Personuppgiftsansvarets förhållande till förbudet mot allmän övervakningsskyldighet . 77

Även om dataskyddsförordningen och e-handelsdirektivet ska kunna tillämpas parallellt utan att påverka varandra så kvarstå frågan hur förbudet mot att medlemsstater ålägger tjänsteleverantörer en allmän övervakningsskyldighet i art. 15 förhåller sig till skyldigheten att säkerställa bl.a. att laglig grund föreligger vid behandling samt att löpande radera uppgifter som inte längre är nödvändiga för ändamålet som följer av personuppgiftsansvaret. Liksom tidigare konstaterat kan bestämmelserna vid första anblick verka motsäga varandra. Så behöver emellertid inte vara fallet. Även om tjänsteleverantörer har en skyldighet att överse personuppgifterna inom ramen för den tillhandahållna tjänsten på så sätt att bestämmelserna i dataskyddsförordningen uppfylls vid behandling av dessa innebär det inte nödvändigtvis att tjänsteleverantören har en skyldighet att övervaka innehållet i den information som användarna överför eller publicerar på exempelvis en onlineplattform. Skyldigheterna anger enbart att själva behandlingen, dvs. överföringen m.m. som vidtas av tjänsteleverantören, ska följa bestämmelserna i förordningen. För det fall skyldigheterna att säkerställa att förordningen efterlevs innebär att tjänsteleverantören vid vissa tillfällen får kännedom om innehållet i den information som användare skickar och det utgör olagligt innehåll ska tjänsteleverantören vid

ett sådant tillfälle följa de krav som anges i art. 14, för det fall det är en onlineplattform (värdtjänst), för att kunna åtnjuta ansvarsfrihet.

Om vi i ett annat exempel ser till de registrerades rättigheter skulle det kunna förekomma fall då registrerade vänder sig till tjänsteleverantören för att exempelvis kräva sin rätt att få en personuppgift raderad, t.ex. om en annan användare har publicerat personuppgifter rörande den aktuella personen, i ett sådant fall har tjänsteleverantören en skyldighet enligt art. 17 i dataskyddsförordningen att se över huruvida skäl föreligger för radering. Den åtgärd som tjänsteleverantören vidtar vid en sådan invändning från en registrerad bör emellertid inte betraktas som en allmän övervakningsskyldighet utan som övervakning eller kontroll vid ett specifikt tillfälle vilket inte faller inom förbudet i art. 15 i e-handelsdirektivet.

6.3.6   Sammanfattande analys

Vid analys av de rättskällor som diskuterats ovan måste vi påminna oss själva om att ansvarsbegränsningarna i e-handelsdirektivet förutsätter att vissa angivna krav är uppfyllda.

Gemensamt för samtliga ansvarsfrihetsgrunder är att tjänsteleverantören inte ska ha haft någon typ av aktivt inflytande över den data som är olaglig, därutöver skiljer sig de olika bestämmelserna i vissa avseenden. Sammanfattningsvis kräver undantaget mere conduit att tjänsteleverantören inte initierar överföringen, bestämmer mottagare eller väljer ut delar alternativt ändrar informationen. Cachning kräver att tjänsteleverantören inte ändrar informationen samt utan dröjsmål avlägsnar den.²⁰⁹ Värdtjänster kräver att tjänsteleverantören inte har kännedom om den olagliga informationen samt att denne agerar för det fall kännedom uppstår. För att anses vara personuppgiftsansvarig för uppgifterna krävs sammanfattningsvis i sin tur att tjänsteleverantören bestämmer ändamål med samt medel för den aktuella behandlingen. Förutsatt att tjänsteleverantörens tjänst enbart innebär att denne lagrar och överför data innehållandes personuppgifter bör tjänsteleverantörens ändamål med denna behandling och insamling av uppgifter vara att kunna erbjuda en tjänst som möjliggör överföring av information. Därtill bestämmer tjänsteleverantören också tillvägagångssättet eftersom tjänsteleverantören antingen själv har skapat tjänsten eller har delegerat det till en annan aktör. Sammanfattningsvis bör tjänsteleverantören i ett sådant fall anses vara personuppgiftsansvarig för den behandling av personuppgifter som avser överföring och lagring av information. Övrig behandling av uppgifterna som eventuellt sker av externa

209 Ytterligare krav uppställs för ansvarsfrihetsgrunden ”cachning” men dessa är inte kopplade till behandlingen av informationen.

organisationer som använder tjänsteleverantörens tjänst är den aktuella tjänsteleverantören således inte personuppgiftsansvarig för. I ett scenario som det beskrivna uppfyller tjänsteleverantören de krav som anges för att åtnjuta ansvarsfrihet, vilken av grunderna som är tillämplig beror på typen av tjänst som tjänsteleverantören tillhandahåller, och på så sätt inte kan hållas ansvarig för eventuellt olagligt innehåll som användare placerat i dennes tjänst.

Samtidigt har tjänsteleverantören ett personuppgiftsansvar som medför bl.a. ansvar för att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifterna, säkerställa de registrerades rättigheter samt följa principerna för personuppgiftsbehandling. Här kan således e-handelsdirektivet, framförallt ansvarsfrihetsgrunderna, och dataskyddsförordningen tillämpas parallellt utan att påverka varandra.

Om tjänsteleverantören, i ett andra scenario, behandlar personuppgifter för ett annat ändamål än att enbart kunna erbjuda en tjänst som vidarebefordrar information mellan användare, som innebär att denne kommer ändra informationen eller få kännedom om informationens innehåll, kvarstår personuppgiftsansvaret men ansvarsfrihetsgrunderna blir inte tillämpliga då kraven i e-handelsdirektivet inte uppfylls. Om tjänsteleverantören, i ett tredje scenario, tillhandahåller en tjänst som innebär att lagra personuppgifter åt en annan näringsidkare som med hjälp av tjänsten lagrar information som den sistnämnda har bestämt ett ändamål för har tjänsteleverantören inte längre ett personuppgiftsansvar utan kan istället vara att betrakta som ett personuppgiftsbiträde. I det läget föreligger inte heller några hinder i dataskyddsförordningen för att ansvarsfrihetsgrunderna ska kunna tillämpas avseende innehållet i informationen.

Mot bakgrund av ovan redogörelse för olika potentiella scenarion där tjänsteleverantörer behandlar personuppgifter är det min bedömning att respektive hänvisning i e-handelsdirektivet och dataskyddsförordningen till det andra regelverket inte medför något hinder för respektive regelverks tillämpning. På så sätt som antyddes i rådets utlåtande inför dataskyddsförordningens tillkomst ämnar e-handelsdirektivet att säkra den fria rörligheten för informationssamhällets tjänster mellan medlemsstater, bl.a. genom att begränsa tjänsteleverantörernas ansvar för eventuellt olagligt innehåll i den data som deras användare överför med hjälp av deras tjänster. Mot bakgrund av det ovan redogjorda samt syftena med respektive regelverk är det min bedömning att regelverken inte hindrar varandras tillämpning till följd av deras olika ändamål.