Lagen om elektronisk kommunikation

Användningen av cookies och dylika trackingåtgärder faller in under lagen (2009:389) om elektronisk kommunikation (LEK). Den som tillhandahåller en elektronisk kommunikationstjänst har till ansvar att se till att det finns tillräckliga organisatoriska samt tekniska säkerhetsåtgärder för att säkerställa ett skydd för de uppgifter som behandlas. Säkerheten ska hålla en nivå som är proportionerlig sett till kostnad och teknik. 120

6 kap. 18 § LEK innebär att det krävs samtycke från användaren av en hemsida för att webbplatsinnehavaren ska få spåra användaren via cookies. Bestämmelsen grundar sig

Se underrubrik 2.4.2.

117

Mål C-131/12, Google Spain SL, Google Inc. v Agencia Española de Protección de Datos and Mario

118

Costeja Gonzáles. Se särskilt p. 99.

Prop. 2009/10:80, s. 178 och 243.

119

Se 6 kap. 3 § LEK.

på artikel 5.3 i dataskyddsdirektivet. I propositionen anges att det ska finnas klar och 121

tydlig information om användningen av cookies och vad datan kan användas i för syfte. I propositionen betonas att de flesta webbläsare ger alternativ att inte spara cookies. I 122

och med att det direktiv som LEK bygger på även är tillämpligt på digitala fingeravtryck bör det samma gälla för 6 kap. 18 § LEK. När det gäller supercookies 123

är det ett inte särskilt extensivt slut att även tolka in dem under LEKs tillämpningsområde. Att det i propositionen till LEK betonas att webbläsaren oftast erbjuder ett alternativ att inte spara cookies talar för att användningen av supercookies och digitala fingeravtryck inte togs hänsyn till vid tillkomsten av LEK då dessa, som framkommit under avsnitt 2, inte fastnar i det nät som private browsing sessions medför.

4.3.2 Personuppgiftslagen

LEK är som sagt tillämplig lag för användningen av cookies och liknande teknik. Den fortsatta behandlingen av informationen som tekniken samlar in faller dock under personuppgiftslagens (1998:204) (PuL) tillämpningsområde vilket framgår av 6 kap. 2 § LEK. PuL bygger på dataskyddsdirektivet. I PuL 3 § är definitionen av ”personuppgift” vid och inte särskilt specifik,

”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”.

Den information som används vid online tracking är allt som oftast personuppgifter. Det gäller även om det rör sig om IP-adresser om de på något sätt går att hänföra till en levande enskild genom att analysera den. All information som inte går att hänföra till en nu levande person är inte personuppgifter enligt svensk rätt. Sådan information kan visserligen sparas i cookies eller dylikt men kan däremot aldrig användas som underlag för intressebaserad annonsering. Det ligger i intressebaserad annonserings natur att informationen ska kunna kopplas till en fysisk person, annars är processen av att sammanställa profilen meningslös. Om informationen vid insamling inte var möjlig att koppla till en person så blir den genast det när den sammanställs i en profil för att användas som underlag för riktad annonsering. Slutsatsen är att vid intressebaserad

Se avsnitt 4.2.2. 121 Prop. 2002/03:110, s. 256. 122 SOU 2016:41, s. 338. 123

annonsering måste informationen som används däri utgöra personuppgifter i såväl dataskyddsdirektivets som PuLs mening.

Lagen är enligt 5 § tillämplig på behandling av personuppgifter som antingen är automatiserad eller som är avsedd att underlätta sökning eller sammanställning av personuppgifter. Det görs således skillnad mellan behandling av det som i PuL kallas ostrukturerat och strukturerat material. 5a § PuL innehåller en uppräkning på vilka av lagens paragrafer som inte är tillämpliga då det i och för sig rör sig om personuppgiftsbehandling men materialet i fråga inte är strukturerat för att underlätta för påtagligt underlätta sammanställning eller sökning av personuppgifter. Andra stycket i samma paragraf innehåller dock ett undantag från undantaget som innebär att även om materialet är ostrukturerat får uppgifter inte behandlas på ett sätt som är kränkande sett till den registrerades personliga integritet. För att intressebaserad annonsering ska omfattas av reglerna i PuL krävs inte bara att det är personuppgifter, vilket det som sagt är. Det krävs också att behandlingen inte faller in under undantaget för ostrukturerat material. För att falla in under strukturerat material i 5 § PuL:s mening krävs att ett av två alternativa rekvisit är uppfyllda, antingen att behandlingen är helt eller delvis automatiserad alternativt att den är avsedd att ingå i samling som ska underlätta sammanställning eller sökning av personuppgifter. Intressebaserad annonsering torde i de flesta fall uppnå båda kriterierna då behandlingen är både automatiserad och avsedd att sammanställa uppgifter i syfte att upprätta en profil. Behandlingen som görs inom ramen för intressebaserad annonsering faller därför inom PuL:s tillämpningsområde. PuL kom till 1998 varför många av de företeelser som finns i praktiken vid databehandling på internet inte togs i beaktning vid tillkomsten. Det är förmodligen anledningen till att bland annat pseudonymisering av uppgifter inte explicit tas upp i varken lagen eller propositionen. 3 § och 5 § PuL lästa tillsammans e contratio innebär dock att den som behandlar personuppgifter i strukturerat material har möjlighet att undankomma PuL genom att pseudonymisera persondatan, att ”tvätta” informationen. Om personuppgifterna inte längre går att hänföra till en fysisk person som är i livet är PuL inte tillämplig på behandlingen.

För att behandling ska vara laglig enligt PuL krävs att den uppfyller de krav som ställs i 9 § PuL. Paragrafen motsvarar artikel 6 i dataskyddsdirektivet och uppställer bland

annat krav på att behandlingen ska ske lagligen och med beaktning av ändamålsbegränsningen. 10 § motsvarar direktivets sjunde artikel och innehåller en uppräkning av grunder för laglig behandling. Däri nämns bland annat samtycke och om behandlaren har ett berättigat intresse som övervägen den enskildes intresse av att inte behandlas.

11 § PuL förbjuder att personuppgifter används för direkt marknadsföring om personen skriftligen anmält till den personuppgiftsansvarige att han eller hon opponerar sig mot sådan behandling av personuppgifter. Vid lagstiftningsarbetet förekom förslag på annorlunda formuleringar. Datainspektionen och Landorganisationen i Sverige (LO) ville se att det infördes ett krav på samtycke för behandling med syfte att användas för direkt marknadsföring. Kammarrätten i Göteborg föreslog att den registrerade skulle bli informerad första gången hans eller hennes uppgifter lämnades ut till tredje man eller användes för tredje mans räkning i syfte att användas till direkt marknadsföring och att den registrerade skulle ges möjlighet att uttryckligen invända mot användningen utan kostnad. Regeringen ansåg å sin sida att dessa alternativa lösningar var för krångliga. De motiverade den lydande bestämmelsen med att den var enklare och att möjligheten att på eget intiativ undankomma sådan behandling innebar ett adekvat skydd för personuppgifter. Det tillades också att det faktum att det från regeringens sida inte skulle etableras något så kallat reservationsregister, där en enskild har möjlighet att 124

motsätta sig behandling i syfte att användas för direkt marknadsföring i allmänhet, inte hindrar att ett sådant register inrättas i regi av en privat aktör. Som bestämmelsen är 125

formulerad kan den tyckas uppställa ganska låga krav. I de förslag som refereras till i propositionen föreslås lydelser som skulle innebära ett starkare skydd för den registrerade/konsumenten men lagstiftaren intog en inställning som var mer vänligt inställd till näringsidkaren och som motiverades med att den gällande lydelsen skulle underlätta för näringsidkaren. Var den enskilde hittar ett sådant register framkommer ej ur lagen och inte heller hur ofta näringsidkaren måste uppdatera sina register efter opt-out-registerna.

Jfr. artikel 7 i direktiv 2000/31/EG.

124

Prop. 1997/98:44, s. 64 ff.

I 13 § PuL finns ett förbud mot behandling av känsliga personuppgifter. Det är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och medlemskap i fackorganisation samt uppgifter om sexualliv eller hälsa. Paragrafen motsvarar dataskyddsdirektivets åttonde artikel. Huvudregeln är att behandling av känsliga uppgifter inte är tillåten. Undantagen återfinns i 15-19 §§ PuL och är om behandlingen är baserad på samtycke eller att den registrerade själv tydligt offentliggjort uppgifterna, om behandlingen är nödvändig med hänsyn till särskilda intressen, om behandlaren är en ideell organisation med politisk, religiös, filosofisk eller fackligt syfte eller om det krävs för att kunna utföra hälso- och sjukvård alternativt i ett godkänt syfte avseende forskning och statistik.

Även PuL innehåller regler om vilken information som ska lämnas till den registrerade. 23 § stadgar att om informationen hämtats från den registrerade själv ska den personuppgiftsansvarige självmant lämna viss information. Detsamma gäller om den ansvarige fått informationen från någon annan än den registrerade själv men då behöver informationen inte lämnas förrän uppgifterna lämnas ut första gången enligt 24 § PuL. Den information som självmant ska lämnas innefattar behandlarens identitet, syftet med behandling samt ”information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen”. Utförligare information ska 126

lämnas gratis minst en gång per år om den registrerade ansöker om det enligt 26 § PuL. Den rätt som den registrerade har att få insyn i behandlingen är relativt begränsad. Den information som enligt såväl PuL som dataskyddsdirektivet måste delges den registrerade är relativt liten till omfattningen och i princip innefattar kravet endast vem som behandlar, för vilket ändamål och vilka andra som kan komma att ta del av uppgifterna. Bestämmelsen är ganska vagt formulerad. Om den registrerade själv begär det har han eller hon en mer omfattande rätt till information men det förutsätter att den enskilde inser att det är möjligt att göra en sån förfrågan. Det gäller också att personen vet till vem han eller hon ska vända sig. Enligt svensk lag är behandlaren, som sagt, endast skyldig att lämna sådan information en gång om året medan det i dataskyddsdirektivet är tidsbegränsat till med rimliga intervall.

25 § PuL.

Automatiserade beslut regleras i 29 § PuL och av paragrafen följer att en person som blivit föremål för ett beslut som grundats endast på automatiserad behandling avsedd att bedöma egenskaper hos personen och som har rättsliga följder eller annars har märkbara verkningar för personen, har rätt att begära omprövning av beslutet. Intressebaserad annonsering innebär att någon bli föremål för ett automatiserat beslut. Enligt dataskyddsdirektivet har en person rätt att inte bli föremål för automatiserade beslut med viss verkan medan i PuL har personen rätt att be att få beslutet omprövat, det vill säga den svenska lagstiftaren har gjort en något extensiv tolkning av direktivet vid transformering till svensk rätt. Enligt propositionen till PuL lämnade inga nämnvärda invändningar till den formuleringen, ingen remissinstans föreslog en generell rätt att inte bli föremål för automatiserade beslut. 127

Den personuppgiftsansvarige som inte följer reglerna i PuL ska betala skadestånd till den vars personliga integritet har kränkts av den illegala behandlingen enligt 48 § PuL. Den som bryter mot vissa bestämmelser i lagen, uppsåtligen eller genom grov oaktsamhet, kan dömas till fängelse i upp till 6 månader eller om brottet är grovt i upp till två år enligt 49 §. Gällande skadestånd läses PuL tillsammans med skadeståndslagen (1972:207). För en indikation om skadeståndets storlek kan ses till rättsfallet NJA 2013 s. 1046, där ett företag publicerat en dom från Falu tingsrätt utan redigera bort namnet på den som dömts i målet, K.S. K.S yrkade att publiceringen innebar en behandling i strid med 9 och 10 §§ PuL eftersom han ansåg att företagets intresse av att publicera dem inte var berättigat och de inte fått samtycke till publiceringen och yrkade skadestånd enligt 48 § PuL. Företaget å sin sida hävdade att i och med att uppgifterna inte ingick eller var ämnade att ingå i en samling för att underlätta sökning eller sammanställning av uppgifter var undantaget för ostrukturerat material i 5a § tillämpligt. Högsta domstolen (HD) ansåg att behandlingen visserligen föll in under 5a § men ändå inneburit en kränkning av K.S personliga integritet varför andra stycket i 5a § blev tillämpligt. Kränkningen ansågs inte obetydlig men mindre allvarlig. Skadeståndet bestämdes därför till 3000 SEK. 128

Prop. 1997/98:44, s. 88.

127

NJA 2013 s. 1046, HD:s domskäl, p. 1-3.

4.4 Dataskyddsförordningen