Mot bakgrund av den utredning som genomförts i uppsatsen kan vi konstatera att tjänsteleverantörers ansvar för innehåll och personuppgifter i deras tjänster inte alltid är enkelt att bestämma. Två avgörande moment tycks emellertid återkomma löpande; bestämmande av ändamål med och medlen för behandling samt graden av inflytande över behandlingen av personuppgifter, dessa bör därför kunna anses vara det centrala vid avgörandet av tjänsteleverantörers ansvar. Tjänsteleverantörer som enbart vidarebefordrar användares information har ett mer begränsat ansvar för uppgifterna enligt dataskyddsförordningen.
Samtidigt har tillhandahållare av onlineplattformar generellt en högre grad av inflytande över den behandling som förekommer på deras plattformar, i synnerhet inom de onlinetjänster som inte enbart överför och lagrar information, vilket också föranleder ett mer omfattande personuppgiftsansvar. Även gränsdragningen kring gemensamt personuppgiftsansvar avgörs utifrån graden av inflytande på behandlingen. Förhållandet att graden av inflytande påverkar personuppgiftsansvarets omfattning förefaller adekvat enligt min mening. Ju högre grad av inflytande på behandlingen som en aktör har desto större möjligheter har den också att säkerställa att behandlingen följer dataskyddsreglerna. Aktören med mest inflytande har även bättre möjligheter att tillgodose de registrerades rättigheter, bl.a. att få insyn i samt information om behandlingen.
Att ålägga tjänsteleverantörer ansvar för personuppgifter som de har möjlighet att på något sätt påverka förefaller vidare rimligt mot bakgrund av syftet med dataskyddsförordningen, dvs. att stärka individers skydd för sina personuppgifter genom ett enhetligt regelverk inom unionen.
Samtidigt kvarstår goda möjligheter för tjänsteleverantörer att kunna behandla personuppgifter vilket säkerställer det fria flödet av personuppgifter inom EU, förutsatt att behandlingen kan motiveras utifrån ett specifikt ändamål. Dataskyddsförordningen bör sammanfattningsvis inte anses lägga ett för betungande ansvar på tjänsteleverantörer, i synnerhet inte mot bakgrund av det stora ekonomiska värdet som omfattande mängder personuppgifter medför. Som vi tidigare har konstaterat bör e-handelsdirektivets bestämmelser inte påverka tillämpningen av dataskyddsförordningen och tvärt om. Mot bakgrund av det bör dataskyddsförordningen och e-handelsdirektivet tillsammans anses säkerställa att tjänsteleverantörer av informationssamhällets tjänster inte åläggs en orimlig börda, vilket ett ansvar för ev. olagligt innehåll i deras användares initierade informationsöverföringar annars hade medfört. Likaså
motverkar regelverken gemensamt, men med olika verktyg, att gränsöverskridande tjänster hämmas och att konkurrensen snedvrids.
Trots dataskyddsförordningens till synes träffsäkra bestämmelser vill jag belysa en företeelse som inte tycks regleras inom ramen för regelverket, men som blir en direkt följd av behandling av personuppgifter på många onlineplattformar. Profilering för beteendebaserat innehåll och reklam används av många tjänsteleverantörer som tillhandahåller onlineplattformar och kan leda till vissa oönskade effekter, något som har uppmärksammats av Artikel 29-gruppen vid tidigare yttranden.210 Exempel på sådana effekter är att vissa grupper kan erhålla bättre erbjudanden eller annan information än andra personer vilket leder till bevarande av stereotyper som kan föranleda social segregation. Sammanfattningsvis kan således möjligheten att tillämpa profilering inom ramen för tjänsteleverantörers tjänster leda till omotiverad diskriminering.
Även om individer har en rätt att invända mot profilering som behandling är det få som känner till denna rätt och ännu färre har kännedom om konsekvenserna av profilering. Mot bakgrund av de allvarliga konsekvenserna sådan behandling kan medföra bör regleringen kring profilering utvecklas ytterligare i syfte att främja jämlikhet inom ramen för informationssamhällets tjänster.
Även om regelverken i dag till stor del tycks uppnå sina syften och de centrala intressena; fri rörlighet för personuppgifter inom EU och skyddet för den enskildas personuppgifter, bör fortsatta analyser av rättsläget i förhållande till teknikens utveckling genomföras. I takt med ny teknik, vilket ständigt utvecklas i ett högt tempo och bekräftas inte minst om vi ser tillbaka 20 år i tiden, förändras också behandlingarna av personuppgifter. Förhoppningsvis kan dataskyddsförordningen inrymma även det kommande decenniets tekniska utvecklingar, men det återstår att se. Efter denna utredning är det emellertid min uppfattning att det är av avgörande vikt att jurister som arbetar med personuppgiftsfrågor har god kännedom om den bakomliggande tekniken i de verksamheter som ska utredas. För det fall jurister tillämpar dataskyddsförordningen eller liknande regleringar utan sådan kunskap föreligger en risk för att aktörer med det faktiska inflytande över behandlingen undgår ansvar enbart p.g.a. tekniska lösningar som är svåra att förstå sig på. Samtidigt som detta är något önskvärt i framtiden ställer det också höga krav på juristers sakkunnighet vilket kan vara svårt att uppnå vid en snabb teknisk utveckling.
210 Jfr. Artikel 29-gruppen, WP 251 rev. 01, s. 6.
Källförteckning
Offentligt tryck Sverige
Departementspromemoria 2001:13, Förslag till lag om elektronisk handel och andra informationssamhällets tjänster (cit: DS 2001:13)
Karlsson, Anton, Kommerskollegium, National Board of Trade Sweden, Department of Internal Market, The Liability of Online intermediaries in the EU, Analysis 2017-06-14, reg.
no. 2015/02269-5 (cit: Karlsson (2017))
Post- och telestyrelsen, Vilka tjänster och nät omfattas av Lek? En vägledning, PTS-ER-2009:12, 2009-03-11 (cit: PTS-ER-2009:12)
Regerings proposition 2001/02:150, Lag om elektronisk handel och andra informationssamhällets tjänster, m.m., 2002-03-14 (cit: prop. 2001/02:150)
Regeringens proposition 2017/18:105, Ny dataskyddslag, 2018-02-15 (cit: prop. 2017/18:105) EU
Artikel 29-gruppen, WP 163, Yttrande 5/2009 om sociala nätverk på Internet, antagna den 12 juni 2009, (cit: Artikel 29-gruppen, WP 163)
Artikel 29-arbetsgruppen, WP 169, ”Yttrande 1/2010 om begreppen registeransvarig och registerförare”, antagna den 16 februari 2010 (cit: Artikel 29-gruppen, WP 169)
Artikel 29-arbetsgruppen, Artikel 29-gruppen, WP 171, Yttrande 2/2010 om beteendebaserad reklam på Internet, antagna den 22 juni 2010 (cit: Artikel 29-gruppen, WP 171)
Artikel 29-arbetsgruppen, WP 251 rev. 01, Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679, antagna den 3 oktober 2017, senast granskade och antagna den 6 februari 2018 (cit: Artikel 29-gruppen, WP 251 rev. 01) Body of European Regulators for Electronic Communications, BEREC, Report on OTT services, BoR (16) 35, January 2016 (cit: BEREC, Report on OTT services)
EDPB, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, version 2.0, antagna den 8 oktober 2019 (cit: EDPB, Guidelines 2/2019)
EDPB, Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities, adopted on 12 March 2019 (cit: EDPB, yttrande 5/2019)
European Commission, First Report of the European Parliament, the Council, and the European Economic and Social Committe, First Report on the application of Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market, COM (2003) 702 final (cit: COM (2003) 702 final)
European Commission, Communication from the Commission to the Eutopean Parliament, the Council, and the European Economic and Social Committee and the Commitee of the Regions, Online Platforms and the Digital Singel Market Opportunities and Challenges for Europe, Brussels, 25 May 2016, COM (2016) 288 final (cit: COM (2016) 288 final)
Europaparlamentet, Utskottet för industrifrågor, forskning och energi, Utskottet för den inre marknaden och konsumentskydd, Betänkande om onlineplattformar och den digitala inre
marknaden (2016/2276(INI)), A8-0204/2017, 31 maj 2017
(cit: Europaparlamentet, betänkande A8-0204/2017)
Council of the European Union, Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 21 June 2013, ST 11013/13 INIT (cit: Council of the European Union, ST 11013/13 INIT)
SMART 2007/0037, EU Study On The Legal Analysis On A Single Market For The Information Society – New Rules For A New Age?, november 2009 (cit: SMART 2007/0037)
Litteratur Tryckt litteratur
Edmar, Malin, Internetpublicering och sociala medier, En juridisk vägledning, uppl. 6, Norstedts Juridik AB, 2018 (cit: Edmar)
Frydlinger, David, Edvardsson, Tobias, Olstedt Carlström, Caroline, Beyer, Sandra, GDPR Juridik, organisation och säkerhet enligt dataskyddsförordningen, uppl. 1, Norstedts Juridik AB, 2018 (cit: Frydlinger m.fl.)
Hettne, Jörgen, Okta Eriksson, Ida, EU-rättslig metod, Teori och genomslag i svensk rättstillämpning, uppl. 2, Norstedts Juridik AB, 2011 (cit: Hettne och Okten Eriksson)
Jay, Rosemary, Guide to the general data protection regulation, A companion to Data Protection Law and Practice, uppl. 4, Sweet & Maxwell, 2017 (cit: Jay)
Lehrberg, Bert, Praktisk juridisk metod, uppl. 11, Iusté AB, 2019 (cit: Lehrberg)
Lodder, Arno R., och Murray, Andrew D., EU Regulation of E-commerce – A Commentary, uppl. 1, Edward Elgar Publishing, 2017 (cit: Lodder och Murray)
Nääv, Maria, Zamboni, Mauro, Juridisk metodlära, uppl. 2, Studentlitteratur AB, 2018 (cit: Nääv)
Olsen, Lena, Forzelius, Jens, Gustavsson, Daniel, Hammarén, Anna, Holmqvist, Lena, Larsson, Magnus, Petterson, Tord, Stenlund, Anders, Kommunikationsrätt, Från avsändare till mottagare via internet, radio/tv eller telefoni, uppl. 1, Norstedts Juridik, 2019 (cit: Olsen m.fl.) Riordan, Jaani, The liability of internet intermediaries, New York, NY: Oxford University Press, 2016 (cit: Riordan)
Öman, Sören, Dataskyddsförordningen (GDPR) m.m., En kommentar, Norstedts Juridik AB, uppl. 1:1, 2019 (cit: Öman)
Voigt, Paul, von dem Bussche, Axel, The EU General Data Protection Regulation (GDPR), A Practical Guide, uppl. 1, Springer International Publishing, 2017 (cit: Voigt och von dem Bussche)
Wendleby, Monika, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, uppl. 1, Sanoma Utbildning, 2020 (cit: Wendleby)
E-litteratur
Calder, Alan, EU GDPR & EU-U.S. Privacy Shield: A pocket guide, uppl. 2, IT Governance Publishing, 2019 (cit: Calder)
Rättspraxis EU-domstolen
Dom av den 6 november 2003, Lindqvist, mål C-101/01, EU:C:2003:596
Dom av den 23 mars 2010, Google France och Google, de förenade målen C-236/08-C-238/08, EU:C:2010:159
Dom av den 13 maj 2014, Google Spain och Google, mål C-131/12, EU:C:2014:317 Dom av den 15 september 2016, Mcfadden, mål C-484/14, EU:C:2016:689
Dom av den 5 juni 2018, Wirtschaftsakademie Schleswig Holstein, mål C-210/16, EU:C:2018:388
Dom av den 14 februari 2019, Buivids, mål C-345/17, EU:C:2019:122 Dom av den 29 juli 2019, Fashion ID, mål C-40/17, EU:C:2019:629 Dom av den 1 oktober 2019, Planet49, mål C-673/17, EU:C:2019:801 Beslut från tillsynsmyndigheter
Sverige
DI-2018-9273, Datainspektionens beslut mot Google LLC, 2020-03-10
Dnr 593-2005, Datainspektionens beslut mot Svenska Antipiratbyrån Ekonomisk förening, 2005-06-08
Dnr 1625-2006 och 58-2007, Datainspektionens beslut mot Riksförbundet BRIS och Netclean Technologies Sweden AB, 2007-05-02
Belgien
Beslut 32/2020, DOS-2019-04845, Dataskyddsmyndigheten i Belgiens beslut, 16-06-2020 Artiklar
Kahn, Johan, Gustafsson, Fredrik, Gemensamt personuppgiftsansvar – vanligare under GDPR?, Juridisk Publikation 2017 nr 2, s. 273-286
Handelsrådet, författat av Cirio Advokatbyrå AB, Rapport om digitala marknadsplatser och e-handelsplattformar, publicerat år 2019 (cit: Handelsrådets rapport, 2019)
Internetsidor
https://ec.europa.eu, Vad betyder ”grundat på berättigat intresse”, hämtad 2020-06-09, https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and- organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_sv
www.europarl.europa.eu, European Parliament, Sources and scope of European Union law, Fact Sheets on the European Union, 2020, hämtad: 2020-07-14,
https://www.europarl.europa.eu/factsheets/en/sheet/6/eu-rattens-kallor-och-rackvidd (cit: Fact sheets, Sources and scope of European Union law)
www.svt.se, Detta har hänt: Facebook och Cambridge Analytica, publicerad 2018-03-20, uppdaterad 2019-07-13, hämtad 2020-05-26, https://www.svt.se/nyheter/utrikes/detta-har-hant-facebook-och-cambridge-analytica
ord.idg.se, Sökord: over-the-top, ändrad: 2019-01-21, hämtad: 2020-07-14, https://it-ord.idg.se/ord/over-the-top/