Digital Markets Act – Nyheter för marknadsförare
21 februari 2024Den 6 mars i år börjar Digital Markets Act (DMA) att gälla skarpt för de aktörer som beskrivs som grindvakter i regelverket och som EU-kommissionen utsåg under 2023. Reglerna träffar de största digitala plattformarna och företagen bakom dessa klassas som grindvakter. Reglerna introducerar nya förhållningsregler som syftar till att säkra en sund och konkurrenskraftig digital marknad inom EU. Det nya regelverket introducerar, lite förenklat, regler som beskriver hur grindvakterna behöver förhålla sig till de som använder vissa av deras tjänster, exempelvis marknadsförare och konsumenter.
Detta nyhetsinlägg tar sikte på de nyheter i DMA som kan komma att påverka hanteringen av personuppgifter för marknadsförare som använder sig av grindvakternas tjänster – exempelvis Youtube, Instagram, TikTok och Google Ads (se bild nedan).
De designerade grindvakterna med de respektive tjänster som omfattas av reglerna
This work © 2023 by European Commission is licensed under CC BY 4.0
Persondata som delas med grindvakterna
För sina centrala onlinetjänster får grindvakterna (se bild ovan) inte behandla personuppgifter om slutanvändare som använder tjänster av tredje parter som i sin tur använder grindvaktens centrala plattformstjänster om syftet är att tillhandahålla annonseringstjänster online. Man kan exempelvis tänka sig att förbudet träffar situationen där en e-handlare delar personuppgifter om sina kunder med till exempelvis Facebook och Facebook utifrån den persondatan erbjuder annonseringstjänster.
Det finns dock några undantag, framförallt handlar det om att personuppgiftsbehandlingen ändå är tillåten om slutanvändaren getts det specifika valet och lämnat sitt samtycke.
Regeln förtydligar att det för viss behandling av personuppgifter krävs att grindvakten kan visa att slutanvändaren samtyckt till personuppgiftsbehandlingen. Vi kan mot bakgrund av denna regel se framför oss att grindvakterna kan komma att ställa högre krav på att de som delar persondata i marknadsföringssyfte med grindvakterna kan visa att slutanvändare samtyckt till den persondata som delas med grindvakten.
Ett exempel på utvecklingen är att Googles krav på samtycke skärps för i vart fall vissa av deras annonseringstjänster. För den som använder sig av Googles annonstjänster kan därför anpassningar och uppdateringar komma att behöva göras. Läs mer här
Regeln går att läsa i artikel 5.2a i regelverket.
Grindvakternas möjlighet att kombinera och korsanvända personuppgifter
En annan nyhet är att grindvakternas möjlighet att kombinera personuppgifter mellan olika tjänster begränsas. Av regelverket framgår att grindvakten inte får kombinera personuppgifter från den relevanta centrala plattformstjänsten med personuppgifter från andra centrala plattformstjänster eller från eventuella andra tjänster som tillhandahålls av grindvakten eller med personuppgifter från tredjepartstjänster.
Därutöver får grindvakten inte korsanvända personuppgifter från en central plattformstjänst i andra tjänster som grindvakten tillhandahåller separat, inbegripet andra centrala plattformstjänster, och vice versa.
Även från dessa två förbud finns undantag, exempelvis genom att slutanvändaren getts det specifika valet och gett sitt samtycke.
Förenklat innebär förbuden att grindvakterna inte får kombinera och/eller överföra personuppgifter mellan sina centrala plattformstjänster och andra tjänster, såväl egna som andras. Som exempel på vad det kan innebära konkret så ger Google användare möjligheten att välja att vissa av Googles tjänster inte ska vara länkade vilket man beskriver kommer att påverka om data delas mellan dessa tjänster. Läs mer här: About DMA & your linked services – Google Search Help).
Motsvarande anpassningar införs även av exempelvis Meta. Metas finns att läsa mer om här: Offering People More Choice on How They Can Use Our Services in the EU | Meta (fb.com)
Regeln går att läsa i artikel 5.2b i regelverket.
Företagsanvändares rätt till tillgång av data, inklusive persondata
Grindvakten ska på begäran och kostnadsfritt i realtid ge företagsanvändare tillgång till, och möjlighet att använda, aggregerade och icke-aggregerade data, inbegripet personuppgifter, som tillhandahålls eller genereras i samband med användningen av de relevanta centrala plattformstjänsterna eller tjänster som tillhandahålls tillsammans med, eller till stöd för, de relevanta centrala plattformstjänsterna.
När det kommer till personuppgifter ska grindvakten endast ge tillgång till dessa om uppgifterna har en tillräcklig koppling till slutanvändarens användning av produkter eller tjänster som tillhandahålls av företagsanvändaren genom den centrala plattformstjänsten. Tillgången kräver även att slutanvändaren samtycker till att företagsanvändaren kan ges tillgång.
Regeln går att läsa i artikel 6.10 i regelverket.
Läs mer om DMA på EU-kommissionens webbplats: The Digital Markets Act – European Commission (europa.eu)
Regelverket går att läsa i sin helhet här: Publications Office (europa.eu)
DMA är ett av två nya stora lagstiftningsprojekt från EU som syftar till att reglera den digitala inre marknaden. Det andra heter Digital Services Act (DSA) och går att läsa mer om i ett av våra tidigare nyhetsinlägg som beskriver nyheter för marknadsförare i DSA, läs mer här.
Har ni några frågor är ni även välkomna att kontakta oss.
Ulrika Wendt, jurist
[email protected]
Jakob Rönnerbäck, jurist
[email protected]