5. PERSONUPPGIFTSANSVARET VID TILLHANDAHÅLLANDE AV
5.2 E NSKILT PERSONUPPGIFTSANSVARIG SOM TJÄNSTELEVERANTÖR
5.2.1 Värdtjänsters personuppgiftsbehandling
Många onlineplattformar erbjuder flera olika onlinetjänster på samma plattform, exempelvis meddelandetjänster, videodelningstjänster, mikrobloggtjänster m.m., vari det förekommer en omfattande mängd information som behandlas. Mot bakgrund av att tjänsterna inom en och samma onlineplattform kan skilja sig åt på så sätt kan också den behandling som tjänsteleverantören vidtar variera, såsom vi såg i avsnitt 4.3, vilket resulterar i att personuppgiftsansvaret kan se olika ut beroende på onlinetjänstens typ. Vidare framkom det i avsnitt 4.3 att tjänsteleverantörer som tillhandahåller onlineplattformar både kan komma att behandla personuppgifter för egna angivna ändamål, exempelvis i syfte att utveckla tjänsten eller kunna anpassa användarnas innehåll utifrån deras beteendeprofiler, och för andra användarnas ändamål, exempelvis möjliggörande för publicering av användare.
Gränsdragningen rörande när tjänsteleverantören ansvarar för innehåll som förekommer på onlineplattformar måste avgöras utifrån omständigheterna i respektive fall. Kriterierna för gränsdragningen avses därmed utredas i aktuellt avsnitt.
5.2.2 Publicerat innehåll på onlineplattformen
På vissa onlineplattformar, såsom Facebook, Twitter och Youtube, kan både tjänsteleverantören själv och privata användare av tjänsten samt näringsidkare publicera innehåll på plattformen. Vi kommer nu enbart betrakta innehåll som tjänsteleverantören själv respektive användare publicerar. Externa organisationers personuppgiftsansvar för publicerat innehåll på onlineplattformar kommer vi återkomma till i avsnitt 5.3.
För att avgöra huruvida tjänsteleverantören har ett ansvar för personuppgifter som användare publicerar menar Edmar att frågan huruvida tjänsteleverantören kan påverka den publicerade informationen måste ställas. Ett tydligt exempel är onlineplattformen Twitter, de har enbart ett ansvar för de personuppgifter som organisationen själv publicerar eller inhämtar för deras egna ändamål, men inte för uppgifter som användare publicerar eftersom de inte kan påverka det innehållet. 145 Vi återkommer således till frågan om vem som har bestämt ändamålen och medlen för den behandling av personuppgifter som andra utför. Motsvarande tycks gälla för tjänsten Facebook som ansvarar över sina egna inlägg då de har bestämmanderätten över dessa, för övriga inlägg ansvarar den som publicerat innehållet eftersom behandlingen då sker utifrån
145 Edmar, s. 196.
dennes bestämda ändamål.146 Mot bakgrund av Edmars exempel bör således den behandling som tjänsteleverantören av onlineplattformen vidtar, dvs. lagra och överföra användarens innehåll, vara att betrakta som åtgärder på uppdrag av användaren som bestämmer ändamålet med behandlingen att överföra och lagra.
Samtidigt som Edmar menar att tjänsteleverantörer som tillhandahåller onlineplattformar enbart är personuppgiftsansvariga för sina egna publiceringar på deras onlineplattformar innehåller dataskyddsförordningen ett undantag för privatpersoner som behandlar personuppgifter i verksamhet av privat natur147, frågan är således huruvida tjänsteleverantörer ändå ansvarar för användares publiceringar i de fall de innehåller personuppgifter.
EU-domstolen har i flera fall, trots privatundantaget som också förekom i det gamla dataskyddsdirektivet, konstaterat att den enskilde användaren kan bli ansvarig enligt dataskyddsförordningen för innehåll som denne har publicerat offentligt på en onlineplattform.
Motiveringen till att privatundantaget inte ska tillämpas har då varit att privatpersonen spridit personuppgifter på internet till ett obegränsat antal personer. Då är således privatundantaget i art. 2.2 (c) i dataskyddsförordningen inte tillämpligt. I ett mål hade en privatperson publicerat ett filmklipp, vari enskilda polisers agerande synts, på onlineplattformen YouTube samt skrivit en tillhörande text om händelsen. Då det gamla dataskyddsdirektivet var tillämpligt samt då privatpersonen inte hade informerat poliserna om att filmen skulle publiceras offentligt hade en dataskyddsöverträdelse skett, vilken privatpersonen ansågs vara enskilt personuppgiftsansvarig för.148 Målet tydliggör även den avgörande skillnaden mellan då tillhandahållaren av tjänsten respektive den som publicerat innehållet ansvarar för innehållet eftersom tjänsteleverantören YouTube i målet inte hade bestämt varken ändamålet med eller medlen för behandlingen av polisernas personuppgifter.
Skälet till att privatundantaget inte tillämpades i målet var, i likhet med andra mål från EU-domstolen, att personuppgifter som inte avser sådan verksamhet som utgör en del av den enskildas privat- eller familjeliv inte ska anses falla in under privatundantaget.149 Ett tydligt exempel på en sådan situation är då personer som engagerar sig privat i organisationer publicerar uppgifter om organisationsmedlemmars förhållanden på en onlineplattform eftersom att det utgör personuppgifter som är kopplade till en verksamhet som inte är en del av den
146 Edmar, s. 197.
147 Art. 2.2 (c) dataskyddsförordningen.
148 Dom av den 14 februari 2019, Buivids, mål C-345/17, EU:C:2019:122.
149 Öman, kommentar till art. 2.2 (c) dataskyddsförordningen.
enskildas privat- eller familjeliv utan organisationen, trots att personens engagemang är privat.150
I ett annat fall, Google Spain-målet151, konstaterade EU-domstolen att tjänsteleverantören, i fallet gällde det sökmotorleverantören Google, ansvarade för att ta bort sökresultat som visade andra användares publicering av kränkande uppgifter om en person. I målet hade känsliga personuppgifter uppkommit i Googles sökmotor vid sökning på en privatpersons namn varpå den berörda personen ville få sökresultatet, vid sökning på hennes namn, borttaget. Uppgifterna som visades avsåg artiklar som publicerats av en annan aktör tidigare men visades i Googles sökmotor till följd av att den berörda personens namn förekom i artiklarna.152 Googles sökmotortjänst fungerar på så sätt att den automatiskt, konstant och systematiskt söker efter information som publicerats på internet för att sedan återvinna, registrera och organisera dem i indexeringsprogram samt lagra dem på sina servrar och i förekommande fall tillhandahålla och lämna ut dem till användare genom förteckningar över sökresultat. På grund av att Google på nyss angivna sätt vidtagit egna åtgärder beträffande personuppgifterna har Google således själv bestämt ändamålen med och medlen för behandlingen och på så sätt blivit personuppgiftsansvariga för sökresultaten som uppkommer i deras sökmotor.153 Även om Google i det aktuella fallet inte själva hade upprättat och publicerat artikeln hade de behandlat informationen i artikeln för ett ändamål som de själva beslutat om, dvs. att tillgängliggöra artikeln på deras plattform vid sökning på personens namn.
Mot bakgrund av Buivids-målet (om YouTube) och Google Spain-målet kan vi konstatera att användare som publicerar innehåll på tjänsteleverantörers onlineplattformar själva är ansvariga för innehållet förutsatt att tjänsteleverantören som tillhandahåller tjänsten inte har behandlat personuppgifterna för ett eget separat ändamål och medel. För det fall användare publicerar personuppgifter på onlineplattformar om andra privatpersoner i verksamhet som enbart rör personens privat- eller familjeliv tycks emellertid privatundantaget i art. 2.2 (c) tillämpas och dataskyddsförordningens bestämmelser blir då inte tillämpliga. Att dataskyddsförordningen inte ska tillämpas utesluter emellertid inte att användaren blir ansvarig i förhållande till nationell
150 Dom av den 6 november 2003, Lindqvist, mål C-101/01, EU:C:2003:596, i målet hade en kvinna som engagerade sig privat som konfirmandledare publicerat känsliga uppgifter om arbetskamrater inom kyrkans verksamhet på en hemsida. De publicerade uppgifterna ansågs inte falla in under privatundantaget i art. 2.2 (c) dataskyddsförordningen.
151 Dom av den 13 maj 2014, Google Spain och Google, mål C-131/12, EU:C:2014:317.
152 Mål C-131/12, p. 14.
153 Mål C-131/12, p. 27-28.
civil- eller straffrättslig reglering, exempelvis vid förtal.154 Tjänsteleverantörer tycks åtminstone inte vara ansvariga för det innehåll som användare publicerar mot bakgrund av att de inte själva har bestämt ändamålen med åtgärden att publicera det specifika inlägget.155 Vi kan vidare, mot bakgrund av de ovan redogjorda målen, konstatera att den som publicerar innehåll för ett eget ändamål kan vara personuppgiftsansvarig för publiceringen samtidigt som en tjänsteleverantör kan vara personuppgiftsansvarig för behandling av det publicerade innehållet om det sker för ett separat ändamål som tjänsteleverantören bestämt. Om en registrerad förekommer i information som har publicerats av en annan aktör bör denne således kunna vända sig till den publicerande aktören för det fall den registrerade vill invända mot publiceringen i sig. Vill den registrerade istället invända mot en senare behandling av samma publicerade innehåll där en annan aktör har återanvänt det publicerade innehållet för ett annat ändamål kan den registrerade följaktligen enbart vända sig till den sistnämnda.
5.2.3 Ansvaret vid behandling för direktmarknadsföring och individanpassat innehåll
Tjänsteleverantörer kan, utöver att publicera inlägg eller på annat sätt tillgängliggöra information på sina onlineplattformar, även behandla personuppgifter som inte är synbara för användare, exempelvis behandling för att kunna tillhandahålla beteendebaserad reklam eller individuellt anpassat innehåll i tjänsten vilket har diskuterats i avsnitt 4.3.5 och 4.3.6. Med anledning av den omfattande mängd data med personuppgifter som finns tillgängliga via onlineplattformar föreligger stora möjligheter att kunna genomföra profileringar genom automatiserad behandling.156 Beteendebaserat innehåll kan tillämpas av tjänsteleverantörer i syfte att optimera den tjänst som levereras till användaren genom profilering av användare.
Förutsatt att tjänsteleverantören själv vidtar sådana åtgärder för att förbättra sin egen onlinetjänst är det också den tjänsteleverantören som beslutar om ändamålet och upprättar ett system för automatiserad behandling som möjliggör beteendebaserade anpassningar av innehållet på onlineplattformen. Vid sådan behandling är således tjänsteleverantören enskilt personuppgiftsansvarig.
154 Jfr. Mål C-101/01 samt se Artikel 29-gruppen, WP 163, s. 6 f.
155 Jfr. Edmar, s. 196.
156 Se avsnitt 3.3.4 om profilering och automatiserad behandling samt i prop. 2001/02:150, s. 57, anges att informationssamhällets tjänster kan finansieras genom reklam istället för ersättning direkt från användaren.
Som ovan nämnt, i avsnitt 3.3.4 samt 4.3.5, är det inte ovanligt att profilering utnyttjas i stor utsträckning av tjänsteleverantörer i syfte att vidareförsälja informationen för att externa organisationer som vill använda sig av personuppgifterna. Aktörer som kan vara särskilt intresserade av onlineplattformars personuppgifter är de annonsnätverk157 som bearbetar de registrerades personuppgifter i syfte att kunna placera riktad marknadsföring till användare av onlineplattformar.158 Som tidigare nämnt utför tjänsteleverantören emellertid vanligen enbart överföringen av information varpå profileringen vidtas av annonsnätverk eller annan tredje part som ska publicera annonsen.159 Mot bakgrund av att tjänsteleverantören då måste tillåta och öppna upp för en överföring av dess användares personuppgifter, vilket generellt sett sker genom automatisk behandling, för att externa annonsnätverk ska kunna rikta direktmarknadsföring användarna bör tjänsteleverantören vara att betrakta som personuppgiftsansvarig för den initiala behandlingen.160 Tjänsteleverantören överför uppgifterna för att kunna möjliggöra annonsnätverkens riktade marknadsföring för ändamålet att erhålla ersättning för annonsplatsen så att tjänsten som erbjuds gratis till användarna kan finansieras på annat sätt. Samtidigt som ändamålet med den initiala behandlingen bestäms av tjänsteleverantören så bestämmer även den externa annonsören ändamålet för behandlingen av uppgifterna, dvs. ändamålet med profileringen. Tjänsteleverantören bör således inte kunna anses vara personuppgiftsansvarig för behandlingen som sker efter överföringen.
Artikel 29-gruppen har tidigare, i förhållande till det gamla dataskyddsdirektivet, angett att tjänsteleverantörer som möjliggör direktmarknadsföring för externa annonsörer har ett visst, men begränsat, ansvar för behandlingen, dvs. det första steget. Därtill menar Artikel 29-gruppen att tjänsteleverantören kan bli gemensamt personuppgiftsansvarig med annonsnätverket.
Omfattningen av tjänsteleverantörens personuppgiftsansvar, dvs. i vilken utsträckning tjänsteleverantören är skyldig att vidta åtgärder, ska emellertid bedömas utifrån villkoren i avtalsförhållandet mellan tjänsteleverantören och annonsören.161 Vi kommer återkomma till samt närmare utreda eventuellt gemensamt personuppgiftsansvar vid beteendebaserad reklam i avsnitt 5.4.
157 Ett annonsnätverk är ett företag som förmedlar digitala annonser avsedda för internetreklam från annonsörer till webbplatsägare/onlineplattformar, se Artikel 29-gruppen, WP 171, s. 5.
158 Artikel 29-gruppen, WP 163, s. 11.
159 Artikel 29-gruppen, WP 163, s. 11
160 Artikel 29-gruppen, WP 171, s. 11 f. samt WP 163 s. 11.
161Artikel 29-gruppen, WP 171, s. 11 f.