Data från elektronisk kommunikation

I syfte att ge ett likvärdigt skydd för personuppgifter och övrig data som behandlas inom elektronisk kommunikation tillämpas ePrivacy-direktivet. Bestämmelserna i di-rektivet har i Sveriges fall implementerats i lagen om elektronisk kommunikation och är i förhållande till dataskyddsdirektivet lex specialis.¹⁰⁹ Till skillnad mot GDPR skyddas även juridiska personer under direktivet. Elektronisk kommunikation är enligt ePrivacy-direktivet ”all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst.”¹¹⁰ Elektronisk kom-munikationstjänst innebär vidare en överföring av signaler i elektroniska kommunikat-ionsnät, där ett sådant kommunikationsnät möjliggör överföring av signaler via tråd, radio, på optisk väg eller via andra elektromagnetiska överföringsmedier.¹¹¹ Exempel på överföring av elektronisk kommunikation är, utöver de mer traditionella metoderna i form av e-postmeddelande och telefonsamtal, då cookies från en webbplats sparas i an-vändarens dator. Med hjälp av dessa cookies kan sedan information om anan-vändarens beteenden på webbplatsen skickas tillbaka till aktuell webbserver. Informationen säljs i vissa fall vidare till andra webbservrar, vilket möjliggör för fler webbplatser att presen-tera riktad marknadsföring mot användaren.

Huvudregeln är, till skillnad från GDPR, att samtycke krävs från användaren då in-nehåll från elektronisk kommunikation behandlas.¹¹² Vid inhämtandet av data från elektronisk kommunikation kan således behandlingen inte baseras på en parts berätti-gade intresse, utan ett särskilt skydd har givits till respekt för den enskildes integritet.

4.2 Konsekvenser av digitaliseringen

Internetanvändning möjliggörs av reklam där riktad marknadsföring med hjälp av per-sonuppgifter är av en avgörande vikt för tjänsten.¹¹³ När personuppgifter samlas in i utbyte av gratis tjänster på internet, kan inte individer på samma sätt som vid mer tradit-ionella interaktioner bedöma vikten av de faktorer som balanseras mot varandra. När

109 Artiklarna 1.2 och 1.3 ePrivacy-direktivet.

110 Artikel 2 d) ePrivacy-direktivet.

111 Se artikel 2 första st. ePrivacy-direktivet som hänvisar till artikel 2 direktiv 2012/21/EG.

112 Se 6 och 9 §§ lag om elektroniska kommunikationer och artikel 5 ePrivacy-direktivet.

113 Kuneva, European Consumer Commissioner, Keynote Speech, Roundtable on Online Data Collection, Targeting and Profiling, Brussels.

38

information och normer saknas för situationer där tjänster betalas med personuppgifter blir det omöjligt för den enskilde att göra en balansavvägning mellan att lämna ifrån sig personuppgifter och att få den aktuella tjänsten i utbyte. Till följd av detta tillgodoses sällan den enskildes intressen i sådana situationer.¹¹⁴

Redan år 2014 pekade Artikel 29-gruppen på följderna av teknikens utveckling som innebär att marknadsföring via e-post i större grad byts ut mot riktade annonser på webbplatser och i mobilapplikationer. Tekniken för att nå ut med riktade annonser har förbättrats och i stället för att samla in personuppgifter från offentliga register bevakas och analyseras kunders beteenden i syfte att presentera relevant marknadsföring.¹¹⁵ I takt med denna utveckling har de kommersiella aktörernas rätt till yttrandefrihet vid reklam allt mer förflyttats till ett ekonomiskt intresse i att lära känna sina kunder genom att spåra och övervaka deras beteenden. Vid en balansprövning i dessa fall handlar det inte längre om att beakta den personuppgiftsansvariges rätt till informations- eller ytt-randefrihet, utan snarare bör det ekonomiska intresset i dessa lägen vägas mot den en-skildes rätt till integritet och intresset i att inte bli otillbörligt övervakad.¹¹⁶ Den föränd-rade intresseavvägningen i kombination med personuppgifters ökade värde på mark-naden är anledningar till det ovan nämnda kravet på samtycke.

4.3 Eurobarometerundersökning

Trots att ePrivacy-direktivet uppdaterades år 2009 i syfte att anpassa bestämmelserna till digitaliseringens utveckling har området rörande elektroniska kommunikationstjäns-ter sedan dess utvecklats i en snabb takt. Profilering i samband med dessa tjänskommunikationstjäns-ter har blivit allt vanligare och med anledning av kommande GDPR beslöt Kommissionen år 2016 att genomföra en undersökning där medborgares syn rörande integritet på internet samt deras åsikter kring eventuella förändringar i direktivet efterfrågades.¹¹⁷ På begäran av Kommissionen intervjuades 26 526 personer med varierande social och demografisk bakgrund och i december samma år presenterades bl.a. följande resultat:

114 Roosendaal, s 189.

115 Opinion 06/2014, s 46.

116 A a.

117The European Commission seeks public consultation on the evaluation and review of the ePrivacy Directive.

39

- 92 % av svaranden ansåg att det var viktigt att åtkomst till personlig information på deras datorer, surfplattor eller mobiltelefoner endast kunde ges med deras till-låtelse.

- 82 % av svaranden ansåg att det var viktigt att metoder för att bevaka deras on-line-aktiviteter (t.ex. cookies) endast får användas med deras tillåtelse, där 56 % av dessa ansåg att det var väldigt viktigt.¹¹⁸

- 71 % av svaranden menade att det var oacceptabelt att företag utan deras tillå-telse delade information om dem, även då det underlättar för företag att erbjuda nya tjänster som de kan tänkas gilla.¹¹⁹

- 60 % av svaranden hade redan ändrat integritetsinställningar i deras webbläsare vad gäller exempelvis radering av sökhistorik och cookies-hantering.¹²⁰

Undersökningen visar att EU-medborgare i stort sett är överens om att data från elektro-nisk kommunikation endast ska ges åtkomst med deras tillåtelse. Även för de fall den riktade reklamen kan vara till nytta för användaren, är en klar majoritet överens om att information om dem inte får delas utan tillåtelse. Skyddet för den personliga integriteten handlar således om kontroll och valfrihet. Det kan tänkas att vissa individer inte blir kränkta av själva behandlingen av personuppgifter, utan snarare av det faktum att det gjorts ”bakom ryggen på dem”.

4.4 REFIT-utvärderingen

Mot bakgrund av att affärsmetoden för direktmarknadsföring förändrats och att person-uppgifter allt mer utgör en tillgång för företag, ansåg Kommissionen år 2015 att en ut-värdering av ePrivacy-direktivet var nödvändigt i syfte att undersöka huruvida direkti-vets ändamål har lyckats uppfylla det önskade resultatet, den s.k. REFIT-utvärderingen.¹²¹

Resultatet av REFIT-utvärderingen publicerades i januari 2017. Det konstaterades inledningsvis att direktivets syften och principer fortsatt är av relevans för att tillmö-tesgå ändamålen. Den tekniska utvecklingen och förändringen på marknaden har dock resulterat i att vissa av direktivets regler numera är bristfälliga mot bakgrund av

118 Flash Eurobarometer 443, Briefing note on e-Privacy, s 2.

119 A a s 4.

120 A a s 3.

121 Ex-post REFIT evaluation of the ePrivacy Directive 2002/58/EC.

40

målen. Av intresse för direktmarknadsföring fann utvärderingen brister vad gäller be-stämmelsen om samtycke till skydd för konfidentialitet rörande terminalutrustning.

Utan att förstå innebörden till följd av svårbegripligt språk godkänner ofta användare cookies och i vissa fall används dessa utan användarens samtycke. Bestämmelsen om samtycke ansågs i vissa fall överinkluderande då den även tillämpas på förfaranden som inte utgör intrång i den enskildes privatliv, vilket bl.a. gäller för förstapartskakor i ana-lyssyfte.¹²² Sådana cookies får antas vara nödvändiga för att upprätthålla en fungerande och smidig webbplats med hänsyn till dess ändamål. I andra fall har samtycket däremot ansetts underinkluderande då bestämmelsen inte omfattar vissa kartläggningstekniker så som ”device fingerprinting” vilket inte nödvändigtvis resulterar i tillgång till eller lag-ring i enheten.¹²³

I utvärderingen konstaterades vidare att innehållet i elektronisk kommunikation kan innehålla känslig information om de individer som deltar i kommunikationen. Likaså kan integritetskänslig information härledas ur metadata, som bl.a. innefattar besökta webbplatser, geografisk kartläggning samt information kring ringda samtals tidpunkt, datum, varaktighet och nummer.¹²⁴ EU-domstolen har sedan tidigare slagit fast att me-tadata möjliggör för mottagaren av informationen att dra precisa slutsatser gällande den enskildes privatliv.¹²⁵ Med hjälp av metadata kan kommersiella aktörer således erhålla information om användares beteenden till hjälp för att sända relevant direktmarknadsfö-ring.

4.5 Kommissionens förslag

I ljuset av REFIT-utvärderingen presenterades i januari 2017 Kommissionens förslag.¹²⁶ Förslaget utgör en del av Kommissionens strategi att förbättra den digitala inre mark-naden med syfte att underlätta för EU-medborgare att dra nytta av de fördelar som marknaden förväntas erbjuda vad gäller samhälle, ekonomi och individer.¹²⁷ Kommiss-ionens förslag ska säkerställa ett likvärdigt skydd för personuppgifter från elektroniska

122 Executive Summary of the Ex-post REFIT evaluation of the ePrivacy Directive, s 3.

123 A a.

124 Kommissionens förslag, s 13.

125 Se mål C-293/12 och mål C-594/12.

126 Pressmeddelande om skärpt integritetsskydd för alla elektroniska kommunikationstjänster och uppda-tering av EU-institutionernas dataskyddsregler.

127 Mid-Term Review on the implementation of the Digital Single Market Strategy.

41

kommunikationer som för personuppgifter enligt GDPR. Till följd av detta tillämpas bl.a. sanktionsavgifterna i enlighet med GDPR:s bestämmelser.¹²⁸

4.5.1 Samtycke och cookies

För att säkerställa ett starkt skydd och en enhetlig tillämpning föreskrivs inledningsvis i Kommissionens förslag att ”samtycke” ska vara likalydande med definitionen i GDPR.¹²⁹ Mot bakgrund av den nämnda problematiken i REFIT-utredningen rörande cookies är ett högre krav på samtycke en positiv nyhet. Grundregeln med samtycke för cookies är dock ingen nyhet. Vid uppdateringen av ePrivacy-direktivet 2009 skärptes reglerna där ett krav på ett informerat samtycke från användaren innan cookies installe-rades infördes, dock med undantag för tekniska cookies eller för att erbjuda de tjänster som krävs från användaren.¹³⁰ För att erhålla ett informerat samtycke krävs att det på användarens datorskärm visas synlig och begriplig information. Kommersiella aktörer har vid marknadsföring i viss mån kringgått det önskvärda integritetsskyddet för använ-dare genom att erhålla samtycken under diskutabla omständigheter.¹³¹ För att åtgärda problemet erbjuds nu en användarvänligare lösning där valet att godkänna första- och tredjeparts-cookies föreslås integreras med inställningarna till webbläsaren när pro-gramvaran installeras. Användaren ska då ha möjlighet att ställa in olika skyddsnivåer för hantering av cookies och ett uttryckligt godkännande krävs för att kravet på sam-tycke ska vara uppfyllt.¹³² Informationen i inställningarna ska ges till användarna tyd-ligt, inkluderat information om riskerna med att godkänna tredjeparts-cookies och såle-des inte avskräcka användare från att välja en högre skyddsnivå.¹³³

Undantaget till samtycke för cookies är enligt Kommissionens förslag tillämpligt för det fall användandet av cookies innebär ett minimalt intrång i den personligas integritet, under förutsättning att lagring av data från elektronisk kommunikation sker i syfte att förbättra och underlätta användarens upplevelser på webbplatser.¹³⁴ Cookiesanvändning för att t.ex. spåra och spara användares varor i kundvagnen online är följaktligen

128 Artikel 23 Kommissionens förslag.

129 Beaktandeskäl 3 och artikel 9 Kommissionens förslag.

130 Voss, s 3.

131 Se avsnitt 4.4.

132 Beaktandeskälen 22 och 23 Kommissionens förslag.

133 Beaktandeskälen 22, 23 och 24 Kommissionens förslag.

134 Beaktandeskäl 21 Kommissionens förslag.

42

tagbart, där en behandling som enligt artikel 6.1 b) i GDPR är nödvändig för att vidta åtgärder innan avtal har ingåtts motiverar undantaget.¹³⁵

Med andra ord utgör direktmarknadsföring inte ett sådant undantag enligt Kommiss-ionens förslag och för att använda cookies i direktmarknadsföringssyfte krävs ett sam-tycke från användaren. För kommersiella aktörer som utformar sin direktmarknadsfö-ring med hjälp av cookies innebär sannolikt den nya lösningen en negativ inverkan på affärsverksamheten. Ur ett marknadsföringsperspektiv torde för användare de negativa aspekterna med intrång i den personliga integriteten i de allra flesta fall väga tyngre än de (för vissa) positiva aspekterna med att erbjudas direktmarknadsföring av större rele-vans, i form av riktade annonser. Detta i kombination med att riskerna med cookies in-formeras till användare vid beslutet leder säkerligen till att färre cookies än tidigare godkänns i framtiden, vilket också är syftet med bestämmelsen. För att rätten till ett informerat och frivilligt samtycke av cookies ska upprätthållas förbjuds även förfarandet då användaren endast erbjuds tillgång till en webbplats under förutsättning att aktuella cookies godkänns.

För att en leverantör av allmänt tillgängliga förteckningar ska kunna publicera per-sonuppgifter krävs enligt artikel 15 i Kommissionens förslag samtycke från användaren som personuppgifterna rör. Eftersom samtyckesreglerna i GDPR är gällande ställs krav på leverantörerna, t.ex. webbplatser som tillhandahåller uppgifter om namn och adress, att påvisa det inhämtade samtycket. Det blir även enklare för fysiska personer att justera personuppgifterna och begära att bli struken från förteckningen. Till skydd för den en-skildes integritet är en tillämpning av GDPR:s samtyckesregler för allmänt tillgängliga förteckningar således positivt. Som påvisats i avsnitt 2.2.3.3 har svensk praxis under vissa förutsättningar tillåtit behandling av personuppgifter i direktmarknadsföring base-rat på den personuppgiftsansvariges berättigade intresse när personuppgifterna inhäm-tats från allmänna register. De högre ställda kraven på leverantörerna i kombination med ökade rättigheter för de registrerade torde i det långa loppet innebära att färre per-sonuppgifter finns att tillgå i allmänt tillgängliga förteckningar. För tredje parter med ett marknadsföringsintresse riskerar följaktligen behandling av personuppgifter baserat på ett berättigat intresse att i framtiden bli svårare att stödja sig på.

135 Calder, s 61.

43 4.5.2 Metadata

I enlighet med REFIT-utvärderingen ska data från elektronisk kommunikation i Kom-missionens förslag tolkas på ett så pass brett sätt att också metadata går under förord-ningen.¹³⁶ Av GDPR framgår att bl.a. cookies och IP-adresser är typer av nätidentifie-rare, vilket innebär att sådan teknik kan kopplas till fysiska personer. Risken för att en individ identifieras ökar om ”unika identifierare” eller annan data kombineras med den ursprungliga inhämtade uppgiften.¹³⁷ Med unika identifierare åsyftas rimligtvis IP-adresser, vilket EU-domstolen konstaterat är personuppgifter.¹³⁸ Övriga uppgifter som ensamt går att knyta till specifika fysiska personer anses också utgöra personuppgifter.

Metadata bör även vara personuppgifter då information om en individ kombineras i syfte att få fram en profil som möjliggör en identifikation av denne. Det kan vara fallet då metadata samlas in i direktmarknadsföringssyfte.

I och med att Kommissionens förslag stärker skyddet för hur metadata får användas, är ePrivacy-förordningen inte bara tillämplig på innehållet i elektroniska kommunikat-ioner, utan även för data som härleds från en kommunikation. Utvidgningen harmonise-rar bra med kravet på större transparens till skydd för den enskilde vid godkännandet av cookies. Detta eftersom all metadata som insamlas tydligt kommer att behöva framgå för att erhålla ett giltigt samtycke från användaren. För marknadsförare är det ett hårt slag då insamlad metadata till stor del ligger till grund för direktmarknadsföring på nä-tet. I och med det högre kravet på samtycke är avsikten att medvetenheten hos använda-ren ska öka gällande vad för behandlingar de godkänner. Att samla in metadata kan så-ledes bli en större utmaning än tidigare.

4.5.3 Direktmarknadsföringskommunikation

I ePrivacy-direktivet och MFL har samtycke krävts vid direktmarknadsföringen genom icke begärd kommunikation så som e-post och automatiska uppringningssystem. I Kommissionens förslag artikel 16 gäller kravet på samtycke för samtliga fall då direkt-marknadsföringskommunikation sänds via elektroniska kommunikationstjänster. Med hjälp av dagens teknik kan direktmarknadsföring sändas på fler sätt än via e-post och sms vilket torde vara anledningen till den nu bredare definitionen. I artikel 4 f) Kom-missionens förslag definieras direktmarknadsföringskommunikation enligt följande:

136 Beaktandeskäl 14 Kommissionens förslag.

137 Beaktandeskäl 30 GDPR.

138 Se avsnitt 2.2.1.

44

”varje form av annonsering, skriftlig eller muntlig, som sänds till en eller flera identifie-rade eller identifierbara slutanvändare av elektroniska kommunikationstjänster, inklu-sive användning av automatiska uppringnings- och kommunikationssystem med eller utan mänsklig medverkan, e-post, sms osv.”

I och med definitionen har det uppkommit vissa tolkningssvårigheter kring vad som menas med direktmarknadsföringskommunikation och frågan är om kravet på att mark-nadsföringen ”sänds” även innefattar riktade annonser presenterade på webbplatser.¹³⁹

4.5.4 Artikel 29-gruppens utlåtande

Den 4 april 2017 publicerade Artikel 29-gruppen ett yttrande med anledning av Kom-missionens förslag. I yttrandet tog artikel-29 gruppen upp positiva respektive negativa delar med förslaget, där direktmarknadsföring behandlades under den senare. Den nega-tiva kritiken rörde framför allt det otillräckliga skydd mot direktmarknadsföring som gavs genom definitionen av direktmarknadsföringskommunikation då ordet ”sänds”

användes. Enligt Artikel 29-gruppen riskerade formuleringen att utesluta marknadsfö-ring via sociala medier och webbplatser, eftersom dessa förfaranden vid en strikt tolk-ning torde falla utanför begreppet ”sänds”.¹⁴⁰ I stället gavs förslag på ändring av be-stämmelsen till att gälla all marknadsföring, oavsett om den sänds, riktas eller fram-förs.¹⁴¹

4.6 Lauristin Report

4.6.1 Bakgrund

Den 26 oktober 2017 röstades en reviderad version av Kommissionens förslag, den s.k.

Lauristin Report, igenom av Europaparlamentet och processen har nu gått över till kommissionen där diskussioner kommer inledas med medlemsstaterna innan förslaget färdigställs.¹⁴² I Lauristin Report återfinns en rad förändringar jämfört med Kommiss-ionens förslag, med allt från små förtydliganden till större korrigeringar. Bestämmelser-nas syfte och ändamål så som framkommit i Kommissionens förslag är dock i huvudsak

139 Ny förordning om integritet och elektronisk kommunikation, en kommentar av SWEDMA.

140 Opinion 01/2017, s 20.

141 A a s 21.

142 The next stages of the ePrivacy Regulation after the Lauristin report approvals.

45

desamma men i och med EU-parlamentets godkännande har en tydlig signal från EU givits kring hur bestämmelserna bör utformas.

4.6.2 Justeringar jämfört med Kommissionens förslag

Artikel 29-gruppens yttrande med anledning av Kommissionens förslag gav resultat och i artikel 4.3 f) Lauristin Report definieras direktmarknadsföringskommunikation som varje form av annonsering, skriftlig, muntlig eller i videoformat, som sänds, delges eller framförs till en eller flera identifierade eller identifierbara slutanvändare av elektroniska kommunikationstjänster. En likartad förändring skedde också i artikel 16 där Lauristin Report nu ställer krav på samtycke från användaren då elektroniska kommunikations-tjänster används i syfte att sända, men även framföra direktmarknadsföringskommuni-kation till denne.

I och med att bestämmelsen inte särskiljer på metoden för framförandet av direkt-marknadsföringen, markeras tydligt att de mer okonventionella marknadsföringsme-toderna så som riktade annonser på webbplatser också går under definitionen i artikel 4.3 f). Krav på samtycke från användaren kommer därför att föreligga i dessa fall och i ett samhälle där tekniken snabbt utvecklas torde de bredare definitionerna vara fördel-aktiga dels för att täcka alla typ av marknadsföring, dels för att undvika att förordnings-texten inom kort är i behov av en ny uppdatering. För svensk del innebär detta att bl.a.

19 § i MFL kommer att behöva anpassas till förordningens definition.

I beaktandeskäl 4 i Kommissionens förslag föreskrivs att ”data från elektronisk kommunikation kan innefatta personuppgifter…”. I Lauristin Report har detta ändrats till att data från elektronisk kommunikation vanligtvis är personuppgifter enligt definit-ionen i GDPR. Det är svårt att avgöra om ändringen innebär någon skillnad vid tillämp-ningen av förordtillämp-ningen. Att data från kommunikation vanligtvis är personuppgifter en-ligt Lauristin Report talar dock för ett förtydligande i att data med syfte att kartlägga enskilda tas på större allvar än tidigare, rimligtvis i ljuset av big data. Formuleringen i Lauristin Report är därför att föredra då den på ett bra sätt motsvarar dagens syn på per-sonuppgifter.

4.6.3 Reklambranschens invändningar

Förtydligandet gällande direktmarknadsföring samt EU-parlamentets godkännande är en stor besvikelse för bl.a. reklam- och mediabolag som till stor del baserar sin

verksam-46

hethet på direktmarknadsföring i form av riktade annonser på webbplatser. Att dessa aktörer inte heller har möjlighet att begränsa full åtkomst på webbsidor om inte använ-daren godkänner cookies, samtidigt som användare på ett smidigare sätt sköter webblä-sarens inställningar, kommer till stor del försvåra nu nämnda affärsmodell och av reakt-ioner från olika PR-organisatreakt-ioner att döma väntar intensiv lobbying fram till förord-ningen träder i kraft.¹⁴³

Dave Grimaldi, verkställande vice-president för Interactive Advertising Bureau, utta-lade sig kritiskt i samband med presentationen av Kommissionens förslag. Grimaldi menade att Kommissionens förslag riskerade att skada miljontals webbplatser och ap-plikationer där innehållet finansieras av digital marknadsföring. Detta då den dåligt an-passade förordningen till den snabbt växande digitala ekonomin försvårar möjligheterna till vidare utveckling på området.¹⁴⁴

European Telecommunications Network Operator’s Association, hade även de i samband med Kommissionens förslag ett antal anmärkningar där de bl.a. menade att ett ”legitimt intresse” som laglig grund i enlighet med GDPR är nödvändigt för att

European Telecommunications Network Operator’s Association, hade även de i samband med Kommissionens förslag ett antal anmärkningar där de bl.a. menade att ett ”legitimt intresse” som laglig grund i enlighet med GDPR är nödvändigt för att