Dataskyddsförordningen och intressebaserad annonsering

Grundläggande för att behandling ska vara laglig är att en av punkterna i artikel 6 i dataskyddsförordningen är uppfyllda. Den första lagliga grunden för behandling är om den, för ett eller flera specifika ändamål, har samtyckts till av den registrerade. Därefter följer ett antal grunder som inte är av relevans för intressebaserad annonsering. Det sist uppräknade alternativet för laglig behandling av personuppgifter under förordningen är att behandlingen är nödvändig för ändamål som rör berättigade intressen om den registrerades intressen eller grundläggande fri- och rättigheter inte väger tyngre. Det kan röra sig om antingen den personuppgiftsansvarige eller en tredje parts berättigade intressen och den registrerades fri- och rättigheter alternativt intressen ska särskilt beaktas om det gäller ett barns uppgifter. Grunden för laglig behandling när syftet är 137

att använda uppgifterna till intressebaserad annonsering torde antingen vara samtycke enligt artikel 6.1a eller möjligen enligt artikel 6.1f att det finns berättigade intressen som överväger den enskildes intressen och inte står i strid med hans eller hennes fri-och rättigheter. Direkt marknadsföring kan nämligen vara ett sådant berättigat intresse enligt ingresspunkt 47. I och med otydligheten kring huruvida intressebaserad annonsering faller in under direktreklam eller ej är det svårt att avgöra huruvida intressebaserad annonsering faktiskt är ett berättigat intresse. Det ska också sägas att huruvida det är direktreklam eller ej inte nödvändigtvis är avgörande för om intressebaserad annonsering är ett berättigat intresse eller inte då exemplen i ingresspunkt 47 inte är uttömmande.

Många webbsidor använder sig idag av en formulering av typen ”Genom att fortsätta ta del av materialet på sidan godkänner du cookies. Läs mer här”. Denna typ av formulering är varken renodlad opt-in eller opt-out. I och med ikraftträdandet av förordningen kommer inte en sådan typ av ”godkännande” längre vara giltigt då kravet

Förordning (EU) 2016/679, artikel 6.1.

på samtycke är att det ska vara såväl informerat som explicit genom en entydig handling. Om intressebaserad skulle anses vara ett berättigat intresse enligt artikel 138

6.1f skulle det innebära en viss diskrepans mellan LEK och dataskyddsförordningen. Samtycke krävs för att använda sig av tekniken för insamling av informationen medan det inte skulle behövas samtycke för den fortsatta behandlingen. Dock skulle den registrerade behöva informeras om syftet med behandlingen. 139

Förordningen ställer i artikel 5.1 krav på laglighet, öppenhet och korrekthet i förhållande till den registrerade och att det måste finnas minst ett särskilt, berättigat och uttryckligt ändamål med behandlingen av personuppgifter. Uppgifter som samlats in för ett sådant ändamål får inte senare behandlas för ett annat syfte som är oförenligt med det uttryckliga ändamålet. Artikeln ställer krav på uppgiftsminimering, att uppgifterna måste vara relevanta, adekvata och inte för omfattande sett till det syfte som behandlingen grundar sig på. Uppgifterna måste vara korrekta och artikeln innehåller ett krav på lagringsminimering som innebär att uppgifterna inte får behandlas under en längre period än vad som är nödvändigt sett till syftet med behandlingen. Behandlingen måste ske med beaktning av konfidentialitet och integritet genom att etablera lämpliga säkerhetsåtgärder för att skydda uppgifterna, t.ex. mot obehörig eller otillåten behandling. Den som är personuppgiftsansvarig har till ansvar att se till att de krav som ställs i 5.1 uppfylls och ska även kunna uppvisa att så är fallet. Med hänsyn till kravet på öppenhet måste informationen vara lättillgänglig och lätt att förstå för den enskilde och språket som används vid formulering av informationen måste vara tydligt. 140

Jämfört med direktivet och PuL ställs i förordningen uttryckliga krav på att den registrerade inte bara ska mer rätt till insyn men också att den information som ges ska vara lätt att förstå. Krav på att något ska vara klart och tydligt är inte okänt inom juridiken. Av vissa rättsvetare anses krav på klara och tydligt formulerade rättsregler vara en del av legalitetsprincipen. När det kommer till kravet på tydlighet och 141

lättförstålighet i förordningen kan det eventuellt sägas ligga i linje med den nyss

Förordning (EU) 2016/679, ingresspunkt 32.

138

Se mer om detta nedan i samma avsnitt.

139

Förordning (EU) 2016/679, ingresspunkt 39.

140

Uttryck ges för principen bl.a. i artikel 7 EKMR och i principen innefattas nulla poena sine lege (inget

141

straff utan lag) och nullum crimen sine lege (inget brott utan lag). För diskussion om huruvida principen även omfattar krav på att lagen ska vara klar och tydlig eller ej, se: Zila, ”Om rättssäkerhet”, s. 296.

nämnda tolkningen av legalitetsprincipen. Den informationen som ska delges den enskilde rör hans eller hennes rättigheter och kravet är att den ska delges på ett sätt som är klart och tydligt.

Kravet på en identifierbar avsändare finns i såväl marknadslagstiftningen som i nya dataskyddsförordningen där det är formulerat som ett krav på öppenhet. I 9 § 2 st. MFL framkommer att det ska tydligt framgå vem som svarar för marknadsföringen och i e-handelsdirektivets sjätte artkel ska det framgå för vems räkning marknadsföringen sker. Så som marknadsföring sett ut historiskt har det varit ganska tydligt vem som är avsändare men i och med den form som intressebaserad annonsering tagit ter det sig inte lika självklart. Är avsändaren leverantören, den aktör som faktiskt visar mottagaren reklamen? Eller är det mellanhanden som sett till att just den reklamen visas just där för just den mottagaren? Det mest naturliga svaret torde vara att det är annonsören själv, den som producerat annonsen. Frågan är om inte kravet på identifierbar avsändare ändå borde omfatta alla aktörer för att uppnå kravet på öppenhet och insyn som införts i och med dataskyddsförordningens femte artikel. Om inte en sådan transparens kan grundas på principerna i femte artikeln så medför åtminstone förordningens fjortonde artikel 142

att den som behandlar information som erhållits från annan än den registrerade själv att alla aktörer anslutna till den intressebaserad annonseringen måste identifiera sig och även informera mottagaren om en rad andra faktorer.

När det kommer till uppgifter av särskilt känslig karaktär är grundregeln att behandling inte får ske enligt artikel 9.1. Sådana uppgifter är de som avslöjar uppgifter om ras eller etniskt ursprung, politiska åsikter, medlemskap i fackförening och religiös eller filosofisk övertygelse. Även behandling av genetiska och biometriska uppgifter i syfte att identifiera en fysisk person är förbjudet under bestämmelsen liksom uppgifter om sexuell läggning, sexualliv eller hälsa. Undantagna situationer då behandling av sådana uppgifter ändå är tillåten finns listade i artikel 9.2. Denna bestämmelse innebär en förändring sett till nu rådande dataskyddslagstiftning avseende benämningen av biometriska och genetiska uppgifter. Biometriska uppgifter är sådana som med hjälp av tekniska hjälpmedel behandlar en persons fysiska, fysiologiska eller beteendemässiga

Se mer om artikel 14 senare i detta avsnitt.

kännetecken, till exempel fingeravtrycksuppgifter eller ansiktsbilder. OK Google!:s 143

behandling av röster bör falla in under beskrivningen beteendemässiga biometriska uppgifter. Googles behandling av röster som nämns under andra avsnittet är således, under förordningen, behandling av sådana känsliga uppgifter som avses i nionde artikeln och utgångspunkten är att de inte får behandlas. Dock är samtycke en grund för laglig behandling enligt artikel 9.2 varför behandlingen får fortsätta så länge den sker på grunden informerat, med ett klart och tydligt språk, samtycke.

Artikel 13 och 14 innehåller regler om vilken information behandlaren måste lämna till den registrerade. Den trettonde artikeln reglerar de situationer där behandlaren mottagit informationen direkt från den registrerade och den fjortonde rör de fall där behandlaren är tredje man och mottagit informationen från någon annan än den registrerade. Under den förstnämnda faller behandling som baseras på information den registrerade medvetet och frivilligt lämnat, samt sådan information som inhämtas genom cookies, digitala fingeravtryck och andra trackingmetoder, in. Informationen som ska lämnas är omfattande och innefattar bland annat behandlarens identitet, ändamålet med behandlingen samt den rättsliga grunden för vilken behandlingen grundar sig på, vilka andra som kan komma att ta del av uppgifterna och vad deras berättigade ändamål med behandlingen är. Vidare ska den personuppgiftsansvarige informera om under vilken 144

period uppgifterna kommer behandlas, att den registrerade har rätt att begära tillgång till, rättning av eller radering av personuppgifterna som behandlas. Om behandlingen är grundad på samtycke har den personuppgiftsansvarige en skyldighet att informera den registrerade om att han eller hon när som helst kan återkalla det samtycket. Den registrerade ska informeras om rätten att inge klagomål till tillsynsmyndighet och om den registrerade är skyldig att lämna uppgifterna pågrund av krav i lag, avtal eller om det är en förutsättning för att avtal ska ingås ska den registrerade informeras om det samt vad en vägran att uppge informationen har för möjliga följder. Den vars uppgifter ligger till grund för beslutsfattande som är automatiserat på grund av uppgifterna och där med även profilering, har rätt att informeras om det beslutsfattandet samt har rätt att få information om logiken bakom beslutsfattandet. Om uppgifterna är avsedda att 145

Förordning (EU) 2016/679, artikel 4.14.

143

Förordning (EU) 2016/679, artikel 13.1a-f.

144

Förordning (EU) 2016/679, artikel 13.2a-f.

användas till annat än vad som angivits som syfte ska den personuppgiftsansvarige informera om allt det sagda informeras om på nytt. Om tredje part ska lämna 146

uppgifterna vidare till annan ska den registrerades informeras enligt artikel 14.1 och 14.2 senast när de lämnas ut första gången.

Förordningen innehåller bestämmelser om fasta sanktionsavgifter för överträdelser. Detta är en nyhet då dataskyddsdirektivet lämnade det upp till medlemsstaterna själva att besluta om sanktioner. Beroende på vad överträdelsen varit av för art uppgår 147

sanktionsavgifterna till olika mycket men i det fall att det är ett brott mot någon av artiklarna 5, 6, 7 eller 9 eller den registrerades rättigheter i artiklarna 12-22 uppgår avgiften, om behandlaren är ett företag, till antingen 20 000 000 euro eller 4 % av den totala omsättningen under det föregående budgetåret, beroende på vilken summa som är högst. 148

I förordningens artikel 21.2 framkommer att när personuppgifter används för direkt marknadsföring har den som registrerats rätt att när som helst invända mot behandlingen och rätten att invända inkluderar även profilering som har att göra med direkt marknadsföring. Rätten att invända måste också klart och tydligt kommuniceras till den registrerade. Den behandlingen måste upphöra efter att den registrerade gjort en sådan invändning. Dataskyddsdirektivet innehåller som sagt redan en rätt att invända 149

mot behandling i direkt marknadsföringssyfte men den svenske lagstiftaren har vid transformering till svensk rätt formulerat den som att en näringsidkare ska respektera om en användare anslutit sig ett opt-out-register, vilket i och för sig innebär att det finns en rätt att invända men som jämfört med bestämmelsen i dataskyddsdirektivet inte är lika direkt. Som redan anförts fanns det vid lagstiftningsarbetet andra förslag som inte var lika tillåtande gentemot näringsidkaren men som valdes bort till förmån för lydelsen i PuL. I och med ikraftträdandet av dataskyddsförordningen måste näringsidkaren agera direkt då den registrerade invänder och den enskilde ska vara informerad om rätten att invända till näringsidkaren personligen. Dataskyddsdirektivet föreskriver att en registrerad har rätt att få ut uppgifter utan större kostnad medan förordningen inte bara

Förordning (EU) 2016/679, artikel 13.3.

146

Direktiv 95/46/EG, artikel 24.

147

Förordning (EU) 2016/679, artikel 83.

148

Förordning (EU) 2016/679, artikel 21.3.

innehåller en mer omfattande rätt att få tillgång till information utan också att en registrerad ska få tillgång till informationen gratis.

Förordningen uppmanar till att den som behandlar data ska pseudonymisera den för att svåraregöra missbruk eller för att om någon obehörig skulle tillgodogöra sig uppgifterna trots säkerhetsmekansimerna ska det vara svårare att koppla informationen till en fysisk person. Förordningen betonar dock uttryckligen att även om pseudonymiserad 150

information omfattas av förordningen ställs absolut samma krav på behandlingen som icke-pseudonymiserade uppgifter, om den på något sätt är möjlig att avpseudonymisera. Med andra ord, om det finns någon möjlighet att den pseudonymiserade informationen kan kopplas till en fysisk person genom analys av datan så faller den in under förordningen. Sett till användningen av cookies nämns de specifikt i samband med 151

pseudonymisering i ingresspunkt 30. Lagstiftaren betonar där de svårighet som dagens teknik medför, där inbegripet cookies, när det kommer till att faktiskt åstadkomma en sådan nivå av pseudonymisering att uppgifterna inte går att knyta till en person. När det kommer till intressebaserad annonsering ligger det i annonsåtgärdens natur att all information som samlas in kopplas till en fysisk person. Om mellanhanden kan knyta en viss typ av annons till en viss typ av användare på grund av dennes personliga egenskaper torde det i alla fall inte vara omöjligt för en utomstående att koppla informationen till en identifierbar fysiskt person. Precis som i PuL borde uppgifterna som behandlas för intressebaserad annonsering alltid falla in under förordningens tillämpningsområde på grund av metodens natur. 152

Gällande profilering följer av artikel 22 i dataskyddsförordningen att en enskild har rätt att inte blir föremål för ett automatiserat beslut som har rättsliga följder eller på liknande sätt påverkar henne eller honom i en betydande grad. Läst motsatsvis innebär det att profilering som inte innebär allvarliga konsekvenser är laglig behandling så länge den uppfyller förordningens övriga krav. Även behandling som kan innebära sådana konsekvenser är tillåten under vissa förhållanden varav ett är samtycke. Formuleringen i förordningen innebär en uppstramning jämfört med de i PuL och i dataskyddsdirektivet

Se förordning (EU) 2016/679 bl.a. ingresspunkt 29 och 78 samt artiklarna 6.4e, 25.1 samt 32.1a.

150

Förordning (EU) 2016/679, ingresspunkt 28.

151

Se andra stycket i avsnitt 4.4.2.

där det vid en ordalydelsetolkning tycks räcka att beslutet har märkbara verkningar för den enskilde. Denna striktare formulering kan tänkas tala för den ökade användningen av profilering. Vid tillkomsten av PuL och dataskyddsdirektivet var användningsområdet för automatiserade beslut begränsat medan det idag sker konstant, bland annat i och med användningen av intressebaserad annonsering.

Kravet på delgivande av information innefattar under förordningen eventuell förekomst av profilering. Kravet på att informera om profilering är nytt inom europeisk 153

datalagstiftning. Som lagstiftningen sett ut hittills har det räckt med att behandlaren informerar om syftet i mycket vagare ordalag. Det är inte ovanligt att på sidor som använder sig av cookies se att den information om att användaren blir spårad levereras i form av diskreta popups med fraser som ”vi använder cookies för att optimera ditt besök” eller ”vi använder cookies i marknadsföringssyfte”. I och med kravet på att uttryckligen informera om profilering blir sådana formuleringar inte längre tillräckliga.154

I dataskyddsförordningen, i kölvattnet av Google Spain-målet , har möjligheterna för 155

den enskilde att vid begäran få sina personuppgifter raderade utökats. Ett av de alternativa rekvisiten i artikel 17 måste vara uppfyllda men i jämförelse med dataskyddsdirektivet har möjligheterna ökat markant där möjligheterna var begränsade till om uppgifterna var felaktiga alternativt inte hade blivit behandlade i enlighet med direktivtet i övrigt. Rätten till att få uppgifterna raderade sträcker sig även till kopior som innehas av tredje part vilket blir intressant med hänsyn till intressebaserad annonsering. Det faller då på den som erhållit uppgifterna i första hand att 156

vidarebefordra kravet på radering till övriga parter. Förbudet att behandla gäller även kopior och reproduktion. 157

Artikel 25 i direktivet innebär en nyhet då den ställer krav på att behandlare under förordningen inför så kallat privacy-by-design eller inbyggt dataskydd och dataskydd

Förordning (EU) 2016/679, artiklarna 13.2f och 14.2g.

153

Léonard och Skouma, ”On-line Behavioral Tracking: What May Change After The Legal Reform”, s.

154

183.

Se kort om detta under avsnitt 2.4.2 och 4.2.3.

155

Förordning (EU) 2016/679, artikel 17.

156

Léonard och Skouma, ”On-line Behavioral Tracking: What May Change After The Legal Reform”, s.

157

som standard. Det innebär att en personuppgiftsansvarig är skyldig att se till att det finns tekniska och organisatoriska mekanismer som skyddar personuppgifterna från yttre angrepp. Med beaktning av vad som är proportionellt sett till kostnader och typen av behandling ska den ansvarige se till att det med hänsyn till den senaste utvecklingen finns etablerade säkerhetsmekanismer för att skydda mot hot av varierande typ, sannolikhetsgrad och allvar. Allt detta ska beaktas redan vid utformningen av tekniken, det vill säga när IT-systemet eller motsvarande tas fram. Inbyggt dataskydd ska tas 158

hänsyn till särskilt vid utveckling av appar och tjänster som bygger på insamlade personuppgifter. 159

Kravet på privacy-by-design är en nyhet men även hur högt ställda kraven på säkerhet är är nytt, vilket blir tydligt vid jämförelse med kraven i nuvarande reglering. Under LEK ska den som behandlar information inom området för elektronisk kommunikation se till att det finns tillräckliga säkerhetsåtgärder för att säkerställa ett skydd för uppgifterna. Vad som är tillräckligt ska avgöras sett till proportionalitet avseende kostnad och teknik. Införandet av kravet på inbyggt dataskydd har extra betydelse för användning av spårningstekniker. Kravet innebär både att skyddet för personuppgifter måste beaktas redan vid konstruktionen av teknikerna men också att säkerhetsmekanismerna ska vara utformade med hänsyn till ”den senaste utvecklingen”. För att uppnå det senare måste en behandlare antingen förutse framtida utvecklingar och utforma skyddet utifrån dessa scenarion redan från början eller kontinuerligt modifiera sina tekniska och organisatoriska säkerhetsmekanismer. Detta borde resultera i att de 160

olika aktörerna som ägnar sig åt något led i intressebaserad annonsering adopterar en mer riskmedveten och säkerhetsangelägen attityd för att undkomma de kostnader som en konstant uppdatering av datasystemen innebär.

Förordning (EU) 2016/679, artikel 25.

158

Förordning (EU) 2016/679, ingresspunkt 78.

159

Léonard och Skouma, ”On-line Behavioral Tracking: What May Change After The Legal Reform”, s.

160

4.5 Sammanfattning av avsnittet

Sett till intressebaserad annonsering är det tydligt att den teknik som krävs för att utföra marknadsföringen ifråga faktiskt innebär behandling av personuppgifter under förordningen, direktivet och PuL. Förfarandet innebär att enskilda blir föremål för vad som kallas databehandlade beslut i direktivet, automatiserade beslut i PuL och profilering i förordningen. Aktörerna inom intressebaserad annonsering kommer behöva vara mer tydliga med att enskilda profileras i och med förordningens ikraftträdande. För att lagligen spara cookies och liknande verktyg för tracking på användares enheter krävs att personen har samtyckt till detta. Detta följer av LEK och direktivet för elektronisk kommunikation. Det gäller såväl cookies, supercookies, digitala fingeravtryck och appar som använder sig av geo tracking - så länge den sparas på terminalutrustningen. Även cookies som endast används för att räkna antalet besökare på en webbplats eller för att spara varukorgen på en online shoppingsida omfattas av kravet. Detta kommer dock, troligen, att ändras om eDataskyddsförordningen antas. Den fortsatta behandlingen av personuppgifterna regleras idag enligt PuL, dataskyddsdirektivet men snart av dataskyddsförordningen. En grund för behandling är att samtycke inhämtats från den registrerade. Det finns också, i alla tre regleringar, en grund som legitimerar behandling om behandlarens intresse av att behandla informationen i syfte att använda som underlag för annonsering inte överstiger den enskildes intresse av att inte bli behandlad. Huruvida intressebaserad annonsering är ett sådant berättigat intresse är inte helt klart men direktreklam kan i alla fall vara ett sådant. Grundar sig behandlingen på samtycke krävs det enligt förordningen att sådant lämnas genom en entydig handling.

PuL och dataskyddsdirektivet skiljer sig åt i vissa aspekter där dataskyddsdirektivet är den som tycks ställa allmänt högre krav på behandlaren. Dataskyddsförordningen å sin sida ställer högre krav än de båda, och innehåller tydligare formuleringar med fler konkreta exempel. Särskilt gällande vilken typ av information som måste lämnas till den registrerade och på säkerheten ställer förordningen högre krav än dess föregångare.

Både marknadsföringsregleringen och nya dataskyddsförordningen innebär att de som ägnar sig åt intressebaserad annonsering ska identifiera sig gentemot den registrerade/ konsumenten.

Särskilda personuppgifter om exempelvis hälsa och sexuell läggning får endast behandlas under vissa förhållanden. De får inte behandlas endast på grund av att behandlaren har ett legitimt intresse då det legitima intresset aldrig kan anses väga över den enskildes rätt till skydd för sådana typer av uppgifter.