DSA möter GDPR: vad betyder det för marknadsförare?
Europeiska dataskyddsstyrelsen (EDPB) har antagit nya riktlinjer för hur Digital Services Act (DSA) och GDPR ska samspela. Riktlinjerna, som publicerades den 11 september, pekar ut flera områden där marknadsförare måste ta hänsyn till båda regelverken samtidigt. Resultatet är skärpta krav, men också en växande komplexitet som riskerar att skapa fler frågor än svar.
Transparens i annonsering
Ett centralt område gäller transparenskraven. Enligt artikel 26 i DSA måste plattformar i realtid visa användaren varför en viss annons visas. Samtidigt kräver GDPR att information om databehandling lämnas redan innan insamlingen sker. Här uppstår en tidsmässig krock som kan skapa mer förvirring än klarhet.
Det hade varit värdefullt om EDPB tydligare förklarat hur regelverken ska förhålla sig till varandra. Juridiska principer som att nyare regler går före äldre eller att mer specialiserade regler väger tyngre än generella hade kunnat ge praktisk vägledning. Samtidigt framstår det som orealistiskt att tolka informationskravet så långt att varje framtida annons skulle behöva förklaras i detalj.
Striktare regler för profilering
För marknadsförare innebär riktlinjerna strängare regler för profilering. Enligt DSA är det förbjudet att använda känsliga personuppgifter för riktad annonsering, även i de fall där GDPR öppnar för undantag. DSA ersätter alltså inte GDPR, utan lägger till ytterligare krav.
Det stärker individens skydd men gör gränsdragningen mer komplex för aktörer som redan hanterar data ansvarsfullt. Ett exempel är att personer som samtyckt till personliga erbjudanden inför högtider som Eid eller Yom Kippur inte längre får ta del av dessa enligt DSA. Detta väcker frågan om en sådan begränsning av individens självbestämmande verkligen är förenlig med integritetsskyddets grundläggande syfte.
Moderering och rättslig grund
När det gäller innehållsmoderering framhåller EDPB att frivillig upptäckt av olagligt innehåll enligt artikel 7 i DSA måste vila på en rättslig grund i GDPR. Det kan ske genom berättigat intresse (artikel 6.1 f) eller rättslig skyldighet (artikel 6.1 c).
För att uppfylla kraven måste den personuppgiftsansvarige kunna visa att behandlingen är nödvändig, proportionerlig och i linje med användarnas rimliga förväntningar. I praktiken kan detta innebära att GDPR försvårar en av DSAs mest centrala uppgifter: att upptäcka och ta bort olagligt innehåll. Det går att ifrågasätta om det verkligen var den effekten lagstiftarna hade i åtanke när GDPR infördes.
Särskilt skydd för barn
Barns rättigheter lyfts fram som ett prioriterat område. Enligt artikel 28 i DSA ställs höga krav på integritet och säkerhet för minderåriga, i linje med GDPR:s särskilda regler för samtycke och behandling av barns uppgifter.
EDPB rekommenderar att åldersverifiering ska vara riskbaserad och inte leda till att känslig information lagras permanent. Endast uppgiften om huruvida en användare uppfyller ålderskravet bör sparas.
Vad betyder detta för marknadsförare?
För marknadsförare innebär riktlinjerna att man behöver vara särskilt noggrann med:
- hur annonser förklaras för användaren
- vilken data som används vid profilering
- hur minderåriga målgrupper hanteras
Alla artiklar