kom (2017) 0010 - Ingen titel

Europaudvalget 2017
KOM (2017) 0010
Offentligt

EUROPA-

KOMMISSIONEN

Bruxelles, den 10.1.2017

COM(2017) 10 final

2017/0003 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med

elektroniske kommunikation og om ophævelse af direktiv 2002/58/EF (forordning om

databeskyttelse inden for elektronisk kommunikation)

(EØS-relevant tekst)

{SWD(2017) 3 final}

{SWD(2017) 4 final}

{SWD(2017) 5 final}

{SWD(2017) 6 final}

kom (2017) 0010 - Ingen titel

BEGRUNDELSE

1.1.

BAGGRUND FOR FORSLAGET

Forslagets begrundelse og formål

Strategien for et digitalt indre marked

har til formål at øge tilliden til og sikkerheden ved

digitale tjenester. Reformen af databeskyttelsesrammen og især vedtagelsen af forordning

(EU) 2016/679,

den generelle forordning om databeskyttelse

, var et vigtigt skridt i denne

henseende. Strategien for et digitalt indre marked varslede også en revision af direktiv

2002/58/EF ("e-databeskyttelsesdirektivet")

med henblik på at sikre et højt niveau af

beskyttelse af privatlivets fred for brugerne af elektroniske kommunikationstjenester samt lige

vilkår for alle markedsaktører. Nærværende forslag vedrører den planlagte revision, der

bygger på målene i strategien for et digitalt indre marked og sikrer overensstemmelse med

den generelle forordning om databeskyttelse.

E-databeskyttelsesdirektivet sikrer beskyttelsen af grundlæggende rettigheder og friheder,

navnlig retten til privatlivets fred, kommunikationshemmelighed og beskyttelse af

personoplysninger i sektoren for elektronisk kommunikation. Desuden garanterer det fri

udveksling af elektronisk kommunikation, udstyr og tjenesteydelser i Unionen. Det

gennemfører den grundlæggende ret til respekt for privatlivets fred i den afledte EU-ret, for så

vidt angår kommunikation, som fastsat i artikel 7 chartret om Den Europæiske Unions

grundlæggende rettigheder ("chartret").

I overensstemmelse med kravet om bedre regulering har Kommissionen foretaget en

efterfølgende evaluering af e-databeskyttelsesdirektivet som led i programmet for målrettet og

effektiv regulering ("Refit") . Det fremgår af evalueringen, at målsætningerne og principperne

bag den nuværende ramme stadig er gyldige. Imidlertid er der sket en betydelig teknologisk

og økonomisk udvikling på markedet siden sidste revision af direktivet i 2009. Forbrugere og

virksomheder er i stigende grad afhængige af nye internetbaserede tjenester, der muliggør

interpersonel kommunikation, såsom internettelefoni, instant messaging og webbaserede e-

mailtjenester i stedet for traditionelle kommunikationstjenester. Disse "over-the-top"-

kommunikationstjenester ("OTT-tjenester") er generelt ikke omfattet af Unionens

nuværende rammebestemmelser for elektronisk kommunikation, herunder e-

databeskyttelsesdirektivet. Følgelig har direktivet ikke holdt trit med den teknologiske

udvikling, hvilket har resulteret i et tomrum, for så vidt angår beskyttelsen af kommunikation,

der formidles gennem nye tjenester.

1.2.

Sammenhæng med de gældende regler på samme område

Dette forslag udgør særlovgivning i forhold til den generelle forordning om databeskyttelse

og vil præcisere og supplere denne for så vidt angår elektronisk kommunikation, der betragtes

som personoplysninger. Alle spørgsmål vedrørende behandling af personoplysninger, der ikke

specifikt er behandlet i forslaget, er omfattet af den generelle forordning om databeskyttelse.

Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale

Udvalg og Regionsudvalget: En strategi for et digitalt indre marked i EU, COM(2015) 192 final.

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119

af 4.5.2016, s. 1-88).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af

personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor

(direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

kom (2017) 0010 - Ingen titel

Den styrkede sammenhæng med den generelle forordning om databeskyttelse har medført, at

visse bestemmelser, såsom sikkerhedsforpligtelserne i artikel 4 e-databeskyttelsesdirektivet,

ophæves.

1.3.

Sammenhæng med Unionens politik på andre områder

E-databeskyttelsesdirektivet er en del af regelsættet for elektronisk kommunikation. I 2016

forelagde Kommissionen et direktivforslag om en

europæisk kodeks for elektronisk

kommunikation

, der udgør en revision af regelsættet. Selv om nærværende forslag ikke er

en integrerende del af kodeksen for elektronisk kommunikation, bygger det delvis på

definitionerne deri, herunder begrebet "elektroniske kommunikationstjenester". Ligesom

kodeksen omfatter nærværende forslag også udbydere af OTT-tjenester for at afspejle

virkeligheden på markedet. Desuden supplerer forslaget kodeksen ved at garantere

sikkerheden i forbindelse med elektroniske kommunikationstjenester.

Direktiv 2014/53/EU om

radioudstyr

danner grundlaget for et indre marked for radioudstyr.

Det fastsætter navnlig, at radioudstyr for at kunne markedsføres skal være forsynet med

sikkerhedsforanstaltninger til beskyttelse af brugerens personoplysninger og privatliv. I

henhold til direktivet om radioudstyr og forordning (EU) nr. 1025/2012 om europæisk

standardisering

tillægges Kommissionen beføjelser til at vedtage foranstaltninger. Dette

forslag berører ikke direktivet om radioudstyr.

Forslaget indeholder ingen særlige bestemmelser om opbevaring af data. Det fastholder

substansen i artikel 15 i e-databeskyttelsesdirektivet og bringer den i overensstemmelse med

en specifik formulering af artikel 23 i den generelle forordning om databeskyttelse, der giver

grundlag for, at medlemsstaterne kan begrænse rækkevidden af de rettigheder og forpligtelser,

der følger af bestemte artikler i e-databeskyttelsesdirektivet. Derfor kan medlemsstaterne frit

bevare eller etablere nationale rammer for dataopbevaring, der bl.a. indeholder bestemmelser

om målrettet dataopbevaring, for så vidt som disse rammer – under hensyntagen til

Domstolens praksis vedrørende fortolkningen af e-databeskyttelsesdirektivet og chartret om

grundlæggende rettigheder

– er i overensstemmelse med EU-retten.

Endelig finder forslaget ikke anvendelse på Unionens institutioners, organers og agenturers

handlinger. Imidlertid er dets principper og relevante forpligtelser vedrørende retten til

respekt for privatliv og kommunikationshemmelighed i forbindelse med behandling af

elektronisk kommunikation indarbejdet i forslaget til forordning om ophævelse af forordning

(EF) nr. 45/2001

Kommissionens forslag til Europa-Parlamentets og Rådets direktiv om en europæisk kodeks for

elektronisk kommunikation (omarbejdning) (COM/2016/0590 final - 2016/0288 (COD)).

Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af

medlemsstaternes love om tilgængeliggørelse af radioudstyr på markedet og om ophævelse af direktiv

1999/5/EF (EUT L 153 af 22.5.2014, s. 62-106).

Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk

standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og

Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF,

2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets

og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12-33).

Se forenede sager C-293/12 og C-594/12

Digital Rights Ireland og Seitlinger m.fl.,

ECLI:EU:C:2014:238; Forenede sager C-203/15 og C-698/15,

Tele2 Sverige AB og Secretary of State

for the Home Department,

ECLI:EU:C:2016:970.

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -

organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

kom (2017) 0010 - Ingen titel

2.1.

RETSGRUNDLAG,

NÆRHEDSPRINCIPPET

PROPORTIONALITETSPRINCIPPET

Retsgrundlag

Retsgrundlaget for forslaget er artikel 16 og artikel 114 i traktaten om Den Europæiske

Unions funktionsmåde ("TEUF").

Med artikel 16 i TEUF er der indført et specifikt retsgrundlag for vedtagelsen af regler for

beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af

Unionens institutioner samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet

af EU-retten, og regler for den frie udveksling af personoplysninger. Da elektronisk

kommunikation, der involverer en fysisk person, normalt kan betragtes som

personoplysninger, bør beskyttelsen af fysiske personer, for så vidt angår privatlivets fred i

forbindelse med kommunikation og behandling af sådanne oplysninger, være baseret på

artikel 16.

Desuden har forslaget til formål at beskytte kommunikation og juridiske personers legitime

interesser i forbindelse hermed. Betydningen og rækkevidden af de rettigheder, der er

omhandlet i chartrets artikel 7, skal i overensstemmelse med chartrets artikel 52, stk. 3, være

de samme som dem, der er fastsat i artikel 8, stk. 1, i den europæiske konvention til

beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder ("EMRK"). Hvad

angår anvendelsesområdet for chartrets artikel 7, bekræfter

EU-Domstolens

og Den

Europæiske Menneskerettighedsdomstols

retspraksis

, at juridiske personers aktiviteter af

erhvervsmæssig karakter ikke kan udelukkes fra beskyttelsen af den rettighed, der er sikret

ved chartrets artikel 7 og menneskerettighedskonventionens artikel 8.

Da initiativet har et dobbelt formål, og da aspekter vedrørende beskyttelse af juridiske

personers kommunikation og målet om at virkeliggøre et indre marked for denne type

elektronisk kommunikation og sikre, at det fungerer tilfredsstillende i denne henseende, ikke

kan anses for at være af underordnet betydning, bør initiativet derfor også baseres på

artikel 114 i TEUF.

2.2.

Nærhedsprincippet

Respekt for kommunikation er en grundlæggende rettighed, der er anerkendt i chartret.

Indholdet af elektronisk kommunikation kan afsløre meget følsomme oplysninger om de

slutbrugere, der er involveret i kommunikationen. Ligeledes kan metadata, der afledes af

elektronisk kommunikation, også afsløre meget følsomme og personlige oplysninger, hvilket

EU-Domstolen udtrykkelig har anerkendt

. De fleste medlemsstater anerkender også behovet

for at beskytte kommunikation som en særskilt forfatningsmæssig rettighed. Selv om det er

muligt for medlemsstaterne at vedtage politikker, der sikrer, at denne ret ikke tilsidesættes,

ville dette ikke kunne opnås på en ensartet måde i mangel af EU-regler, og det ville skabe

begrænsninger for grænseoverskridende strømme af personoplysninger og ikke-

personoplysninger i forbindelse med brug af elektroniske kommunikationstjenester. Endelig

er det – for at sikre overensstemmelse med den generelle forordning om databeskyttelse –

Se bl.a. Menneskerettighedsdomstolens domme

Niemietz v Germany,

dom af 16. december 1992, serie

A nr. 251-B, § 29;

Société Colas Est m.fl. mod Frankrig,

nr. 37971/97, § 41; ECHR 2002-III.

Peck mod

Det Forenede Kongerige

nr. 44647/98, § 57, ECHR 2003-I; samt

Vinci Construction og GTM Génie

Civil et Services mod Frankrig,

nr. 63629/10 og 60567/10, § 63, 2. april 2015.

Se C-450/06

Varec SA,

ECLI:EU:C:2008:91, § 48.

Se fodnote 7.

kom (2017) 0010 - Ingen titel

nødvendigt at revidere e-databeskyttelsesdirektivet og vedtage foranstaltninger for at bringe

disse to retsakter i overensstemmelse med hinanden.

Den teknologiske udvikling og ambitionerne for strategien for et digitalt indre marked har

styrket begrundelsen for handling på EU-plan. Hvorvidt EU's digitale indre marked bliver en

succes afhænger af, hvor effektivt EU nedbringer nationale barrierer og udnytter fordelene og

mulighederne ved et europæisk digitalt indre marked. Og eftersom internettet og digitale

teknologier ikke kender nogen grænser, rækker problemets omfang ud over den enkelte

medlemsstats område. Medlemsstaterne kan ikke effektivt løse problemerne i den nuværende

situation. Lige vilkår for økonomiske operatører, der leverer substituerbare tjenester, og lige

beskyttelse af slutbrugerne på EU-plan er en forudsætning for, at det digitale indre marked

kan fungere ordentligt.

2.3.

Proportionalitetsprincippet

For at sikre en effektiv retlig beskyttelse af retten til respekt for privatlivet og

kommunikationshemmelighed er det nødvendigt at udvide anvendelsesområdet til også at

omfatte OTT-udbydere. Selv om en række populære OTT-udbydere allerede overholder, eller

delvis overholder, princippet om kommunikationshemmelighed, kan beskyttelsen af de

grundlæggende rettigheder ikke overlades til selvregulering i branchen. Desuden bliver det

mere og mere nødvendigt at sikre en effektiv beskyttelse af privatlivets fred i forbindelse med

terminaludstyr, der er blevet et uundværligt værktøj i privat- og arbejdslivet til opbevaring af

følsomme oplysninger. Gennemførelsen af e-databeskyttelsesdirektivet har ikke reelt styrket

brugernes indflydelse. For at nå målet er det derfor nødvendigt at gennemføre dette princip

ved at centralisere indhentningen af samtykke i softwaren og få brugerne til at handle ved at

forsyne dem med oplysninger om privatlivsindstillinger. Håndhævelsen af denne forordning

påhviler tilsynsmyndighederne og er underlagt sammenhængsmekanismen i den generelle

forordning om databeskyttelse. Derudover giver forslaget medlemsstaterne mulighed for at

træffe nationale undtagelsesforanstaltninger til bestemte legitime formål. Forslaget går således

ikke videre, end hvad der er nødvendigt for at nå målet, og er i overensstemmelse med

proportionalitetsprincippet, som fastsat i artikel 5 traktaten om Den Europæiske Union. De

forpligtelser, der pålægges de berørte tjenester, holdes på det lavest mulige niveau, uden at de

pågældende grundlæggende rettigheder derved indskrænkes.

2.4.

Valg af retsakt

Kommissionen fremsætter et forslag til forordning for at sikre overensstemmelse med den

generelle forordning om databeskyttelse og retssikkerhed for brugerne og erhvervslivet ved at

undgå forskellige fortolkninger i medlemsstaterne. En forordning kan sikre et ensartet

beskyttelsesniveau i hele EU for brugerne og nedbringe efterlevelsesomkostningerne for

virksomheder, der opererer på tværs af grænserne.

3.1.

RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF

INTERESSEREDE PARTER OG KONSEKVENSANALYSER

Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

Som led i Refit-evalueringen er det blevet undersøgt, hvor effektivt e-

databeskyttelsesdirektivet har bidraget til en tilstrækkelig beskyttelse af retten til respekt for

privatliv og kommunikationshemmelighed i EU. Det har også været målet at påpege mulige

overlapninger.

Konklusionen på Refit-evalueringen er, at de ovennævnte mål for direktivet fortsat er

relevante.

Den generelle forordning om databeskyttelse sikrer beskyttelse af

kom (2017) 0010 - Ingen titel

personoplysninger, og e-databeskyttelsesdirektivet sikrer kommunikationshemmeligheden,

der også kan omfatte ikke-personoplysninger og oplysninger vedrørende juridiske personer.

Derfor bør et særskilt instrument sikre en effektiv beskyttelse af rettighederne i chartrets

artikel 7.

Andre

bestemmelser,

såsom

reglerne

vedrørende

uanmodede

markedsføringsmeddelelser, har også vist sig fortsat at være relevante.

For så vidt angår

virkning og effektivitet,

er konklusionen af Refit-evalueringen, at direktivet

ikke fuldt ud har opfyldt sine mål. Den uklare formulering af visse bestemmelser og

tvetydighed i retlige begreber har været til hinder for en harmonisering, hvilket har skabt

problemer for foretagender, der vil drive virksomhed på tværs af grænserne. Evalueringen har

desuden vist, at visse bestemmelser har skabt en unødvendig byrde for både virksomheder og

forbrugere. F.eks. har samtykkereglen, der skal beskytte fortroligheden i forbindelse med

terminaludstyr, ikke opfyldt sit mål, eftersom slutbrugerne stilles over for opfordringer til at

acceptere sporingscookies uden at forstå deres betydning og i visse tilfælde endda udsættes

for, at der anbringes cookies uden deres samtykke. Samtykkereglen er på den ene side for

omfattende, da den også dækker fremgangsmåder, der ikke griber ind i privatlivets fred, og på

den anden ikke omfattende nok, da den ikke klart dækker visse sporingsteknologier (f.eks.

"device fingerprinting"), der muligvis ikke indebærer adgang/opbevaring i udstyret. Endelig

kan det være dyrt for virksomhederne at efterleve reglen.

Evalueringen har vist, at e-databeskyttelsesreglerne stadig har en

merværdi på EU-plan

med

henblik på at nå målet om at beskytte privatlivets fred online på et stadig mere

grænseoverskridende marked for elektronisk kommunikation. Den viste også, at der i det store

hele er

sammenhæng

mellem reglerne og den øvrige relevante lovgivning, selv om der er

påpeget enkelte overlapninger i forhold til den nye generelle forordning om databeskyttelse

(jf. afsnit 1.2).

3.2.

Høringer af interesserede parter

Kommissionen gennemførte en offentlig høring mellem den 12. april og den 5. juli 2016 og

modtog 421 svar

. De vigtigste resultater er følgende

–

Om behovet for særlige regler for den elektroniske kommunikationssektor

vedrørende kommunikationshemmelighed:

83,4 % af de borgere, forbrugere og

civilsamfundsorganisationer, der har reageret på høringen, og 88,9 % af de offentlige

myndigheder mener, at der er behov for særlige regler, mens 63,4 % af

respondenterne fra erhvervslivet er uenige i dette.

udvidelse

anvendelsesområdet

til

omfatte

nye

kommunikationstjenester ("OTT-tjenester):

76 % af borgerne og civilsamfundet

og 93,1 % af de offentlige myndigheder er enige i, at anvendelsesområdet bør

udvides, mens kun 36,2 % af respondenterne fra erhvervslivet går ind for en sådan

udvidelse.

Om ændring af undtagelserne fra reglen om samtykke til behandling af

trafikdata og lokaliseringsdata:

49,1 % af borgerne, forbrugerne og

civilsamfundsorganisationerne og 36 % af de offentlige myndigheder foretrækker

ikke at udvide undtagelserne, mens 36 % af virksomhederne går ind for udvidede

162 bidrag fra borgere, 33 fra civilsamfundet og forbrugerorganisationerne; 186 fra erhvervslivet og 40

fra offentlige myndigheder, herunder de kompetente myndigheder, der håndhæver e-

databeskyttelsesdirektivet.

Den fuldstændige rapport findes på: https://ec.europa.eu/digital-single-market/news-redirect/37204.

–

kom (2017) 0010 - Ingen titel

undtagelser, og to tredjedele af virksomhederne taler for helt at ophæve

bestemmelserne.

–

Om støtte til løsninger, der foreslås på cookiesamtykkeproblemet:

81,2 % af

borgerne og 63 % af de offentlige myndigheder går ind for at pålægge fabrikanter af

terminaludstyr forpligtelser til at markedsføre produkter med indbygget

privatlivsbeskyttelse, der er aktiveret, mens 58,3 % af virksomhederne foretrækker

selv- eller samregulering.

Desuden har Europa-Kommissionen afholdt to workshopper i april 2016 – én for de nationale

kompetente myndigheder og én, som alle interesserede parter kunne deltage i – hvor de

vigtigste spørgsmål i den offentlige høring blev drøftet. De synspunkter, der kom til udtryk

under workshopperne, afspejler resultatet af den offentlige høring.

For at indhente synspunkter fra borgerne blev der gennemført en Eurobarometerundersøgelse

om e-databeskyttelse

i hele EU. De vigtigste resultater er følgende

–

3.3.

–

78 % mener, at det er meget vigtigt, at personlige oplysninger på deres computer,

smartphone eller tablet kun kan tilgås med deres tilladelse.

72 % siger, at det er meget vigtigt, at fortroligheden af deres e-mails og instant

messaging er garanteret.

89 % tilslutter sig forslaget om, at standardindstillingerne i browsere bør forhindre, at

brugernes oplysninger videregives.

Indhentning og brug af ekspertbistand

Målrettede høringer af EU-ekspertgrupper: Udtalelse fra Artikel 29-Gruppen,

Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse, Udtalelse fra

Refit-platformen, BEREC's synspunkter, ENISA's synspunkter samt synspunkter

blandt

medlemmerne

Samarbejdsnetværket

for

Håndhævelse

Forbrugerbeskyttelse.

Ekstern ekspertbistand, navnlig følgende to undersøgelser:

–

"ePrivacy Directive: assessment of transposition, effectiveness and

compatibility with proposed Data Protection Regulation" (SMART

2013/007116).

"Evaluation and review of Directive 2002/58 on privacy and the electronic

communication sector" (SMART 2016/0080).

Kommissionen har benyttet sig af følgende eksterne ekspertbistand:

–

3.4.

Konsekvensanalyse

Der er gennemført en konsekvensanalyse af dette forslag, som Udvalget for Forskriftskontrol

afgav en positiv udtalelse

om den 28. september 2016. Som reaktion på udvalgets

anbefalinger indeholder konsekvensanalysen en mere udførlig redegørelse for initiativets

anvendelsesområde, dets sammenhæng med andre retlige instrumenter (den generelle

databeskyttelsesforordning, forslaget om en europæisk kodeks for elektronisk

kommunikation, direktivet om radioudstyr) og behovet for en særskilt retsakt. Beskrivelsen af

2016-Eurobarometerundersøgelse (EB) 443 om e-databeskyttelse (SMART 2016/079).

Den fuldstændige rapport findes på: https://ec.europa.eu/digital-single-market/news-redirect/37205.

http://ec.europa.eu/transparency/regdoc/?fuseaction=ia.

kom (2017) 0010 - Ingen titel

referencescenariet er uddybet og præciseret. Analysen af virkningerne er styrket og fremstilles

mere afbalanceret, så beskrivelsen af de forventede udgifter og fordele bliver klarere og mere

udførlig.

Følgende politiske løsningsmodeller er blevet vurderet ud fra kriterierne om effektivitet,

omkostningseffektivitet og sammenhæng:

–

Løsningsmodel 1:

Ikkelovgivningsmæssige foranstaltninger ("blød lovgivning")

Løsningsmodel

Begrænset

styrkelse

fred/kommunikationshemmeligheden samt forenkling

Løsningsmodel

Moderat

styrkelse

fred/kommunikationshemmeligheden samt forenkling

Løsningsmodel

Vidtgående

styrkelse

fred/kommunikationshemmeligheden samt forenkling

Løsningsmodel 5:

Ophævelse af e-databeskyttelsesdirektivet.

privatlivets

Løsningsmodel 3

blev i forbindelse med de fleste aspekter fremhævet som den

foretrukne

løsning

med henblik på at nå målene og samtidig tage hensyn til løsningens effektivitet og

sammenhæng med andre tiltag. De vigtigste fordele er:

–

Beskyttelsen af kommunikationshemmeligheden i forbindelse med elektronisk

kommunikation styrkes, ved at anvendelsesområdet for det retlige instrument

udvides

til

omfatte

nye

funktionelt

tilsvarende

elektroniske

kommunikationstjenester. Desuden styrker forordningen slutbrugerens kontrol ved at

præcisere, at samtykke kan udtrykkes ved hjælp af passende tekniske indstillinger.

Beskyttelsen mod uanmodet kommunikation styrkes med indførelsen af et krav om

visning af opkaldende nummer eller et obligatorisk præfiks for

marketingshenvendelser og de øgede muligheder for at blokere for opkald fra

uønskede numre.

Lovrammerne forenkles og præciseres, idet medlemsstaternes råderum begrænses,

forældede bestemmelser ophæves, og undtagelserne fra samtykkereglerne udvides.

–

De økonomiske konsekvenser af løsningsmodel 3 forventes generelt at stå i et rimeligt forhold

til formålet med forslaget. Der skabes nye forretningsmuligheder i forbindelse med

behandling af kommunikationsdata for de traditionelle elektroniske kommunikationstjenester,

mens OTT-udbydere underkastes de samme regler. Dette indebærer yderligere omkostninger

for disse udbydere. Ændringen vil dog ikke få nogen væsentlig betydning for de OTT-

udbydere, der allerede arbejder på grundlag af samtykke. Endelig vil virkningen af denne

løsningsmodel ikke kunne mærkes i de medlemsstater, der allerede har udvidet

anvendelsesområdet for samtykkereglerne til at omfatte OTT-udbydere.

Ved at centralisere indhentningen af samtykke i softwaren, såsom internetbrowsere, og

tilskynde brugerne til at vælge deres privatlivsindstillinger, og ved at udvide undtagelserne fra

reglen om samtykke til cookies vil en betydelig del af virksomhederne kunne fjerne

cookiebannere og meddelelser, hvilket kan medføre store besparelser og forenkling.

Imidlertid kan det blive vanskeligere for annoncører, der udsender målrettede onlinereklamer,

at indhente samtykke, hvis en stor del af brugerne vælger indstillingen "afvis

tredjepartscookies". Samtidig fratager den centraliserede indhentning af samtykke ikke

webstedsoperatører muligheden for at opnå godkendelse ved hjælp af individuelle

anmodninger til slutbrugerne og således bevare deres nuværende forretningsmodel. Der vil

kom (2017) 0010 - Ingen titel

opstå yderligere omkostninger for nogle udbydere af browsere eller lignende software, da de

vil være nødt til at sørge for privatlivsbeskyttende indstillinger.

Den eksterne undersøgelse har opstillet tre forskellige gennemførelsesscenarier for

løsningsmodel 3, alt afhængigt af hvem der etablerer dialogboksen mellem en bruger, der har

valgt indstillingen "afvis tredjepartscookies" eller "ingen sporing", og de websteder, som

denne bruger besøger, og som gerne vil have brugeren til at genoverveje sit valg. Denne

tekniske opgave kan varetages af følgende parter: 1) software såsom internetbrowsere, 2) den

tredjepart, der foretager sporingen, 3) de enkelte websteder (dvs. de

informationssamfundstjenester, som brugeren har opsøgt). Løsningsmodel 3 vil føre til

samlede besparelser i efterlevelsesomkostningerne set i forhold til referencescenariet på 70 %

(948,8 mio. EUR) i det første gennemførelsesscenarie (browserløsningen), der er

implementeret i nærværende forslag. Omkostningsbesparelserne ville være lavere i de andre

scenarier. Da de samlede besparelser overvejende skyldes et meget betydeligt fald i antallet af

berørte virksomheder, vil de forventede efterlevelsesomkostninger for den enkelte

virksomhed – i gennemsnit – være højere end i dag.

3.5.

Målrettet regulering og forenkling

De politiske tiltag, der foreslås i den foretrukne løsningsmodel, opfylder målet om forenkling

og begrænsning af den administrative byrde i overensstemmelse med resultaterne af Refit-

evalueringen og udtalelsen fra Refit-platformen

Refit-platformen har fremsat tre sæt anbefalinger for Kommissionen:

–

Beskyttelsen af borgernes privatliv bør styrkes, ved at e-databeskyttelsesdirektivet

bringes i overensstemmelse med den generelle forordning om databeskyttelse.

Beskyttelsen af borgerne mod uanmodet markedsføring bør gøres mere effektiv ved

at udvide undtagelserne fra samtykkereglen vedrørende cookies.

Kommissionen bør gribe ind over for problemer med gennemførelsen på nationalt

plan og fremme udvekslingen af bedste praksis blandt medlemsstaterne.

Teknologineutrale definitioner, der vil kunne dække nye tjenester og teknologier for

at sikre, at forordningen er fremtidssikret.

Bestemmelserne om sikkerhed ophæves for at undgå overlapning i lovgivningen.

Anvendelsesområdet præciseres for at bidrage til at udrydde/begrænse risikoen for, at

reglerne gennemføres forskelligt i medlemsstaterne (punkt 3 i udtalelsen).

Samtykkereglen om brug af cookies og andre identifikatorer præciseres og forenkles

som forklaret i afsnit 3.1 og 3.4 (punkt 2 i udtalelsen).

Tilsynsmyndighederne er de samme som de myndigheder, der skal håndhæve den

generelle forordning om databeskyttelse, og sammenhængsmekanismen i den

generelle forordning om databeskyttelse finder anvendelse.

Indvirkning på de grundlæggende rettigheder

Hovedpunkterne i forslaget er:

–

3.6.

Forslaget har til formål at styrke beskyttelsen af privatlivets fred og personoplysninger, der

behandles i forbindelse med elektronisk kommunikation, i overensstemmelse med artikel 7 og

8 i chartret om Den Europæiske Unions grundlæggende rettigheder, samt at øge

http://ec.europa.eu/smart-regulation/refit/refit-platform/docs/recommendations/opinion_comm_net.pdf.

kom (2017) 0010 - Ingen titel

retssikkerheden. Forslaget supplerer og præciserer den generelle forordning om

databeskyttelse. En effektiv beskyttelse af kommunikationshemmeligheden er afgørende for

udøvelsen af ytrings- og informationsfriheden og andre beslægtede rettigheder, såsom retten

til beskyttelse af personoplysninger og retten til tanke-, samvittigheds- og religionsfrihed.

VIRKNINGER FOR BUDGETTET

Forslaget har ingen virkninger for Unionens budget.

5.1.

ANDRE FORHOLD

Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og

rapportering

Kommissionen vil overvåge anvendelsen af forordningen og forelægge en rapport om

evalueringen for Europa-Parlamentet og Rådet og Det Europæiske Økonomiske og Sociale

Udvalg hvert tredje år. I disse rapporter, der vil blive offentliggjort, vil der blive gjort rede

for, hvordan forordningen anvendes og håndhæves i praksis.

5.2.

Nærmere redegørelse for de enkelte bestemmelser i forslaget

Kapitel I indeholder de generelle bestemmelser: Genstand (artikel 1), anvendelsesområde

(artikel 2 og 3) og definitioner, herunder henvisninger til relevante definitioner fra andre EU-

instrumenter, herunder den generelle forordning om databeskyttelse.

Kapitel II indeholder de centrale bestemmelser, som sikrer fortroligheden af elektronisk

kommunikation (artikel 5), og fastsætter, til hvilke begrænsede formål elektroniske

kommunikationsoplysninger må behandles, samt betingelserne for en sådan behandling

(artikel 6 og 7). Kapitlet indeholder også bestemmelser, der har til formål at beskytte

terminaludstyr ved i) at sikre integriteten af de oplysninger, der opbevares i det, og ii) at

beskytte oplysninger, der udsendes af terminaludstyr, da disse kan muliggøre identifikation af

slutbrugeren (artikel 8). Endelig fastsætter artikel 9 nærmere bestemmelser om indhentning af

samtykke fra slutbrugerne, der udgør et centralt retligt grundlag i denne forordning, idet der

udtrykkeligt henvises til definitionen af samtykke og betingelserne herfor i den generelle

forordning om databeskyttelse, mens artikel 10 indfører en forpligtelse for udbydere af

software, der muliggør elektronisk kommunikation, til at hjælpe slutbrugerne til at træffe

formålstjenlige valg om privatlivsindstillingerne. Artikel 11 indeholder nærmere

bestemmelser om, til hvilke formål og under hvilke betingelser medlemsstaterne kan

indskrænke de ovennævnte bestemmelser.

Kapitel III omhandler slutbrugernes ret til at have kontrol med afsendelse og modtagelse af

elektronisk kommunikation med henblik på at beskytte deres privatliv: i) slutbrugernes ret til

at forhindre visning af opkaldende nummer for at sikre anonymitet (artikel 12), samt

begrænsningerne i denne ret (artikel 13); og ii) en forpligtelse for udbydere af offentligt

tilgængelig nummerbaseret interpersonel kommunikation til at give mulighed for at begrænse

modtagelsen af uønskede opkald (artikel 14). Dette kapitel fastsætter også betingelserne for

opførelse af slutbrugere i offentligt tilgængelige fortegnelser (artikel 15) og de betingelser,

hvorunder der kan foretages uanmodede henvendelser med henblik på direkte markedsføring

(artikel 17). Det vedrører desuden sikkerhedsrisici og fastsætter krav om, at udbydere af

elektroniske kommunikationstjenester advarer brugerne i tilfælde af en særlig risiko, der kan

bringe sikkerheden i deres net og tjenester i fare. Kravene vedrørende sikkerhed i den

generelle forordning om databeskyttelse og i den europæiske kodeks for elektronisk

kommunikation finder anvendelse på udbydere af elektroniske kommunikationstjenester.

kom (2017) 0010 - Ingen titel

Kapitel IV indeholder bestemmelser om tilsyn og håndhævelse af denne forordning, som

overlades til de tilsynsmyndigheder, der har ansvar for håndhævelsen af den generelle

forordning om databeskyttelse, i betragtning af den tætte forbindelse mellem de generelle

spørgsmål om databeskyttelse og kommunikationshemmeligheden (artikel 18). Det

Europæiske Databeskyttelsesråds beføjelser udvides (artikel 19), og samarbejds- og

sammenhængsmekanismen i den generelle forordning om databeskyttelse finder anvendelse i

tilfælde af grænseoverskridende spørgsmål vedrørende denne forordning (artikel 20).

Kapitel V indeholder bestemmelser om de forskellige retsmidler, der er til rådighed for

slutbrugerne (artiklerne 21 og 22), og de sanktioner, der kan pålægges (artikel 24), herunder

de generelle betingelser for pålæggelse af administrative bøder (artikel 23).

Kapitel VI vedrører vedtagelsen af delegerede retsakter og gennemførelsesretsakter i

overensstemmelse med traktatens artikel 290 og 291.

Endelig indeholder kapitel VII de afsluttende bestemmelser i forordningen: ophævelse af e-

databeskyttelsesdirektivet, tilsyn og evaluering, ikrafttræden og anvendelse. I forbindelse med

revisionen vil Kommissionen bl.a. vurdere, om en særskilt retsakt er fortsat nødvendig set i

lyset af den retlige, tekniske og økonomiske udvikling og under hensyntagen til den første

evaluering af forordning (EU) 2016/679, som skal foreligge senest den 25. maj 2020.

kom (2017) 0010 - Ingen titel

2017/0003 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med

elektroniske kommunikation og om ophævelse af direktiv 2002/58/EF (forordning om

databeskyttelse inden for elektronisk kommunikation)

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16 og

114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg

under henvisning til udtalelse fra Regionsudvalget

under henvisning til udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)

I artikel 7 af Den Europæiske Unions charter om grundlæggende rettigheder

("chartret") beskyttes enhvers ret til respekt for sit privatliv og familieliv, sit hjem og

sin kommunikation. Respekt for ens private kommunikation er en væsentlig del af

denne rettighed. Fortroligheden af elektronisk kommunikation sikrer, at udvekslingen

af oplysninger mellem parter og det eksterne element af denne type kommunikation,

herunder hvornår oplysningerne er sendt, hvorfra, og til hvem, ikke åbenbares for

andre end de parter, der er involveret i kommunikationen. Fortrolighedsprincippet bør

omfatte alle nuværende og fremtidige kommunikationsmidler, herunder telefonopkald,

internetadgang, instant messaging-applikationer, e-mail, internettelefonopkald og

private beskeder sendt gennem sociale medier.

Indholdet af elektronisk kommunikation kan åbenbare yderst følsomme oplysninger

om de fysiske personer, der er involveret i kommunikationen, fra personlige oplevelser

og følelser til sygdomstilstande, seksuel orientering og politiske synspunkter, som hvis

de åbenbares, vil kunne medføre personlig og social skade, økonomiske tab eller

forlegenhed. Ydermere kan metadata afledt fra elektronisk kommunikation også

videregive meget følsomme og personlige oplysninger. Disse metadata omfatter,

hvilke numre der er ringet til, hvilke websteder der er besøgt, geografisk placering,

EUT C […] af […], s. […].

(2)

kom (2017) 0010 - Ingen titel

tidspunkt, dato og varighed af et foretaget opkald osv., og gør det muligt at drage

nøjagtige konklusioner vedrørende privatlivet for de personer, der har været involveret

i den elektroniske kommunikation, som f.eks. deres social forhold, deres vaner og

hverdagsaktiviteter, deres interesser, deres smag osv.

(3)

Elektroniske kommunikationsdata kan også videregive oplysninger om juridiske

personer, som f.eks. forretningshemmeligheder eller andre følsomme oplysninger, som

har økonomisk værdi. Derfor bør bestemmelserne i denne forordning finde anvendelse

på både fysiske og juridiske personer. Endvidere bør denne forordning sikre, at

bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679

også

finder anvendelse for slutbrugere, som er juridiske personer. De omfatter bl.a.

definitionen af samtykke i forordning (EU) 2016/679. Når der henvises til samtykke

fra en slutbruger, herunder juridiske personer, bør denne definition finde anvendelse.

Ydermere bør juridiske personer have samme rettigheder som slutbrugere, der er

fysiske personer, for så vidt angår tilsynsmyndighederne, og endvidere bør

tilsynsmyndighederne i henhold til denne forordning også være ansvarlige for

overvågningen af forordningens anvendelse på juridiske personer.

I henhold til artikel 8, stk. 1, i chartret og artikel 16, stk. 1, i traktaten om Den

Europæiske Unions funktionsmåde har enhver ret til beskyttelse af personoplysninger,

der vedrører den pågældende. I forordning (EU) 216/679 fastsættes regler om

beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og

regler om fri udveksling af personoplysninger. Elektroniske kommunikationsdata kan

omfatte personoplysninger som defineret i forordning (EU) 2016/679.

Bestemmelserne i denne forordning præciserer og komplementerer de generelle regler

om beskyttelse af personoplysninger, som er fastsat i forordning (EU) 2016/679, for så

vidt angår elektroniske kommunikationsdata, der kan betegnes som personoplysninger.

Denne forordning sænker derfor ikke beskyttelsesniveauet for fysiske personer i

henhold til forordning (EU) 2016/679. Behandling af elektroniske

kommunikationsdata

foretaget

leverandører

elektroniske

kommunikationstjenester bør kun være tilladt i overensstemmelse med denne

forordning.

Selv om principperne og de vigtigste bestemmelser i Europa-Parlamentets og Rådets

direktiv 2002/58/EF

fortsat er fornuftige, har direktivet ikke helt fulgt med den

teknologiske og markedsmæssige udvikling, hvilket fører til en usammenhængende

eller utilstrækkelig beskyttelse af privatlivets fred og fortrolighed i forbindelse med

elektronisk kommunikation. Denne udvikling omfatter indtræden på markedet af

elektroniske kommunikationstjenester, som set fra et forbrugerperspektiv kan erstatte

traditionelle tjenester, men som ikke skal overholde de samme regler. En anden

udvikling vedrører nye teknikker, som gør det muligt at overvåge slutbrugernes

onlineadfærd, hvilket ikke er omfattet af direktiv 2002/58/EF. Direktiv 2002/58/EF

bør derfor ophæves og erstattes af nærværende forordning.

(4)

(5)

(6)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119

af 4.5.2016, s. 1-88).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af

personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor

(direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

kom (2017) 0010 - Ingen titel

(7)

Det bør være tilladt for medlemsstaterne inden for rammerne af nærværende

forordning at bevare eller indføre nationale bestemmelser, som yderligere præciserer

og tydeliggør anvendelsen af reglerne i nærværende forordning med henblik på at

sikre effektiv anvendelse og fortolkning af disse regler. Derfor bør den skønsmargin,

som medlemsstaterne har i den forbindelse, tage hensyn til balancen mellem

beskyttelse af privatlivets fred og personoplysninger og elektroniske

kommunikationsdatas fri bevægelighed.

Nærværende forordning bør finde anvendelse på leverandører af elektroniske

kommunikationstjenester, på leverandører af offentligt tilgængelige fortegnelser og på

leverandører af software, som muliggør elektronisk kommunikation, herunder søgning

og fremvisning af oplysninger på internettet. Denne forordning bør også finde

anvendelse på fysiske og juridiske personer, der anvender elektroniske

kommunikationstjenester til at sende kommercielle direkte markedsføringsmeddelelser

eller til at indsamle oplysninger om eller lagret på slutbrugerens terminaludstyr.

Denne forordning bør finde anvendelse på elektroniske kommunikationsdata, der

behandles i forbindelse med levering og anvendelse af elektroniske

kommunikationstjenester i Unionen, uanset om behandlingen finder sted i Unionen

eller ej. For ikke at snyde slutbrugerne i Unionen for effektiv beskyttelse, bør

forordningen også finde anvendelse på elektroniske kommunikationsdata, der

behandles i forbindelse med levering af elektroniske kommunikationstjenester uden

for Unionen til slutbrugere i Unionen.

Radioudstyr og tilhørende software der bringes i omsætning på Unionens indre

marked, skal overholde Europa-Parlamentets og Rådets direktiv 2014/53/EU

. Denne

forordning bør ikke påvirke anvendelsen af eventuelle andre krav i direktiv

2014/53/EU eller Kommissionens beføjelser til at vedtage delegerede retsakter i

henhold til direktiv 2014/53/EU, hvoraf det kræves, at specifikke

radioudstyrskategorier eller -klasser sikrer, at slutbrugerens personoplysninger og

privatliv er beskyttet.

Tjenester der bruges til at kommunikere, og de tekniske metoder til at sikre dette, har

udviklet sig meget. I stedet for traditionelle taletelefonitjenester, tekstbeskeder (sms)

og e-mailtjenester anvender slutbrugerne i stigende grad funktionelt tilsvarende

onlinetjenester som f.eks. internettelefoni, beskedtjenester og webbaserede e-

mailtjenester. For at sikre en effektiv og ens beskyttelse af slutbrugere, når de

anvender funktionelt tilsvarende tjenester, anvendes den definitionen af elektroniske

kommunikationstjenester, som er fastsat i [Europa-Parlamentets og Rådets direktiv om

en europæiske kodeks for elektronisk kommunikation

] i denne forordning. Denne

definition omfatter ikke kun internetadgangstjenester og tjenester, som helt eller delvis

består i overføring af signaler, men også interpersonelle kommunikationstjenester,

som kan være nummerbaserede, som f.eks. internettelefoni, beskedtjenester og

webbaserede e-mailtjenester. Beskyttelse af kommunikationshemmeligheden er også

væsentlig for interpersonelle kommunikationstjenester, som understøtter andre

tjenester, og derfor bør denne type tjenester, der også har til formål at kommunikere,

være omfattet af denne forordning.

Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af

medlemsstaternes love om tilgængeliggørelse af radioudstyr på markedet og om ophævelse af direktiv

1999/5/EF (EUT L 153 af 22.5.2014, s. 62).

Kommissionens forslag til Europa-Parlamentets og Rådets direktiv om en europæisk kodeks for

elektronisk kommunikation (omarbejdning) (COM/2016/0590 final - 2016/0288 (COD)).

(8)

(9)

(10)

(11)

kom (2017) 0010 - Ingen titel

(12)

Netforbundne apparater og maskiner kommunikerer i stadig større grad med hverandre

ved hjælp af elektroniske kommunikationsnet (tingenes internet). Transmission af

kommunikation mellem maskiner omfatter overføring af signaler via et net, og det

udgør derfor sædvanligvis en elektronisk kommunikationstjeneste. For at sikre fuld

beskyttelse af retten til privatlivets fred og kommunikationshemmelighed samt for at

fremme et sikkert tingenes internet, som man kan have tillid til, på det digitale indre

marked, er der behov for at præcisere, at denne forordning finder anvendelse på

videregivelse af kommunikation mellem maskiner. Derfor bør princippet om

kommunikationshemmelighed, som er bevaret i denne forordning, finde anvendelse på

transmission af kommunikation mellem maskiner. Der kan også vedtages specifikke

sikkerhedsmekanismer i henhold til sektorspecifik lovgivning, som f.eks. direktiv

2014/53/EU.

Udviklingen af hurtige og effektive trådløse teknologier har bidraget til øget adgang til

offentlig internetadgang gennem trådløse net, som kan tilgås af alle i offentlige og

halvprivate områder, som f.eks. "hotspots" forskellige steder i byer, stormagasiner,

indkøbscentre og på hospitaler. I det omfang disse kommunikationsnet tilbydes til en

udefineret gruppe af slutbrugere bør fortroligheden af den kommunikation, der sendes

gennem sådanne net, beskyttes. Det forhold, at trådløse elektroniske

kommunikationstjenester kan understøtte andre tjenester, bør ikke være til hinder for,

at kommunikationsdata beskyttes eller at denne forordning finder anvendelse.

Forordningen bør derfor finde anvendelse på elektroniske kommunikationsdata, der

anvender elektroniske kommunikationstjenester og offentlige kommunikationsnet.

Forordningen bør derimod ikke finde anvendelse på lukkede grupper af slutbrugere,

som f.eks. virksomhedsnet, hvor adgangen er begrænset til personer, som er tilknyttet

virksomheden.

Elektroniske kommunikationsdata bør defineres på en så tilstrækkeligt omfattende og

teknologineutral måde, at enhver oplysning om sendt eller udvekslet indhold

(elektronisk kommunikationsindhold) og oplysninger om slutbrugeren af de

elektroniske kommunikationstjenester kan behandles med henblik på at videresende,

distribuere eller muliggøre udveksling af elektronisk kommunikationsindhold,

herunder data til at spore og identificere kilden til og modtageren af en

kommunikation, geografisk placering og dato, tid, varighed og kommunikationstypen.

Uanset om signaler eller tilhørende data overføres ved hjælp af trådforbindelse,

radiobølger, lyslederteknik eller elektromagnetiske midler, herunder satellitnet,

kabelnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og

mobilnet, samt elkabelsystemer, bør de data, der har at gøre med sådanne signaler,

betragtes som elektroniske kommunikationsmetadata og følgelig være omfattet af

bestemmelserne i denne forordning. Elektroniske kommunikationsmetadata kan

omfatte oplysninger, som er en del af abonnementet på en tjeneste, hvis disse

oplysninger behandles med henblik på at videresende, distribuere eller muliggøre

udveksling af elektronisk kommunikationsindhold.

Elektroniske kommunikationsdata bør behandles fortroligt. Det betyder, at indblanding

i videresendelsen af elektroniske kommunkationsdata, uanset om dette sker ved

menneskelig indgriben eller ved maskiners automatiske behandling, er forbudt uden

samtykke fra alle de kommunikerende parter. Forbuddet mod at opfange

kommunikationsdata bør finde anvendelse under overføringen af disse, dvs. indtil den

modtager, som den elektroniske kommunikation er rettet til, har modtaget den.

Opfangning af elektroniske kommunikationsdata kan f.eks. finde sted, hvis andre end

de kommunikerende parter aflytter opkald, læser, skanner eller opbevarer indhold fra

(13)

(14)

(15)

kom (2017) 0010 - Ingen titel

elektronisk kommunikation eller tilhørende metadata med andre formål end at

gennemføre kommunikationen. Opfangning finder også sted, når tredjeparter

overvåger, hvilke websteder der er besøgt, hvornår besøgene har fundet sted,

interaktion med andre osv. uden den pågældende slutbrugers samtykke. Efterhånden

som teknologien har udviklet sig, er de tekniske muligheder for at opfange data blevet

flere. Mulighederne strækker sig fra installation af udstyr, der indsamler data fra

terminaludstyr i udvalgte områder, som f.eks. de såkaldte IMSI-catchere

(Internationale Mobile Subscriber Identity), til programmer og teknikker, der i al

hemmelighed overvåger internetvaner med henblik på at skabe profiler for slutbrugere.

Andre eksempler på dataopfangning omfatter nyttelastdata eller indholdsdata fra

ukrypterede trådløse net og routere, herunder internetvaner, uden slutbrugerens

samtykke.

(16)

Det er ikke hensigten, at forbuddet mod at lagre oplysninger skal forbyde nogen

automatisk, mellemliggende og kortvarig lagring af disse oplysninger, når blot

lagringen udelukkende sker med henblik på at gennemføre transmissionen i de

elektroniske kommunikationsnet. Det bør ikke forhindre hverken behandlingen af

elektroniske kommunikationsdata, som sikrer elektroniske kommunikationstjenesters

sikkerhed og kontinuitet, herunder kontrol af sikkerhedstrusler som forekomsten af

malware, eller behandlingen af metadata til at opfylde de nødvendige krav til

tjenestekvalitet, som f.eks. latency, jitter osv.

Behandlingen af elektroniske kommunikationsdata kan være til gavn for

virksomheder, forbrugere og samfundet som helhed. I forhold til direktiv 20002/58/EF

udvider denne forordning leverandører af elektroniske kommunikationstjenesters

mulighed for at behandle elektroniske kommunikationsmetadata med baggrund i

slutbrugernes samtykke. Slutbrugere finder det imidlertid meget vigtigt, at deres

kommunikation er fortrolig, herunder deres onlineaktiviteter, og de vil kontrollere

brug af elektroniske kommunikationsdata til andre formål end til at gennemføre

kommunikationen. Derfor bør denne forordning kræve, at leverandører af elektroniske

kommunikationstjenester indhenter slutbrugernes samtykke til at behandle

elektroniske kommunikationsmetadata, som bør omfatte data om apparaters placering,

der genereres med henblik på at give og bevare adgang og forbindelse til en tjeneste.

Lokaliseringsdata, der generes i forbindelse med andet end levering af elektroniske

kommunikationstjenester, bør ikke betragtes som metadata. Eksempler på kommerciel

anvendelse af elektroniske kommunikationsmetadata hos leverandører af elektroniske

kommunikationstjenester kan omfatte levering af "heatmaps", en geografisk

fremstilling af data, hvor farver bruges til at angive, at der findes personer i området.

For at kunne vise trafikbevægelserne i visse retninger i løbet af en bestemt periode, er

det nødvendigt med en identifikator, der kan forbinde personers positioner i bestemte

intervaller. Denne identifikator ville mangle, hvis der blev indsamlet anonyme data, og

derfor ville disse bevægelser ikke kunne vises. Denne type brug af elektroniske

kommunikationsmetadata kunne f.eks. være til gavn for offentlige myndigheder og

offentlige transportvirksomheder i forbindelse med beslutninger om, hvor ny

infrastruktur skal opføres baseret på brugen af og presset på eksisterende infrastruktur.

Hvis det er sandsynligt, at en type behandling af elektroniske

kommunikationsmetadata, navnlig i form af brug af nye teknologier og under

hensyntagen til behandlingens karakter, omfang, sammenhæng og formål, vil medføre

en højere risiko for fysiske personers rettigheder og frihedsrettigheder, bør der

gennemføres en konsekvensanalyse vedrørende databeskyttelse, og eventuelt en høring

ved tilsynsmyndigheden forud for behandlingen, jf. artikel 45 og 36 i forordning (EU)

2016/679.

(17)

kom (2017) 0010 - Ingen titel

(18)

Slutbrugere kan give samtykke til behandling af deres metadata med henblik på at

modtage specifikke tjenester som f.eks. beskyttelse mod bedrageri (gennem analyse i

realtid af forbrugsdata, placering og kundekonti). I den digitale økonomi leveres

tjenester ofte til gengæld for andre modydelser end penge, f.eks. ved at brugerne bliver

udsat for reklamer. I denne forordning bør en slutbrugers samtykke, uanset om denne

er en fysisk eller en juridisk person, have samme betydning og være underlagt samme

betingelser som den registreredes samtykke i henhold til forordning (EU) 2016/679.

Basal bredbåndadgang til internettjenester og talekommunikationstjenester bør anses

for at være grundlæggende tjenester, som gør individer i stand til at kommunikere og

få gavn af fordelene ved den digitale økonomi. Samtykke til behandling af data fra

internettet eller brug af talekommunikation er ugyldigt, hvis den registrerede ikke har

et reelt og frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er

til skade for den pågældende.

Indholdet af elektronisk kommunikation vedrører kernen i den grundlæggende ret til

respekt for privatliv og familieliv, hjem og kommunikation, som er beskyttet i medfør

af chartrets artikel 7. Indblanding i indholdet af elektronisk kommunikation bør kun

være tilladt på meget klart definerede betingelser, af hensyn til specifikke formål og

den tilstrækkeligt beskyttet mod misbrug. Denne forordning giver leverandører af

elektroniske kommunikationstjenester mulighed for at behandle elektroniske

kommunikationsdata i transit med informeret samtykke fra alle de pågældende

slutbrugere. Leverandører må f.eks. tilbyde tjenester, som medfører skanning af e-

mails med henblik på at fjerne foruddefineret materiale. På grund af følsomheden af

kommunikationernes indhold antages det i denne forordning, at behandling af

indholdsdata vil medføre højere risiko for fysiske personers rettigheder og

frihedsrettigheder. Når denne type data behandles, bør leverandøren af den

elektroniske kommunikationstjeneste altid høre tilsynsmyndigheden inden

behandlingen. Denne høring bør ske i overensstemmelse med artikel 36, stk. 2 og 3, i

forordning (EU) 2016/679. Denne antagelse omfatter ikke behandling af indholdsdata

med henblik på at levere en tjeneste til slutbrugeren, som denne har bedt om, hvis

slutbrugeren har givet samtykke til behandlingen, og den udføres med henblik på de

formål og den varighed, der er strengt nødvendig og hensigtsmæssig til levering af en

sådan tjeneste. Efter det elektroniske kommunikationsindhold er blevet sendt af

slutbrugeren og modtaget af den eller de tiltænkte slutbruger eller slutbrugere, må det

lagres eller opbevares af slutbrugeren, slutbrugerne eller en tredjepart, der er betroet af

dem til at lagre eller opbevare sådanne data. Enhver behandling af dataene skal leve op

til forordning (EU) 2016/679.

Terminaludstyr tilhørende slutbrugere af elektroniske kommunikationsnet og

eventuelle oplysninger vedrørende brugen af dette terminaludstyr er, uanset om det

opbevares på eller udsendes af udstyret, om oplysninger udbedes af eller behandles

med henblik på at gøre udstyret i stand til at opnå forbindelse til et andet apparat og

eller andet netværksudstyr, en del af slutbrugernes privatsfære, som skal beskyttelse i

henhold til Den Europæiske Unions charter om grundlæggende rettigheder og den

europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende

frihedsrettigheder. Eftersom dette udstyr indeholder eller behandler oplysninger, som

kan afsløre detaljer om en persons følelsesmæssige, politiske og sociale indstilling,

herunder meddelelsers indhold, billeder, fysiske personers placering ved brug af

apparatets GPS-funktioner, kontaktlister og andre oplysninger, som allerede er lagret

på apparatet, kræver oplysninger vedrørende dette udstyr øget beskyttelse af

privatlivets fred. Endvidere kan såkaldt spionsoftware, såkaldte web bugs, skjulte

identifikatorer, sporingscookies og andre tilsvarende uønskede sporingsværktøjer

(19)

(20)

kom (2017) 0010 - Ingen titel

komme ind i slutbrugerens terminaludstyr uden dennes viden for at skaffe adgang til

oplysninger, for at lagre skjulte oplysninger eller for at spore brugerens aktiviteter. Der

kan også fjernindsamles oplysninger vedrørende slutbrugerens apparat med henblik på

identificering og sporing ved hjælp af teknikker som det såkaldte "device

fingerprinting", hvilket ofte sker uden slutbrugerens viden, og det kan alvorligt krænke

disse slutbrugeres privatliv. Teknikker som i det skjulte overvåger slutbrugeres

handlinger, f.eks. ved at spore deres aktiviteter på internettet eller placeringen af deres

terminaludstyr, eller som undergraver funktionsevnen af slutbrugerens terminaludstyr,

udgør en alvorlig trussel for slutbrugeres privatliv. Derfor bør indblanding i

slutbrugerens terminaludstyr kun være tilladt med slutbrugerens samtykke og med

specifikke gennemsigtige mål for øje.

(21)

Undtagelser fra forpligtelsen til at indhente samtykke med henblik på at gøre brug af

behandlings- og lagringsfunktionerne i terminaludstyr eller på at tilgå oplysninger,

som er lagret på terminaludstyr, bør være begrænset til situationer, der ikke omfatter

nogen eller kun en meget begrænset krænkelse af privatlivets fred. Der bør f.eks. ikke

kræves samtykke til at foretage teknisk lagring eller til at give adgang, som er strengt

nødvendig og hensigtsmæssig med det legitime formål at muliggøre brugen af en

specifik tjeneste, som slutbrugeren udtrykkeligt har bedt om. Dette kan f.eks. gælde

lagring af cookies af en sessions varighed fra et websted for at holde styr på

slutbrugerens input ved udfyldelse af onlineformularer over flere sider. Cookies kan

også være et legitimt og brugbart værktøj til f.eks. at måle trafikken på et websted.

Udbydere i informationssamfundet, der beskæftiger sig med kontrol af konfigurationer

med henblik på at levere en tjeneste i overensstemmelse med slutbrugerens

indstillinger og logning af det forhold, at slutbrugerens apparat ikke er i stand til at

modtage det indhold, som slutbrugeren har bedt om, bør ikke forstås som adgang til et

apparat eller brug af apparatets behandlingskapacitet.

Metoderne til at oplyse slutbrugerne og indhente deres samtykke bør være så

brugervenlige som muligt. På grund af den allestedsnærværende brug af

sporingscookies og andre sporingsteknikker anmodes slutbrugerne i stadigt større

omfang om at give samtykke til at lagre sådanne cookies på deres terminaludstyr. Som

følge heraf bliver slutbrugerne overbebyrdet med anmodninger om samtykke. Brugen

af tekniske midler til at indhente samtykke, f.eks. gennem gennemsigtige og

brugervenlige indstillinger, kan hjælpe med at løse dette problem. Forordningen bør

derfor give mulighed for at give samtykke ved hjælp af hensigtsmæssig indstilling af

en browser eller en anden applikation. De valg, som slutbrugerne træffer, når de

foretager deres generelle privatlivsindstillinger i en browser eller en anden applikation,

bør være bindende og kunne gøres gældende over for eventuelle tredjeparter.

Internetbrowsere er en type softwareprogram, der giver mulighed for at hente og

fremvise oplysninger fra internettet. Andre typer applikationer, som f.eks.

applikationer, der giver mulighed for at ringe og sende beskeder eller for GPS-

navigation, har samme funktionalitet. Internetbrowsere formidler meget af, hvad der

sker mellem slutbrugeren og et websted. Set ud fra dette perspektiv har

internetbrowsere en god mulighed for at spille en aktiv rolle i at hjælpe slutbrugeren

med at kontrollere flowet af oplysninger til og fra terminaludstyret. Internetbrowsere

kan bruges som dørvogtere og hjælpe slutbrugerne med at forhindre, at oplysninger fra

deres terminaludstyr (f.eks. smartphones, tablets eller computere) tilgås eller lagres.

Principperne om databeskyttelse gennem design og gennem standardindstillinger blev

kodificeret i artikel 25 i forordning (EU) 2016/679. Standardindstillingerne for cookies

er på nuværende tidspunkt i de fleste browsere angivet til "accepter alle cookies".

(22)

(23)

kom (2017) 0010 - Ingen titel

Derfor bør leverandører af software, som gør det muligt at hente og fremvise

oplysninger fra internettet, være forpligtet til at konfigurere softwaren således, at den

giver mulighed for at forhindre tredjeparter i at lagre oplysninger på terminaludstyret,

hvilket ofte gengives som "afvis cookies fra tredjeparter". Slutbrugere bør have

adgang til et sæt privatlivsindstillinger, der strækker sig fra højere sikkerhed (f.eks.

"accepter aldrig cookies") til lavere (f.eks. "accepter altid cookies"), men også har et

mellemniveau (f.eks. "afvis cookies fra tredjeparter" eller "accepter kun

førstepartscookies"). Disse privatlivsindstillinger bør præsenteres på en let synlig og

forståelig måde.

(24)

For at internetbrowsere skal kunne indhente slutbrugerens samtykke som defineret i

forordning (EU) 2016/679 til f.eks. lagring af sporingscookies fra tredjeparter, bør de

bl.a. kræve en klar bekræftelse fra terminaludstyrets slutbruger, som betyder, at

slutbrugeren udtrykker sin frivillige, specifikke, informerede og utvetydige enighed i,

at sådanne cookies lagres og kan tilgås på terminaludstyret. En sådan handling kan

betragtes som bekræftende, hvis slutbrugeren f.eks. aktivt skal vælge "accepter

cookies fra tredjeparter" for at bekræfte deres enighed i valget, og denne gives de

nødvendige oplysninger til at kunne træffe valget. Med henblik herpå er det

nødvendigt at kræve af softwareleverandører, der muliggør adgang til internettet, at

slutbrugerne i installationsøjeblikket informeres om muligheden for at vælge mellem

de forskellige privatlivsindstillinger, og at de foretager et valg. Oplysningerne bør ikke

afskrække slutbrugerne fra at vælge strengere privatlivsindstillinger, og de bør omfatte

relevant information om de risici, der er forbundet med at tillade lagring af

tredjepartscookies på computeren, herunder indsamling af registreringer over tid af en

persons browsinghistorik og anvendelsen af sådanne registreringer til at målrette

reklamer. Internetbrowsere opfordres til at gøre det let for slutbrugere at ændre

privatlivsindstillingerne når som helst under brug og give brugeren mulighed for at

gøre undtagelser eller lave en positivliste over visse websteder eller specificere, for

hvilke websteder tredjepartscookies altid eller aldrig er tilladt.

Adgang til elektroniske kommunikationsnet kræver, at der jævnligt udsendes bestemte

datapakker for at opdage eller bevare en forbindelse til netværket eller til andre

apparater på netværket. Endvidere skal apparater have tildelt en unik adresse, så de

kan identificeres på netværket. Trådløse standarder og mobiltelefonstandarder

involverer ligeledes udsendelse af aktive signaler, som indeholder unikke

identifikatorer som f.eks. MAC-adresse, IMEI-nummer (international identitet for

mobilstationsudstyr), IMSI-nummer osv. En enkelt trådløs basisstation (dvs. en sender

og modtager) som f.eks. et trådløst adgangspunkt, har et specifikt område, inden for

hvilket sådanne oplysninger kan opfanges. Der er opstået tjenesteudbydere, som

tilbyder sporingstjenester baseret på skanning af oplysninger vedrørende udstyr med

diverse funktioner, herunder optælling af personer, indsamling af oplysninger om,

hvor mange der venter i kø, registrering af antallet af personer i et specifikt område,

osv. Disse oplysninger kan bruges til andre mere nærgående formål, som f.eks. at

sende reklamer med individualiserede tilbud til slutbrugere, når de går ind i butikker.

Selv om nogle af funktionerne ikke medfører store private risici, er der andre, der gør,

f.eks. dem som omfatter sporing af personer over tid, herunder gentagne besøg til

specifikke steder. Leverandører, der anvender en sådan praksis, bør på fremtrædende

steder i udkanten af det pågældende område informere slutbrugerne herom, inden de

går ind i det afgrænsede område, hvor denne teknologi anvendes, om formålet med

indsamlingen af oplysninger, om hvem der er ansvarlig for den og om eventuelle

foranstaltninger, slutbrugeren af terminaludstyret kan træffe med henblik på at

minimere eller standse indsamlingen af oplysninger. Der bør gives yderligere

(25)

kom (2017) 0010 - Ingen titel

oplysninger, hvis der indsamles personoplysninger i henhold til artikel 13 i forordning

(EU) 2016/679.

(26)

Når behandling af elektroniske kommunikationsdata på vegne af leverandører af

elektroniske

kommunikationstjenester

omfattet

denne

forordnings

anvendelsesområde, bør forordningen give Unionen og medlemsstaterne mulighed for

på særlige betingelser ved lov at begrænse visse forpligtelser og rettigheder, når en

sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et

demokratisk samfund for at sikre bestemte offentlige interesser, herunder den

nationale sikkerhed, forsvaret, den offentlige sikkerhed og forebyggelse,

efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse

af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod

den offentlige sikkerhed og andre af Unionens eller en medlemsstats

samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske

eller finansielle interesser, eller kontrol-, tilsyns- eller reguleringsfunktioner, der er

forbundet med offentlig myndighedsudøvelse for sådanne interesser. Dette direktiv bør

derfor ikke berøre medlemsstaternes mulighed for lovligt at opfange elektronisk

kommunikation eller træffe andre foranstaltninger, hvis de er nødvendige og

forholdsmæssige for at sikre ovennævnte offentlige interesser i overensstemmelse med

Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske

konvention til beskyttelse af menneskerettigheder og grundlæggende

frihedsrettigheder som fortolket af Den Europæiske Unions Domstol og Den

Europæiske

Menneskerettighedsdomstol.

Leverandører

elektroniske

kommunikationstjenester bør sørge for hensigtsmæssige procedurer, der letter legitime

anmodninger fra de kompetente myndigheder, og hvor det er relevant også under

hensyntagen til den rolle, den i artikel 3, stk. 3, udpegede repræsentant spiller.

For så vidt angår nummervisningsfunktionen er det nødvendigt at beskytte den

opkaldende parts ret til at forhindre, at det nummer, hvorfra opkaldet foretages,

identificeres, og den opkaldte parts ret til at afvise opkald fra uidentificerede numre.

Visse slutbrugere, herunder særligt hjælpetjenester og lignende, har en interesse i at

sikre deres opkald fuld anonymitet. For så vidt angår identifikation af opkaldte numre

er det nødvendigt at beskytte den opkaldte parts ret til og legitime interesse i at

suspendere identifikationen af det nummer, som den opkaldende part faktisk er

tilsluttet.

Det er i særlige tilfælde berettiget at suspendere en blokering af denne funktion.

Slutbrugernes ret til beskyttelse af privatlivets fred med hensyn til

nummervisningsfunktionen bør begrænses, når dette er nødvendigt for at spore

generende opkald, og med hensyn til nummervisningsfunktionen og lokaliseringsdata,

når dette er nødvendigt, for at nødtjenester, som f.eks. eCall, kan udføre deres opgaver

så effektivt som muligt.

Der findes teknologi, som på forskellig vis gør leverandører af elektroniske

kommunikationstjenester i stand til at begrænse slutbrugeres modtagelse af uønskede

opkald, herunder "tavse opkald" og andre bedrageriske og generende opkald.

Leverandører af offentligt tilgængelige nummerbaserede interpersonelle

kommunikationstjenester bør anvende denne teknologi og gratis beskytte slutbrugere

mod generende opkald. Leverandørerne bør sikre, at slutbrugerne er klar over, at

sådanne funktioner findes, f.eks. ved at meddele det på deres websted.

Offentligt

tilgængelige

fortegnelser

over

slutbrugere

elektroniske

kommunikationstjenester distribueres i vidt omfang. En offentligt tilgængelig

(27)

(28)

(29)

(30)

kom (2017) 0010 - Ingen titel

fortegnelse betyder enhver fortegnelse eller tjeneste, der indeholder oplysninger om

slutbrugere, som f.eks. telefonnumre (herunder mobiltelefonnumre), e-mailadresser og

kontaktoplysninger, og som giver mulighed for at søge i disse. Retten til privatlivets

fred og til beskyttelse af fysiske personers personlige oplysninger nødvendiggør, at

slutbrugere, som er fysiske personer, anmodes om samtykke før deres

personoplysninger opføres i en fortegnelse. Juridiske personers legitime interesser

nødvendiggør, at slutbrugere, som er juridiske personer, har ret til, at de data, som

vedrører dem, bliver inkluderet i en fortegnelse.

(31)

Hvis slutbrugere, som er fysiske personer, samtykker i, at deres data opføres i sådanne

fortegnelser, bør de være i stand til på grundlag af deres samtykkeerklæring at

bestemme, hvilke personoplysninger der inkluderes i fortegnelsen (f.eks. navn, e-

mailadresse, fysisk adresse, brugernavn, telefonnummer). Leverandører af offentligt

tilgængelige fortegnelser bør ydermere informere slutbrugerne om formålet med

fortegnelsen eller dennes søgefunktion, inden de opføres i fortegnelsen. Slutbrugere

bør i samtykkeerklæringen være i stand til at vælge, hvilke kategorier af

personoplysninger der kan søges på. De kategorier af personoplysninger, der

inkluderes i fortegnelsen, og de kategorier af personoplysninger, hvori der kan søges

efter slutbrugerens kontaktoplysninger, bør ikke nødvendigvis være de samme.

I denne forordning menes der med direkte markedsføring enhver form for

markedsføring, hvor en fysisk eller juridisk person sender direkte

markedsføringsmeddelelser til en eller flere identificerede eller identificerbare

slutbrugere ved hjælp af elektroniske kommunikationstjenester. Ud over at tilbyde et

produkt eller en tjeneste af kommercielle årsager bør begrebet også omfatte

meddelelser afsendt af politiske partier, som kontakter fysiske personer via

elektroniske kommunikationstjenester for at fremme deres partier. Det samme bør

gælde for meddelelser afsendt af andre nonprofitorganisationer for at hente støtte til

organisationens formål.

Der bør indføres sikkerhedsmekanismer til at beskytte slutbrugere mod uanmodede

direkte markedsføringsmeddelelser, som krænker slutbrugernes privatliv. Graden af

privatlivskrænkelse og gene anses for at være rimelig ens, uanset hvilke af den brede

vifte af teknologier og kanaler, der anvendes til at sende disse elektroniske

meddelelser, uanset om der anvendes automatiserede opkalds- og

kommunikationssystemer, instant messaging-applikationer, e-mails, sms, mms,

bluetooth osv. Det er derfor berettiget at kræve, at slutbrugerens samtykke indhentes,

før der må sendes kommercielle elektroniske direkte markedsføringsmeddelelser til

slutbrugere, således at personer beskyttes effektivt mod krænkelse af deres privatliv,

samt at juridiske personers legitime interesser beskyttes. Retssikkerhed og behovet for

at sikre, at reglerne beskytter mod uanmodede elektroniske meddelelser i fremtiden

retfærdiggør, at der er behov for at definere et enkelt regelsæt, som ikke ændrer sig

afhængigt af, hvilken teknologi der anvendes til at aflevere uanmodede meddelelser,

men som samtidig garanterer et ens beskyttelsesniveau for alle borgere på tværs af

Unionen. Det er imidlertid rimeligt at tillade brugen af e-mailoplysninger i forbindelse

med et eksisterende kundeforhold med henblik på at tilbyde lignende produkter eller

tjenester. Denne mulighed bør kun gælde for den virksomhed, som har modtaget e-

mailoplysningerne i henhold til forordning (EU) 2016/679.

Når slutbrugere har givet deres samtykke til at modtage uanmodede direkte

markedsføringsmeddelelser, bør de til enhver tid have mulighed for at trække deres

samtykke tilbage på en let måde. For at lette en effektiv håndhævelse af Unionens

regler om uanmodede direkte markedføringsmeddelelser er det nødvendigt at forbyde

(32)

(33)

(34)

kom (2017) 0010 - Ingen titel

maskering af identiteter og brug af falske identiteter, falske afsenderadresser eller -

numre, når der sendes uanmodede kommercielle direkte markedføringsmeddelelser.

Uanmodede markedsføringsmeddelelser bør derfor være lette at genkende som

sådanne, og de bør angive identiteten af den juridiske eller fysiske person, der afsender

meddelelsen, eller på vegne af hvem den sendes, og de bør endvidere give modtagerne

de nødvendige oplysninger til at gøre brug af deres ret til at modsætte sig modtagelsen

af flere skriftlige eller mundtlige markedsføringsmeddelelser.

(35)

For at gøre det let at trække sit samtykke tilbage bør juridiske og fysiske personer, der

sender direkte markedsføringsmeddelelser via e-mail, inkludere et link eller en e-

mailadresse, hvor slutbrugerne let kan trække deres samtykke tilbage. Når juridiske og

fysiske personer foretager direkte markedsføringsmeddelelser via telefonopkald og via

automatiserede opkalds- og kommunikationssystemer, bør der vises et nummer,

hvorpå den opkaldende virksomhed kan ringes op, eller en kode, der afspejler det

forhold, at der er tale om et markedsføringsopkald.

Direkte markedsføringsopkald, der ikke omfatter brugen af automatiserede opkalds-

og kommunikationssystemer, er dyrere for den opkaldende part og pålægger ikke

slutbrugeren nogen finansielle omkostninger. Medlemsstaterne bør derfor kunne

indføre og/eller bevare nationale systemer, der kun tillader sådanne opkald til

slutbrugere, der ikke har frabedt sig dem.

Tjenesteudbydere, som leverer elektroniske kommunikationstjenester, bør informere

slutbrugerne om, hvordan de kan sikre deres kommunikation, f.eks. ved at anvende

bestemte typer software eller krypteringsteknologi. Kravet om at underrette

slutbrugerne om særlige sikkerhedsrisici fritager ikke tjenesteudbyderen for

forpligtelsen til for egen regning omgående at træffe passende foranstaltninger til at

forebygge nye uforudsete sikkerhedsrisici og genoprette det normale sikkerhedsniveau

for tjenesten. Underretning af abonnenten om sikkerhedsrisici bør være gebyrfri.

Sikkerheden evalueres på baggrund af artikel 32 i forordning (EU) 2016/679.

For at sikre fuld overensstemmelse med forordning (EU) 2016/679 bør håndhævelsen

af bestemmelserne i denne forordning overlades til de myndigheder, der også er

ansvarlige for håndhævelsen af bestemmelserne i forordning (EU) 2016/679, og

sammenhængsmekanismen i forordning (EU) 2016/679 bør også finde anvendelse i

forbindelse med nærværende forordning. Medlemsstaterne bør kunne have mere end

én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og

administrative struktur. Tilsynsmyndighederne bør også være ansvarlige for

overvågningen af forordningens anvendelse på elektroniske kommunikationsdata

vedrørende juridiske personer. Sådanne supplerende opgaver bør ikke bringe

tilsynsmyndighedens evne til at udføre sine opgaver inden for beskyttelse af

personoplysninger i henhold til forordning (EU) 2016/679 og nærværende forordning i

fare. Hver tilsynsmyndighed bør tildeles de nødvendige supplerende finansielle og

menneskelige ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine

opgaver i henhold til denne forordning.

Hver tilsynsmyndighed bør på sin egen medlemsstats område have kompetence til at

udøve sine beføjelser og varetage de opgaver, der er angivet i denne forordning. For at

sikre ensartet tilsyn med og håndhævelse af denne forordning i hele Unionen bør

tilsynsmyndighederne have samme opgaver og effektive beføjelser i hver medlemsstat

til at indbringe overtrædelser af denne forordning for de retslige myndigheder og

deltage i retssager, uden at dette dog indskrænker de retsforfølgende myndigheders

beføjelser i henhold til medlemsstaternes nationale ret. Medlemsstaterne og deres

(36)

(37)

(38)

(39)

kom (2017) 0010 - Ingen titel

tilsynsmyndigheder opfordres til at tage hensyn til mikrovirksomheders og små og

mellemstore virksomheders særlige behov i forbindelse med anvendelsen af denne

forordning.

(40)

For at styrke håndhævelsen af reglerne i denne forordning bør hver tilsynsmyndighed

have beføjelser til at pålægge sanktioner, herunder administrative bøder, for

overtrædelser af forordningen i tillæg til eller i stedet for eventuelle andre

hensigtsmæssige foranstaltninger i henhold til denne forordning. Denne forordning bør

indeholde bestemmelser om overtrædelser og maksimumsbeløb og kriterier for

fastsættelse af de tilknyttede administrative bøder, der bør bestemmes af den

kompetente tilsynsmyndighed i hvert enkelt tilfælde under hensyntagen til alle

relevante omstændigheder i den specifikke situation og med behørig hensyntagen til

karakteren, alvoren og varigheden af overtrædelsen og dens konsekvenser og de

foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til

denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Med

henblik på at fastsætte bøder i henhold til denne forordning forstås en virksomhed i

denne forbindelse som en virksomhed som omhandlet i artikel 101 og 102 i traktaten.

For at opfylde denne forordnings målsætninger, dvs. at beskytte fysiske personers

grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af

personoplysninger, og for at sikre fri udveksling af personoplysninger i Unionen bør

beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten delegeres til

Kommissionen med henblik på at supplere denne forordning. Navnlig bør der vedtages

delegerede retsakter vedrørende de oplysninger, der skal fremlægges, herunder

standardiserede ikoner, som skal give et let synligt og forståeligt overblik over

indsamlingen af oplysninger, som terminaludstyret udsender, oplysningernes formål,

den ansvarlige for oplysningerne og eventuelle foranstaltninger, som terminaludstyrets

slutbruger kan træffe for at minimere indsamlingen. Delegerede retsakter er også

nødvendige for at fastsætte en kode, der kan identificere direkte

markedsføringsopkald, herunder opkald foretaget via automatiserede opkalds- og

kommunikationssystemer. Det er navnlig vigtigt, at Kommissionen gennemfører

relevante høringer, og at disse høringer gennemføres i overensstemmelse med

principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016

For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-

Parlamentet og Rådet alle dokumenter på samme tid som medlemsstaternes eksperter,

og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper,

der beskæftiger sig med forberedelse af delegerede retsakter. For at sikre ensartede

betingelser for gennemførelsen af denne forordning bør Kommissionen endvidere

tillægges gennemførelsesbeføjelser, når dette er fastsat i denne forordning. Disse

beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011.

Målet for denne forordning, nemlig at sikre et ensartet niveau for beskyttelse af fysiske

og juridiske personer og fri udveksling af elektronisk kommunikation i Unionen, kan

ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af

handlingens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage

foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om

Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf.

nævnte artikel, går denne forordning ikke ud over, hvad der er nødvendigt for at nå

dette mål.

Interinstitutionel aftale mellem Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-

Kommissionen om bedre lovgivning af 13. april 2016 (EUT L 123 af 12.5.2016, s. 1-14).

(41)

(42)

kom (2017) 0010 - Ingen titel

(43)

Direktiv 2002/58/EF bør ophæves —

VEDTAGET DENNE FORORDNING:

kom (2017) 0010 - Ingen titel

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1

Genstand

I denne forordning fastsættes regler for beskyttelse af fysiske og juridiske personers

grundlæggende rettigheder og frihedsrettigheder i forbindelse med levering og

anvendelse af elektroniske kommunikationstjenester og navnlig for retten til respekt

for privatlivet og kommunikation, samt at der sørges for beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger.

Denne forordning sikrer fri bevægelighed for elektroniske kommunikationsdata og

elektroniske kommunikationstjenester i Unionen, som hverken begrænses eller

forbydes af hensyn til respekten for juridiske og fysiske personers privatliv og

kommunikation og beskyttelsen af fysiske personer i forbindelse med behandlingen

af personoplysninger.

Bestemmelserne i denne forordning præciserer og supplerer forordning (EU)

2016/679 ved at fastsætte specifikke regler for de i stk. 1 og 2 nævnte formål.

Artikel 2

Materielt anvendelsesområde

Denne forordning finder anvendelse på behandling af elektroniske

kommunikationsdata, der gennemføres i forbindelse med levering og anvendelse af

elektroniske kommunikationstjenester og med oplysninger hidrørende fra

slutbrugeres terminaludstyr.

Forordningen finder ikke anvendelse på:

aktiviteter, som falder uden for EU-rettens anvendelsesområde

medlemsstaternes aktiviteter, der falder inden for anvendelsesområdet for afsnit V,

kapitel 2, i traktaten om Den Europæiske Union

elektroniske kommunikationstjenester, som ikke er offentligt tilgængelige

aktiviteter, som foretages af kompetente myndigheder med henblik på at forebygge,

efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde

strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den

offentlige sikkerhed.

Behandling af elektroniske kommunikationsdata foretaget af Unionens institutioner,

organer, kontorer og agenturer er reguleret i forordning (EU) 00/0000 [ny forordning,

som erstatter forordning 45/2001].

Denne forordning berører ikke anvendelsen af direktiv 2000/31/EF

, navnlig reglerne

om formidleransvar for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.

Denne forordning berører ikke bestemmelserne i direktiv 2014/53/EU.

(a)

(b)

(c)

(d)

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af

informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("Direktivet om

elektronisk handel") (EFT L 178 af 17.7.2000, s. 1-16).

kom (2017) 0010 - Ingen titel

Artikel 3

Territorielt anvendelsesområde og repræsentation

(a)

(b)

(c)

Denne forordning finder anvendelse på:

levering af elektroniske kommunikationstjenester til slutbrugere i Unionen, uanset

om der kræves betaling af slutbrugeren eller ej

anvendelsen af disse tjenester

beskyttelse af oplysninger vedrørende terminaludstyr tilhørende slutbrugere, der

befinder sig i Unionen.

Hvis leverandøren af en elektronisk kommunikationstjeneste ikke er etableret i

Unionen, udpeger denne skriftligt en repræsentant i Unionen.

Repræsentanten skal befinde sig i en af de medlemsstater, hvor slutbrugerne af

nævnte elektroniske kommunikationstjenester befinder sig.

Repræsentanten skal have beføjelser til at besvare spørgsmål og udlevere oplysninger

tillige med eller i stedet for den leverandør, der repræsenteres, til tilsynsmyndigheder

og slutbrugere i forbindelse med alle spørgsmål vedrørende behandlingen af

elektroniske kommunikationsdata med henblik på at sikre overholdelse af denne

forordning.

Udpegningen af en repræsentant i henhold til stk. 2 berører ikke eventuelle retlige

skridt mod en fysisk eller juridisk person, som behandler elektroniske

kommunikationsdata

forbindelse

med

levering

elektroniske

kommunikationstjenester uden for Unionen til slutbrugere i Unionen.

Artikel 4

Definitioner

(a)

(b)

I denne forordning gælder følgende definitioner:

definitionerne i forordning (EU) 2016/679

definitionerne

"elektronisk

kommunikationsnet",

"elektronisk

kommunikationstjeneste", "nummerbaseret interpersonel kommunikationstjeneste",

"nummeruafhængig interpersonel kommunikationstjeneste", "slutbruger" og

"opkald" i henholdsvis artikel 2, stk. 1, 4, 5, 6, 7, 14 og 21, i [direktiv om en

europæisk kodeks for elektronisk kommunikation]

definitionen af "terminaludstyr" i artikel 1, stk. 1, i Kommissionens direktiv

2008/63/EF

I forbindelse med stk. 1, litra b), omfatter definitionen af "interpersonelle

kommunikationstjenester" tjenester, der muliggør interpersonel og interaktiv

kommunikation som en mindre ledsagende funktion, der er uløseligt forbundet med

en anden tjeneste.

I denne forordning forstås desuden ved:

"elektroniske kommunikationsdata":

elektroniske kommunikationsmetadata

elektronisk

kommunikationsindhold

(c)

(a)

Kommissionens direktiv 2008/63/EF af 20. juni 2008 om konkurrence på markederne for

teleterminaludstyr (EUT L 162 af 21.6.2008, s. 20-26).

kom (2017) 0010 - Ingen titel

(b)

"elektronisk kommunikationsindhold": indhold, der udveksles ved hjælp af

elektroniske kommunikationstjenester, som f.eks. nedskrevne eller talte beskeder,

videoer, billeder og lyd

"elektroniske kommunikationsmetadata": data behandlet i et elektronisk

kommunikationsnet med henblik på at videresende, distribuere eller udveksle

elektronisk kommunikationsindhold, herunder data, som anvendes til at spore og

identificere kilden til og modtageren af en kommunikation, data vedrørende

apparatets placering genereret i forbindelse med levering af elektroniske

kommunikationstjenester, dato, tidspunkt, varighed for kommunikationen samt

kommunikationstypen

"offentligt tilgængelig fortegnelse": en fortegnelse over slutbrugere af elektroniske

kommunikationstjenester, uanset om denne er trykt eller i elektronisk form, som

udgives eller gøres tilgængelig for offentligheden eller en del heraf, eventuelt via en

nummeroplysningstjeneste

"e-mail": elektronisk meddelelse, der indeholder oplysninger som f.eks. nedskrevne

eller talte beskeder, videoer, lyd eller billeder, som er sendt via et elektronisk

kommunikationsnet, og som kan lagres i nettet eller på tilhørende computeranlæg

eller modtagerens terminaludstyr

"direkte markedsføringsmeddelelse": enhver form for reklame, uanset om den er

skreven eller talt, som er sendt til en eller flere identificerede eller identificerbare

slutbrugere af elektroniske kommunikationstjenester, herunder brugen af

automatiserede opkalds- og kommunikationssystemer med eller uden menneskelig

interaktion, e-mail, sms osv.

"direkte markedsføringsopkald": telefonopkald, der ikke omfatter brugen af

automatiserede opkalds- og kommunikationssystemer

"automatiserede opkalds- og kommunikationssystemer": systemer, der er i stand til

automatisk at foretage et opkald til en eller flere modtagere i henhold til de

instruktioner, der er fastsat for systemet, og at udsende lyde, som ikke er live tale,

herunder opkald foretaget ved hjælp af automatiserede opkalds- og

kommunikationssystemer, som sætter den opkaldte person i forbindelse med et

menneske.

(c)

(d)

(e)

(f)

(g)

(h)

KAPITEL II

BESKYTTELSE AF FYSISKE OG JURIDISKE PERSONERS

ELEKTRONISKE KOMMUNIKATION OG OPLYSNINGER

LAGRET PÅ DERES TERMINALUDSTYR

Artikel 5

Fortroligheden af elektroniske kommunikationsdata

Elektroniske kommunikationsdata skal behandles fortroligt. Påvirkning af

kommunikationsdata som f.eks. aflytning, registrering, lagring, overvågning,

andre former for opfangning, overvågning eller behandling af

kommunikationsdata foretaget af andre end slutbrugerne er forbudt, dog med

undtagelserne i denne forordning.

elektroniske

skanning og

elektroniske

forbehold af

kom (2017) 0010 - Ingen titel

Artikel 6

Tilladt behandling af elektroniske kommunikationsdata

(a)

Leverandører af elektroniske kommunikationsnet og -tjenester må behandle

elektroniske kommunikationsdata, hvis:

det er nødvendigt for at gennemføre videresendelsen af meddelelsen i den periode,

der er nødvendig, for at dette kan ske, eller

det er nødvendigt for at bevare eller genoprette sikkerheden i de elektroniske

kommunikationsnet og -tjenester, eller for at afsløre tekniske svigt og/eller fejl i

videresendelsen af den elektroniske kommunikation i den perioder, der er nødvendig,

for at dette kan ske.

Leverandører af elektroniske kommunikationstjenester må behandle elektroniske

kommunikationsmetadata, hvis:

det er nødvendigt for at leve op til de obligatoriske krav til tjenestekvalitet, som

fremgår af [direktiv om en europæisk kodeks for elektronisk kommunikation] eller af

forordning (EU) 2015/2120

i den periode, der er nødvendig, for at dette kan ske,

eller

det er nødvendigt for at fakturere, beregne afregning for samtrafik, opdage og stoppe

bedrageri

med,

misbrug

eller

abonnement

på

elektroniske

kommunikationstjenester, eller

den pågældende slutbruger har givet samtykke til behandlingen af sine

kommunikationsmetadata til et eller flere specifikke formål, herunder levering af

specifikke tjenester til nævnte slutbrugere, forudsat at det eller disse formål ikke

kunne opnås ved at behandle anonymiserede oplysninger.

Leverandører af elektroniske kommunikationstjenester må kun behandle elektronisk

kommunikationsindhold i følgende situationer:

med henblik på at levere specifikke tjenester til en slutbruger, hvis den eller de

pågældende slutbruger eller slutbrugere har givet samtykke til behandling af

vedkommendes elektroniske kommunikationsindhold, og tjenesten ikke kan leveres

uden behandling af dette indhold, eller

hvis alle slutbrugere har givet samtykke til behandling af deres elektroniske

kommunikationsindhold til et eller flere specifikke formål, som ikke kan opnås ved

behandling af anonymiserede oplysninger, og leverandøren har hørt

tilsynsmyndigheden. Stk. 2 og 3 i artikel 36 i forordning (EU) 2016/649 finder

anvendelse på høringen af tilsynsmyndigheden.

(b)

(a)

(b)

(c)

(a)

Europa-Parlamentets og Rådets forordning (EU) 2015/2120 af 25. november 2015 om foranstaltninger

vedrørende adgang til det åbne internet og om ændring af direktiv 2002/22/EF om forsyningspligt og

brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester og forordning (EU)

nr. 531/2012 om roaming på offentlige mobilkommunikationsnet i Unionen (EUT L 310 af 26.11.2015,

s. 1-18).

kom (2017) 0010 - Ingen titel

Artikel 7

Opbevaring og sletning af elektroniske kommunikationsdata

Med forbehold af artikel 6, stk. 1, litra b), og artikel 6, stk. 3, litra a) og b), skal

leverandører af elektroniske kommunikationstjenester slette det elektroniske

kommunikationsindhold eller anonymisere de pågældende data, når den eller de

tilsigtede modtager eller modtagere har modtaget det elektroniske

kommunikationsindhold. Disse data må lagres og opbevares af slutbrugerne eller af

en tredjepart, som er blevet betroet at lagre, opbevare eller på andre måder behandle

dataene i henhold til forordning (EU) 2016/679.

Med forbehold af artikel 6, stk. 1, litra b), og artikel 6, stk. 2, litra a) og b), skal

leverandører af elektroniske kommunikationstjenester slette elektroniske

kommunikationsmetadata eller anonymisere dem, når de ikke længere er nødvendige

for videresendelsen af en kommunikation.

Når behandling af elektroniske kommunikationsmetadata finder sted med henblik på

fakturering, jf. artikel 6, stk. 2, litra b), må de relevante metadata opbevares indtil

udløbet af den periode, hvori der retligt kan klages over regningen eller betaling kan

opkræves, jf. national lovgivning.

Artikel 8

Beskyttelse af oplysninger, der opbevares på eller vedrører slutbrugerens terminaludstyr

Anvendelse af terminaludstyrets databehandlings- og opbevaringsfunktioner og

indsamling af oplysninger fra slutbrugeres terminaludstyr, herunder om software og

hardware, er forbudt for andre end de pågældende slutbrugere, medmindre:

det er nødvendigt med det formål at videresende en elektronisk kommunikation via

et elektronisk kommunikationsnet, eller

slutbrugeren har givet sit samtykke, eller

det er nødvendigt for at levere en informationssamfundstjeneste, som slutbrugeren

har bestilt, eller

det er nødvendigt til måling af internetbesøgende, forudsat at en sådan måling

gennemføres af leverandøren af en informationssamfundstjeneste, som slutbrugeren

har bestilt.

Indsamling af oplysninger, der udsendes af terminaludstyr og gør det i stand til at

opnå forbindelse til andre apparater og/eller netudstyr, er forbudt, medmindre:

det udelukkende gøres i den strengt nødvendige periode for at etablere en

forbindelse, eller

der vises en klar og fremtrædende meddelelse, der som minimum oplyser om de

forskellige typer indsamling, deres formål, den ansvarlige for indsamlingen samt

andre oplysninger, som er påkrævet i henhold til artikel 13 i forordning (EU)

2016/679, når der indsamles personoplysninger, samt eventuelle foranstaltninger

slutbrugeren af terminaludstyret kan træffe med henblik på at stoppe eller minimere

indsamlingen.

Indsamlingen af disse oplysninger er betinget af, at der er anvendt hensigtsmæssige

tekniske og organisatoriske foranstaltninger til at opretholde et sikkerhedsniveau,

som er passende i forhold til risiciene, jf. artikel 32 i forordning (EU) 2016/679.

(a)

(b)

(c)

(d)

(a)

(b)

kom (2017) 0010 - Ingen titel

De oplysninger, der skal gives i henhold til stk. 2, litra b), kan gives sammen med

standardiserede ikoner for at give et meningsfuldt overblik over indsamlingen af

oplysninger på en klart synlig, letforståelig og letlæselig måde.

Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i

overensstemmelse med artikel 27 med henblik på at fastlægge de oplysninger, der

skal fremgå af standardiserede ikoner, og procedurerne for tilvejebringelse af

standardiserede ikoner.

Artikel 9

Samtykke

Definitionen af og betingelserne for samtykke, som fremgår af artikel 4, stk. 11, og

artikel 7, i forordning (EU) 2016/679/EU, finder anvendelse.

Med forbehold af stk. 1, kan samtykke, hvor det er teknisk muligt, jf. artikel 8, stk. 1,

litra b), afgives ved hjælp af passende tekniske indstillinger i en softwareapplikation,

der muliggør adgang til internettet.

Slutbrugere, der har givet samtykke til behandling af elektroniske

kommunikationsdata, som angivet i artikel 6, stk. 2, litra c), og artikel 6, stk. 3, litra

a) og b), skal have mulighed for til enhver tid at trække deres samtykke tilbage, jf.

artikel 7, stk. 3, i forordning (EU) 2016/679, og de skal mindes om muligheden hver

sjette måned, så længe databehandlingen finder sted.

Artikel 10

Information om og muligheder for privatlivsindstillinger

Software på markedet, som muliggør elektronisk kommunikation, herunder søgning

og fremvisning af oplysninger på internettet, giver mulighed for at forhindre

tredjeparter i at lagre oplysninger på en slutbrugers terminaludstyr eller i at behandle

oplysninger, der er lagret på terminaludstyret.

Softwaren oplyser i forbindelse med installationen slutbrugeren om mulighederne i

privatlivsindstillingerne og kræver, inden installationen kan fortsætte, at slutbrugeren

vælger en indstilling.

Hvis softwaren allerede var installeret den 25. maj 2018, opfyldes kravene i stk. 1 og

2 ved den første opdatering af softwaren, dog senest den 25. august 2018.

Artikel 11

Begrænsninger

EU-retten eller medlemsstaternes nationale ret kan gennem lovgivningsmæssige

foranstaltninger begrænse anvendelsesområdet for de rettigheder og forpligtelser, der

fremgår af artikel 5-8, hvis en sådan begrænsning respekterer kernen i de

grundlæggende rettigheder og frihedsrettigheder og er en nødvendig, hensigtsmæssig

og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre en eller flere

af de samfundsinteresser, der er fastsat i artikel 23, stk. 1, litra a) - e), i forordning

(EU) 2016/679, eller kontrol-, tilsyns- eller reguleringsfunktioner, der er forbundet

med offentlig myndighedsudøvelse for sådanne interesser.

Leverandører af elektroniske kommunikationstjenester fastlægger interne procedurer

til at besvare anmodninger om adgang til slutbrugeres elektroniske

kommunikationsdata på grundlag af lovgivningsmæssige foranstaltninger vedtaget i

kom (2017) 0010 - Ingen titel

henhold til stk. 1. De skal efter anmodning forelægge den kompetente

tilsynsmyndighed oplysninger om disse procedurer, antallet af modtagne

anmodninger, den anvendte retlige begrundelse og deres reaktion.

KAPITEL III

FYSISKE OG JURIDISKE PERSONERS RET TIL KONTROL

MED ELEKTRONISK KOMMUNIKATION

Artikel 12

Visning af opkaldende nummer og opkaldt nummer samt begrænsning heraf

Hvis der er mulighed for at få vist opkaldende nummer og opkaldt nummer, jf.

artikel [107] i [direktiv om en europæisk kodeks for elektronisk kommunikation],

stiller leverandører af offentligt tilgængelige nummerbaserede interpersonelle

kommunikationstjenester følgende muligheder til rådighed:

den opkaldende slutbruger kan forhindre visning af det opkaldende nummer pr.

opkald, pr. forbindelse eller permanent

den opkaldte slutbruger kan forhindre visning af det opkaldende nummer ved

indgående opkald

den opkaldte slutbruger kan afvise indgående opkald, hvis nummervisning er blevet

forhindret af den opkaldende slutbruger

den opkaldte slutbruger kan forhindre visning af det opkaldte nummer til den

opkaldende slutbruger.

De muligheder, der er henvist til i stk. 1, litra a), b), c) og d), stilles gebyrfrit til

slutbrugernes rådighed via simple midler.

Stk. 1, litra a), finder endvidere anvendelse på opkald til tredjelande fra Unionen.

Stk. 1, litra b), c) og d), finder endvidere anvendelse på indgående opkald fra

tredjelande.

Når der er adgang til visning af opkaldende nummer eller opkaldt nummer, oplyser

leverandører af offentligt tilgængelige nummerbaserede interpersonelle

kommunikationstjenester offentligheden om mulighederne i stk. 1, litra a), b), c) og

d).

(a)

(b)

(c)

(d)

Artikel 13

Undtagelser fra visning af opkaldende nummer og opkaldt nummer samt begrænsning heraf

Uanset om den opkaldende slutbruger har forhindret visning af det opkaldende

nummer, skal leverandører af offentligt tilgængelige nummerbaserede interpersonelle

kommunikationstjenester i tilfælde af opkald til en nødtjeneste tilsidesætte den

manglende nummervisning og det manglende samtykke fra slutbrugeren til

behandling af metadata på linjebasis for organisationer, der tager sig af

nødkommunikation, herunder offentlige alarmcentraler, med henblik på at besvare

denne type kommunikation.

Medlemsstaterne indfører mere specifikke bestemmelser vedrørende indførelsen af

procedurer og vilkår for, hvornår leverandører af offentligt tilgængelige

nummerbaserede interpersonelle kommunikationstjenester midlertidigt skal

kom (2017) 0010 - Ingen titel

tilsidesætte nummervisning af det opkaldende nummer, hvis slutbrugere anmoder om

at få sporet chikaneopkald eller generende opkald.

Artikel 14

Blokering af indgående opkald

Leverandører

offentligt

tilgængelige

nummerbaserede

interpersonelle

kommunikationstjenester gør brug af de nyeste foranstaltninger til at begrænse uønskede

opkald til slutbrugerne og stiller endvidere følgende muligheder gebyrfrit til rådighed for den

opkaldte slutbruger:

(a)

(b)

blokering af indgående opkald fra specifikke numre eller fra anonyme kilder

annullering af automatisk viderestilling fra en tredjepart til slutbrugerens

terminaludstyr.

Artikel 15

Offentligt tilgængelige fortegnelser

Leverandører af offentligt tilgængelige fortegnelser indhenter samtykke fra de

slutbrugere, som er fysiske personer, inden deres personoplysninger opføres i

fortegnelsen, og de indhenter følgelig samtykke fra slutbrugerne til opføring af data

pr. kategori af personoplysninger, i det omfang sådanne oplysninger er relevante for

fortegnelsen, hvilket afgøres af leverandøren af fortegnelsen. Leverandører giver

slutbrugere, som er fysiske personer, mulighed for at kontrollere, rette og slette disse

oplysninger.

Leverandører af offentligt tilgængelige fortegnelser informerer de slutbrugere, som

er fysiske personer, hvis personoplysninger er opført i fortegnelsen, om fortegnelsens

tilgængelige søgefunktioner og indhenter slutbrugernes samtykke, inden de muliggør

søgefunktioner vedrørende disse personoplysninger.

Leverandører af offentligt tilgængelige fortegnelser giver slutbrugere, som er

juridiske personer, mulighed for at gøre indsigelse mod, at deres oplysninger bliver

opført i en fortegnelse. Leverandører giver slutbrugere, som er juridiske personer,

mulighed for at kontrollere, rette og slette disse oplysninger.

Slutbrugeres mulighed for at blive udeladt af en offentligt tilgængelig fortegnelse

eller for at kontrollere, rette eller slette eventuelle oplysninger, der vedrører dem,

stilles gebyrfrit til rådighed.

Artikel 16

Uanmodet kommunikation

Fysiske og juridiske personer kan gøre brug af elektroniske kommunikationstjenester

til at sende direkte markedsføringsmeddelelser til slutbrugere, som er fysiske

personer og har givet samtykke hertil.

Hvis en fysisk eller juridisk person indhenter elektroniske kontaktoplysninger til e-

mail fra sine kunder i forbindelse med salget af et produkt eller en tjeneste, jf.

forordning (EU) 2016/679, må den pågældende fysiske eller juridiske person kun

anvende de elektroniske kontaktoplysninger til direkte markedsføring af sine egne

lignende produkter eller tjenester, hvis kunderne klart og utvetydigt har fået

mulighed for let og gebyrfrit at afvise en sådan anvendelse. Retten til at afvise denne

kom (2017) 0010 - Ingen titel

anvendelse gives ved indsamling af oplysningerne, og hver gang der sendes en

meddelelse.

Med forbehold af stk. 1 og 2 skal fysiske og juridiske personer, som gør brug af

elektroniske kommunikationstjenester til at foretage direkte markedsføringsopkald,

gøre følgende:

vise et nummer, hvorpå de kan kontaktes, eller

vise en specifik kode/eller et præfiks, der afspejler det forhold, at der er tale om et

markedsføringsopkald.

Uanset bestemmelserne i stk. 1 kan medlemsstaterne fastsætte ved lov, at direkte

markedsføringsopkald til slutbrugere, som er fysiske personer, kun er tilladt til de

slutbrugere, som er fysiske personer, der ikke har frabedt sig at modtage denne type

henvendelser.

Medlemsstaterne sikrer endvidere inden for rammerne af gældende EU-ret og

national ret, at de legitime interesser for slutbrugere, som er juridiske personer, for så

vidt angår uanmodet kommunikation, der gennemføres i henhold til stk. 1, nyder

tilstrækkelig beskyttelse.

Fysiske eller juridiske personer, der anvender elektroniske kommunikationstjenester

til at afsende direkte markedsføringsmeddelelser, informerer slutbrugerne om, at der

er tale om direkte markedsføring, samt om identiteten af den fysiske eller juridiske

person på hvis vegne meddelelsen fremsendes, og de giver endvidere modtagerne de

nødvendige oplysninger til at gøre brug af deres ret til på en nem måde at trække

deres samtykke til at modtage flere markedsføringsmeddelelser tilbage.

Kommissionen tillægges beføjelse til at vedtage gennemførelsesforanstaltninger i

henhold til artikel 26, stk. 2, der fastsætter den kode/eller det præfiks, der

kendetegner markedsføringsopkald, jf. stk. 3, litra b).

Artikel 17

Oplysning om konstaterede sikkerhedstrusler

Hvor der er særlig risiko for, at netsikkerheden og sikkerheden for elektroniske

kommunikationstjenester kompromitteres, oplyser leverandøren af den elektroniske

kommunikationstjeneste slutbrugerne herom samt, hvis risikoen ligger uden for de

foranstaltninger, der skal træffes af leverandøren, om, hvorledes sådanne risici i givet fald kan

forebygges og angiver hvilke omkostninger, der sandsynligvis vil være forbundet hermed.

(a)

(b)

KAPITEL IV

UAFHÆNGIGE TILSYNSMYNDIGHEDER OG

HÅNDHÆVELSE

Artikel 18

Uafhængige tilsynsmyndigheder

Den eller de uafhængige tilsynsmyndighed eller -myndigheder, som er ansvarlige for

at føre tilsyn med anvendelsen af forordning (EU) 2016/679, er også ansvarlig for

tilsynet med anvendelsen af denne forordning. Kapitel VI og VII i forordning (EU)

2016/679 finder tilsvarende anvendelse. Tilsynsmyndighedernes opgaver og

beføjelser udføres under hensyntagen til slutbrugerne.

kom (2017) 0010 - Ingen titel

Tilsynsmyndigheden eller tilsynsmyndighederne i stk. 1 samarbejder, når det er

nødvendigt, med de nationale tilsynsmyndigheder, der er udpeget i henhold til

[direktiv om en europæisk kodeks for elektronisk kommunikation].

Artikel 19

Det Europæiske Databeskyttelsesråd

Det Europæiske Databeskyttelsesråd, som blev oprettet i henhold til artikel 68 i forordning

(EU) 2016/679, har kompetence til at sikre ensartet anvendelse af denne forordning. Med

henblik herpå udfører Det Europæiske Databeskyttelsesråd de opgaver, der er fastsat i artikel

70 i forordning (EU) 2016/679. Rådet har derudover følgende opgaver:

(a)

(b)

rådgive Kommissionen om eventuelle foreslåede ændringer af denne forordning

på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra

Kommissionen undersøge ethvert spørgsmål vedrørende anvendelsen af denne

forordning og udstede retningslinjer, henstillinger og bedste praksis for at fremme

ensartet anvendelse af denne forordning.

Artikel 20

Procedurer for samarbejde og ensartet anvendelse

Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele

Unionen. Med henblik herpå samarbejder tilsynsmyndighederne med hverandre og

Kommissionen i henhold til kapitel VII i forordning (EU) 2016/679 om anliggender omfattet

af denne forordning.

KAPITEL V

RETSMIDLER, ANSVAR OG SANKTIONER

Artikel 21

Retsmidler

Uden at det berører en eventuel administrativ klageadgang eller adgang til retsmidler,

har enhver slutbruger af elektroniske kommunikationstjenester ret til at gøre brug af

de retsmidler, der fremgår af artikel 77, 78 og 79 i forordning (EU) 2016/679.

Enhver fysisk eller juridisk person andre end slutbrugere, der påvirkes negativt af

overtrædelser af denne forordning, og som har en legitim interesse i ophør af eller

forbud mod de påståede overtrædelser, herunder en leverandør af elektroniske

kommunikationstjenester der beskytter sin legitime forretningsinteresse, har ret til at

få sådanne overtrædelser indbragt for en domsstol.

Artikel 22

Ret til erstatning og erstatningsansvar

Enhver slutbruger af elektroniske kommunikationstjenester, som har lidt materiel eller

immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning fra

skadevolder for den lidte skade, medmindre skadevolderen kan bevise, at denne ikke på nogen

måde er ansvarlig for den begivenhed, der gav anledning til skaden, jf. artikel 82 i forordning

(EU) 2016/679.

kom (2017) 0010 - Ingen titel

Artikel 23

Generelle betingelser for pålæggelse af administrative bøder

Kapitel VII i forordning (EU) 2016/679 finder anvendelse med henblik på

overtrædelser af denne forordning.

Overtrædelse af følgende bestemmelser i denne forordning straffes i

overensstemmelse med stk. 1 med administrative bøder på op til 10 000 000 EUR,

eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale

årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

forpligtelserne for enhver juridisk eller fysisk person, der behandler elektroniske

kommunikationsdata, jf. artikel 8

forpligtelserne for enhver leverandør af software, der muliggør elektronisk

kommunikation, jf. artikel 10

forpligtelserne for enhver leverandør af offentligt tilgængelige fortegnelser, jf. artikel

forpligtelserne for enhver juridisk eller fysisk person, der anvender elektroniske

kommunikationstjenester, jf. artikel 16.

Overtrædelse af princippet om kommunikationshemmelighed, tilladt behandling af

elektroniske kommunikationsdata og fristerne for sletning som omhandlet i artikel 5,

6 og 7, straffes i overensstemmelse med nærværende artikels stk. 1 med

administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en

virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det

foregående regnskabsår, såfremt dette beløb er højere.

Medlemsstaterne fastsætter reglerne for, hvilke sanktioner der er for overtrædelse af

artikel 12, 13, 14 og 17.

Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel

18 straffes med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer

sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det

foregående regnskabsår, såfremt dette beløb er højere.

Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til

artikel 18, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang

administrative bøder må pålægges offentlige myndigheder og organer, der er

etableret i den pågældende medlemsstat.

Tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel er underlagt

fornødne proceduremæssige garantier i overensstemmelse med EU-retten og

medlemsstaternes nationale ret, bl.a. effektive retsmidler og retfærdig procedure.

Hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative

bøder, kan denne artikel anvendes på en sådan måde, at den kompetente

tilsynsmyndighed tager skridt til bøder, og de kompetente nationale domstole

pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning

svarer til virkningen af administrative bøder, som pålægges af tilsynsmyndighederne.

Bøder skal under alle omstændigheder være effektive, stå i rimeligt forhold til

overtrædelsen og have afskrækkende virkning. De pågældende medlemsstater giver

Kommissionen meddelelse om bestemmelserne i de love, som de vedtager i henhold

til dette stykke, senest den [xxx] og underretter den straks om alle senere

ændringslove eller ændringer, der berører dem.

(a)

(b)

(c)

(d)

kom (2017) 0010 - Ingen titel

Artikel 24

Sanktioner

Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde

af overtrædelser af denne forordning, navnlig overtrædelser, som ikke er underlagt

administrative bøder i henhold til artikel 23, og træffer alle nødvendige

foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et

rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Hver medlemsstat giver senest 18 måneder efter den dato, der fremgår af artikel 29,

stk. 2, Kommissionen meddelelse om de bestemmelser, som den vedtager i henhold

til stk. 1, og underretter den straks om alle senere ændringer, der berører dem.

KAPITEL VI

DELEGEREDE RETSAKTER OG

GENNEMFØRELSESFORANSTALTNINGER

Artikel 25

Udøvelse af de delegerede beføjelser

Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne

artikel fastlagte betingelser.

De beføjelser til at vedtage delegerede retsakter, der er omhandlet i artikel 8, stk. 4,

tillægges Kommissionen for en ubestemt periode fra [datoen for denne forordnings

ikrafttræden].

Delegationen af beføjelser efter artikel 8, stk. 4, kan til enhver tid tilbagekaldes af

Europa-Parlamentet eller af Rådet. En afgørelse om tilbagekaldelse bringer

delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør.

Afgørelsen får virkning dagen efter offentliggørelsen i Den Europæiske Unions

Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke

gyldigheden af delegerede retsakter, der allerede er i kraft.

Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er

udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den

interinstitutionelle aftale om bedre lovgivning af 13. april 2016.

Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-

Parlamentet og Rådet meddelelse herom.

En delegeret retsakt vedtaget i henhold til artikel 8, stk. 4, træder kun i kraft, hvis

hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to

måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet,

eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har

informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges

med to måneder på Europa-Parlamentets eller Rådets initiativ.

kom (2017) 0010 - Ingen titel

Artikel 26

Udvalg

Kommissionen bistås af Kommunikationsudvalget, som er nedsat i henhold til artikel

110 i [direktiv om en europæisk kodeks for elektronisk kommunikation]. Dette

udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011

Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011

anvendelse.

KAPITEL VII

AFSLUTTENDE BESTEMMELSER

Artikel 27

Ophævelse

Direktiv 2002/58/EF ophæves med virkning fra den 25. maj 2018.

Henvisninger til det ophævede direktiv gælder som henvisninger til denne

forordning.

Artikel 28

Tilsyn og evaluering

Kommissionen fastlægger senest den 1. januar 2018 et detaljeret program for tilsyn med

effektiviteten af denne forordning.

Kommissionen gennemfører senest tre år efter datoen for denne forordnings anvendelse og

hvert tredje år herefter en evaluering af forordningen og fremlægger de vigtigste resultater for

Europa-Parlamentet, Rådet og Det Økonomiske og Sociale Udvalg. Evalueringen skal, hvor

det er relevant, danne grundlag for forslag til ændring eller ophævelse af denne forordning i

lyset af den retlige, tekniske og økonomiske udvikling.

Artikel 29

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i

Den

Europæiske Unions Tidende.

Den anvendes fra den 25. maj 2018.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle

regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af

gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13-18).

kom (2017) 0010 - Ingen titel

Udfærdiget i Bruxelles, den .

På Europa-Parlamentets vegne

Formanden

På Rådets vegne

Formanden