Gränsdragningen enligt doktrin

Effekten av den begränsning av tillämpningsområdet som anges i e-handelsdirektivet har, även innan dataskyddsförordningens tillkomst, varit problematisk enligt doktrin. Enligt Jay skulle hänvisningen i e-handelsdirektivet kunna tolkas på så sätt att ansvarsfrihetsgrunderna inte kan tillämpas om den överträdelse som skett utgör en dataskyddsöverträdelse.²⁰² Det anges tyvärr inget exempel på när en dataskyddsöverträdelse även skulle kunna falla under ansvarsfrihetsgrunderna varpå jag ställer mig frågande till huruvida det förekommer situationer i praktiken då dataskyddsöverträdelser kan falla under tillämpningsområdet för någon av ansvarsfrihetsgrunderna. Om en användare av exempelvis onlineplattformen Facebook publicerar kränkande personuppgifter om en annan person offentligt så blir Facebook enbart ansvarig att ta bort uppgifterna om den omskrivna personen begär radering. Om Facebook i ett sådant fall tar bort uppgifterna har de som värdtjänst också uppfyllt kriterierna för ansvarsfrihet

202 Jay, s. 73.

enligt art. 14 och dataskyddsförordningen behöver då inte få företräde framför e-handelsdirektivet. Jay anger emellertid att anmärkningar rörande en sådan tolkning som hon presenterade har förekommit men då det inte framgår av hennes tolkning vilka anmärkningar som förekommit samt då några exempelfall inte presenteras bör hennes tolkning kunna ifrågasättas. Bristen på enhetlig tolkning i doktrin samt det intetsägande tillhörande skälet²⁰³ till art. 1.5(b) i e-handelsdirektivet resulterar enligt Jay att bestämmelsen får effekten att bevara status quo vilket jag, mot bakgrund av det ovan angivna, inte nödvändigtvis är enig med.

Frydlinger m.fl. menar i sin tur att tjänstelevererande mellanhänder har ett visst, men begränsat, ansvar enligt dataskyddsförordningen som innebär att tjänsteleverantörens ansvar stannar vid att tillse att de inblandade mellanhänderna håller den kvalitet och säkerhet som krävs för att skydda personuppgifterna. Detta med anledning av att ett mer omfattande ansvar utifrån dataskyddsförordningen skulle lägga ett orimligt ansvar på en part som inte är en direkt del av behandlingen utan enbart förmedlar eller överför data. Frydlinger m.fl. menar även att tjänstelevererande mellanhänder i annat fall även skulle behöva övervaka informationen i strid med förbudet i art. 15 i e-handelsdirektivet.²⁰⁴ Frydlinger m.fl. tycks dock inte beakta de fall då tjänsteleverantörer som kan åtnjuta ansvarsfrihet också kan vara personuppgiftsansvariga för behandling som de själva beslutat om ändamålen för. Inte heller ska tjänsteleverantörer som utgör mellanhänder vara att betrakta som personuppgiftsbiträden i deras mening. Någon förklaring eller källhänvisning till förevarande slutsats framkommer emellertid inte.²⁰⁵ Frydlingers m.fl. tolkning skulle kunna ta sikte på tjänsteleverantörer i de ovan angivna kategorierna (i) och (ii), dvs. de som uteslutande enbart överför och lagrar uppgifter där andra aktörer eller användare bestämmer ändamålet med innehållet. I sådana fall skulle personuppgiftsansvaret, för själva överföringen och den mellanliggande lagringen, enligt Frydlinger m.fl. enbart medföra en skyldighet att säkerställa tekniska och organisatoriska skyddsåtgärder.

Öman tolkar i sin tur regleringen i art. 2.4 i dataskyddsförordningen, som anger att förordningen inte ska påverka tillämpningen av e-handelsdirektivet, som en begränsning som innebär att medlemsstaterna inte får ålägga tjänsteleverantörer av informationssamhällets tjänster visst ansvar och vissa skyldigheter. Mer specifikt innebär hans tolkning att sanktioner som avses i dataskyddsförordningen inte ska bli aktuella om det skulle strida mot e-handelsdirektivet, och

203 I det till art. 1.5 (b) tillhörande skälet anges ingen ytterligare information om gränsdragningen mellan e-handelsdirektivets respektive dataskyddsdirektivets (nu dataskyddsförordningens) tillämpningsområde.

204 Frydlinger m.fl., s. 48.

205 A.a.s. 47 f.

i synnerhet ansvarsfrihetsgrunderna.²⁰⁶ Ömans tolkning visar dock inte huruvida hänvisningen i art. 1.5 (b) i e-handelsdirektivet, som anger att direktivet inte ska tillämpas på frågor som omfattas av dataskyddsförordningen, har beaktats vilket skulle kunna föranleda en annan tolkning. Det är möjligt att art. 2.4 i dataskyddsförordningen åsyftar att träffa just sådana situationer då sanktioner p.g.a. överträdelser av dataskyddsförordningen skulle strida mot bestämmelserna om ansvarsfrihet. Exempelvis hypotetiska fall då en tjänsteleverantör begår en dataskyddsöverträdelse som denne egentligen inte ska anses ansvarig för utifrån ansvarsfrihetsgrunderna i e-handelsdirektivet. Ömans tolkning tycks således, i motsats till Jays tolkning, mena att e-handelsdirektivet har företräde för det fall regelverken krockar. Ett tillämpande av Ömans tolkning, dvs. att e-handelsdirektivet får företräde, riskerar dock leda till en urvattning av skyddet för personuppgifter samt de registrerades rättigheter enligt dataskyddsförordningen.

För att säkerställa rättssäkerheten vid ett tillämpande av Ömans tolkning krävs enligt min mening att en intresseavvägning genomförs vid ett fall då regelverken krockar för att säkerställa skyddet för både tjänsteleverantörer och personuppgifter. Samtidigt skulle det inte innebära ett direkt tillämpande av Ömans tolkning av regelverken. Då Öman inte presenterar något exempel på en potentiell situation då en dataskyddsöverträdelse skulle falla inom ramen för en tjänsteleverantörs ansvarsfrihet kan man dock ifrågasätta huruvida det förekommer sådana situationer överhuvudtaget. Frågan är således om det är möjligt att en tjänsteleverantörs åsidosättande av sina skyldigheter enligt dataskyddsförordningen under några omständigheter kan innebära ett hinder för denne att åtnjuta ansvarsfrihet i fråga om olagligt innehåll i dennes lagrade data.

Sammanfattningsvis kan vi konstatera att det inte framgår särskilt tydliga svar i doktrin på frågan hur dataskyddsförordningen och ansvarsfrihetsgrunderna i e-handelsdirektivet förhåller sig till varandra. Samtliga ovan angivna tolkningar tycks emellertid antyda att det skulle kunna uppkomma situationer då de två regelverken krockar och något av dem måste få företräde.

Eftersom praktiska exempel inte presenteras tillsammans med tolkningarna i doktrin ifrågasätter jag dock huruvida det faktiskt förekommer sådana krock-situationer. Det föreligger således anledning att utvidga utredningen till att även beakta andra rättskällor.

206 Öman, kommentar till art. 2.4 dataskyddsförordningen.