Nyheter

Beslutet avser en tvist som uppkommit efter ett utkast till beslut som utfärdats av irländska tillsynsmyndigheten såsom ansvarig tillsynsmyndighet (LSA) och de efterföljande invändningarna från ett antal berörda tillsynsmyndigheter (CSA) angående ett ärende som rör Twitter.

GDPR ställer krav på tillsynsmyndigheterna att samarbeta för att säkerställa en konsekvent tillämpning av GDPR. En av deras uppgifter är att samordna beslutsfattande vid gränsöverskridande personuppgiftsbehandling. LSA ansvarar för att leda samarbetsprocessen och förbereda utkast till beslut. CSA ska konsulteras och kan uttrycka sina invändningar mot utkastet till beslut. Om LSA har för avsikt att följa invändningarna ska ett reviderat utkast till beslut skickas till CSA som återigen kan uttrycka sina invändningar. Om LSA inte avser att följa invändningarna och det därför uppstår en tvist om ett utkast till beslut, och inget samförstånd kan uppnås, är LSA skyldig att hänvisa ärendet till EDPB. EDPB fungerar då som tvistlösningsorgan och fattar beslut som är bindande för LSA och CSA (se artikel 65 i GDPR). LSA (och i vissa situationer CSA om klagomålet ingavs där) måste sedan anta sitt slutliga beslut på grundval av EDPB:s beslut. Tillsynsmyndighetens beslut ska sedan meddelas PUA/PUB och i förekommande fall klaganden.

I det aktuella fallet utfärdade den irländska tillsynsmyndigheten ett utkast till beslut efter en utredning av Twitter efter att företaget meddelat en personuppgiftsincident till tillsynsmyndigheten. Utkastet till beslut delades med CSA som bl.a. invände mot de överträdelser som identifierats av LSA, Twitters roll som ensamt personuppgiftsansvarig och bedömningen av det föreslagna sanktionsbeloppet.

Eftersom LSA avvisade invändningarna och/eller ansåg att de inte var ”relevanta och motiverade” hänvisade den ärendet till EDPB och initierade därmed tvistlösningsförfarandet. Den 9 november 2020 antog EDPB sitt bindande beslut och kommer inom kort att underrätta det formellt till den irländska tillsynsmyndigheten som sedan ska anta sitt slutliga beslut på grundval av EDPB-beslutet.

Här kan du ta del av EDPB:s pressmeddelande.

Redan i FI:s konsumentskyddsrapport 2020 aviserades att FI kommer att kartlägga försäkringsföretagens processer för produktgodkännande. Under hösten har EIOPA publicerat en rapport om just tillsynen över produktstyrning och produktgodkännande. Kort därefter publicerade FI en PM om FI-tillsynen om distribution av livförsäkringar. FI har också under hösten fortsatt med sin tillsyn på området, och som en del av detta begärt in utvalda försäkringsföretags produkttillsyns- och styrningspolicier.

Vad ska försäkringsföretagen tänka på, och hur kan företagen förbereda sig? Ett bra sätt är att gå igenom EIOPA:s rapport. Den rapporten kan i det närmaste ses som en handbok för praktisk tillämpning av regelverket och tillsynen. I en kort artikel på Sak & Liv sammanfattar vi de viktigaste delarna i EIOPA:s rapport. En särskilt viktig del är att ha rätt dokumentation på plats. Läs artikeln om vad som kan förväntas av FI:s tillsyn!

Datainspektionen, Barnombudsmannen och Statens medieråd har tagit fram en vägledning för aktörer på marknaden som skapar, tillhandahåller och ansvarar för digitala miljöer där det är vanligt att barn och ungdomar befinner sig, såsom t.ex. sociala medier, chattprogram och onlinespel. Vägledningen är till för att ge ett generellt stöd till aktörerna i syfte att stärka barn och ungdomars fri- och rättigheter på internet.

Enligt GDPR ska barns personuppgifter ges ett särskilt skydd då dessa grupper kan vara mindre medvetna om eventuella risker och konsekvenser i samband med sitt internetanvändande. Vägledningen innehåller bl.a. nedan dataskyddsrelaterade aspekter som aktörer bör tänka på i relation till barn och ungdomar:

• Behandla så få personuppgifter som möjligt och ta hänsyn till integritetsaspekter och barnskydd vid planering och utformning av tjänster och system.
• Ta hänsyn till mottagarens mognad och ålder genom att bl.a. anpassa informationen. Utöver enkel och kortfattad skriftlig information använd även t.ex. enklare diagram eller illustrationer för att förenkla mottagandet.
• Ta ställning till om mottagaren kan förutse konsekvenserna med vad personuppgiftsbehandlingen kan medföra och vad ett samtycke innebär.
• Som huvudregel, stäng av platsdata och vidaredelning av uppgifter.
• Informera mottagaren om verktyg såsom t.ex. föräldrakontroll. Tänk på att även om kontrollen kan vara viktig för att hjälpa vuxna att skydda sina barn och ungdomar, så riskerar kontrollerna begränsa barnets rätt till privatliv, lek och tillgång till information.
• Använda inte förinställda åldersalternativ eller förbockade samtycken. Förinställda val kan ses som nudging och leda till att barn och ungdomar uppger fel uppgifter.
• Om leksaker och anordningar samlar in data, förmedla då tydlig information om detta vid köp- och installationstillfället. Visa även tydligt när produkten samlar in data genom att t.ex. en lampa lyser.
• Kom ihåg att det är förbjudet att rikta direktreklam till barn under 16 år.

Bland alla hållbarhetsrelaterade frågor och regelkrav som kommer, är det i många avseendendisclosureförordningen som finansiella företag måste hantera först.

Vi går här igenom hur framförallt försäkringsföretag och andra företag som tillhandahåller pensionsprodukter berörs av disclosureförordningen och hur reglerna kan implementeras. Försäkringsföretag som omfattas av förordningen är de företag som tillhandahåller försäkringsbaserade investeringsprodukter (Ibips) eller utvecklar pensionsprodukter, till exempel företag som erbjuder kapital- och/eller pensionsförsäkringar. För en mer allmän beskrivning av de hållbarhetsrelaterade regelverken hänvisas till en tidigare artikel.

Vilken nivå av hållbarhet?

Det första ett företag behöver göra för att implementera disclosureförordningen är att bestämma sig för en målbild. Vilken nivå ska vi lägga oss på?

Det har tidigare varit relativt problemfritt för företag att hävda att man arbetar aktivt för att främja klimat och hållbarhet. I och med de nya regelverken, där disclosureförordningen är en viktig del, kommer det att ställas regelkrav på ett helt annat sätt än tidigare.

Disclosureförordningen ställer nämligen krav på finansiella företag att vara transparenta med hur de i processer och rutiner integrerar hållbarhetsrisker och beaktar negativa konsekvenser för hållbar utveckling. Reglerna kräver också att företagen lämnar information om hållbarhetsrelaterade upplysningar med avseende på deras specifika produkter.

Regelverket reglerar visserligen inte hur företag ska bedriva sitt hållbarhetsarbete, men ett företag som till exempel inte har rätt organisation, processer och styrdokument på plats kommer inte att ha möjlighet att i marknadsföringen påstå att bolaget investerar på ett hållbart sätt.

Ur kommersiell synvinkel måste företag väga arbetet och resurserna med att lägga sig på en ”hög” hållbarhetsnivå mot möjligheterna att använda hållbarhet som en faktor i marknadsföring och säljarbete. I förordningen finns till exempel mer omfattande krav för produkter som har hållbar investering som mål jämfört med en produkt som främjar miljörelaterade egenskaper.

Förutom de rent kommersiella aspekterna finns också exempelvis styrningskrav från ägare och andra aktörer, för att inte tala om omgivningens förväntningar. För att kunna veta vilken nivå av hållbarhet som är lämplig och möjlig, måste företag inventera sitt nuvarande hållbarhetsarbete och kartlägga vad som redan finns, för att sedan jämföra det med regelverkskraven.

Vad finns inom företaget i dag?

Många företag som berörs av disclosureförordningen har redan kommit långt med arbetet med hållbarhetsfrågor. Ofta finns riktlinjer och rutiner för hur investeringar görs. Det finns i många fall också styrdokument om hållbarhet och många företag publicerar sedan länge hållbarhetsredovisningar. Vissa företag omfattas även av befintliga regelkrav om principer för aktieägarengagemang, och i det arbetet är det vanligt att hållbarhetsfrågor inkluderas. ­

Också organisationsmässigt har många företag sedan länge haft ett hållbarhetsfokus, när det gäller kapitalförvaltningen och på investeringsavdelningarna. Ofta finns en särskild hållbarhetsavdelning, eller i vart fall en utpekad hållbarhetsansvarig. Andra avdelningar som ofta arbetar med hållbarhetsfrågor är produkt, marknad och sälj, där de flesta befinner sig nära verksamheten.

Företag behöver nu gå igenom sitt produktutbud och kartlägga vilket hållbarhetsfokus som redan finns och som avspeglas i till exempel kapitalförvaltningen, produktutformning, förköpsinformation och rådgivningsprocessen; och hur allt detta påverkar företagets organisation.

Vad behöver göras (ytterligare)?

När disclosureförordningen börjar tillämpas gäller det att matcha verksamheten och målbilden för hållbarhet med de omfattande regelkraven. Om högsta nivå av hållbarhet eftersträvas kommer betydande arbete att krävas på många nivåer inom företaget, särskilt om den befintliga verksamheten inte redan ligger i framkant. Även företag som ligger långt fram kommer att behöva se över organisationen, styrdokument, information på hemsida, periodisk rapportering, produktinformation och förköpsinformation.

I huvudsak kan förordningen delas in i följande områden som särskilt måste hanteras:

Bland de regler som sannolikt innebär störst förändringsarbete kan nämnas artikel 4 och tillhörande förslag till tekniska standarder (RTS). Företag som avser att beakta hållbarhetsfrågor i bolagets investeringar måste informera om hur företaget beaktar investeringars huvudsakliga negativa konsekvenser på hållbarhetsfaktorer, i enlighet med omfattande och detaljerade regler. I förlängningen påverkar dessa krav också styrning och arbetssätt. Företag som inte beaktar investeringars huvudsakliga negativa konsekvenser måste informera om detta, och dessutom ange tydliga skäl till varför. Artikel 4 innehåller även liknande krav som avser om företag i dess rådgivning till kunder beaktar de huvudsakliga negativa konsekvenserna för hållbarhetsfaktorer.

Vi kan också nämna artikel 10 som handlar om vilken produktspecifik information som måste publiceras på företagets webbplats. Även här finns omfattande och detaljerade regler, inklusive RTS. Artikel 34 i RTS innehåller specificerad information som i förlängningen innebär krav på interna processer och rutiner.

Projekt/organisation för implementering

Disclosureförordningen utgör ett regelverk som kräver en metodik för implementering som kan jämföras med tidigare regelverk, såsom GDPR-förordningen och IDD-regelverket. För många företag kommer det därför att krävas en särskild utsedd organisation (till exempel befintlig avdelning för regelverksimplementering) eller ett särskilt upprättat projekt för att analysera och implementera de nya kraven.

Tidigare har det ofta varit tillräckligt att personer inom främst kapitalförvaltning och investeringar har arbetat med hållbarhetsfrågor. Kraven som disclosureförordningen ställer upp innebär med stor sannolikhet att även jurister kommer att behöva involveras i arbetet, framförallt i implementeringsskedet. Fokus bör fortsatt ligga på verksamheten, investeringar, produkter och kunder, men den direkta kopplingen till detaljerade regler är en ny aspekt av hållbarhetsarbetet.

Stora delar av förordningen och RTS börjar gälla den 10 mars 2021. Om inte implementeringsarbetet redan pågår är det hög tid att sätta igång.

Genomförande och arbetet framåt

I denna artikel har vi fokuserat på disclosureförordningen, men måste också nämna den kommande taxonomiförordningen som kommer att ha direkta kopplingar till delar av disclosureförordningen. Utöver detta kommer även nya hållbarhetskrav att ställas upp genom revideringar av befintliga regelverk, till exempel inom områdena företagsstyrning (Solvens II) och produkt och rådgivning (IDD). Det kan därför vara klokt att ha en mer permanent funktion för hållbarhetsrelaterade regelkrav och dess implementering. En sådan funktion kan dessutom arbeta för att ge företaget ett försprång inom till exempel riskhantering och produktstyrningsprocesser, vilket kommer påverka möjligheterna att marknadsföra företaget och dess produkter som hållbara.

Kawin Mårtensson: kawin.martensson@kompassadvokat.se / +46 721 43 65 68
Camilla Dath: camilla.dath@kompassadvokat.se / +46 707 75 05 35