DSA möter GDPR: vad betyder det för marknadsförare?
Europeiska dataskyddsstyrelsen, EDPB, har antagit nya riktlinjer för hur Digital Services Act (DSA) och GDPR ska samspela. Riktlinjerna publicerades den 11 september och pekar ut flera områden där marknadsförare behöver ta hänsyn till båda regelverken samtidigt.
Det innebär skärpta krav, men också en växande komplexitet som riskerar att skapa fler frågor än svar. För företag som arbetar med datadriven marknadsföring blir det allt viktigare att förstå hur olika regelverk förhåller sig till varandra i praktiken – särskilt när det gäller transparens, profilering, innehållsmoderering och skyddet för barn.
Transparens i annonsering – högre krav men otydligt samspel
Ett centralt område i riktlinjerna gäller transparenskraven för digital annonsering.
Enligt artikel 26 i DSA måste plattformar i realtid visa användaren varför en viss annons visas. Samtidigt kräver GDPR att information om personuppgiftsbehandling lämnas redan innan datainsamlingen sker.
Det skapar en tydlig tidsmässig krock. För marknadsförare och plattformar innebär det en ökad risk för otydlighet, där olika informationskrav kan överlappa varandra utan att det blir lättare för användaren att förstå vad som faktiskt sker.
Det hade varit värdefullt om EDPB tydligare hade förklarat hur regelverken ska vägas mot varandra i praktiken. Juridiska principer som att nyare regler kan väga tyngre än äldre, eller att mer specialiserad lagstiftning kan gå före mer generell, hade kunnat ge välbehövlig vägledning.
Samtidigt framstår det som orealistiskt att tolka informationskravet så långt att varje framtida annons måste förklaras i detalj redan på förhand.
Striktare regler för profilering i digital annonsering
För marknadsförare innebär riktlinjerna också strängare regler för profilering.
Enligt DSA är det förbjudet att använda känsliga personuppgifter för riktad annonsering, även i de fall där GDPR i vissa situationer kan öppna för undantag. DSA ersätter alltså inte GDPR, utan lägger till ytterligare begränsningar.
Det stärker individens skydd, men gör samtidigt regelverket mer komplext för företag som redan arbetar ansvarsfullt med data.
När integritetsskydd begränsar individens valmöjligheter
Ett exempel är att personer som själva samtyckt till personliga erbjudanden inför högtider som Eid eller Yom Kippur enligt DSA ändå inte längre får ta del av sådan annonsering.
Det väcker en principiellt viktig fråga: om en individ uttryckligen vill ha viss typ av relevant och personaliserad kommunikation, är det då rimligt att lagstiftningen sätter stopp för det? Här uppstår en spänning mellan skyddet för individen och individens eget självbestämmande.
För branschen blir detta ytterligare ett exempel på hur välmenande regler kan få konsekvenser som i praktiken begränsar både relevans och valfrihet.
Innehållsmoderering kräver rättslig grund enligt GDPR
När det gäller innehållsmoderering framhåller EDPB att frivillig upptäckt av olagligt innehåll enligt artikel 7 i DSA måste vila på en rättslig grund i GDPR.
Det kan till exempel ske genom:
- berättigat intresse enligt artikel 6.1 f
- rättslig skyldighet enligt artikel 6.1 c
För att uppfylla kraven måste den personuppgiftsansvarige kunna visa att behandlingen är nödvändig, proportionerlig och förenlig med användarnas rimliga förväntningar.
I praktiken innebär detta att GDPR kan försvåra en av DSAs mest centrala funktioner: att upptäcka och ta bort olagligt innehåll.
Det går därför att ifrågasätta om detta verkligen är den effekt som lagstiftarna avsåg. För företag och plattformar innebär det i varje fall att bedömningarna blir mer juridiskt komplexa, samtidigt som kraven på dokumentation och motivering ökar.
Särskilt skydd för barn i DSA och GDPR
Barns rättigheter lyfts fram som ett prioriterat område i riktlinjerna.
Enligt artikel 28 i DSA ställs höga krav på integritet och säkerhet för minderåriga, i linje med GDPR:s särskilda regler för samtycke och behandling av barns personuppgifter.
EDPB rekommenderar att åldersverifiering ska vara riskbaserad och utformas så att känslig information inte lagras permanent. Endast uppgiften om huruvida en användare uppfyller ålderskravet bör sparas.
Det är en viktig princip, eftersom skyddet för barn inte får leda till att mer data än nödvändigt samlas in eller lagras. För marknadsförare innebär det att målgrupper med minderåriga användare kräver särskilt genomtänkta processer och tekniska lösningar.
Vad betyder riktlinjerna för marknadsförare?
För marknadsförare innebär de nya riktlinjerna att det blir ännu viktigare att arbeta strukturerat, dokumenterat och med god förståelse för hur olika regelverk samverkar.
Särskilt viktigt blir att säkerställa:
- hur annonser förklaras för användaren
- vilken data som används vid profilering
- hur minderåriga målgrupper hanteras
Det handlar inte bara om juridisk efterlevnad, utan också om att bygga långsiktigt förtroende genom tydlighet, ansvar och respekt för individens integritet.
Ökade krav – men fortsatt behov av tydligare vägledning
EDPB:s riktlinjer ger viktiga signaler om hur DSA och GDPR ska tillämpas tillsammans, men lämnar samtidigt flera praktiska frågor obesvarade.
För branschen innebär det att komplexiteten ökar. När fler regelverk ska fungera parallellt behövs också tydligare vägledning om hur konflikter, överlapp och tolkningsfrågor ska hanteras i praktiken.
Här har både EU-institutioner och nationella myndigheter ett ansvar att bidra med klarhet, så att företag kan agera rättssäkert utan att onödig osäkerhet hämmar innovation, relevans och affärsutveckling.
SWEDMA följer utvecklingen
För SWEDMA är det centralt att följa hur nya EU-regler påverkar förutsättningarna för datadriven marknadsföring, transparens och integritet.
I takt med att samspelet mellan olika regelverk blir mer komplext ökar behovet av vägledning som är både juridiskt träffsäker och praktiskt användbar. Vi fortsätter därför att bevaka utvecklingen och lyfta de frågor som är viktigast för våra medlemmar och för branschens möjligheter att arbeta ansvarsfullt, innovativt och konkurrenskraftigt.
