Rådet for den europeiske union ble den 10. februar enige om sin posisjon på ePrivacy-forordningen. Saksbehandlingen går nå videre til trilogforhandlinger mellom Rådet, Kommisjonen og Parlamentet.
Forordningen vil ha betydning for alle aktører som benytter Internet of Things, informasjonskapsler eller metadata om elektronisk kommunikasjon. Med andre ord vil den få nesten like stort anvendelsesområde som personvernforordningen (GDPR).
Dette er et stort og etterlengtet skritt på veien mot en endelig forordning. Enigheten i Rådet baserer seg på tekstutkastet fra det portugisiske presidentskapet i Rådet, som var det fjortende utkastet i rekken.
Dersom forordningen blir vedtatt slik den er utformet nå, vil det som utgangspunkt bli forbudt å behandle elektronisk kommunikasjonsdata uten samtykke fra den det gjelder. De eneste unntakene vil være behandling som er nødvendig for å opprettholde sikkerheten ved tjenesten, eller behandling i etterforskning av straffbare forhold iht. det enkelte lands lovgivning.
Metadata, for eksempel hvor lenge man har ringt, datamengde eller antall SMS, vil fortsatt kunne bli behandlet for blant annet faktureringsformål og for å avdekke og stoppe svindelforsøk og urettmessig bruk. Dersom tjenestetilbyderen får brukerens samtykke, kan metadata også brukes til andre formål. Eksemplet nevnt i pressemeldingen fra Rådet er at man kan samtykke til å avgi data til trafikkmåling eller lignende formål. Det åpnes også for å behandle metadata for å overvåke epidemier, eller for å måle bevegelsesmønstre ved humanitære katastrofer. Med andre ord kan ePrivacy-forordningen påvirke myndighetenes datainnsamling i eventuelle lignende situasjoner som den pågående pandemien.
Når det gjelder informasjonskapsler/cookies, understreker Rådet at brukeren skal ha et reelt valg («genuine choice») om å samtykke eller ei. Dette er rettstilstanden også i dag, men det syndes betraktelig. Det nye er imidlertid at Rådet understreker at «cookie walls» som alternativ til «betalingsmur» kun vil bli tillatt dersom den samme leverandøren også tilbyr en tilsvarende tjeneste uten cookies. Dersom dette blir vedtatt, må kanskje flere tjenestetilbydere som for eksempel nettaviser tilby sine tjenester som henholdsvis «betal med personopplysninger» eller «betal med penger» (gå til hjemmesiden til the Washington Post for å se et eksempel).
Selv om dette er et stort skritt i retning vedtagelse, er det likevel vanskelig å si om og når forordningen blir vedtatt. Når den eventuelt blir vedtatt vil det også gå to år før den trer i kraft, på samme måte som for personvernforordningen GDPR.