Personlig integritet på internet
Webbkakor och risken för kränkning av användares personliga integritet
Adéle Franck
Juridiska institutionen Examensarbete 30 hp Ämnesinriktning: Rättsinformatik Höstterminen 2020
Grupphandledare: Katarina Fast Lappalainen
3
Abstract
The purpose of the essay is to examine and analyze if individuals are ensured an efficient protection against violations of personal integrity when using cookies online. This is done through both a de lege lata and a de lege ferenda perspective. To do this a technical perspective of what cookies are is applied, as well as how they can amount to a threat to personal integrity. What personal integrity is and how it can be protected are questions which are answered through the method of legal dogmatics as well as the EU legal method, while the question if the pro-tection is sufficient is answered through the method of legal informatics. The investigation in the matter led to the result of a definition of what is to be understood by personal integrity within the framework of the essay, which can be described as the right to have control over the spread of sensitive infor-mation. In addition to this it is shown in the essay that personal integrity in rela-tion to cookies is protected through the means of collecting consent before plac-ing cookies. The mechanism of collectplac-ing consent is in theory an appropriate way to ensure control for the individual. Even so, practical studies in the field indicate that the regulation does not meet compliance by the market participants suffi-ciently when collecting consent to the use of cookies. Due to this it cannot be claimed that personal integrity is efficiently protected in practice.
Since the de lege lata result show indications of lack of compliance the con-clusion is that the current regulations are not sufficiently enough protecting per-sonal integrity of individuals. The forthcoming e-Data protection Regulation might offer some solutions to this compliance issue, but as shown in the de lege ferenda-discussion there is a need to combine regulatory solutions with technical tools to enforce a comprehensive compliance by the market participants in prac-tice. The combined solution will give both individuals and supervisory authorities the tools necessary to protect personal integrity, while the collection of consent can continue to be the regulatory mechanism used to protect personal integrity.
5
Förkortningar
Artikel29-gruppen Article 29 data protection working party, ett nu-mera avvecklat rådgivande EU-organ som ersatts av EDPB (se nedan)
CMP Consent management plattform
Dataskyddsförordningen Europaparlamentets och rådets förordning(EU) 2016/679 av den 27 april 2016 om skydd för fy-siska personer med avseende på behandling av per-sonuppgifter och om det fria flödet av sådana upp-gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Datalagringsdirektivet Europaparlamentets och rådets direktiv
2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i sam-band med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (upphävd)
DI Datainspektionen
E-dataskyddsdirektivet Europaparlamentets och rådets direktiv
2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om in-tegritet och elektronisk kommunikation)
E-dataskyddsförordningen Förslag till Europaparlamentets och rådets förord-ning om respekt för privatlivet och skydd av per-sonuppgifter i samband med elektronisk kommuni-kation och om upphävande av direktiv
2002/58/EG (förordning om integritet
och elektronisk kommunikation), COM(2017) 10 final
EDPB Europeiska dataskyddsstyrelsen
EKMR Europeiska konventionen om skydd för de mänsk-liga rättigheterna och de grundläggande friheterna
EU Europeiska unionen
Europadomstolen Europeiska domstolen för de mänskliga rättighet-erna
FEU Fördraget om Europeiska unionen
LEK Lag (2003:389) om elektronisk kommunikation LEKF Förordning (2003:396) om elektronisk
kommuni-kation
OSL Offentlighets- och sekretesslagen
Prop. Proposition
PTS Post- och telestyrelsen
PUL Personuppgiftslagen (1998:204) (upphävd)
RF Regeringsformen (1974:152)
Rättighetsstadgan Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02)
SOU Statens offentliga utredning
TFC Transparency & Consent Framework
Ändringsdirektivet Europaparlamentets och rådets direktiv
2009/136/EG av den 25 november 2009 om änd-ring av direktiv 2002/22/EG om samhällsomfat-tande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikat-ionstjänster, direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sek-torn för elektronisk kommunikation och förord-ning (EG) nr 2006/2004 om samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen
7
Innehåll
Abstract ... 3 Förkortningar ... 5 1 Inledning ... 11 1.1 Bakgrund ... 111.2 Syfte och problemformulering ... 12
1.3 Avgränsning ... 12
1.4 Metod och Material... 13
1.5 Disposition ... 16
1.6 Terminologi ... 16
2 Ett tekniskt perspektiv på webbkakor ... 19
2.1 Introduktion ... 19
2.2 Allmänt om webbkakor och deras funktion ... 19
2.3 Kategorisering av webbkakor ... 20
2.3.1 Löptid ... 20
2.3.2 Ursprung ... 21
2.3.3 Syfte... 21
2.4 Särskilt om integritetskränkande webbkakor ... 22
2.5 Sammanfattande analys ... 23
3 Grundläggande rättighetsskydd för personlig integritet ... 25
3.1 Introduktion ... 25
3.2 Bakgrund till integritetsbegreppet ... 25
3.3 Skyddsvärde ... 26
3.4 Rättighetsstadgan, EKMR och RF ... 27
3.4.1 Rättighetsstadgan ... 27
3.4.2 EKMR ... 28
3.4.3 RF ... 29
3.4.4 Personlig integritet i den konstitutionella rätten ... 30
3.5 Webbkakor och personlig integritet ... 30
3.6 Sammanfattande analys ... 32
4 Integritetsskyddet i sekundärrätten ... 35
4.1 Introduktion ... 35
4.2.1 Personuppgifter och webbkakor ... 35
4.2.2 Rätten till integritet ... 36
4.2.3 Ansvar och tillsyn ... 37
4.3 LEK och e-dataskyddsdirektivet ... 37
4.3.1 Rätten till integritet ... 37
4.3.2 Ansvar och tillsyn ... 38
4.4 Förhållandet mellan dataskyddsförordningen och LEK ... 39
4.4.1 Integritetslagstiftning ... 39
4.4.2 Ansvar ... 40
4.4.3 Tillsyn... 40
4.5 Legitimt intresse av att använda webbkakor ... 41
4.6 Föreslagna e-dataskyddsförordningen ... 42
4.7 Sammanfattande analys ... 43
5 Samtycke som integritetsskydd ... 45
5.1 Introduktion ... 45
5.2 Laglig grund för behandling... 45
5.3 Vad utgör giltigt samtycke? ... 47
5.3.1 Rekvisiten enligt lag och förordning ... 47
5.3.2 Frivilligt ... 47
5.3.3 Specifikt och informerat ... 48
5.3.4 Otvetydig eller uttrycklig viljeyttring ... 48
5.3.5 Återkalleligt ... 49
5.4 Ansvar för samtycke ... 50
5.5 Sammanfattande analys ... 50
6 Samtycke till webbkakor i praktiken ... 53
6.1 Introduktion ... 53
6.2 Giltigt samtycke till webbkakor ... 53
6.3 Praktiska studier avseende inhämtande av samtycke ... 54
6.3.1 Allmänt om studierna och deras användningsområde ... 54
6.3.2 (Un)informed Consent: Studying GDPR Consent Notices in the Field ... 55
6.3.3 Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence 56 6.3.4 Do Cookie Banners respect my choice? ... 57
6.4 Är samtycke ett verkningsfullt integritetsskydd? ... 58
6.5 Sammanfattande analys ... 59
7 Framåtblick och avslutande sammanfattning ... 61
7.1 Introduktion ... 61
7.2 Framåtblick på området ... 61
7.2.1 Tillsyn och samtycke ... 61
7.2.2 Räcker det med regulatorisk utveckling? ... 62
7.2.3 Behov av tekniska lösningar med utgångspunkt i juridik ... 63
7.3 Sammanfattande analys ... 65
8 Sammanfattande slutsatser och kommentar ... 67
Källförteckning ... 69
11
1 Inledning
1.1 Bakgrund
Det är inte ovanligt idag att vi använder oss av internet i det dagliga livet, i allt från att sköta skola, arbete och inköp till att vi spenderar vår fritid och har vårt sociala umgänge på internet.1 Samtidigt som internet är en stor del av vardagen
och bara knapptryck bort finns det delar av internet som den enskilde användaren har lite förståelse och kontroll över. En sådan del är användningen av webbkakor på hemsidor. Webbkakor är en förutsättning för att internet ska se ut och fungera som vi är vana vid, men i takt med teknikens utveckling och den ökade använd-ningen av internet i vardagen har också rollen för webbkakor förändrats över tid. Insamlandet och användandet av personuppgifter från enskilda är en ny form av valuta med stort värde på marknaden. Exempel på hur personuppgifter kan an-vändas för ekonomisk vinning återfinns bl.a. i Cambridge Analytica-skandalen. Användarnas uppgifter som insamlades via Facebook användes inför det ameri-kanska valet i USA 2016 för att identifiera s.k. ”swing-voters” och skicka riktad politisk reklam till dessa.2 Det finns uppenbara integritetsrisker med webbkakor,
som också kan användas för att samla in stora mängder personuppgifter. Behovet av att reglera och kontrollera användningen av webbkakor på internet är inte en nyhet. Redan vid införandet av e-dataskyddsdirektivet uppmärksam-mades behovet av att informera användare om användningen av webbkakor samt att användningen måste ha ett legitimt syfte.3 I och med att
dataskyddsförord-ningen trädde i kraft år 2018 har regleringen på området ytterligare skärpts, med tydliga definitioner för vad som krävs vid behandling av personuppgifter inom EU. Trots det uppmärksammade behovet av reglering på området och ett ökat intresse för frågor om webbkakor och efterlevnad tycks det som att regelverket
1 Tillgång till internet i privathushåll uppmättes 2019 uppgå till mellan 72–98 % i Europa och i
Sverige uppger 84 % av befolkningen att de använder internet flera gånger om dagen. Se Eurostat,
Level of internet access – households, 15 april 2020, hämtat den 15 september 2020, samt SCB, Befolk-ningens IT-användning – Nyckeltal, 22 november 2019, hämtat den 15 september 2020. Fullständig
hänvisning inklusive hyperlänk återfinns i källförteckningen. Den hänvisningsmetodiken kommer användas genomgående för alla hemsidor i arbetet.
2 Se bl.a. Cadwalladr, Carole & Graham-Harrison, Emma, Revealed: 50 million Facebook profiles
har-vested for Cambridge Analytica in major data breach, the Guardian, 22 mars 2018. Ämnet berörs även i
dokumentär-dramat the Social Dilemma.
12
inte efterlevs i praktiken.4 Senast i oktober förra året klargjorde EU-domstolen
att kravet på samtycke som framgår i artikel 7 dataskyddsförordningen innebär att samtycket ska vara aktivt, dvs. för-kryssade rutor duger inte för att samtycket ska anses vara giltigt.5 Samtidigt är den kommande e-dataskyddsförordningen
alltjämt under behandling, även om det är inte klarlagt exakt när den kommer börja gälla.6 Det är uppenbart att frågan om hur integritetsskyddet ska
upprätt-hållas är fortsatt aktuell när det gäller användningen av webbkakor på internet. Med anledning av den globala tillgången till internet och det stora utrymmet internet har i mångas vardag är det relevant att undersöka huruvida användningen av webbkakor på hemsidor påverkar integriteten hos den enskilde användaren, samt om de befintliga regleringarna för att upprätthålla integritetsskyddet är till-räckliga för att effektivt skydda personlig integritet.
1.2 Syfte och problemformulering
Syftet med uppsatsen är att undersöka och analysera, ur både ett de lege lata och ett de lege ferenda perspektiv, om enskilda är tillförsäkrade ett tillräckligt effektivt skydd mot kränkningar av personlig integritet vid användning av webbkakor.
För att uppnå syftet med uppsatsen kommer uppsatsen utreda vad webbkakor är, och vilka webbkakor som kan vara integritetskränkande. Vidare behöver frå-gorna om vad integritet är, varför integritet är skyddsvärt samt på vilket sätt per-sonlig integritet skyddas idag att besvaras. Den slutliga frågeställningen som kom-mer analyseras är huruvida den nuvarande ordningen utgör ett effektivt verktyg för att skydda personlig integritet, och, om inte, vad som skulle kunna implemen-teras istället?
1.3 Avgränsning
En av riskerna med ämnet rättsinformatik med fokus på internet är att det inte alltid finns klara tydliga avgränsningar, då tydliga landsgränser saknas på internet. För att materialet och frågor som kan uppkomma inom ramen för denna uppsats inte ska bli alltför omfattande kommer vissa avgränsningar behöva göras. Ut-gångspunkten för uppsatsen kommer vara ett svenskt perspektiv, inkluderat re-levanta delar av EU-rätten. Studier som används inom ramen för denna uppsats
4 Se exempelvis Matte, C m.fl., Do Cookie Banners Respect My Choice? Measuring legal compliance of banners
from IAB Europe’s transparency and consent framework, 21 februari 2020.
5 Se C-673/17, särskilt p. 52 och 54.
6 Kommissionen presenterade i januari 2017 ett förslag till en ny e-dataskyddsförordning, som ska
ersätta e-dataskyddsdirektivet. Det var tänkt att förordningen skulle träda i kraft samtidigt som dataskyddsförordningen, men så har inte skett.
13
är baserade i andra länder, men i och med rättens globalisering kommer resultaten vara relevanta även inom ramen för svensk jurisdiktion.
Vidare är det tekniska området webbkakor väldigt omfattande. För att texten ska kunna tillgodogöras av en sådan bred läsarkrets som möjligt, även om majo-riteten sannolikt är jurister verksamma inom dataskyddsområdet, kommer upp-satsen att redogöra för tekniken på ett översiktligt vis för att läsaren ska kunna tillgodogöra sig resterande juridiska resonemang och analys. Uppsatsen gör inte anspråk på att vara heltäckande i sin redogörelse för alla tekniska aspekter av webbkakor och deras funktion.
Uppsatsen begränsar sig till att behandla frågan om integritet på internet för vuxna användare, även om det finns specialreglering kring behandling av barns personuppgifter och integritet är syftet med uppsatsen att kolla på huvudreglerna på området. Specialregleringen kommer endast beröras i den mån det kan belysa hur regelverket för vuxna bör förstås.
1.4 Metod och Material
I uppsatsen kommer begreppen integritet och samtycke undersökas och definie-ras på ett juridiskt relevant sätt. För att göra det används en rättsdogmatisk me-tod.7 Både integritet och samtycke är juridiska fenomen som måste förstås utifrån
det relevanta juridiska material som följer av rättskälleläran.8 Det material som
kommer användas inom ramen för detta arbete är i stora delar lagtext, förarbeten och doktrin. Medan lagtext är en s.k. auktoritetskälla som ska följas, även om tolkningsutrymme fortfara finns, har varken förarbeten eller doktrin en självklar ställning som rättskälla.9 Förarbeten får tillsammans med doktrin istället beaktas
utifrån sin argumenterande styrka i egenskap av s.k. argumentationskälla.10
För-arbeten används för att belysa syften med lag och implementering av direktiv, medan doktrin i detta arbete kommer användas för att belysa hur rättsläget ser ut idag samt bidra med infallsvinklar som författaren saknar. Det finns inte någon utvecklad rättspraxis på det tekniska området, vilket kan förklaras med att rätts-området som sådant samt fenomenet webbkakor är relativt nya. Dock kan euro-peisk rättspraxis användas till viss del för att redogöra för begreppet integritet i allmänhet, och särskilt vad som ska förstås med personlig integritet.
Som komplement till den rättsdogmatiska metoden kommer även EU-rättslig metod användas, vilket innebär att rättskällor från EU används för att utröna gällande rätt. Detta är nödvändigt i och med att området omfattas av bl.a.
7 Jfr Kleineman, Jan, Rättsdogmatisk metod, i Juridisk metodlära, utg. Nääv, Maria & Zamboni,
Mauro, 2 u., Studentlitteratur AB, 2018, s. 21 ff.
8 Jfr ibid.
9 Frändberg, Åke, Rättsordningen och rättstillämpningen, i Allmän rättslära: Studiematerial, utg.
Zam-boni, Mauro, 10 u., Stiftelsen Juridisk Fakultetslitteratur, Stockholm, 2017, s. 212 f.
14
dataskyddsförordningen,11 men även av konstitutionellt överordnad rätt i form
av rättighetsstadgan och EKMR. Den rättsdogmatiska metoden är inte direkt till-lämpbar på EU-rättens område, eftersom EU-rätten exempelvis inte har förar-beten på samma sätt som i svensk rätt. Den EU-rättsliga metoden som kommer användas i uppsatsen präglas av de EU-rättsliga källorna och deras inbördes hie-rarki.12 De europeiska rättskällorna tolkas i förhållande till EU-rättens mål och
principer.13 Vidare tolkas den svenska lagstiftningen i ljuset av EU-rätten. Inom
ramen för denna uppsats är förordningar, direktiv, EU-domstolens praxis och de allmänna EU-rättsliga principerna av störst intresse, men även andra källor som inte följer direkt av EU-metoden, såsom uttalanden från artikel29-gruppen och EDBP, kommer vara relevanta för att ge en mer holistisk förståelse för hur rätt ska tolkas. Den svenska implementeringen av direktiv kommer tolkas EU-konformt, men allmänna tolkningsprinciper som lex specialis kommer användas för att utröna vilka rättsregler som har företräde för att skapa ett enhetligt rättsligt system på både nationell och internationell nivå.
Förutom de juridiskt vedertagna metoderna begagnar sig uppsatsen även av rättsinformatisk metod.14 En redogörelse för vad webbkakor är kommer göras
för att kunna bemöta frågan om integritet på internet på ett juridiskt relevant sätt. Metoden innebär konkret att en teknisk redogörelse genomförs för att utreda vad webbkakor är och vilken funktion de fyller samt hur webbkakor påverkar det juridiska ramverket.15 De tekniska beskrivningarna av webbkakor baseras
huvud-sakligen på andra källor är de traditionella rättskällorna för att kunna ge en så korrekt bild av tekniken som möjligt. I tillägg till att beskriva webbkakor på ett juridiskt relevant sätt behöver även effektiviteten av regelverket angående webb-kakor mätas. Måttet på effektivitet inom ramen för denna uppsats är graden av efterlevnad av regleringen i praktiken, vilket är ett vedertaget mått på effektivitet som bl.a. har bekräftats av europadomstolen.16 Därför krävs det, för att ha en
möjlighet att uppnå uppsatsens syfte, en redogörelse för regelverkets genomslag
11 Vilket följer av det materiella och territoriella tillämpningsområdet som följer av artiklarna 2 och
3 i dataskyddsförordningen.
12 Det avser både de rent EU-rättsliga källornas inbördes hierarki såsom förordningar, direktiv och
praxis, men även hur dessa förhåller sig till medlemsstaternas nationella rättsordningar. Jfr Reichel, Jane, EU-rättslig metod, i Juridisk metodlära, utg. Nääv, Maria & Zamboni, Mauro, 2 u., Student-litteratur AB, 2018, s. 109, s. 123 f.
13 Det är kännetecknande för EU-rätten att de oskrivna rättskällorna har en betydelsefull plats för
att utröna vad som är gällande rätt, se Hettne, Jörgen & Otken Eriksson, Ida, EU-rättslig metod, Teori
och genomslag i svensk rättstillämpning, 2 u., Norstedts Juridik, 2011, s. 40 f.
14 Jfr Seipel, P, IT Law in the Framework of Legal Informatics, Stockholm Institute for Scandinavian
Law, 2004., s. 38.
15 Beskrivningen av tekniskt material på ett juridiskt relevant sätt är en del av Seipels s.k.
”descript-ion problem”, se Seipel s. 38.
16Se mål 6289/73, Airey mot Irland, dom meddelad den 9 oktober 1979, där europadomstolen
uttalade att rättigheterna inte ska vara teoretisk och illusorisk utan istället praktisk och effektiv. Se även Åhman, Karin, Europarättsliga principer, i Offentligrättsliga principer, red. Lena Mar-cusson, 2 u., Iustus förlag, 2012, s. 30 f.
15
i praktiken. Därför kommer kvantitativa studier användas inom ramen för den rättsinformatiska metoden för att belysa hur samtycke inhämtas från den enskilda användaren på internet i praktiken. Undersökningen som behöver genomföras är långt mer tekniskt avancerad än vad den genomsnittliga juristen kan förväntas klara av, varför uppsatsen i dessa delar istället kommer hänvisa till redan befint-liga studier. De studier som kommer användas har valts med beaktande av att de är vetenskapligt utförda med en transparent och tydlig redovisning för hur studien har genomförts samt att de alla rör frågan om efterlevnad av dataskydds-förordningen i förhållande till webbkakor.17 Studierna valdes även baserat på
de-ras nyhetsvärde, då de är genomförda mellan slutet på 2019 och 2020 och publi-cerade i samband med konferenser med inriktning på data- och kommunikat-ionssäkerhet, integritet och mänsklig interaktion. Studierna är inte ekonomiskt motiverade, då de är bedrivna av forskare inom både rättsinformatik och datasä-kerhet, varför det inte finns uppenbar underliggande subjektivitet.18 Vidare har
de olika studierna olika målsättning, syfte och genomförande, varför de tillsam-mans bidrar till underlag för en mer mångfacetterad och robust juridisk analys. Urvalskriterierna för studierna innebär dock en viss begränsning avseende meto-den och måttet på effektivitet, då det inte finns möjlighet att ta hänsyn till skill-naden mellan skyddet för integritet före regleringens införande i förhållande till efterlevnaden efteråt. En sådan skillnad före och efter införandet kan också ut-göra ett mått på effektivitet som med den valda metoden inte kommer beakta. Med den begränsningen i åtanke används studierna för att bedöma om regle-ringen medför efterlevnad av aktörerna i praktiken.
Efter redogörelsen för gällande rätt och de juridiska aspekterna av integritet och samtycke kommer den rättsinformatiska metoden användas för att genom-föra en tvärvetenskaplig analys. Analysen kommer ta sikte på frågan om samtycke är ett effektivt verktyg för att skydda integritet med hjälp av de kvantitativa stu-dierna, eller om andra verktyg kan vara bättre lämpade för uppgiften.19 Sådana
alternativa lösningar kan både vara av juridisk eller teknisk natur, eller en kombi-nation av de båda. Den valda metoden tillåter en analys som inte bara tar hänsyn till det juridiskt relevanta materialet utan möjliggör även att ett externt perspektiv inverkar på slutsatserna.
17 De studier som i huvudsak kommer att användas är Nouwens, M m.fl., Dark Patterns after the
GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, Matte, C, m.fl., samt Utz, C, m.fl., (Un)informed Consent: Studying GDPR Consent Notices in the Field. För full källhänvisning se
källförteck-ningen.
18 Det kan finnas andra underliggande brister på objektivitet, men uppsatsen redogör för ett flertal
studier då det minskar risken för att potentiell subjektivitet får oproportionerligt utrymme i analys och slutsats.
16
1.5 Disposition
Inledningsvis presenteras tekniken bakom webbkakor i kapitel 2. Det introduce-rar läsaren för funktionen av webbkakor samt ger en grundläggande redogörelse för vad webbkakor är och vilka olika sorters webbkakor som den enskilde använ-daren kan komma i kontakt med. Efter den allmänna tekniska redogörelsen kom-mer arbetet snäva in sig på de frågor som är relevanta för uppsatsens syfte, dvs. frågan om integritet.
Integritet är ett koncept som måste behandlas juridiskt, varför uppsatsen i ka-pitel 3 behandlar frågan om vad vi förstår med integritet på internet på en kon-stitutionell nivå, samt varför integritet är ett skyddsvärt intresse värt att beakta i förhållande till användningen av webbkakor. Integritet är ett mångfacetterat be-grepp som inte låter sig definieras på ett entydigt sätt, varför det måste undersö-kas ur flera källor och perspektiv. Därför kommer en definition av integritet ut-läsas ur grundläggande rättighetslagstiftning i rättighetsstadgan, EKMR och RF.
Därefter presenteras den mer områdesspecifika regleringen i kapitel 4. Det är LEK och dataskyddsförordningen som utgör grunden för den redogörelsen. I detta kapitel redogörs mer grundläggande för det specifika integritetsskyddet som finns samt regleringen gällande ansvars- och tillsynsfördelning.
I kapitel 5 redogörs för den regulatoriska lösningen som har valts för att skydda personlig integritet, vilket är utformningen av laglig grund för behandling. Den lagliga grunden för behandling som är relevant vid användning av webbka-kor är samtycke, varför det finns det skäl att noggrant gå igenom vad som i teorin utgör ett giltigt samtycke, både enligt dataskyddsförordningen och LEK.
Efter redogörelsen av vad som i teorin utgör ett giltigt samtycke kommer det teoretiska ramverket att appliceras på hur webbkakor används och fungerar i praktiken genom befintliga studier på området i kapitel 6. Därefter kommer slut-satser kunna dras om huruvida kravet på inhämtande av samtycke är tillräckligt för att skydda enskildas integritet i dagsläget.
Slutligen kommer en de lege ferenda-analys utföras i kapitel 7 för att utforska alternativa lösningar för att skydda integriteten. Arbetet rundas sedan av i kapitel 8 med en avslutande sammanfattning av de slutsatser som dragits löpande ige-nom arbetet samt en avslutande kommentar om arbetets påverkan framgent.
1.6 Terminologi
Genomgående i uppsatsen kommer termen ”webbkaka” att användas. Detta be-grepp är synonymt med andra bebe-grepp som florerar på internet så som ”cookies”, ”kakfil” och ”kaka”. I de fall när en viss typ av webbkaka ytterligare måste defi-nieras kommer det framgå av texten och dispositionen. Valet att använda begrep-pet webbkaka istället för den engelska motsvarigheten är för att i största möjliga mån använda ett enhetligt språkbruk.
17
Förutom webbkakor kommer uppsatsen i stora delar behandla tre grupper av personer20. Det gäller för det första leverantörer av tjänster på internet och för
det andra användare av sådana tjänster. Leverantörer tar sikte på personer som bedriver någon form av tjänst på en webbaserad hemsida som hålls tillgänglig för användare. Sådana leverantörer är även de som använder sig av webbkakor på sina hemsidor, antingen för att förbättra användarupplevelsen eller för att på an-nat sätt tillgodogöra sig nytta av uppgifterna som samlas in om användarna. An-vändare av sådana tjänster å andra sidan tar sikte på de fysiska personer som surfar på internet och kommer i kontakt med hemsidor som tillhör leverantö-rerna, och därmed även i kontakt med webbkakor. Den tredje gruppen personer som behandlas i uppsatsen är tredjeparter, vilka kan beskrivas som en underka-tegori av leverantörer, som inte äger hemsidan som användaren har sökt sig till men som istället äger en viss del av hemsidan såsom ett annonsfält.21
20 Både fysiska och juridiska personer avses här inom begreppet ”personer”.
21 Jfr ICO’s definition av tredjepartswebbkakor, i Guidance on the rules on use of cookies and similar
19
2 Ett tekniskt perspektiv på webbkakor
2.1 Introduktion
I detta kapitel kommer tekniken bakom webbkakor att presenteras för att både ge en bakgrund till den relevanta tekniken samt redogöra för hur webbkakor kan påverka personlig integritet av användare. Detta kommer göras genom att först ge en allmän introduktion av webbkakors funktion på internet. Efter den gene-rella introduktionen presenteras en kategorisering av olika sorters webbkakor och beskriver hur en sådan kategorisering går till. Slutligen görs en mer detaljerad redogörelse för sådana webbkakor som kan verka integritetskränkande och som därför är relevanta för den kommande juridiska diskussionen om personlig in-tegritet på internet.
2.2 Allmänt om webbkakor och deras funktion
För att internet ska kunna fungera som vi är vana vid idag krävs det inte bara att användaren har en dator eller motsvarande, det behövs även en webbläsare som kan läsa in hemsidor, internetuppkoppling samt en hemsida att besöka.22 När
in-ternet först utvecklades var användarupplevelsen helt annorlunda från hur den är idag. Ingen information kunde sparas från första gången användaren gick in på en hemsida till när användaren vid ett senare tillfälle återvände till samma hemsida, varför det varje gång en användare gick in på hemsidan senare var hem-sidan tom på information.23 För att lösa detta problem av s.k. tillståndslöshet på
internet skapades webbkakor för att agera som minne på internet över tid.24
En webbkaka är en liten sträng med kod som placeras på användarens hård-disk av webbservern som användaren besöker hemsidan med.25 Webbkakan kan
sedan användas till olika ändamål, såsom att spara språkinställningar, komma ihåg användarnamn och lösenord eller spara varorna användaren lagt till i sin digitala kundvagn.26 Informationen som har sparats i webbkakan kan i regel bara avläsas
22 För exempel på hur det kan se ut när leverantörer av hemsidor informerar om sin placering av
webbkakor, se bilderna i bilaga 1.
23 Lindberg, Håkan, Introduktion till IP – Internet Protocol, Stiftelsen för Internetinfrastruktur, 2008,
s. 77.
24 A.a., s. 79.
25 Gralla, Preston, How the internet works, 4 u., Que Corporation, 1998, s. 282. 26 Ibid.
20
av den server som har placerat webbkakan på användarens hårddisk, och webb-kakan innehåller i regel inte särskilt mycket information om den enskilda använ-daren.27 Placeringen av webbkakor på användarens hårddisk är ett effektivt sätt
att skicka information mellan hårddisk och server eftersom bara små bitar av information måste skickas, varför lösningen med webbkakor är så populär och spridd över hela internet.
När webbkakor utvecklades kunde en hårddisk inte likställas med en enskild användare, eftersom en dator vanligtvis inte var personlig utan exempelvis dela-des av ett hushåll,28 eller fanns på offentliga platser som bibliotek eller
internet-caféer. I och med den tekniska utvecklingen är det dock idag vanligt att en enskild användare har både en egen persondator, surfplatta eller mobiltelefon samt olika sociala konton som kommunicerar information mellan varandra även om använ-daren tillfälligt använder en annan teknisk apparat.29 Den tekniska utvecklingen
bidrar därför till att webbkakor på ett ännu mer preciserat sätt kan följa den en-skilda användarens aktivitet på internet när denne regelbundet använder en viss dator eller är inloggad på sitt konto på bl.a. sociala medier. Även om webbkakor generellt sett kan, med ett högt mått av precision, följa en enskild användare på internet ska det observeras att inte alla webbkakor fyller exakt samma funktion, och därmed inte heller följer användaren i lika hög grad alla gånger. Beroende på vilken kategori av webbkaka som används sparas mer eller mindre information om användaren. Det finns olika sorters webbkakor som fyller olika sorters funkt-ioner beroende på hur de är utformade.30 Kategoriseringen kan göras med
beak-tande av löptid, ursprung och syfte med webbkakorna.
2.3 Kategorisering av webbkakor
2.3.1 Löptid
Kategori baserad på löptid tar, som namnet antyder, sikte på hur lång tid webb-kakorna sparas i användarens webbläsare. Löptiden kan även beskrivas som webbkakornas livslängd.31 Gällande löptid finns det två underkategorier, det är
sessionskakor och ihållande webbkakor. Sessionskakor är sådana webbkakor som
27 Comer, Douglas, The internet Book, 5 u., Taylor & Francis Group, 2019, s. 233.
28 Jfr resonemanget som förs i Carlén-Wendels, Thomas, Nätjuridik, Lag och rätt på internet, 3 u.,
Norstedts Juridik, 2000., s. 90.
29 Exempel på detta är Google, som genom att användaren loggar in på sin mejl eller använder sitt
Google-konto för att logga in på en plattform för social media har identifierat sig, varför Google sen kan fortsätta följa användarens personliga aktivitet.
30 Se Proton Technologies AG, Cookies, the GDPR, and the ePrivacy Directive, hämtat den 28 september
2020. Guiden är skapat av Proton Technologies AG, vilket är ett Schweiziskt tekniskt företag som ursprungligen startades av en grupp vetenskapsmän från CERN med syftet att möjliggöra integritet online.
21
bara sparas så länge som användaren har webbläsaren öppen. När webbläsaren sedan stängs raderas även webbkakan och den information som fanns sparad i den. När användaren sedan öppnar upp webbläsaren igen vid ett senare tillfälle finns varken webbkakan eller informationen i den kvar. Ihållande webbkakor är alla sorters webbkakor som har ett utgångsdatum inprogrammerat i sig, dvs. webbkakan finns kvar i webbläsaren även efter att användaren har stängt ner webbläsaren. Längden på utgångstiden kan variera men efter att utgångsdatumet har passerat raderas webbkakan från användarens hårddisk.32
2.3.2 Ursprung
Kategorisering av webbkakor som utgår från ursprung kan delas in i webbkakor som placeras av leverantör (”första part”), och webbkakor som placeras av tred-jepart. Leverantörer är den vars hemsida användaren aktivt valt att besöka som placerar en webbkaka på användarens hårddisk. Webbkakor som placeras av tredjepart är sådana webbkakor som placeras när användaren besöker en leveran-törs hemsida och en tredjepart placerar en webbkaka på din dator.33 Exempel på
tredjepart kan vara en leverantör av reklamtjänster eller analytiska tjänster som har ett avtal med leverantören om att inneha en reklamplats på dennes hemsida.34
2.3.3 Syfte
Den sista kategorin av webbkakor är beroende av det syfte som webbkakorna fyller, och syftet avser den mer specificerade funktionen än att bara agera minne på internet.
För det första finns det s.k. nödvändiga webbkakor, och dessa webbkakor är pre-cis som de låter helt nödvändiga för att användare ska kunna surfa på hemsidor och dra nytta av hemsidornas olika funktioner. Exempel på en nödvändig webb-kaka är en som låter användaren komma tillbaka till förra sidan denne befann sig på. Det andra syftet webbkakor kan fylla är s.k. preferenskakor, dessa är webbkakor som har till syfte att komma ihåg användarens preferenser i fråga om bl.a. språk, geografisk placering, användarnamn och lösenord. Statistiska webbkakor är den tredje sorten, och dessa webbkakor samlar information om hur användaren an-vänder hemsidan, vilka länkar och sidor som användaren anan-vänder sig av. Syftet med statistiska webbkakor är att förbättra prestandan och användarupplevelsen. Informationen från statistiska webbkakor är aggregerad och därmed också
32 Se PTS information om webbkakor på hemsidan, Frågor och svar om kakor (cookies) för dig som
använder internet, senast uppdaterad 2 november 2016, hämtad den 22 september 2020.
33 Se Artikel29-gruppen, WP 194, Yttrande 04/2012 om undantag från krav på samtycke till kakor, 7 juni
2012, s. 4.
34 Se bl.a. Edmar, Malin, Internetpublicering och sociala medier, en juridisk vägledning, 6 u., Norstedts
22
anonymiserad. Statistiska webbkakor kan därför inte användas för att identifiera användaren.35
Slutligen finns det webbkakor som placeras på användarens hårddisk i mark-nadsföringssyfte, och dessa webbkakor spårar användarens aktivitet online för att kunna placera riktad och relevant reklam för den enskilda användaren till den-samme. I praktiken är det marknadsföringswebbkakor som utgör de webbkakor som omfattas av dataskyddsförordningen och ansvaret för personuppgiftsansvarige, eftersom det i regel är sådana webbkakor som har en sådan utformning att de över tid kan spara integritetskänslig information om användare.36 Därför kommer
marknadsföringswebbkakor vara i fokus i uppsatsen.
2.4 Särskilt om integritetskränkande webbkakor
Som framgår av kategoriseringen ovan finns det olika faktorer som är viktiga att beakta vid hanteringen och diskussionen angående webbkakor. Oavsett vad webbkakorna benämns som är det dess inneboende egenskaper och funktioner som avgör vilken sorts webbkaka det är och hur potentiellt integritetskränkande den är.37 Marknadsföringswebbkakor är som framgår ovan sådana webbkakor
som används i syfte att skicka riktad och relevant reklam till användarna på inter-net. Sådana webbkakor placeras i regel inte av leverantören, utan av tredjepart som har avtal med leverantören om att placera webbkakor och inneha rätt att placera ut annonser på hemsidan.38 Dessa webbkakor har också i regel långa
löp-tider. Med anledning av funktionen de ska fylla är det fördelaktigt för tredje part att kunna följa användarens aktivitet online en längre period eftersom det tillåter tredje part att följa mönster i konsumtion och intressen hos användaren för att bättre förutse vad denne kommer vara mottaglig mot för reklam och informat-ion.39 Förutom långa löptider kan informationen som samlas in via dessa
webb-kakor ofta säljas och distribueras från tredje part till utomstående parter, till skill-nad från vad som är kutym med webbkakor där endast leverantören har möjlighet
35 Se Proton Technologies AG, Cookies, the GDPR, and the ePrivacy Directive.
36 Exempel på uppgifter som är integritetskänsliga är uppgifter om hälsa och finansiell information,
se bl.a. Martin, Kirsten & Nissenbaum, Helen, Measuring privacy, an empirical test using context to expose
confounding variables, i the Columbia Science & Technology Law Review, 2016 på s. 176, s. 183.
37 Exempel på ett sådant förfarande är om en leverantör kallar en webbkaka som placeras i
använ-darens webbläsare för ”nödvändig” utan att webbkakan är strikt nödvändig för att hemsidan ska fungera. Det är inte benämningen som är avgörande utan webbkakans funktion och syfte.
38 Jfr Comer, s. 231, där pengarna som tjänas online de facto är via reklam och potentialen att
användarna blir kunder som konsumerar annat. Det har även visats i studier att ca 70 % av de webbkakor som placeras kommer från tredje parter, dvs. sannolikt antingen marknadsföringswebb-kakor eller analytiska webbmarknadsföringswebb-kakor. Se Artikel29-gruppen, WP 229, Undersökning av marknadsföringswebb-kakor, kombinerad
analys och rapport, 3 februari 2015, s. 1.
23
att dra nytta av informationen som insamlas om användaren.40 Informationen
som samlas in av marknadsföringswebbkakor kan variera mellan olika webbka-kor, eftersom det är tredje part som utformar dem efter eget behov och intresse. I regel kan det sägas att marknadsföringswebbkakor kan samla in information om användarens sökhistorik och länkar som användaren väljer att klicka på samt hur lång tid användaren spenderar på en viss sida.41 Med informationen kan tredje
part förutse en mängd information om användaren, såsom kön, utbildningsnivå, ålder, hälsostatus och personliga intressen.42 Denna information kan då sedan
sparas och användas för att bl.a. skicka riktad reklam till användaren som är an-passad efter dennes hälsa vilket kan vara integritetskränkande. Exempel på detta är att webbkakor kan användas för att dra slutsatser om en användare har fått försämrad hälsa, exempelvis genom sökningar på symptom eller diagnoser on-line, vilket i sin tur kan nyttjas av tredjepart som har möjlighet att skicka relevant riktad reklam om t.ex. preparat som avhjälper symptomen. Detta kan upplevas som integritetskränkande för den enskilde användaren.43 Avgörande för om en
integritetskränkning har skett är inte om informationen sprids vidare till annan än den som samlar in uppgifterna, utan den kontrollförlust över sina egna upp-gifter som användaren får utstå.44
2.5 Sammanfattande analys
Webbkakor fyller en praktisk och teknisk funktion för att internet ska fungera på ett användarvänligt sätt och utgör generellt inget hot mot enskilda användares integritet eftersom små mängder data sparas. Det finns dock webbkakor med lite andra syften och funktioner, varför olika sorters webbkakor också sparar olika sorters information och ibland över längre perioder av tid. Det är webbkakor som placeras i marknadsföringssyfte för en längre tid i användarnas hårddiskar och som placeras av tredje part som är det huvudsakliga intresset och vidare fo-kuset för diskussionen framgent i uppsatsen, eftersom det är dessa webbkakor som har sådana egenskaper att de kan samla in integritetskänslig information.
40 Jfr Carlén-Wendels, s. 89, som beskriver huvudregeln att det bara är leverantörens domän som
har tillgång till information, och bara information om användarens vanor på den egna servern och inte hur användaren surfar på internet generellt.
41 Comer, s. 262. 42 Ibid.
43 Se vidare om integritet i kapitel 3. 44 Se vidare i avsnitt 3.4.4.
25
3 Grundläggande rättighetsskydd för personlig
integritet
3.1 Introduktion
För att uppnå syftet med uppsatsen är det nödvändigt att visa att enskilda har rätt till sin personliga integritet och att denna rätt är skyddsvärd. Denna rätt medför nämligen i förlängningen att enskilda ska tillförsäkras ett integritetsskydd. Inom denna redogörelse omfattas även att, inom ramen för detta arbete, definiera vad som ska förstås med begreppet personlig integritet. Personlig integritet kan över-siktligt sammanfattas som rätten för den enskilde att kontrollera spridningen av känslig information. Vad som utgör känslig information kommer redogöras för närmare nedan tillsammans med motiveringen till definitionen av personlig in-tegritet.
I kapitlet kommer först en kort bakgrund ges till integritetsbegreppet som följs av en allmän redogörelse för varför integritet är skyddsvärt. Därefter kommer redogöras för vad som kan förstås med integritet på konstitutionell nivå och i tillhörande praxis, för att kunna avgränsa och definiera vad inom integritetsbe-greppet som är avgörande för frågan om vad som utgör personlig integritet på internet. Slutligen kommer det problematiseras hur integritet förhåller sig till webbkakor.
3.2 Bakgrund till integritetsbegreppet
Begreppet integritet är välkänt och välanvänt, särskilt inom den juridiska profess-ionen. Det finns ett allmänt intresse av integritet och integritetsfrågor, men det finns ingen enhetlig allmän förståelse av vad integritet faktiskt innebär.45 Det
finns rent språkliga förståelser av ordet integritet, där innebörden av integritet tycks vara en form av oberoende, okränkbarhet och orubblighet.46 Den språkliga 45 Jfr Dan Brännströms blogginlägg, Alla pratar om integritet – men vad betyder det?, 19 april 2011,
hämtat den 6 oktober 2020. Jfr även Nissenbaum, Helen, Privacy as contextual Integrity, i Washington Law Review Association, 2004, s. 119.
26
förståelsen av integritet beaktar dock inte hur mångfacetterat konceptet är, där integritet kan avse en person eller en grupp, fysisk integritet eller den enskildes privatliv. På grund av detta saknas det en koherent och sammanhängande förstå-else för begreppet integritet,47 vilket försvårar en juridisk analys med
utgångs-punkt i begreppet. Att begreppet utöver att vara svårdefinierat rent juridiskt också lätt upplevs som rent subjektivt är ytterligare en dimension som försvårar begreppsanvändningen. Det som för en person upplevs som ett renodlat intrång på dennes integritet kan vara helt egalt för en annan person i motsvarande posit-ion. Inte för att det potentiella intrånget skiljer sig mellan situationerna, men för att upplevelsen hos individer kan skilja sig åt markant.
3.3 Skyddsvärde
Användningen av webbkakor riskerar att inskränka den enskildes integritet på internet, men vad betyder integritet och varför är det ett intresse som är skydds-värt i förhållande till andra intressen?
Integritet är ett begrepp som inte är entydigt definierat, men det förtar inte behovet av att det omgärdas av ett särskilt starkt skydd.48 Skyddet för den
enskil-des integritet återfinns både i EU:s rättighetsstadga,49 i EKMR samt i RF. Inom
området för skyddet av personuppgifter och olika former av elektronisk kommu-nikation framgår det tydligt att regleringen har till avsikt att stärka den enskildes integritet.50 Den övergripande regleringen visar tydligt för både praktiserande
ju-rister och allmänheten att integritet är ett sådant värde som ska skyddas och att den enskilde har rätt till ett effektivt skydd för sin integritet.51 Den
konstitution-ella reglering samverkar med speciallagstiftningen eftersom det ger kontext och en målsättning som ska uppnås vid tolkning av lag i det enskilda fallet. Det är därför viktigt att notera att skyddet för integritet inte bara ska beaktas i frågor om personuppgifter och deras behandling utan integritetsskyddet är en målsättning som genomsyrar all juridik.
Skyddet för integriteten måste upprätthållas både i förhållandet mellan en-skilda och staten men även i förhållandet mellan enen-skilda aktörer, exempelvis användare och leverantörer på internet. Det framgår av statliga utredningar på
47 Larsson R, m.fl., Begreppet personlig integritet i gällande rätt, Karlstad, 2006, se särskilt analys och
reflektion.
48 Prop. 2009/10:80 s. 175. Se även Holmberg, Erik, Stjernquist, Nils, Isberg, Magnus, Eliason,
Marianne, Regner, Göran, Grundlagarna, 3A u., Norstedts Juridik, 2019, kommentar till 2 kapitel 6 § 2 st.
49 Rättighetsstadgan åtnjuter samma status som funktionsfördraget och fördraget om europeiska
unionen.
50 Både dataskyddsförordningen och e-dataskyddsdirektivet visar tydligt på detta i och med att
in-tegritetsskyddet är en uttalad målsättning i både rubrikerna, men det framgår även i skälen till de båda regleringarna.
27
integritetsområdet att den enskildes integritet riskeras att kränkas i och med den tekniska utvecklingen, varför skyddet för integritet kontinuerligt behöver ses över och stärkas.52 Det noteras även i den nämnda utredningen att det finns begränsad
insyn i hur integritetsskyddet fungerar mellan enskilda aktörer på informations-säkerhetsområdet, varför frågan om insyn i den privata sektorn också är ett om-råde för utveckling för att upprätthålla det effektiva integritetsskyddet.53
Det följer av redogörelsen att integritet är en rättighet som är skyddsvärd på flera plan, både i förhållande till staten och mellan enskilda. Rättigheten till ett effektivt integritetsskydd återfinns i både lagstiftning, förarbeten och doktrin, men frågan kvarstår; vad är integritet? För att utröna vad som utgör personlig integritet är det avgörande att börja i den konstitutionella rätten, som både utgör målsättningslagstiftning och lag som genomsyrar all underordnad rätt.
3.4 Rättighetsstadgan, EKMR och RF
3.4.1 Rättighetsstadgan
Den första konstitutionella regleringen avseende mänskliga rättigheter, och mer specifikt om integritet, är Europeiska unionens stadga om de mänskliga rättig-heterna, häri kallad rättighetsstadgan. Rättighetsstadgan är alltid tillämpbar när medlemsländerna tillämpar unionsrätten.54 Rättighetsstadgan har samma rättsliga
status som fördragen enligt artikel 6 FEU55, vilket innebär att stadgan befinner
sig högst upp i den unionsrättsliga normhierarkin.56 Rättighetsstadgan är numera
rättsligt bindande i och med ratificeringen av Lissabonfördraget.57 EU-stadgans
bestämmelser kan ha direkt effekt i medlemsländerna om den aktuella bestäm-melsen är tillräckligt precis och ovillkorligt utformad.58 Rätten till privatliv och
skyddet för personuppgifter återfinns i artikel 7 och 8 i rättighetsstadgan. I artikel 3.1 rättighetsstadgan återfinns vidare människors rätt till integritet, både fysisk och mental. Rättigheterna får begränsas genom lag, och enbart om de svarar mot ett allmänt intresse som erkänns av unionen och begränsningen är
52 SOU 2017:52, s. 56.
53 Jfr a.a., s. 59, angående svårigheterna att uttala sig om förhållanden i den privata sektorn på grund
av bristande insyn.
54 Det följer av tillämpningsområdet i artikel 51 EU-stadgan. 55 Fördraget om Europeiska unionen.
56 Se mål C-555/07, Seda Kücükdeveci mot Swedex GmbH & Co. KG, p. 22.
57 Det var tvistigt länge huruvida rättighetsstadgan skulle vara bindande, och den har oavsett
tidi-gare haft stor indirekt påverkan på EU-domstolens rättspraxis, Hettne & Otken Eriksson, s. 135 f.
58 Se FRA:s guide för EU-stadgan, Europeiska unionens stadga om de grundläggande rättigheterna i Sverige,
28
proportionerlig, vilket följer av artikel 52 i rättighetsstadgan.59 Rätten till mental
integritet är inte entydigt begriplig.60 Begreppet mental integritet ska förstås i
sam-manhang med begreppet psykologisk integritet som återfinns i EKMR,61 vilket
följer av bestämmelsen om skyddsnivån i rättighetsstadgan enligt artikel 53, var-för redogörelsen kondenseras nedan.
3.4.2 EKMR
EKMR gäller som lag i Sverige sedan 1995,62 och hänvisas även till direkt i FEU,
artikel 6.2, som uttrycker att unionen ska ansluta sig till EKMR. Det innebär att unionen är bunden att agera i enlighet med EKMR.63 I EKMR finns inget
ut-tryckligt skydd för den enskildes integritet, istället finns det i artikel 8 en rätt till skydd för privat- och familjeliv. Rätten till skydd för privatliv är svårdefinierad med många olika aspekter att beakta.64 Rätten omfattar framför allt rätten till
fy-sisk och psykologisk65 integritet och överlappar därför till viss del bl.a. förbudet
mot tortyr i artikel 3. Det framhålls dock i doktrin att artikel 8 ska tolkas så att den omfattar de aspekter av privatlivet som inte omfattas av övriga bestämmelser i konventionen.66 För att utröna vad som avses med bestämmelsen är praxis
av-görande, eftersom det saknas förarbeten till EKMR.67 I praxis konstateras att
in-tegritet i konventionens mening inte kan definieras på ett uttömmande sätt, men kan avse allt från social identitet, könstillhörighet och sexuell läggning, till rätten till personlig autonomi, beroende på omständigheterna. Det framgår bland annat i Pretty mot Storbritannien, ett mål som rörde en kvinnas rätt till privatliv då hon ville ha assistens av sin make att begå självmord på grund av en långt framskriden
59 Exempel på när så inte bedömdes vara fallet är i de förenade målen C-293/12 och C-594/12,
Digital Rights Ireland m.fl., där det konstaterades att syftet med datalagringsdirektivet huvudsakli-gen var att bekämpa grov brottslighet, vilket är ett erkänt allmänt intresse, men som inte var pro-portionerligt i förhållande till rätten till privatliv, se särskilt p. 41 och 69. Med anledning av avgö-randet upphävdes direktivet. Den svenska implementeringen i kapitel 6 LEK har dock bedömts vara proportionerlig varför dessa kvarstår i svensk rätt, se mål nr 14891-14 (Tele2-målet).
60 von Arnauld, Andreas, von der Decken, Kerstin & Susi, Mart, The Cambridge Handbook of New
Human Rights, Cambridge University Press, 2020, kapitel 30.4.2.
61 Ibid.
62 Genom lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga
rät-tigheterna och de grundläggande friheterna.
63 Hettne & Otken Eriksson, s. 137.
64 Danelius, Hans, Mänskliga rättigheter i europeisk praxis, 5 u., Norstedts Juridik, 2015, s. 364. 65 Danelius beskriver det som själslig integritet, s. 364, medan Carl Henrik Ehrenkrona beskriver
det som moralisk integritet, se Ehrenkrona, Carl Henrik, Lagkommentar till artikel 8 Europeiska
kon-ventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, hämtat den 7 oktober 2020,
särskilt not 51. Europadomstolen beskriver det istället som psykologisk integritet, se mål 53176/99, Mikulić mot Kroatien, p. 53. De olika benämningarna måste förstås som synonymer på samma fenomen, dvs. den integritet som inte är strikt fysisk men ändå rör den enskilde personen.
66 Danelius, s. 364.
67 Det finns dock svenska förarbeten i och med inkorporeringen av EKMR i svensk lag, se t.ex.
29
obotlig sjukdom.68 Ett annat exempel återfinns i Mikulić mot Kroatien där
domsto-len konstaterade i punkt 53 att:
”Private life, in the Court's view, includes a person's physical and psychological integrity and can sometimes embrace aspects of an individual's physical and social identity.”
En del av rätten till social identitet kan bestå i rätten att etablera relationer med andra, som i det aktuella målet gällande fastställande av faderskap. Den enskilda medlemsstaten, och även unionen i och med artikel 6.2 FEU, har en positiv skyl-dighet att skydda rätten till mental integritet på ett effektivt sätt.69 I förhållande
till frågan om integritet på internet är det därför den psykologiska integriteten som avses – och inte den fysiska – eftersom enskilda användare inte befinner sig fysiskt på internet. Beroende på användare och vilken information som cirkulerar om användaren är det därför sannolikt att en eller flera av aspekterna av den psykologiska integriteten aktualiseras.
3.4.3 RF
Slutligen kan redogöras för vad som avses med personlig integritet i enlighet med svensk grundlag, regeringsformen (1974:152) (RF). I målsättningsstadgandet i 1 kapitel 2 § RF återfinns den enskildes rätt till privatliv och familjeliv, som är en form av integritet. Målsättningen, att fokus ska ligga på integritetsskydd, förstärks även av att Datainspektionen (DI) från och med årsskiftet 2021 byter namn till Integritetsskyddsmyndigheten.70 Utöver målsättningsstadgandet i RF är det
stad-gat i 2 kapitel 6 § andra stycket RF att var och en, utöver det som framgår i första stycket om fysisk integritet, är skyddad gentemot det allmänna mot intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen i andra stycket är en nyligen införd utvidgning av skyddet för den personliga integrite-ten.71 Avsikten med införandet av det andra stycket i var att stärka
integritets-skyddet mot kränkningar även i svensk grundlag.72 Skyddet i RF tar sikte på
in-trång som sker från det allmänna mot en enskild, däremot omfattar skyddet inte kränkningar i integriteten som sker mellan enskilda.73 Det framgår av förarbeten
till bestämmelsen att “den enskildes personliga förhållanden” ska förstås med samma innebörd som i tryckfrihetsförordningen och offentlighets- och
68 Se mål 2346/02, Pretty mot Storbritannien, p. 61. 69 Se bl.a. Tysiac mot Polen, särskilt p. 107.
70 Med anledning av beslut från riksdagen, se pressmeddelande Datainspektionen blir
Integritetsskydds-myndigheten, IMY, publicerad 2 oktober 2020, hämtat 9 oktober 2020.
71 Prop. 2009/10:80, s. 250. Värt att notera är att det, sedan införandet av det utvidgade skyddet,
inte har tillämpats i svensk praxis, varför ingen vägledning går att finna för hur bestämmelsen ska tillämpas i praktiken.
72 Ibid. 73 Ibid.
30
sekretesslagen (OSL), dvs. uppgifter om bl.a. enskilds hälsa och sexualliv.74
Av-görande för om intrånget är betydande är åtgärdens intensitet eller omfattning, samt beroende på uppgifternas natur.75 Hur den enskilde ger sitt samtycke
ut-vecklas inte i förarbetena till bestämmelsen, varför samtyckesfrågan får tolkas i förhållande till övrig relevant lagstiftning i det enskilda fallet. I yttrandefrihetsut-redningen från 1966 yttrade den dåvarande integritetsskyddskommittén att grundtanken bakom begreppet personlig integritet är den privata sfär inom vilken den enskilde kan välja att avvisa inblandning. Denna fredade sfär är integritet, och integritetsbegreppet kan likställas med den enskildes rätt att ställa anspråk på att dennes privata information inte får användas av utomstående mot dennes vilja.76
3.4.4 Personlig integritet i den konstitutionella rätten
Sammantaget ska rättighetsstadgan, EKMR och RF utgöra en sammanhållen en-het, och de ska samverka på ett sådant sätt att begreppet personlig integritet kan förstås inom juridik och den enskildes rättighetsskydd. Trots det finns det vissa skillnader mellan regleringarna och begreppen som används, varför det är viktigt att poängtera två saker. För det första är begreppet personlig integritet omöjligt att definiera på ett uttömmande sätt, men i regel kan det sägas innebära rätten att kontrollera spridningen av känsliga uppgifter,77 exempelvis uppgifter om sexuell
läggning, hälsa och personliga åskådningar (både religiösa och politiska). För det andra gäller rätten till ett effektivt skydd både mellan enskilda och i förhållande till staten, även om det inte framgår direkt av RF, eftersom rättighetsstadgan och EKMR är hierarkiskt överordnad konstitutionell rätt. Förutom dessa aspekter är det även relevant att analysera personlig integritet i direkt förhållande till använ-dandet av webbkakor på internet.
3.5 Webbkakor och personlig integritet
Vad är det med användningen av webbkakor som utgör ett potentiellt riskmo-ment när det kommer till den enskilde användares rätt till ett effektivt integritets-skydd?
En av riskerna med webbkakor är deras möjlighet att utgöra en heltäckande logg över användares vanor online.78 Det faktum att webbkakor placeras ut i
hårddiskar, som i hög utsträckning kan logga rörelser av användare på internet, i
74 För en mer utförlig redogörelse om vad som omfattas, se avdelning 5 i OSL. 75 Prop. 2009/10:80, s. 250.
76 SOU 1980:8, s. 9. Uttalandet lyfts fram i SOU 2016:41, s. 142, och är alltjämt relevant för
förstå-elsen för vad som utgör personlig integritet.
77 Denna tolkning vinner bl.a. stöd av Alan Westin och andra forskare på området, se Solove,
Daniel, Conceptualizing Privacy, i California Law Review, 2002 på s. 1087, s. 1109 ff.
31
kombination med att användare i dagsläget har personliga tekniska apparater såsom en mobiltelefon innebär att det är möjligt att med hög säkerhet och pre-cision spårar en enskild fysisk person. Vidare har den tekniska utvecklingen av internet möjliggjort för många tjänster att flytta från fysiska lokaler eller affärer till internet, vilket leder till mer och mer aktivitet online för den enskilda använ-daren. Exempelvis är shopping av kläder, elektronik, böcker och mat vanligt fö-rekommande på internet, men även umgänge har flyttats i stora delar från fysiska möten till att ske online på olika sociala plattformar såsom Facebook och Instag-ram.79
Marknadsföringswebbkakor, som är designade för att spara information över långa perioder av tid och som loggar sökningar som användaren gör, kan inne-hålla aggregerad kunskap om användaren som kan hänföras till dennes fysiska person och även utgör sådana uppgifter som den enskilde enligt den konstitut-ionella rätten ska ha rätt att kontrollera tillgången till, vilket kan utgöra en integri-tetskränkning. Det går exempelvis att härleda känslig information om en enskild användare genom att loggföra vilka produkter denne söker efter, vilka platser användaren tar sig till och vilka hemsidor som användaren regelbundet använder sig av. Information om vem den enskilde är kan med en viss lätthet urskiljas med tillräcklig mängd data om geografisk plats, språkval och motsvarande, samtidigt som övrig information kan användas för att dra slutsatser om användarens häl-sotillstånd, personliga åskådningar och sexualitet. Det är därmed klarlagt att så som begreppet personlig integritet måste förstås med grund i den konstitutionella rätten finns det en överhängande risk att den enskilde användaren förlorar kon-trollen över vilka integritetskänsliga uppgifter om denne som kan utläsas från webbkakor, och hur dessa webbkakor sedan kan cirkulera och spridas mellan tredje parter på internet.
Problemet med integritetskränkningarna begränsar sig inte bara till den en-skilda användaren. Informationen som härleds kan, förutom att användas för att rikta relevant reklam och rikta information till användare, även spridas vidare och kombineras med annan data som cirkulerar digitalt för att extrahera kunskap.80
Denna kunskap kan sedan användas för att på ett otillbörligt sätt påverka sam-hälleliga funktioner, såsom politiska val.81 Informationen kan därför användas
mot oss som individer men även mot oss som samhälle. Det är svårt att på för-hand antecipera i vilka syften som data insamlas och vilka intressen det finns att
79 Särskilt nu under år 2020 sker ännu mer kontakt online i och med den globala pandemin, med
jobb och undervisning på distans och via plattformar som Zoom, Teams och Skype.
80 Detta är en process som kallas ”data mining”, för mer utförlig information om fenomenet se
Witten, Ian, Frank, Eibe, Hall, Mark och Holmes, Geoffrey, Data Mining: Practical Machine Learning
Tools and Techniques, Elsevier Science & Technology, 2011, se särskilt s. 3 ff.
81 Jfr med vad som hände i Cambridge Analytica skandalen. Det är även svårt att veta när
inform-ationen sprids vidare vem som kan vilja använda informinform-ationen, exempelvis kan även statsmakter eller politiska partier vara intresserade förutom rent privata företagsaktörer.
32
använda insamlad data, men att sådan data kan användas är det ingen fråga om.82
Även information som kan framstå som ofarlig, såsom användarens preferens för matvarubutik, har potential att användas för att förutse exempelvis vem som är mottaglig för otillbörlig påverkan.83 Frågan om personlig integritet är därför
även en viktig samhällsfråga som måste upprätthållas inom rättsstaten.84 Den
vi-dare diskussionen om enskildas rätt att inte påverkas på ett otillbörligt sätt utifrån, t.ex. i form av riktad politisk propaganda, faller dock utanför uppsatsens syfte, varför detta lämnas därhän.
3.6 Sammanfattande analys
Det framgår av den konstitutionella rätten med fokus på mänskliga rättigheter och grundläggande friheter som var och en ska vara tillförsäkrad att integritet är en sådan rättighet som åtnjuter ett starkt rättighetsskydd och därmed är även skyddsvärdet av personlig integritet mycket högt. Även skyddsvärde med relativ enkelhet kan konstateras är frågan om vad som är integritet, särskild personlig integritet, inte fullt lika entydig. Det saknas en juridisk koherent definition av vad som utgör personlig integritet, och det finns en tydlig brist på praxis på området, särskilt i förhållande till området teknik och internet. Ett annat problem som finns är det element av subjektivitet som genomsyrar begreppet integritet, ef-tersom en kränkning av den personliga sfären kan skilja sig markant mellan olika personer i likartade situationer. Trots detta måste begreppet personlig integritet utgöra någon form av objektivt mått som tar sikte på intrång som i regel utgör en kränkning av en enskilds integritet, även om den enskilde i det aktuella fallet inte känner att ett sådant intrång har skett.
Av redogörelsen för integritetsbegreppet i rättighetsstadgan, EKMR och RF framgår det att rättighetsskyddet är tillförsäkrad var och en, och det ska vara ef-fektivt vilket ålägger staten en positiv skyldighet att tillse att sådana effektiva skyddsmekanismer finns på plats. Begreppet personlig integritet får efter en stu-die av både lagtext, praxis och doktrin förstås som rätten för en enskild att kon-trollera erhållandet och spridningen av uppgifter som i regel kan vara integritets-känsliga, dvs. uppgifter av personlig natur som är nära anknuten till den enskilda personen och dennes idé av ”själv”. Sådana uppgifter kan vara information om
82 Se exempelvis Matz, S. C., Kosinski, M, Nave, G och Stillwell, D. J., Psychological targeting as an
effective approach to digital mass persuasion, PNAS, vol 114, nr 48, 28 november 2017.
83 Exempel på detta är den data som användes i Cambridge Analytica, där ett personlighetstest var
startskottet för inhämtande av information om användarna som sedan kunde kombineras med en mängd annan data för att utläsa information om t.ex. politisk åskådning, se Hern, Alex, Cambridge
Analytica: how did it turn clicks into votes?, The Guardian, 6 maj 2018. Se även Isaak, Jim och Mina,
Hanna, User Data Privacy: Facebook, Cambridge Analytica, and Privacy Protection, IEEE Computer Soci-ety, augusti 2018, s. 57.
33
hälsostatus, sexuell läggning eller identitet samt politisk eller religiös åskådning.85
Det som ska framhållas är att listan av uppgifter som är integritetskänsliga inte är uttömmande, utan bedömningen måste göras i det enskilda fallet, och inte heller är baserad på den enskildes subjektiva upplevelse utan ifrån den objektiva ut-gångspunkten att det i regel ska uppfattas som ett intrång i den personliga integri-teten.
I praktiken kan användningen av marknadsföringswebbkakor utgöra ett in-trång i den personliga integriteten. Det är på grund av marknadsföringswebbka-kornas funktion och utformning som möjliggör en samling av uppgifter över tid som tillsammans kan låta tredjepart utläsa och förutse information om den en-skilda användaren som är av integritetskänslig natur. Vidare finns det möjlighet för den som innehar informationen att använda den på ett otillbörligt sätt, vilket riskerar att utgöra ett samhällsproblem.
85 Jfr med listningen av känsliga personuppgifter som framhålls i Lindberg, Agne & Westman,
35
4 Integritetsskyddet i sekundärrätten
4.1 Introduktion
En redogörelse har gjorts för den konstitutionella rätten till skydd för personlig integritet. Skyddet genomförs dock i praktiken inom sekundärrätten, varför det måste redogöras för hur integritetsskyddet är tillförsäkrat enskilda i praktiken.
Först ställs integritet och webbkakor i förhållande till regleringen i dataskydds-förordningen och sedan i förhållande till regleringen i LEK och e-dataskyddsdi-rektivet. Därefter redogörs förhållandet mellan dessa två regelverk samt för hur de skiljer sig åt, för att bringa klarhet i frågan om hur integritet och webbkakor är reglerat i sekundärrätten. Därefter presenteras de motstående intressen som finns till integritetsintresset. Slutligen presenteras kortfattat den kommande fö-reslagna e-dataskyddsförordningen som är tänkt att ersätta e-dataskyddsdirekti-vet och LEK.
Inledningsvis kan det konstateras att det framgår av både dataskyddsförord-ningen och LEK att det som avses att skyddas är bl.a. den personliga integriteten av användare på internet.86 Det framgår även tydligt i både förarbeten och i
dokt-rinen att integritetsfrågor och webbkakor har ett nära samband.87 Det här tar sig
i uttryck i praktiken då hemsidor och leverantörer ofta hänvisar till sin webbkake-användning som bl.a. ”integritetspolicy”. Detta skydd är dock utformat på lite olika sätt, varför det är relevant att noggrant redogöra för regleringen.
4.2 Dataskyddsförordningen
4.2.1 Personuppgifter och webbkakor
Dataskyddsförordningen har som uttalat syfte att personuppgifter ska behandlas med beaktande av integritet. Personuppgifter är i artikel 4.1 dataskyddsförord-ningen definierat som:
86 E-dataskyddsdirektivet har ”integritetsskydd” i namnet eftersom det är området som avses. Även
i dataskyddsförordningen framgår det tidigt att integritet har en avgörande roll för behandling av personuppgifter, då det är en av principerna som omfattas av artikel 5, se artikel 5.1f.
87 Se bl.a. prop. 2010/11:115 s. 133f., samt Edmar, s. 25. Även myndighetsinformation rörande
