Den 6 mars i år börjar Digital Markets Act (DMA) att gälla skarpt för de aktörer som beskrivs som grindvakter i regelverket och som EU-kommissionen utsåg under 2023. Reglerna träffar de största digitala plattformarna och företagen bakom dessa klassas som grindvakter. Reglerna introducerar nya förhållningsregler som syftar till att säkra en sund och konkurrenskraftig digital marknad inom EU. Det nya regelverket introducerar, lite förenklat, regler som beskriver hur grindvakterna behöver förhålla sig till de som använder vissa av deras tjänster, exempelvis marknadsförare och konsumenter.

Detta nyhetsinlägg tar sikte på de nyheter i DMA som kan komma att påverka hanteringen av personuppgifter för marknadsförare som använder sig av grindvakternas tjänster – exempelvis Youtube, Instagram, TikTok och Google Ads (se bild nedan).

De designerade grindvakterna med de respektive tjänster som omfattas av reglerna

This work © 2023 by European Commission is licensed under CC BY 4.0 

Persondata som delas med grindvakterna

För sina centrala onlinetjänster får grindvakterna (se bild ovan) inte behandla personuppgifter om slutanvändare som använder tjänster av tredje parter som i sin tur använder grindvaktens centrala plattformstjänster om syftet är att tillhandahålla annonseringstjänster online. Man kan exempelvis tänka sig att förbudet träffar situationen där en e-handlare delar personuppgifter om sina kunder med till exempelvis Facebook och Facebook utifrån den persondatan erbjuder annonseringstjänster.

Det finns dock några undantag, framförallt handlar det om att personuppgiftsbehandlingen ändå är tillåten om slutanvändaren getts det specifika valet och lämnat sitt samtycke.

Regeln förtydligar att det för viss behandling av personuppgifter krävs att grindvakten kan visa att slutanvändaren samtyckt till personuppgiftsbehandlingen. Vi kan mot bakgrund av denna regel se framför oss att grindvakterna kan komma att ställa högre krav på att de som delar persondata i marknadsföringssyfte med grindvakterna kan visa att slutanvändare samtyckt till den persondata som delas med grindvakten.

Ett exempel på utvecklingen är att Googles krav på samtycke skärps för i vart fall vissa av deras annonseringstjänster. För den som använder sig av Googles annonstjänster kan därför anpassningar och uppdateringar komma att behöva göras. Läs mer här

Regeln går att läsa i artikel 5.2a i regelverket.

Grindvakternas möjlighet att kombinera och korsanvända personuppgifter

En annan nyhet är att grindvakternas möjlighet att kombinera personuppgifter mellan olika tjänster begränsas. Av regelverket framgår att grindvakten inte får kombinera personuppgifter från den relevanta centrala plattformstjänsten med personuppgifter från andra centrala plattformstjänster eller från eventuella andra tjänster som tillhandahålls av grindvakten eller med personuppgifter från tredjepartstjänster.

Därutöver får grindvakten inte korsanvända personuppgifter från en central plattformstjänst i andra tjänster som grindvakten tillhandahåller separat, inbegripet andra centrala plattformstjänster, och vice versa.

Även från dessa två förbud finns undantag, exempelvis genom att slutanvändaren getts det specifika valet och gett sitt samtycke.

Förenklat innebär förbuden att grindvakterna inte får kombinera och/eller överföra personuppgifter mellan sina centrala plattformstjänster och andra tjänster, såväl egna som andras. Som exempel på vad det kan innebära konkret så ger Google användare möjligheten att välja att vissa av Googles tjänster inte ska vara länkade vilket man beskriver kommer att påverka om data delas mellan dessa tjänster. Läs mer här: About DMA & your linked services – Google Search Help).

Motsvarande anpassningar införs även av exempelvis Meta. Metas finns att läsa mer om här: Offering People More Choice on How They Can Use Our Services in the EU | Meta (fb.com)

Regeln går att läsa i artikel 5.2b i regelverket.

Företagsanvändares rätt till tillgång av data, inklusive persondata

Grindvakten ska på begäran och kostnadsfritt i realtid ge företagsanvändare tillgång till, och möjlighet att använda, aggregerade och icke-aggregerade data, inbegripet personuppgifter, som tillhandahålls eller genereras i samband med användningen av de relevanta centrala plattformstjänsterna eller tjänster som tillhandahålls tillsammans med, eller till stöd för, de relevanta centrala plattformstjänsterna.

När det kommer till personuppgifter ska grindvakten endast ge tillgång till dessa om uppgifterna har en tillräcklig koppling till slutanvändarens användning av produkter eller tjänster som tillhandahålls av företagsanvändaren genom den centrala plattformstjänsten. Tillgången kräver även att slutanvändaren samtycker till att företagsanvändaren kan ges tillgång.

Regeln går att läsa i artikel 6.10 i regelverket.

Läs mer om DMA på EU-kommissionens webbplats: The Digital Markets Act – European Commission (europa.eu)

Regelverket går att läsa i sin helhet här: Publications Office (europa.eu)  

DMA är ett av två nya stora lagstiftningsprojekt från EU som syftar till att reglera den digitala inre marknaden. Det andra heter Digital Services Act (DSA) och går att läsa mer om i ett av våra tidigare nyhetsinlägg som beskriver nyheter för marknadsförare i DSA, läs mer här.

Har ni några frågor är ni även välkomna att kontakta oss.  

Ulrika Wendt, jurist 
[email protected] 
Jakob Rönnerbäck, jurist 
[email protected] 


Relaterade artiklar

Meta ger sig in i Principal Media 

Principal Media handlar om att mediebyråer ska kunna köpa annonser för olika priser för byrån och kund som man handlar medieutrymme för. Detta finns idag redan inbyggt i stor del av dagens programmatiska…

Ny pitchstandard för minskad stress och ökad effektivitet – både för byrå och kund

Inom ramen för branschinitiativet CommToAct/People presenterar nu Sveriges Mediebyråer, Komm och Sveriges Annonsörer en ny pitchstandard för upphandling av mediebyrå och kommunikationsbyråtjänster.

Meta får miljardböter av EU för ”Pay or OK”

I november 2023 införde Meta sin modell ”Pay or OK” vilket innebar att man som användare var tvungen att antingen betala för Metas tjänster Facebook och Instagram eller acceptera omfattande behandling av personuppgifter…

Kundresan är inte en karta – det är en kompass 

Att få en hel organisation att fokusera på det som faktiskt spelar roll – för kunden och för affären. Hur undviker vi att fastna i silos, punktinsatser och kanaloptimering, och istället enas kring…
Fler artiklar