Direktivet om integritet och elektronisk kommunikation

Direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) har till syfte att harmonisera rätten till skydd för integritet när det kommer till personuppgiftsbehandling inom sektorn för elektronisk kommunikation. Direktivet tillämpas enligt tredje artikeln på behandling av 97

p e r s o n u p p g i f t e r s o m s k e r p å d e a l l m ä n t t i l l g ä n g l i g a e l e k t r o n i s k a kommunikationstjänster som finns tillhandahållna i allmänna kommunikationsnät inom EU. Det vill säga, trots att det primära tillämpningsområdet är för internetleverantörer så är direktivet i enlighet med ordalydelsen tillämpligt på all personuppgiftsbehandling som sker på hemsida eller app som är tillhandahållen på det fria internet och därmed är det tillämpligt på intressebaserad annonsering. Cookies nämns uttryckligen i ingresspunkt 25 som ett exempel på ett spårningsverktyg som kan användas för legitima syften. Det framkommer ur samma punkt att användare ska ha rätt att vägra att sådana verktyg eller liknande sparas på deras enhet. 98

Direktiv 2002/58/EG, artikel 1.

97

Här kan läsaren med fördel erinra sig om funktionssättet hos supercookies och digitala fingeravtryck

98

Direktivet ändrades år 2009 och ändringen innebar bland annat att artikel 5.3 som 99

innan stadgade att den information som finns i en användare eller abonnents terminalutrustning endast får lagras om användaren har fått klar och fullständig 100

information bland annat om ändamålet med behandlingen och får chansen att neka till att informationen lagras, det vill säga möjligheten att opt-out. Sedan 2009 är den istället formulerad att användaren måste ge sitt samtycke till datalagring, att opt-in. Artikeln specificerar inte vilka tekniker som omfattas av bestämmelsen, den är teknikneutral och torde omfatta all tracking där informationen härstammar från någon typ av terminalutrustning. Undantaget i bestämmelsen ser dock ut som följer: ”Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt”. 101

Så som artikel 5.3 i direktiv 2002/58/EG är formulerad är möjligheten för att användningen av cookies ska bli undantaget från bestämmelsen om informerat samtycke på förhand, krävs en av de två följande förutsättningarna. Antingen används cookien enbart i syfte att överföra kommunikation via elektroniskt nät eller så är cookien absolut nödvändig för att kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten begärt uttryckligen. I det senare fallet måste det finnas en direkt koppling mellan den absoluta nödvändigheten att använda cookien och tillhandahållandet av den tjänst som användaren uttryckligen efterfrågat av leverantören. Cookies som är undantagna krav på informerat samtycke bör ha en livstid som står i korrelation till dess användningssyfte och därför bör det oftast röra sig om session cookies sett till kravet på absolut nödvändighet. Det finns dock även troliga scenarion

Europaparlamentets och rådets direktiv 2009/140/EG av den 25 november 2009

99

om ändring av direktiv 2002/21/EG om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster, direktiv 2002/19/EG om tillträde till och samtrafik mellan elektroniska kommunikationsnät och tillhörande faciliteter och direktiv 2002/20/EG om auktorisation för elektroniska kommunikationsnät och kommunikationstjänster

”Terminalutrustning” definieras inte i det ifrågavarande direktivet. I Rådets direktiv av den 29 april

100

1991 om tillnärmning av medlemsstaternas lagstiftning om teleterminalutrustning och ömsesidigt erkännande av utrustningens överensstämmelse 91/263/EEG definieras termen: ”utrustning avsedd att anslutas till det allmänt tillgängliga telenätet”. I uppsatsen utgår jag därför från att all teknik som är avsedd för internetanvändning räknas dit till, det vill säga så väl datorer som smartphones och surfplattor.

Direktiv 2002/58/EG, artikel 5.3.

där det istället skulle kunna röra sig om persistent cookies. Ett exempel är i sådana fall där cookies används som system för online beställningar, där användaren kan behålla de varor som han eller hon lagt i sin varukorg när användaren är inloggad på internetshoppingsidan även om webbläsaren stängs ner. Third party-cookies borde sällan kunna anses undantagna på samtyckeskravet då de inte bör vara absolut nödvändiga för tillhandahållandet av den tjänst som användaren uttryckligen efterfrågat. Bestämmelserna i direktivet om samtycke som är tillämpliga på cookies 102

ska enligt Artikel 29-gruppen även vara tillämplig på digitala fingeravtryck. 103

Gällande icke-begärd elektronisk kommunikation föreskriver direktivet att sådan bara är tillåten via elektronisk post om mottagaren i förväg gett sitt samtycke eller om den som marknadsför har erhållit adressen i samband med försäljning till mottagaren. 104

I januari 2017 presenterades av kommissionen ett förslag till en ny förordning, kallad eDataskyddsförordningen, som är avsedd att ersätta direktivet om integritet och elektronisk kommunikation. Det som önskas uppnås i och med att ersätta direktivet med en förordning är att harmonisera lagstiftningen och att tillförsäkra en starkare integritet i elektronisk kommunikation samt att möjliggöra för nya affärsmöjligheter. Hur fördraget ska formuleras är vid skrivandet av denna uppsats ännu inte känt men det verkar som att det åtminstone kommer innebära en förändring vad gäller cookies. Avsikten är att förenkla den generella regeln om krav på inhämtat samtycke för cookies genom att undanta vissa typer av cookies från samtyckeskravet. Samtycke ska till exempel inte krävas när cookies endast används för att räkna antalet besökare och inte sparar någon annan information om besökaren eller om de bara används för att komma ihåg varorna i en varukorg vid e-handel. Samtyckeskravet ska kvarstå om cookien innebär att något sparas på användarenheten eller används för att spåra användaren över internet. 105

WP 194, s. 2 ff.

102

WP 224, s. 11.

103

Direktiv 2002/58/EG, artikel 13.

104

Faktapromemoria 2016/17:FPM70, s. 1 ff.

4.2.2 Dataskyddsdirektivet

Direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) är idag det främsta EU-dokumentet gällande personuppgiftsbehandling. I direktivet definieras personuppgift som

”varje upplysning som avser en identifierad eller identifierbar fysisk person (den registre-rade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska , psykiska , ekonomiska , kulturella eller sociala identitet”. 106

Sådana uppgifter får bara behandlas om ett av kriterierna i dataskyddsdirektivets sjunde artikel är uppfylld. Behandling får grunda sig på samtycke eller att behandlingen är nödvändig för att uppfylla ett avtal. Om behandlingen är nödvändig för att utföra uppgifter som är av allmänt intresse eller om den är en nödvändig del av myndighetsutövning är behandling också tillåten. Likaså är behandling tillåten om den som behandlar uppgifterna har ett legitimt intresse som överväger den enskildes intressen och det inte finns några särskilda anledningar med hänsyn till den enskildes rätt till skydd för privatlivet som väger över det legitima intresset. Direktivets sjätte artikel uppställer krav på uppgifternas kvalitet. Uppgifterna ska behandlas på ett korrekt och lagligt sätt efter uttryckligen angivna och specificerade ändamål. Behandlaren ska vidta alla rimliga åtgärder för att se till att de uppgifter som behandlas är aktuella och riktiga. Uppgifterna ska vara relevanta, adekvata och inte innefatta mer information än vad som år nödvändigt med hänsyn till ändamålet för behandlingen och de ska förvaras på ett sådant sätt att identifiering av den enskilde som uppgifterna tillhör förhindras. 107

De kategorier av uppgifter som räknas upp i dataskyddsdirektivets artikel 8 anses särskilt skyddsvärda och för behandling av sådana räcker det inte att behandlaren har ett legitimt intresse. En laglig behandling av sådana uppgifter har högre ställda krav avseende grunden. Det krävs att ett av följande alternativa rekvisit är uppfyllda: uttryckligt samtycke eller att den registrerade själv offentliggjort uppgifterna, att det är nödvändigt för att kunna fullgöra skyldigheter som följer av arbetsrätten eller för att

Direktiv 95/46/EG, art. 2.a.

106

Sammanfattning av artiklarna 7 och 6 i direktiv 95/46/EG.

skydda den regisserades eller någon annans grundläggande intressen samt i de fall behandlingen görs inom ramen för ett berättigat intresse av icke-vinstdrivande organ som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. 108

Dataskyddsdirektivet uppställer krav på vilken information som den personuppgiftsansvarige måste delge den registrerade. När det kommer till en behandlare som erhållit uppgifterna direkt från den registrerade måste informationen innehålla den registeransvariges och eventuella företrädares identitet, ändamålet med behandlingen samt, i den utsträckning det krävs för att se till att den enskilde behandlas korrekt, med hänsyn till omständigheterna i det enskilda fallet ”all ytterligare information”. Sådan information kan exempelvis vara vilka andra som kan komma att ta del av uppgifterna, vilka rättigheter den enskilde har att ta del av uppgifterna och huruvida det är obligatoriskt eller frivilligt att ”besvara frågorna”. Dessa krav 109

uppställs också på de registeransvariga som erhållit informationen från någon annan än den registrerade själv, det vill säga en tredje part. En tredje part ska också uppge vilken kategori av uppgifter som kan komma att behandlas och vilka mottagare eller vilka kategorier av mottagare som kan komma att behandla informationen. I och med att de är tredje part behöver de inte uppge om det är obligatoriskt eller ej att svara på ”frågorna”. På vilka villkor information får överföras från insamlaren till tredje part 110

är upp till varje medlemsstat att avgöra. Det faktum att lagstiftaren använt sig av 111

formuleringen ”besvara frågorna” kan tänkas säga någonting om hur personuppgifter erhölls år 1995. Behandling av personuppgifter tycks i stor utsträckning ha baserats på information som den enskilde själv utlämnat, kanske genom frågeformulär eller dylikt. Den registrerade har enligt dataskyddsdirektivet rätt att ta del av vissa av de uppgifter som rör denne själv utan större tidsspillan eller kostnad med jämna mellanrum. En enskild har rätt till ”begriplig information” om vilka uppgifter som behandlas, all information om ändamålet för behandlingen och varifrån uppgifterna kommer. Den registrerade har också rätt att få veta till vem eller vilken kategori av mottagare som får ta del av den behandlade informationen. I de fall uppgifterna inte har hanteras i enlighet

Sammanfattning av artikel 8 i direktiv 95/46/EG.

108

Direktiv 95/46/EG, artikel 10.

109

Direktiv 95/46/EG, artikel 11.

110

Direktiv 95/46/EG, ingresspunkt 30.

med kraven i direktivet har den enskilde rätt att få dem rättade, utplånade eller blockerade. Dock endast under förutsätting att det inte visar sig vara omöjligt eller innebära en oproportionerligt stor ansträngning för den personuppgiftsansvarige. Med 112

andra ord, kan en personuppgiftsansvarig undkomma att behöva rätta eller radera en felaktig uppgift om rättelsen skulle innebära en oproportionerligt stor ansträngning för behandlaren.

Direktivets fjortonde artikel stadgar en begränsad rätt för den enskilde att invända mot behandling. En av de legitima grunderna för invändning är ifall uppgifterna kan komma att användas för ändamål som rör direkt marknadsföring. En sådan invändning ska kunna göras gratis. Det är oklart om intressebaserad annonsering som marknadsföringsmetod ska anses vara en typ av direktmarknadsföring. Direktmarknadsföring är enligt ICC ”alla aktiviteter som syftar till att erbjuda produkter – liksom överföring av sådana kommersiella budskap (oavsett medium) – och vilka är avsedda att informera och uppnå ett svar från adressaten, samt alla tjänster med direkt anknytning därtill”. Intressebaserad annonsering syftar till att erbjuda 113

tjänster eller produkter, det medium som används är webbsidor och applikationer, de är avsedda att informera och det svar som önskas uppnås är att personen klickar på annonsen. Sett till en sådan tolkning borde, enligt min mening, intressebaserad annonsering i vissa fall åtminstone kunna vara direktreklam. Å andra sidan talar det faktum att det inte faller in under det liknande begreppet obeställd reklam i MFL för att intressebaserad annonsering inte bör räknas som direktreklam. Det har så vitt jag vet aldrig prövats i varken svensk eller europeisk rätt om intressebaserad annonsering faktiskt faller in under reglerna för direktreklam varför jag, med stöd av ovan tolkning, i uppsatsen fortsättningsvis utgår från att det åtminstone finns en möjlighet att intressebaserad annonsering kan vara direktreklam.

Med ”databehandlade beslut” avses beslut som enbart grundas på automatisk behandling. Sådan behandling av får, utom vid vissa undantagna situationer, inte ligga till grund för beslut som har rättsliga följder för den registrerade eller om beslutet märkbart påverkar personen. Detta gäller om beslutet grundas enbart på automatisk

Direktiv 95/46/EG, artikel 12.

112

ICC:s Regler för reklam och marknadskommunikation”, kapitel C: Direktmarknadsföring (ICC:s

DM-113

behandling av uppgifter som är menade att granska vissa egenskaper hos personen som till exempel arbetsprestation, pålitlighet eller uppträdande. Vid en objektiv 114

ordalydelsetolkning läses bestämmelsen som att ett beslut att rikta intressebaserad annonsering till någon enbart baserat på uppgifter om dennes uppträdande är oförenligt med bestämmelsen om den annonseringen har en märkbar påverkan på personen. Sett till hur det fungerar i praktiken så verkar bestämmelsen dock inte ha tolkats så av de faktiska aktörerna. I svenska förarbeten har det angående artikel 15 sagts att sådana beslut som uppfyller alla kumulativa rekvisit innebär en principiell rätt för den enskilde att besparas sådana. En enskild har rätt att få information om logiken bakom 115

automatiserade beslut som rör honom eller henne. Rätten att ta del av logiken bakom automatiserade beslut innebär att den som är föremål för intressebaserad annonsering som sker genom automatiserad databehandling, det vill säga i princip all typ av intressebaserad annonsering, har rätt under dataskyddsdirektivet att få veta vilken logik som ligger bakom att just han eller hon fick annonseringen riktad till sig.

4.2.3 Praxis

I mål C-70/10 (Scarlet/SABAM) hade domstolen i uppgift att komma med ett förhandsavgörande gällande ett antal tolkningsfrågor. Målet i nationell belgisk domstol ställde upphovsrätten mot skydd för personuppgifter. SABAM är en intresseorganisation som företräder sina medlemmars immaterialrätter kopplade till musikaliska verk. Scarlet är en internetleverantör. SABAM ansåg att det var Scarlets ansvar att förhindra den illegala nedladdning som Scarlets användare ägnade sig åt av verk som SABAMs medlemmar hade upphovsrätt till. I målet fastställdes att IP-adresser räknas till personuppgifter i den mening som avses i artikel 2.a i direktiv 95/46/EG då de möjliggör för identifiering av en person trots att den fysiska personens namn inte finns i anslutning till informationen. De övriga tolkningsfrågor som ställdes till domstolen 116

har ingen betydelse för den här uppsatsens syfte och lämnas därför därhän.

Direktiv 95/46/EG, artikel 15.

114

Prop. 1997/98: 44 s, 87.

115

P. 51 i mål C-70/10 Scarlet Extended SA mot Société belge des auteurs, compositeurs et éditeurs SCRL

116

Det redan nämnda målet C-131/12 (Google Spain) behandlade bland annat 117

räckvidden av artikel 12 och 14 i dataskyddsdirektivet. Frågan var om den begränsade rättigheten till utplåning respektive att invända mot behandling skulle tolkas så att Google var skyldig att ta bort information som en enskild anser att informationen kan skada honom eller henne. Domstolen fastslog att den registrerade har rätt att begära radering av sådana uppgifter med hänvisning till att hans eller hennes rätt till skydd för personuppgifter och privatliv väger tyngre än både sökmotorns ekonomiska intresse av att tillhandahålla informationen och allmänhetens intresse av att ta del av informationen. 118