantörs server. De produkter som vanligtvis finns på marknaden möjliggör för den dator i vilken de installeras att fungera som en riktig postserver i princip utan risk för att bli beskylld för att överbelasta brandbredden hos den Internetleverantör som masspostavsändaren är abonnent hos. Maskinerna är tillräckligt kraftiga för att bryta postservrarnas filter mot spamming och perfekt förfalska meddelandenas sidhuvuden. Det är ganska paradoxalt att sådana produkter helt öppet saluförs av uppenbarligen officiella leverantörer, samtidigt som det är väl sina domännamn och abonnenter. DMA har intagit denna ståndpunkt och försvarar samtidigt tanken att systemet fungerar utifrån enskilda opt-out-val. 4

känt att en del av deras funktioner utgör metoder för avledning av trafik som numera är förbjudna i allt fler amerikanska stater. Utbudet av tjänster kan indelas i två stora kategorier: värdtjänst för en kampanj, något som skulle kunna kallas host-spamming, och förmedling av e-postadresser. Värdarna erbjuder alla tjänster för att anordna spam-kampanjer. Flera mindre företag annonserar öppet på nätet och avgifterna varierar från 5 dollar per tusen utskick till 20 dollar per tusen, om kunden dessutom vill ha tillgång till adresserna. Vissa specialiserar sig på att erbjuda en skottsäker tjänst, dvs. en tjänst som i princip kan undgå Internetleverantörernas kontrollåtgärder. Det finns ganska många adressförmedlare ( brokers ); flera företag erbjuder medlemskap som omfattar tre olika former av adressabonnemang. Alternativ 1: 300 000 adresser per vecka för 19,95 dollar per månad; alternativ 2: 500 000 adresser per vecka för 29,95 dollar per månad; alternativ 3: 1 000 000 adresser per vecka för 39,95 dollar per månad. Erbjudanden av online-försäljning av adresser som kan laddas ner omgående förekommer dessutom: t.ex. från 19,95 dollar för 300 000 Internetadresser till 49,95 dollar för 1 000 000 och från 19,95 dollar för 300 000 AOL-adresser till 99,95 dollar för 4 000 000. Det stora utbudet förteckningar över e-postadresser föranleder ofelbart frågan om adressernas kvalitet, om de är aktuella, för att inte tala om i vilken utsträckning de samlats in med verkligt samtycke. Riktade förteckningar presenteras oftast ganska svävande. Vanligast förekommande urvalskriterier är land, stat, hemort, kön, intressen, yrke och verksamhetsområde. Intressen är fördelade på ett femtiotal vanliga segment, som påminner om stora domäners strukturer på Usenet. Masspostavsändarna, som fortsätter på en farlig väg som fördöms av alla, använder sig av amatörmässiga eller opportunistiska metoder och försöker att marknadsföra dåliga idéer på nätet. Flera nyligen inträffade fall av spamming har undersökts närmare och enstaka kända fall i Europa visar att det rör sig om samvetslösa operatörer, som sällan låter sig påverkas av rättsliga åtgärder och som löper risken att dömas till höga skadestånd. Även om detta tillvägagångssätt egentligen inte är tillfredsställande när det gäller rätten till skydd av personuppgifter, är det effektivt och skulle på kort sikt kunna bidra till att fullständigt utplåna företeelsen. I.4) I själva verket är marknaden för marknadsföring via e-post den verkliga, mest aktiva och mest utmanande marknaden där ingen längre idag är verksam utan att fordra en strikt tillämpning av en integritetsskyddspolicy och garantin att arbeta med förteckningar över samtyckande potentiella kunder. Marknadsföring via e- post bygger på en mycket starkare finansiell och teknisk modell. De viktigaste frågorna handlar här om en korrekt insamling av datauppgifter och en frivillig och tillståndsbaserad kontakt mellan annonsörer och potentiella kunder. Dessa vanligtvis nysta r- tade företag bygger för närvarande upp kommande års marknadsföring på Internet. Deras inställning till skydd för privatlivet inriktat på e-postförteckningar med opt-in förtjänar en viss uppmärksamhet. Det finns för närvarande runt femtio tjänsteleverantörer, en del av dem med internationell verksamhet och således etablerade i Europa, där de har omfattande marknadsandelar inom direkt marknadsföring via e-post. Man kan nämna 24/7 Media, NetCreations Inc., YesMail.com, Exactis.com Inc., MessageMedia, BulletMail, Axciom samt företag verksamma med marknadsföring med stimulerande effekt som 5

MyPoints, Netcentives, Beenz, CyberGold, ClickRewards, Freeride. ; portaler som www.xoom.com kommer också in på marknaden tack vare deras register med över tio miljoner abonnenter, som regelbundet kontaktas via e-post med riktade kommersiella erbjudanden beroende på deras behov och intressen. Det bör slutligen observeras att reklamnätverk, främst DoubleClick eller Flycast, numera utvecklar ett erbjudande för marknadsföring via e-post. Flera av dessa företag är noterade på Nasdaqlistan och uppvisar alla de kriterier som är typiska för Internet-företag: en verksamhet i full utveckling, ett starkt kapital och brist på lönsamhet. Flertalet följer en extern tillväxtmodell genom uppköp av företag inom samma sektor. I större eller mindre utsträckning delar dessa företag slutligen gemensamma yrkesvärderingar och försvarar principerna för tillståndsbaserad marknadsföring och e-post med opt-in. Företag verksamma med marknadsföring via e-post har ett mycket brett verksamhetsområde: insamling av personuppgifter, administration och förvaltning av samarbetande databaser, förmedling av adresser, utformning av marknadsföringskampanjer via e-post, push -åtgärder, CRM (Customer Relationship Management) (5), uppföljning, fakturering av kampanjer och ersättning till webbplatser som samlar in potentiella kunder. Mekanismen för insamling av tillståndsbaserade datauppgifter bygger på att utnyttja ett nät med 100-200 högtrafikerade webbplatser, där det läggs ut opt-in-formulär som besökarna fyller i för att få ett nyhetsbrev, för att delta i en tävling, ett program eller en säljkampanj, för att få riktade kommersiella erbjudanden beroende på de intresseområden som angivits. Alla skäl är goda nog för att berättiga en uttrycklig insamling av personuppgifter på en webbplats. Företagen får på detta sätt en kopia av uppgifterna i formuläret (6). Databaser på mellan 15 och 20 miljoner e-postadresser förses sedan med uppgifterna. I genomsnitt uppskattas drygt en fjärdedel av dessa adresser tillhöra europeiska Internetanvändare. Denna modell innehåller olika varianter för korrekta metoder, som sträcker sig från förkryssade rutor (7) till den andra ytterligheten, nämligen att ibland av besökaren begära en dubbel opt-in, dvs. en bekräftelse av registreringen genom ett automatiskt meddelande som skickas till brevlådan (8). 5) Här handlar det om en front och middle-office verksamhet som består i att för annonskundens räkning ansvara för kontakten one to one, som upprättas via e-post med potentiella kunder och stimulera dem till köp: utbyggnad av databasen med ytterligare personuppgifter, stärkt förtroenderelation, märkestrohet, förvaltning av ansökningar om registrering eller opt-out, behandling av leveransproblem, behandling av övriga frågor från användare samt reklamationer, utskick av bekräftelsemeddelanden, behandling av ändringar i e-postadresser. Verksamheten bygger på särskilda dataapplikationer s.k. CRM eller ERM (E-mail Relationship Management). 6) Det finns två huvudmodeller för att sprida uppgifter; det handlar ibland om överföring av periodiska uppgifter med satsvis bearbetning ("batch ) som är godkända av de samarbetande databaserna eller andra databaser för överföring i realtid; vissa företag som arbetar med marknadsföring via e-post erbjuder sina kunder även tjänsten att stå som värd för opt-in-formulären. 7) Man noterar att vissa program för tillståndsbaserad marknadsföring innehåller förkryssade opt-inrutor, det gäller i synnerhet registreringsformulären som lagts ut på BigFoot, Dreamlife eller Theglobe.com, tre webbplatser som förvaltar opt-in-formulären i samarbete med 24/7 Media. Man kan inte annat än anse att metoden inte överensstämmer med tanken om tillståndsbaserad marknadsföring eftersom den inte garanterar kundens samtycke då han/hon mycket väl kan ha hoppat över raden utan att läsa den. Risken finns då att de kommersiella meddelanden som skickas betraktas som spamming, eftersom mottagaren själv är övertygad om att han/hon aldrig begärt dem. 8) En dubbel opt-in fungerar ganska exemplariskt när det gäller kvaliteten hos inhämtade tillstånd och öppenheten i förfarandet. När man abonnerar till exempel på ett nyhetsbrev från CNET-gruppen, får 6

Alla dessa system och alla de meddelanden de genererar innehåller naturligtvis optout-länkar för att lätt kunna avregistreras från förteckningarna. Vissa företag tar emot flera opt-out-beställningar om dagen och förfrågningar från registrerade som vill veta var, dvs. på vilken webbplats, och när deras opt-in registrerades. En del enskilda förfrågningar gäller även den exakta karaktären och omfattningen av personuppgifterna som registrerats i databaserna. För att besvara dessa frågor bygger vissa företag som arbetar med marknadsföring via e-post upp en historik över kundkontakten och i synnerhet över de uppgifter som gör det möjligt att återskapa i vilket sammanhang opt-in-meddelandet registrerades. Handeln med adresser sker genom förmedling eller värdtjänster för kampanjer (ESB : E-mail Service Bureau). En standardtjänst som utförs på gemensamma register omfattar vanligtvis fem operationer: uthyrning av själva adresserna, programmering av en länk i meddelandet på annonsörens webbplats, push -meddelanden, uppföljning av click-through och utvärdering av kampanjen. Avgiften beräknas efter samma CPM-avgift som tillämpas av reklamnätverk. För professionell marknadsföring via e- post uppgår referenspriset till 200 dollar per 1000, dvs. 20 cent per enhet. Fakturering för olika begärda urvalskriterier tillkommer: domännamn och geografiskt område, demografiska kriterier (kön/ åldersgrupp/civilstånd/antal barn), inkomstgrupp, befattningar i företag, examensnivåer, intresseområden. Möjligheten att göra detaljerade urval efter intresseområden förefaller oändlig, men det återspeglar i sista hand enbart noggrannheten i de uppgifter som samlas in via formulären. Ur dataskyddssynpunkt är vissa kvalificeringsuppgifter i databaserna onekligen känsliga när det är möjligt att utan att bryta mot bestämmelserna om tillstånd identifiera etniska grupper, religiösa grupper, rökare, diabetiker eller cancersjuka. Förteckningar över e-postadresser innehåller även uppgifter om beteenden med högt mervärde, i synnerhet när det gäller uppgifter om on line-köp under de senaste månaderna (1 månad, 3 månader, 6 månader, 12 månader). Ofta handlar det om information som inte samlats in direkt utan som rapporterats av kommersiella operatörer som samarbetar med företaget för marknadsföring via e-post och hos vilka potentiella kunder gjort inköp. Varje särskilt urval bland dessa extra uppgifter för en bättre kvalificering av målpopulationen medför extra kostnader per tusental. Ju mer sofistikerade begärda urval, desto större blir kostnaden. Det mest efterfrågade och dyraste urvalet gäller benägenheten att göra on line-köp. användaren på sin skärm upp ett fönster med förslag på ett antal rutor att kryssa för och som motsvarar olika områden som han/hon samtycker till att få kommersiella erbjudanden om; längst ner på listan finns en länk till CNET:s sida om integritetsskyddspolicy; policyn är mycket fullständig och innehåller en varning före anmälan till ett nyhetsbrev och en tydlig förklaring av tredje företags roll, i detta fall tjänsteleverantören av e-marknadsföring Netcreations som samlar in uppgifterna. När användaren fyllt i formuläret och bestämt vilka områden han/hon vill få information om, skall han/hon bekräfta sin anmälan och detta utgör den första opt-in-handlingen; Netcreations skickar omedelbart ett bekräftelsemeddelande för att försäkra sig om att det verkligen är denna person och inte någon annan som skickat opt-in meddelandet i hennes namn. Mottagandet av detta sistnämnda meddelande föranleder tre anmärkningar: för det första informeras mottagaren återigen om att det finns en tredje part i kontakten med den webbplats där han/hon anmälde sig till nyhetsbrevet och om namnet på denna part; denna punkt är inte oväsentlig i händelse av att användaren inte klickat på länken till integritetsskyddspolicyn; för det andra sammanfattar meddelandet de nyhetsbrev och den exakta kommersiella spridningen av listan som han/hon anmält sig till; för det tredje kan ingen kommunikation inledas med honom/henne om inte bekräftelsemeddelandet returneras; det är nästan ett avtal som Internetanvändare skall ingå med webbplatsen. När tjänsteleverantören mottagit bekräftelsen på opt-in-meddelandet får abonnenten automatiskt ett välkomstmeddelande. 7

Man noterar slutligen att företagen ger uppdrag på kommission till webbplatser som samlar in e-postadresser. Det innebär med andra ord att varje gång en adress används får den ursprungliga webbplatsen en ersättning som varierar, men ofta uppgår till 50 % av försäljningspriset. Vissa företag som arbetar med marknadsföring via e- post har utvecklat ett sofistikerat system för att kunna skilja två insamlande webbplatser som skulle kunna göra anspråk på att vara rättmätig ägare till en och samma adress: enligt regeln betalas ersättning endast till den webbplats som har den förteckning över e-postadresser som kunden föredrar. Det förekommer även förmånliga lån till webbplatser som samarbetar. I.5) Den snabba utvecklingen av tillståndsbaserad marknadsföring via e-post, som förmodligen blir modellen för marknadskommunikationen på Internet, föranleder frågor om opt-in-kvaliteten och om de feltolkningar och avvikelser som kan inträffa. Allra först måste man göra klart för sig att en annonsör för att upprätta en opt-inkontakt kan kan känna sig frestad att ingå en s.k. interruption marketing kontakt och därmed hamna i situationen att massposta en förteckning över icke kvalificerade adresser utarbetade mer eller mindre i samförstånd. Frågan är alltså om inte spamming kommer att utgöra ett nödvändigt steg för marknadsföring via e-post med opt-in. Formulerad på detta sätt kan frågan tyckas provocerande. Det lönar sig i själva verket att ställa den, eftersom det verkliga problemet för operatörer som arbetar med direktförsäljning är att inleda en tillståndsbaserad kontakt, och man känner tyvärr inte till några andra metoder än att allmänt provocera, väcka uppmärksamhet och genom olika slags teasings som reklammän väl känner till locka till kontakt. Hur blir man synlig på nätet? Den uppenbara frestelsen kan vara riktad marknadsföring via e-post. Risken är då att man vänder sig till en förmedlare av adressförteckningar och masspostar erbjudandet till miljoner adresser, i förhoppningen att några skall uppfatta meddelandet och nappa på det. Denna form är dock knappast socialt acceptabel och strider mot de etiska regler som yrkesorganisationer allt oftare rekommenderar för att försvara principen att få användarens samtycke på förhand ( user s prior acceptance ). Den enda form som verkligen är det, dock inte utan förbehåll, är den form av reklam som tillämpas på Internet, dvs. riktade annonsrutor i profiler med intresseområden och livsstilar som är förenliga med annonsörens produkt- eller tjänsteerbjudande. Annonsrutan ger då möjlighet att dra till sig click-through på en webbplats och inleda opt-in-kontakten via e-post när besökarna fyllt i formulären. Man måste å andra sidan inse att stora kommersiella operatörer och operatörer som arbetar med direkt marknadsföring på Internet för närvarande anpassar sig till opt-in, även pornografiska webbplatser som likväl ägnat sig åt spamming i stort format under de senaste åren. Det leder oundvikligen till funderingar på kvaliteten hos opt-in och föranleder frågan om annonsörerna, oavsett vilka de är, inte kommer att ha en olycklig tendens att i framtiden utveckla en minst sagt extensiv uppfattning av opt-inbegreppet. I extremfall tycks denna extensiva uppfattning grundas på det enkla faktum att besökaren av en webbplats av misstag klickat på OK-knappen i en dialogruta där han/hon tillfrågades om webbplatsen skulle läggas till i favoriter. Inget är faktiskt lättare än att leka med orden och lägga in en otydlig bestämmelse på en sida som är omöjlig att hitta och som innehåller webbplatsens användarvillkor, där operatören med små bokstäver talar om att ett framtida stort flöde av reklam via e-post godkänns 8

genom att webbplatsen läggs till som bokmärke. För att ta ett mera oskyldigt exempel kan man fråga sig om det faktum att man någon gång anmält sig på en lista för dykarentusiaster för att få erbjudanden om utrustning motiverar att man får erbjudanden om vistelser i världens alla dykcenter. Är det försvarbart att överösa en tillfällig onlineköpare med kommersiella erbjudanden flera gånger i veckan? Stora kommersiella och för online-handeln ledande webbplatser, t.ex. Amazon, Barnes & Noble, CD Now eller Travelocity, borde nyansera sina metoder mot bakgrund av denna frågeställning för att dämpa ivern gentemot tillfälliga kunder. I.6) Relevansen i Europeiska kommissionens senaste förslag till direktiv (12 juli 2000) om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation (9) kan slutligen inte nog framhållas, eftersom den stora vikt som bör läggas på opt-in inom marknadsföring via e-post återupprättas. Vi hävdar även att det rör sig om Internets överlevnadsproblematik med avseende på framtida teknisk utrustning hos operatörerna, som alla säger sig vilja installera motorer (servrar, routers och backbones ) med kapacitet att överföra 100 miljoner kommersiella e-postmeddelanden per dag. Några statistiska och ekonomiska prognoser kan då göras. Det finns idag runt 300 miljoner Internetanvändare (och runt 560 miljoner e-postlådor) i världen. Utifrån antagandet att nästan alla operatörer av marknadsföring via e-post installerar motorer med kapacitet att överföra 100 miljoner e-postmeddelanden per dag, hur stor blir då inte risken att Internetanvändarna tröttnar? Om 200 företag utrustas med sådan kapacitet kan man räkna ut att det dagligen skulle skickas 20 miljarder kommersiella e- postmeddelanden på Internet, dvs. i genomsnitt drygt 60 e-postmeddelanden till varje Internetanvändare, vilket innebär en nedladdningstid på cirka en timme med konstant teknik och utan att beakta att kommersiella e-postmeddelanden allt oftare kommer att innehålla fotografiska inslag eller videoinslag. Finns det inte här en verklig risk för entropi på Internet, om åtgärder inte snarast vidtas för att införa en nödvändig regleringsnivå? En mycket sträng tolkning av opt-in-konceptet förefaller att vara en överlevnadsåtgärd. När det slutligen gäller beräkningen av de kostnader som belastar Internetanvändarna kan några beräkningar och prognoser göras. Om man utgår ifrån att en genomsnittlig Internetanvändare som har ett abonnemang till ett fast pris på 12 euro för 10 uppkopplingstimmar per månad (inklusive telefonkommunikationer) och en standardutrustning (exklusive höghastighets-internet) kan ladda ner runt 180 kb per minut, får man en kostnad som kan uppgå till 30 euro per år för nedladdning av knappt 15 dagliga meddelanden på mellan 500 och 800 kb totalt. Det blir en mycket betydande totalkostnad om man resonerar utifrån det totala antalet användare i en hel nation. För 400 miljoner Internetanvändare skulle nedladdning av reklammeddela n- den med nuvarande teknik globalt sett i framtiden innebära totalkostnader på runt 10 miljarder euro, enbart i kostnader som belastas Internetanvändarna. 9) Förslag till direktiv om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation, EGT KOM(2000), 12 juli 2000. 9

II) - Vilket skydd i Europa? I snart fyra år har det inom Europeiska unionen pågått en diskussion om skydd för enskilda mot icke begärda elektroniska meddelanden. Diskussionen inriktas främst på två teorier. Den ena handlar om att enbart ange villkoren för utskick av icke begärd marknadskommunikation. Det är opt-out-teorin. Förespråkarna menar att registrerade som inte vill få icke begärd marknadskommunikation skall kunna uttrycka denna önskan. En del av dem som förespråkar opt-out hävdar att rätten till att motsätta sig endast skall kunna utövas mot den som skickat den icke begärda marknadskommunikationen. Andra förespråkare för opt-out tänker sig ett system med nationella eller internationella optout-listor, där alla kan anteckna sig före eller efter att ha fått icke begärd marknadskommunikation. Europeiska marknadsförare skulle skulle använda dessa listor för att respektera de registrerades uttryckta önskemål. Den andra teorin kopplar villkoren för utskick av icke begärd marknadskommunikation till villkoren för korrekt insamling av den potentiella e-postadressen. Det är opt-inteorin. Förespråkarna menar att icke begärd marknadskommunikation endast skulle kunna skickas till registrerade som på förhand samtyckt till att få sådana marknadskommunikation. II.1) En påminnelse om den europeiska rättsliga ramen för icke begärd direkt marknadsföring bör göras för att klarlägga begreppen i debatten. I det allmänna direktivet 95/46/EG (10) av den 24 oktober 1995 fastställs bl.a. i artiklarna 6, 7, 10, 11 och 14 att personuppgifter endast får behandlas om de samlats in och behandlats på ett korrekt och lagligt sätt och för särskilda välgrundade ändamål. - Artikel 6.1 a: uppgifterna skall behandlas på ett korrekt och lagligt sätt. - Artikel 7 a: behandlingen anses berättigad endast om den registrerade otvetydigt har lämnat sitt samtycke. - Artikel 7 f : behandlingen får göras om den är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige [ ] utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter." - Artikel 10: Vid direkt insamling av uppgifter från den registrerade skall information lämnas om insamlingens ändamål, mottagarna av uppgifterna, huruvida det är obligatoriskt eller frivilligt att svara på frågorna samt förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter. - Artikel 11: Om uppgifterna inte har samlats in direkt från den registrerade skall den registeransvarige informera den registrerade om registreringen eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut till tredje man. - Artikel 14: Den registrerade tillförsäkras rätten att utan kostnader motsätta sig behandling av personuppgifter som rör honom och som avser kommersiella ändamål å ena sidan, och utlämning av personuppgifter till tredje man å andra sidan, och skall informeras därom i förväg. 10) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 10

I direktiv 97/66/EG om telekommunikationer (11) fastställs tillämpningen av principerna inom telekommunikationer. Även om inte direkt marknadsföring via e-post uttryckligen nämns, fastställs det dock att (artikel 12) användningen av automatiska uppringningssystem utan mänsklig medverkan (automatisk uppringningsutrustning) eller telefaxapparater (fax) för direkt marknadsföring kan bara tillåtas i fråga om abonnenter som i förväg har gett sitt samtycke. För övriga metoder för direkt marknadsföring överlåts det åt medlemsstaterna att välja mellan ett samtycke på förhand och rätten att motsätta sig. I direktiv 97/7/EG om distansavtal (12) föreskrivs (artikel 10) förutsättningen av ett samtycke på förhand i samband med direkt marknadsföring genom automatiska uppringningssystem eller telefaxapparater. För övrigt åsyftas uttryckligen elektronisk post bland tekniker för distanskommunikation som får användas när inte konsumenten klart motsätter sig detta. I direktiv 2000/31/EG om elektronisk handel (13) föreskrivs två slag av tekniska mekanismer som kan tillämpas vid utskick av icke begärda elektroniska meddelanden. - Artikel 7.1: De medlemsstater som tillåter icke begärda kommersiella meddelanden per e-post [ ] skall säkerställa att de är klart och tydligt identifierbara som sådana, så snart som mottagaren tar emot dem. - Artikel 7.2: Medlemsstaterna skall, utan att det påverkar tillämpningen av direktiv 97/7/EG och direktiv 97/66/EG, vidta åtgärder för att se till att tjänsteleverantörer som sänder icke begärda kommersiella meddelanden per e-post regelbundet konsulterar och respekterar de opt-out -register där fysiska personer som inte önskar erhålla sådana kommersiella meddelanden kan registrera sig. Genom påminnelsen om att det finns opt-out-register främjas i direktivet av den 8 juni 2000 ett tekniskt system avsett att genomföra rätten till att motsätta sig. De undersökningar som gjordes inom ramen för denna studie visar att förespråkare och motståndare till opt-out-lösningen är övertygade om att endast rätten att motsätta sig främjas i direktiv 2000/31/EG. Det bör noteras att uppmärksamheten i massmedia i samband med att texten antogs med stor tystnad förbigick den dock tydliga viljan hos gemenskapslagstiftaren att inte behandla de grundläggande garantier som Internetanvändarna i Europa tillförsäkrats. Den tvetydighet som det ger upphov till är en källa till stor rättslig osäkerhet hos elektroniska handlare. I direktiv 2000/31/EG förefaller ingen koppling längre göras mellan korrektheten i utskicket av icke begärd marknadskommunikation och de ursprungliga insamlingsvillkoren för e-postadresser. Opt-out-register skall visserligen upprättas och i artikel 7 refereras till övriga krav som fastställs i gemenskapsrätten, enligt vilka man inte kan 11) Europaparlamentets och rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet. 12) Europaparlamentets och rådets direktiv 97/7/EG av den 20 maj 1997 om konsumentskydd vid distansavtal. Europeiska unionens medlemsstater skulle överföra direktivet till intern lagstiftning före den 21 maj 2000. 13) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (EGT L 178, 17 juli 2000), som skall överföras före den 17 januari 2002. 11

bortse från skyddet för personuppgifter. Man får dock medge att denna enda hänvisning inte upplyser Internetaktörerna om samtliga föreskrifter de skall följa. II.2 Spamming har inte invaderat Europa än Diskussioner men få konfliktsituationer Både i Europa och Förenta staterna behandlas frågan om spamming huvudsakligen ur rättssynpunkt. Sedan 1997 rapporterar den europeiska pressen om den amerikanska spamming-företeelsen och dess omfattning. Den europeiska lagstiftningen fanns dock redan före den amerikanska spamming-företeelsen, som i Europa blev illa sedd redan innan den uppstod. Man måste konstatera att europeiskt branschfolk ännu idag inte kan besvara den grundläggande frågan: Vad är en e-postadress värd?, samtidigt som affärsverksamheten med e-postförteckningar i Förenta staterna följer mycket utvecklade system för fördelning av kostnader och vinster. Nationella tillsynsmyndigheter har fram till idag endast fått in mycket få anmälningar om uppenbara fall av spamming. Det bör dock noteras att den spanska myndigheten utdömde höga böter till ett företag som skickat icke begärda elektroniska meddelanden och inte kunde bevisa att det i förväg inhämtat Internetanvändarnas samtycke. Beslutet prövas för närvarande av domstol. I Frankrike offentliggjorde CNIL (14) i oktober 1999 en orienteringsrapport (15) i vilken det konstaterades att utskick av elektroniska meddelanden [ ] bygger på i förväg insamlade elektroniska adresser, som utgör personuppgifter och att de förhållanden under vilka elektroniska adresser samlas in på Internet skall följa de bestämmelser som föreskrivs i lagstiftningen om skydd för personuppgifter och om de registrerades rättigheter, och slutligen att automatisk insamling för kommersiella ändamål av e-postadresser som finns tillgängliga på Internet är underställd att den registrerade otvetydigt lämnat sitt samtycke enligt det allmänna direktivet 95/46/EG. Arbetsgruppen artikel 29 (16) antog den 3 februari 2000 ett formellt yttrande 1/2000 om icke begärd direkt marknadsföring, som därefter fastställdes i ett formellt yttrande 7/2000 av den 2 november 2000 om Europeiska kommissionens förslag till direktiv om översyn av direktiv 97/66/EG (17), samt i ett arbetsdokument om skydd för privatlivet på Internet som antogs den 21 november 2000 (18). Arbetsgruppen påminde om att gemenskapens lagstiftning om skydd för personuppgifter gäller frågor inom elektronisk handel och att de problem som uppstår med elektronisk direkt marknadsföring kan lösas med hjälp av de allmänna principer som fastställs i direktiven 95/46/EG och 97/66/EG. Arbetsgruppen anser att de tekniska system som anges 14) CNIL, Commission Nationale de l Informatique et des Libertés. Se http://www.cnil.fr 15) Tillgänglig på franska på http://www.cnil.fr/thematic/index.htm 16) I artikel 29 i direktiv 95/46/EG inrättas en arbetsgrupp bestående av nationella tillsynsmyndigher för skydd av personuppgifter. Arbetsgruppen utgör ett rådgivande organ för skydd av personuppgifter och är oberoende av Europeiska unionen. Gruppens ansvar och uppgifter fastställs i artikel 30 i direktiv 95/46/EG och i artikel 14 i direktiv 97/46/EG. 17) Yttrande 7/2000 om Europeiska kommissionens förslag till Europaparlamentets och rådets direktiv om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation av den 12 juli 2000. 18) Yttrandena finns på http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs 12

i direktiv 2000/31/EG inte på något sätt utesluter tillämpningen av principerna för en korrekt insamling, öppenhet i senare användning av uppgifterna och rätten att motsätta sig kommersiell användning av uppgifterna samt utlämnande till tredje man. Arbetsgruppen anser vidare att insamling av e-postadresser som finns tillgängliga på Internet är oförenligt med både principen för korrekt insamling (artikel 6.1 a i direktiv 95/46/EG), principen för ändamål (artikel 6.1 b) och principen för nödvändig behandling (artikel 7 f). Arbetsgruppen stöder slutligen Europeiska kommissionens förslag till begäran om samtycke innan kommersiella icke begärda e-postmeddelanden skickas ut. Det ringa antalet rättstvister kan i sista hand förklaras med att direktiven 95/46/EG, 97/66/EG eller 97/7/EG inte ännu överförts i alla stater och att Internetanvändarna i första hand reagerar på spamming genom att vända sig till sin Internetleverantör. Försiktiga yrkesmetoder i samförstånd Ett relativt samförstånd mellan branschfolk mot spamming kan noteras. Liksom flertalet nationella och internationella organisationer för on-line-firmor anser FEDMA (19) att det är nödvändigt att bekämpa spamming. Tillfrågade förbund för on-linehandel förnekar att det skulle finnas masspostavsändare bland deras medlemmar, även om ingen av dem uppger att de fram till idag skulle ha vidtagit åtgärder för att utesluta en medlem som gjort sig skyldig till spamming. Ansvariga för varumärken visar å andra sidan intresse för bestämmelser om uteslutning vid spamming, så att inte trovärdigheten hos deras varumärke ifrågasätts. Samtidigt upprättas en mängd opt-out-förteckningar anpassade till en yrkesorganisation, en verksamhetssektor eller med nationell och även internationell räckvidd. I Frankrike till exempel är Fédération des Entreprises de vente à Distance (FEVAD) det första förbund som upprättat en förteckning e-robinson (20) mot direkt marknadsföring via e-post. I Belgien har Association Belge du Marketing Direct (ABMD) upprättat en liknande förteckning, där man lägger till ABMD:s medlemmarnas egna förteckningar över dem som inte vill bli registrerade. Liknande förteckningar håller på att upprättas i bl.a. England, Tyskland, Nederlä n- derna, Spanien, Norge, Sverige, Finland och Italien. Samtliga dessa initiativ har tagits inom ramen för antagandet av direktiv 2000/31/EG om e-handel. Alla avser i första hand att gälla en medlemsstats territorium, men flertalet förbund som stöder dem avser att inom en nära framtid utsträcka dem till att gälla på gemenskapsnivå eller utanför Europeiska unionen, i synnerhet i Förenta staterna. Mellan amerikanska DMA och vissa motsvarande europeiska organisationer pågår för närvarande projekt för partnerskap om ett gemensamt opt-out-register (21). Vissa nyligen antagna nationella bestämmelser anpassas till de privata initiativen, så att en samstämmighet på nationell nivå säkerställs om antalet konkurrerande opt-out-förteckningar skulle öka. Dessa konstateranden kan dock inte dölja att spamming fortfarande lockar men övervakas. Få klara fall av spamming i Europa kan också förklaras med både euro- 19) FEDMA, Federation of European Direct Marketing. Se http://www.fedma.org 20) http://www.e-robinson.com 21) Se http://www.e-mps.org om den amerikanska DMA:s E-mail Preference Service. 13

peiska och amerikanska tjänsteleverantörers verksamhet mot spamming. Denna dagliga kamp genererar för aktörerna en finansiell, mänsklig, teknisk och kommersiell merkostnad som står i förhållande till antalet abonnenter. Det noteras att vissa tjänsteleverantörer utbyter svarta listor över masspostavsändares adresser och man kan ifrågasätta om detta är lämpligt och berättigat. EuroISPA (22), som representerar en stor majoritet av de europeiska tjänsteleverantörerna, kämpar sedan mer än två år tillbaka mot spamming och stöder tanken att enskilda skall samtycka på förhand till kommersiell användning av deras e- postadresser. Enligt organisationen kan man endast på det här sättet säkerställa att direktiv 95/46/EG efterföljs. II. 3 Från oklara tillvägagångssätt till en mångfald metoder Förväxling mellan spamming och icke begärd direkt marknadsföring Ett återkommande massutskick av icke begärd marknadskommunikation från en avsändare som döljer eller förfalskar sin identitet betraktas vanligtvis som spamming. I detta avseende är det naturligtvis en metod för icke begärd direkt marknadsföring. Det kännetecknas av att vara massivt, återkommande och orättmätigt till sin natur. Kort sagt, spamming är oundvikligen icke begärd kommersiell direkt marknadsföring, men all icke begärd direkt marknadsföring är inte spamming. I strikt mening har den icke begärda marknadskommunikationen två egenskaper: den är kommersiell och icke begärd, d.v.s. i förväg beställd av Internetanvändaren. Detta är vad som sägs i direktiv 2000/31/EG, eftersom det inte görs någon skillnad på om marknadskommunikationen är avsedd för en företagskund, en vanlig besökare eller en Internetanvändare som marknadsföraren aldrig tidigare varit i direkt kontakt med. Även om de flesta inom branschen i Europa inte sysslar med spamming, undviker de fortfarande frågan om de vill skicka icke begärd marknadskommunikation. Men ju mer spamming särskiljs från övriga former av icke begärd direkt marknadsföring, desto mindre diskuteras emellertid huvudfrågan om insamling av e-postadresser. Villkoren för korrektheten i utskicket av ett icke begärd marknadskommunikation beror dock främst på de villkor under vilka de elektroniska adresserna samlats in. Från ruta att kryssa för till förkryssad ruta På allt fler europeiska webbplatser finns en ruta att kryssa för, så att Internetanvändaren kan välja om han/hon vill få meddelanden om direkt marknadsföring eller inte. Många europeiska yrkesorganisationer förordar denna metod som sträcker sig betydligt längre än de system som fastställs i direktiv 2000/31/EG om elektronisk handel. Vissa handlare lägger dock fortfarande ut elektroniska formulär för insamling av uppgifter, som innehåller en redan förkryssad ruta. Utvecklingen av sådana metoder är 22) Se http://www.euroispa.org 14

inte förenlig med den öppenhet och korrekthet som föreskrivs i direktiv 95/46/EG av den 24 oktober 1995 och avslöjar i detta sammanhang endast handlarens trolöshet. Från framgången med rutan att kryssa för till opt-in Vissa yrkesutövare lägger numera tydligt ut ett opt-in-val samtycke på förhand och anser det vara den bästa lösningen för elektronisk handel. Denna nuvarande starka tendens är följden av en kommersiell beräkning som sammanfaller med syftet med skydd för personuppgifter. I stället för att avbryta en kommersiell kontakt genom ett opt-out-erbjudande (rätten att motsätta sig) inbjuder handlaren Internetanvändaren till fortsatt utbyte: den tillståndsbaserade direkta marknadsföringen har inletts. Denna interaktiva kontaktform opt-in har många kommersiella fördelar. Den gynnar utförandet av en förväntad tjänst till en Internetanvändare som genom att uttrycka sina önskemål lämnat uppgifter med högt mervärde som kan klassificeras och prissättas och samtidigt lämnat ett samtycke till behandlingen. Till skillnad från opt-out-registren som inte får säljas, kan e-postadresser med opt-in bli lönsamma. Insamling och kommersiell användning av uppgifter baserade på ett på förhand lämnat samtycke från enskilda personer utgör på så sätt både en källa till lönsamhet, en ny modell för finansiering av e-handel och det bästa sättet att säkerställa att användningen av insamlade uppgifter kan spåras. Enligt detta system kan den handlare som samlat in en uppgift få ersättning när en av hans samarbetspartners använder uppgiften för direkt marknadsföring. Marknadsföraren å sin sida är säker på att vända sig till en population som är mottaglig för kommersiella erbjudanden och får effektivare kommersiella kommunikationer. Interneta n- vändarna får förtroende för de företag som på detta sätt avstår från blind direkt marknadsföring som motarbetar produktiviteten och inte är uppskattad. När Internetanvändaren begär att de uppgifter som berör honom/henne skall tas bort eller frågar om insamlingskällan till uppgifterna, kan marknadsföraren och den ursprunglige insamlaren av uppgifterna tydligt ange när, till vem och för vilket ändamål han/hon lämnat sin e-postadress. Vid en internationell konferens i Paris den 12 september 2000 (www.webcommerceeurope.com) bekräftades denna starka tendens i riktning mot tillståndsbaserad marknadsföring i Europa, och i Finland fick den formen av en etisk kodex för direkt marknadsföring som säkerställer ett samtycke på förhand. II.4 Behov av förtydligande Gemenskapstexter som förefaller inkonsekventa, olika yrkesmetoder och en stark tendens i riktning mot opt-in innebär att ett europeiskt förtydligande i ämnet brådskar. Fram till idag har redan fem medlemsstater antagit ett system med samtycke på förhand (opt-in) när icke begärd marknadskommunikation skickas ut. 15

Fyra av dem, nämligen Österrike, Danmark, Finland och Italien, har valt detta skyddssystem i samband med överföringen av direktiv 97/66/EG till nationell lagstiftning. Även den femte medlemsstaten, Tyskland, har infört kravet på samtycke på förhand men på andra rättsliga grundvalar. Det råder en viss förvirring bland branschfolk om vad som är tillåtet i Europa. Det stora antalet texter som gäller icke begärd kommersiell direkt marknadsföring tycks inte ha rett ut begreppen. Förvirringen tycks snarare öka genom en bred (felaktig) uppfattning bland branschfolk om att bestämmelserna i direktiv 2000/31/EG skulle vara autonoma och tillräckliga. I direktiven av den 20 maj 1997 om konsumentskydd vid distansavtal och av den 8 juni 2000 om elektronisk handel föreskrivs emellertid endast villkoren för utskick av ett icke begärt elektroniskt meddelande och ingalunda villkoren för en korrekt insamling av e-postadresser, något som endast föreskrivs i direktiv 95/46/EG. Vid utskick av icke begärd marknadskommunikation gäller alltså i Europa en gemensam tillämpning av fyra direktiv som skall tillämpas i tre radikalt olika situationer, beroende på om man bearbetar - en kund eller en potentiell kund som själv lämnat sin e-postadress till marknadsföraren (1), - en enskild vars e-postadress marknadsföraren erhållit från tredje man som själv fått den direkt från den registrerade (2), - eller en Internetanvändare vars e-postadress samlats in från en allmän plats på Internet (webbplats, katalog, utskickslista) utan hans vetskap. 1. Den icke begärda marknadskommunikationen är avsedd för en Internetanvändare som lämnat sin e-postadress till marknadsföraren vid en direkt kontakt. Enligt det allmänna direktivet 95/46/EG kan marknadsföraren skicka kommersiella elektroniska meddelanden till honom/henne med reservation för Internetanvändarens rätt att motsätta sig sådana meddelanden och/eller motsätta sig att av e-postadressen lämnas ut till tredje man. I direktiv 97/7/EG om konsumentskydd vid distansavtal föreskrivs att allt är möjligt om inte Internetanvändaren klart motsätter sig detta genom uttrycklig information. I direktiv 97/66/EG om telekommunikationer föreskrivs att medlemsstaterna skall välja mellan ett samtycke på förhand (ett system som fem medlemsstater antagit fram till idag) och rätten att motsätta sig. I direktiv 2000/31/EG föreskrivs slutligen att en handlare som bearbetar en egen kund tydligt skall identifiera meddelandets kommersiella egenskap å ena sidan och konsultera opt-out-registren å andra sidan. Paradoxalt nog kan direktivet om elektronisk handel innebära att ett företag hindras från att på ett naturligt sätt kontakta sin kund om denne registrerat sig på en opt-out-förteckning. 2. En Internetanvändare lämnade sin e-postadress till en handlare som därefter överlämnade sitt register med e-postadresser till tredje man för direkt marknadsföring. Enligt direktiv 95/46/EG är det lagligt att överlämna och använda registret över e-postadresser, om den som samlade in e-postadresserna i förväg informerat registrerade Internetanvändare om deras rätt att kostnadsfritt motsätta sig ett sådant överlämnande. Vid insamling on line från Internetanvändaren föreskrivs i artikel 14 i direktiv 95/46/EG att en ruta som skall kryssas för uttryckligen skall anges 16

tillsammans med tydlig information på det elektroniska insamlingsformuläret om rätten att motsätta sig ett överlämnande av uppgifterna till tredje man för kommersiella ändamål. 3. Internetadressen plockades från allmänna platser på Internet (nyhetsgrupper, förteckningar över e-postadresser, osv.). De registrerade har antagligen inte kunnat motsätta sig insamlingen på förhand. Metoden är förbjuden enligt direktivet från 1995. Den bryter mot principen för ändamål (artikel 6), den är omtvistlig med hänsyn till principen för berättigade behandlingar (artikel 7 f), den bortser från bestämmelserna i artiklarna 10 och 11 och bryter mot artikel 14. Att reda ut begreppen innebär en övergång från diskussionen om korrekta kommersiella utskick till diskussionen om korrekta villkor för insamling av uppgifter. Trots en påminnelse om tillämpningen av gemenskapens gällande lagstiftning förefaller i direktiv 2000/31/EG den inställningen segra, att utskick av icke begärd marknadskommunikation skulle vara tillåtet om meddelandet identifieras som kommersiellt och erbjuder möjligheten att stoppa, d.v.s. att endast få ett enda meddelande och omgående kunna motsätta sig fler. Genom att alla i branschen har samma skyldigheter åläggs i direktivet om e-handel den som tagit reda på en kunds intresseområden och informerat honom/henne om den kommersiella användningen av hans/hennes e-postadress, att konsultera en allmän nationell europeisk eller gränsöverskridande opt-outförteckning som skulle kunna förbjuda yrkesutövaren att skicka information om nya kommersiella erbjudanden till kunden. Genom att ange villkoren för en korrekt insamling av uppgifter kan handlaren och Internetanvändaren öppet besluta hur och om de skall fortsätta sin kontakt. Om ingen opt-in-lösning i den direkta relationen mellan handlare och kund tydligt föreskrivs i något direktiv, förefaller det naturligt att bestämmelserna som gäller direkt marknadsföring via automatisk uppringningsutrustning eller fax tillämpas för elektronisk direkt marknadsföring, eftersom de har en gemensam inkräktande egenskap som inte kan motverkas på förhand. Historiskt sett blir riskerna för missbruk allt större ju lägre kostnaden för direkt marknadsföring är. Direkt marknadsföring via e-post är på långt när den billigaste formen av direkt marknadsföring via massutskick vi känner till fram till idag. Det skydd som enskilda erbjuds har dessutom alltid anpassats till riskerna för kränkning av ordning och privatliv, gradvis från rätten att motsätta sig (direkt marknadsföring via telefon) till samtycke på förhand (direkt marknadsföring via uppringningsautomat och fax). Opt-in lösningen förefaller slutligen vara den som är bäst anpassad till Internet. Den möjliggör en lönsam förvaltning av databaser med e-postadresser, den personliga relationen mellan handlare och Internetanvändare kan fortsätta och den förefaller uppfylla Internetanvändarnas behov, något som har visat sig i Förenta staterna. Den garanterar dessutom att en uppgift används enligt Internetanvändarens önskemål. Hur kan man vara säker på att man inte bearbetar en enskild som finns registrerad i 17

en opt-outförteckning? Förespråkarna för opt-out-lösningen har fram till idag inte löst frågan. FEDMA anger således på sin webbplats att en omfattande undersökning genomförs för att kartlägga befintliga opt-out-register. Med opt-out-lösningen kan ingen skillnad göras mellan en yrkesutövare som vill skriva till sin kund och en masspostavsändare som skulle hittat en friskrivning eller en korrekt fasad i opt-out-registren. Det är lätt att föreställa sig att en varaktig opt-outlösning på sikt av rättssäkerhetsskäl kommer att kräva att tvingande nationella bestämmelser eller gemenskapsbestämmelser antas i syfte att föra samman alla uttryckta invändningar till ett enda internationellt register med mångfaldigad effekt: en Internetanvändares motvilja mot direkt marknadsföring från en eller några handlare skulle kunna anföras mot alla. Lösningen med ett samtycke på förhand till direkt marknadsföring förefaller följaktligen på bästa sätt gynna de personliga relationer som branschfolk kan ha eller upphöra att ha med en Internetanvändare. Med opt-in förbjuds inte kommersiell direkt marknadsföring till kunder eller besökare. Den är tvärtom tillåten. Det räcker med att den information som lämnats till Internetanvändaren varit tillräckligt tydlig på denna punkt. Med opt-in finns inget förbud att till tredje man lämna ut de uppgifter som Internetanvändarna lämnat, något som enligt direktivet från 1995 skall vara underordnat förhandsinformation och rätten att motsätta sig. Enligt opt-in förbjuds inte en sammanställning av förteckningar över e- postadresser. Den utgör tvärtom själva kärnan för marknaden med register för direkt marknadsföring som därmed får ett verkligt ökat värde. Med opt-in förbjuds orättmätig insamling och användning av uppgifter. Därmed säkerställs ett effektivt skydd för personuppgifter, rättssäkerhet för handlare, en atmosfär av tilltro och man behöver inte längre på konstgjord väg ställa skyddet för personuppgifter mot e-handeln. II.5 Slutsatser Åtminstone sedan 1995 har den uppfattningen rått i Europeiska unionen att det skydd som erbjuds enskilda skall vara så mycket starkare eftersom risken för kränkning av enskildas privatliv är större. Det är beklagligt att de tekniska mekanismer som direktivet om e-handel främjar inte är bättre anpassade till kriterierna för icke begärd elektronisk direkt marknadsföring (trolöshet, kränkning, utgifter för mottagaren) och att utformningen av gemenskapens text inte var klar nog att tidigare resultera i bestämmelser som var förutsägbara och anpassade till riskerna. Samtidigt antogs i vissa stater i Förenta staterna lagtexter med straffåtgärder och utövare av direkt marknadsföring via e-post upptäckte de kommersiella fördelarna med tillståndsbaserad marknadsföring. I Europa förekommer idag en blandform. Fem medlemsstater har å ena sidan valt ett system med samtycke på förhand: Tyskland, Österrike, Danmark, Finland och Italien. Företagen planerar å andra sidan att upprätta opt-out-register enligt direktiv 2000/31/EG. Vissa europeiska on-line-firmor antar slutligen kommersiella modeller baserade på opt-in. I detta sammanhang kommer Europeiska kommissionens förslag till direktiv av den 12 juli 2000 (23) i rätt tid. Syftet är att gemenskapens ram avseende skydd för uppgifter skall vara oberoende av den teknik som används. Opt-in- 23) Förslag till direktiv om behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation, EGT KOM(2000) 385, 12 juli 2000. 18

alternativet måste genomföras i synnerhet med anledning av yttrandena i denna rapport om den amerikanska och europeiska situationen. Dessutom bör man ta tillfället i akt att bringa samstämmighet i nationell lagstiftning som redan innan direktivet om e- handel överförs saknar enhetlighet för att fastställa en gemensam ståndpunkt om hur samtycke skall inhämtas på förhand. I direktiv 95/46 definieras samtycke som den enskildes rätt att fullständigt utöva de rättigheter han/hon tillförsäkrats. Förespråkarna för tillståndsbaserad marknadsföring hävdar att när väl samtycke lämnats skulle allt vara möjligt. Denna inställning skulle gynna ett skydd av uppgifter på två nivåer: ett för de sämst ställda, som skulle minska allteftersom kommersiella meddelanden lockade enskilda att samtycka till allt, i synnerhet att inte utöva sina rättigheter, och ett för övriga ekonomiskt och därmed även av samtycket oberoende enskilda personer. Denna inställning skall dock nyanseras. Samtycket kan å ena sidan endast gälla en behandling med fastställt ändamål. Samtyckets räckvidd skulle då i praktiken vara avhängig av tydligheten i den information som lämnats till den enskilde. Samtycket kan å andra sidan återkallas. Metoderna för inhämtning av samtycke online måste specificeras. I direktivet från 1995 finns en strikt definition av samtycke (artikel 2 h): det är en positiv viljeyttring till förmån för något. För att vara säker på att Internetanvändaren samtycker till den direkta marknadsföringen måste alltså hans önskemål därom uttryckligen anges. Inhämtandet av samtycke för direkt marknadsföring skulle kunna bestå i ett fält att fylla i på formuläret för insamling av uppgifter. Denna konkreta form för inhämtning av samtycke skulle följa den definition som fastställs i direktivet från 1995: om inte Internetanvändaren själv aktiverar ett fält avsett för inhämtning av hans/hennes samtycke till direkt marknadsföring, kan inte samtycket anses lämnat. Informationen till Internetanvändaren skall samtidigt utformas med största tydlighet. I och med att den genomförs i samband med insamlingen möjliggör denna mekanism en samtidig insamling av personuppgifter och av de villkor den enskilde ställt för behandlingen av dem. Genom att den finns gynnar den villkoren för en korrekt insamling av uppgifter, en grundläggande princip i europeiska lagstiftningar. Den möjliggör en omedelbar och säker kommersiell användning av uppgifter i enlighet med de enskildas rättigheter. Den inbyggda insynen i mekanismen för samtycke på förhand måste idag göras allmänt tillgänglig och var och en måste förstå att det skadar utvecklingen av e-handeln om Internetanvändarna får ifrågasätta en handlares trovärdighet i samband med inköp av en produkt eller tjänst. 19