A NSVARSFRIHETSGRUNDER

6.2.1   Mellanhänders ansvar

Avsnitt IV i e-handelsdirektivet reglerar vissa tjänsteleverantörers rättsliga ansvar för den information som de överför och/eller lagrar på uppdrag av sina användare. Generellt sett rör bestämmelserna sådana tjänsteleverantörer som bedriver en typ av verksamhet som har en rent teknisk karaktär där de enbart vidarebefordrar eller lagrar information men också värdtjänster som tillhandahåller onlineplattformar omfattas som tidigare nämnt av direktivet.¹⁸⁴ Kommissionen har senare förtydligat att även tillhandahållare av onlineplattformar omfattas av ansvarsfrihetsregleringen i e-handelsdirektivet, förutsatt att kraven uppfylls, med anledning av att regelverket är teknikneutralt.¹⁸⁵

Som redogjorts för under avsnitt 3 ålägger samtidigt dataskyddsförordningen alla organisationer som behandlar personuppgifter ett ansvar för dessa uppgifter, vilket vi mot bakgrund av avsnitt 4 kan konstatera att tjänsteleverantörer av olika slag gör. I art. 2.4 i dataskyddsförordningen anges emellertid också att förordningen inte ska påverka tillämpningen av e-handelsdirektivet, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12-15 i det direktivet. E-handelsdirektivet hänvisar samtidigt tillbaka till dataskyddsförordningen genom att i art. 1.5 (b) ange att direktivet inte ska tillämpas på frågor beträffande informationssamhällets tjänster som omfattas av direktiv 95/56/EG (gamla dataskyddsdirektivet) vilket nu ska betraktas som en hänvisning till datasskyddsförordningen.¹⁸⁶ Frågan kvarstår således huruvida det personuppgiftsansvar som åvilar även tjänsteleverantörer av informationssamhällets tjänster begränsas av e-handelsdirektivet.

Syftet med ansvarsbegränsningarna i e-handelsdirektivet är dels att minska skillnaderna i medlemsstaternas lagstiftning avseende ansvaret för tjänsteleverantörer som agerar mellanhänder för att utvecklingen av gränsöverskridande tjänster inte ska hämmas samt dels för att konkurrensen inte ska snedvridas.¹⁸⁷ Det anges vidare i skälen att direktivet åsyftar att skapa en balans mellan olika berörda intressen samt utifrån dessa intresseavvägningar fastställa

184 Avsnitt 4 i e-handelsdirektivet samt prop. 2001/02:150, s. 21 och 31.

185 COM (2016) 288 final, s. 8.

186 Art. 94.2 dataskyddsförordningen anger att hänvisningar till det upphävda direktivet ska anses som hänvisningar till dataskyddsförordningen.

187 Skäl 40 samt prop. 2001/02:150, s. 31 f.

principer på vilka överenskommelser och normer i branschen kan baseras.¹⁸⁸ De intresseavvägningar som legat till grund för bestämmelserna om ansvarsbegränsningar motiveras av flera skäl, dels att det skulle skapa en orimlig börda för tjänsteleverantörerna att övervaka den enorma mängden datatrafik som dagligen överförs via plattformen samt dels det faktum att tjänsteleverantören enbart har rollen som en passiv överförare av information.¹⁸⁹ Därtill säkerställer ansvarsfrihetsgrunderna det fria informationsflödet på internet.¹⁹⁰ Ansvarsfrihetsgrunderna avser både civilrättsliga och straffrättsliga överträdelser som kan förekomma i den data som från användarna förekommer i tjänsten som erbjuds.¹⁹¹ Men kanske främst diskuteras ansvarsfrihet för tjänsteleverantörer i förhållande till upphovsrättsliga överträdelser av användare av informationssamhällets tjänster. Eftersom att ansvarsfrihet förutsätter att tjänsteleverantören håller en passiv roll vid informationsöverföringen säkerställs syftet att leverantören inte ska avkrävas övervaka all information som vidarebefordras genom dennes tjänst. Nämnda syfte förefaller också rimligt både i förhållande till den omfattande mängd information som skickas samt i syfte att skydda det fria flödet av information.

Ansvarsbegränsningarna bör, mot bakgrund av dessa intressen, anses vara direkt nödvändiga för informationssamhällets tjänsters existens då ett alltför långtgående ansvar för användarnas material skulle innebära en orimlig och ouppnåelig börda för tjänsteleverantörerna.

6.2.2   Mere conduit

Ansvarsfrihetsgrunden som behandlas i art. 12 är den mest långtgående av de aktuella bestämmelserna. För att tjänsteleverantören ska kunna erhålla ansvarsfrihet för den information som överförs mellan användare av tjänsten måste tjänsteleverantören inneha en passiv roll genom att uppfylla vissa kriterier. Dessa kriterier är (1) att överföringen av information inte har initierats av tjänsteleverantören, (2) att tjänsteleverantören inte bestämmer vem informationen skickas till samt (3) att tjänsteleverantören inte kan välja ut delar av eller ändra informationen som skickas. För det fall något av kriterierna brister anses inte tjänsteleverantören ha varit en neutral och inaktiv mellanhand och kan i ett sådant fall inte åtnjuta ansvarsfrihet för eventuellt illegalt innehåll i överföringen mellan användarna. Ansvaret för innehållet i överföringen kan både avse civilrättsliga överträdelser såväl som straffrättsliga.¹⁹² Exempel på typiska tjänsteleverantörer som innefattas under ansvarsfrihetsgrunden i art. 12 är traditionella

188 Skäl 41 e-handelsdirektivet.

189 Riordan (2016), s. 7.

190 COM (2003) 702 final, s. 13 samt jfr. Karlsson (2017), s. 3.

191 Lodder och Murray, s. 48.

192 A.a.s. 48 f.

internetåtkomstleverantörer som ansluter sina abonnenter till internet, samt nätverksoperatörer, som kopplar samman olika delar av internet, dvs. kategori (i) tjänsteleverantörer utifrån den uppdelning som presenterades i avsnitt 2.2.1. Båda dessa typer av tjänsteleverantörer överför stora mängder data på begäran av sina prenumeranter.¹⁹³

6.2.3   Cachning

Ansvarsfrihetsgrunden som aktualiseras i art. 13 medför ansvarsfrihet för tjänsteleverantören som levererar en informationssamhällestjänst bestående av överföring av information som tillhandahållits av användaren på ett kommunikationsnät. Tjänsteleverantören är då undantagen ansvar för den automatiska, mellanliggande och tillfälliga lagringen av information som sker enbart i syfte att underlätta och effektivisera överföringen av information, förutsatt att alla de fem kriterierna är uppfyllda. De nyss nämnda kraven är att tjänsteleverantören (1) inte ändrar informationen, (2) uppfyller villkoren för tillgång till informationen, (3) följer reglerna för uppdatering av informationen, som är allmänt vedertaget och använt inom branschen, (4) inte ingriper i den lagliga användningen av den teknik som är allmänt vedertagen och används inom branschen för att få fram data om hur informationen används samt (5) handlar utan dröjsmål för att avlägsna den information han har lagrat eller göra den oåtkomlig.¹⁹⁴

Den typiska tjänsten som avses i art. 13 är en så kallad ”proxyserver”, som lagrar lokala kopior av webbplatser som en användare har åtkomst till. När samma webbplats besöks igen kan proxyservern leverera den lokalt lagrade kopian av webbplatsen och undviker då att behöva kontakta den ursprungliga webbservern igen i syfte att minska nätverkstrafiken och på så sätt påskynda leveransprocessen.¹⁹⁵ Här avses således kategori (ii) utifrån den uppdelning som presenterades i avsnitt 2.2.1.

6.2.4   Värdtjänster

Den tredje ansvarsfrihetsgrunden aktualiseras i art. 14 i e-handelsdirektivet och avser tjänsteleverantörer som levererar informationssamhällets tjänster bestående av lagring av information som tillhandahållits av användaren. Tjänsteleverantören är i dessa fall inte ansvarig för informationen som lagrats på begäran av en tjänstemottagare av tjänsten under vissa förutsättningar. Tjänsteleverantören ska (1) inte ha kännedom om förekomsten av olaglig

193 SMART 2007/0037, kap 6, s. 7.

194 Prop. 2001/02:150, s. 33.

195 SMART 2007/0037, kap 6, s. 7.

verksamhet eller olaglig information samt (2) om denne får kännedom ska den handla utan dröjsmål för att avlägsna informationen eller göra den oåtkomlig.¹⁹⁶ Typiska tjänster som omfattas av ansvarsfrihetsgrunden i art. 14 är tillhandahållare av webbhotellföretag eller onlineplattformar, dvs. kategori (iii) enligt uppdelningen i avsnitt 2.2. Värdtjänster kan sammanfattningsvis endast erhålla ansvarsfrihet om de inte är medvetna om information eller omständigheter som visar att den olagliga verksamheten är uppenbar.¹⁹⁷

Frågor om huruvida undantaget i art. 14 är tillämpbart på olika typer av verksamheter har behandlats i EU-domstolen vid återkommande tillfällen. Exempelvis bedömde EU-domstolen i Google Spain-målet att Googles sökmotortjänst utgör en av informationssamhällets tjänster.

Därtill kom även frågan upp huruvida Google, genom att tillhandahålla sökmotortjänsten, kan åtnjuta ansvarsfrihet enligt art. 14.1 i e-handelsdirektivet som värdtjänst. Domstolen underströk att bedömningen ska göras utifrån huruvida tjänsteleverantörens roll är neutral och om dennes verksamhet är av rent teknisk, automatisk och passiv natur vilket i sin tur innebär att denne varken har kännedom om eller kontroll över de uppgifter denne lagrar. Sakfrågan, huruvida Google i det aktuella fallet hade kännedom eller kontroll, lämnades därefter till den nationella domstolen att avgöra.¹⁹⁸ Mot bakgrund av fallet kan vi konstatera att tillhandahållare av onlineplattformar, åtminstone i form av en sökmotortjänst, betraktas som tjänsteleverantörer av informationssamhällets tjänster och kan åtnjuta ansvarsfrihet under art. 14 i e-handelsdirektivet såsom en värdtjänst förutsatt att rekvisiten i bestämmelsen uppfylls.

6.2.5   Förbud mot allmän övervakningsskyldighet

Art. 15 i e-handelsdirektivet anger att medlemsstaterna inte får ålägga tjänsteleverantörer en allmän skyldighet att, i samband med tillhandahållande av sådana tjänster som kan åtnjuta ansvarsfrihet, övervaka den information de överför eller lagrar. Medlemsstater får inte heller ålägga sådana tjänsteleverantörer någon allmän skyldighet att aktivt efterforska fakta eller omständigheter som kan tyda på olaglig verksamhet.¹⁹⁹ Syftet med förbudet i art. 15 härrör från två skäl, dels skulle en allmän övervakningsskyldighet lägga ett orimligt ansvar på en part som inte är en direkt del av behandlingen utan enbart vidarebefordrar elektronisk data i form av information, dels då en direkt följd av en sådan skyldighet skulle innebära att

196 Art. 14 e-handelsdirektivet.

197 SMART 2007/0037, kap 6, s. 8.

198 Dom av den 23 mars 2010, Google France och Google, de förenade målen C-236/08-C-238/08, EU:C:2010:159, p. 114-119.

199 Prop. 2001/02:150, s. 33.

tjänsteleverantören blir tvungen att övervaka informationen och därigenom behöver behandla personuppgifter i en betydligt större omfattning.²⁰⁰

Då dataskyddsförordningen ålägger den personuppgiftsansvariga att kontinuerligt överse de personuppgifter som behandlas, genom att bl.a. löpande säkerställa att det kvarstår en laglig grund för behandling, kan det här föreligga motstridiga bestämmelser för det fall tjänsteleverantörer ska betraktas som personuppgiftsansvariga i förhållande till informationen de lagrar på uppdrag av användarna. I skälen till e-handelsdirektivet förtydligas emellertid att förbudet enbart avser allmän övervakningsskyldighet samt att det därför inte förhindrar övervakningsskyldighet i specifika fall.²⁰¹ Möjligen öppnar undantaget upp för en möjlighet att i specifika fall, exempelvis på begäran av den registrerade, överse specifika registrerade uppgifter i syfte att säkerställa den registrerades rättigheter. Personuppgiftsansvaret sträcker sig emellertid längre än så och kräver en kontinuerlig bevakning avseende bl.a. kravet på att ändamålet med behandlingen samt existensen av en laglig grund föreligger under hela den tid som behandling av personuppgifterna sker. Den behandling, dvs. lagring, av uppgifter som tjänsteleverantörer utför bör i praktiken generellt kunna anses ske för ändamålet att möjliggöra användarens begäran om överföring av information samt grundas på bl.a. samtycke samt att behandlingen är nödvändig för att fullgöra ett avtal vilket den registrerade är part i alternativt att tjänsteleverantören har ett berättigat intresse vari behandlingen är nödvändig för att denne ska kunna leverera en informationssamhällestjänst. Mot bakgrund av denna praktiska översikt över de ändamål och laglig grund för behandling som en tjänsteleverantör kan anses grunda sin behandling på bör säkerställande av att dessa kvarstår under hela lagringsperioden kunna genomföras utan att tjänsteleverantören nödvändigtvis behöver övervaka innehållet i informationen.