• No results found

Tjänsteleverantörers personuppgiftsansvar: Tjänsteleverantörers ansvar för personuppgifter utifrån dataskyddsförordningen respektive e-handelsdirektivet

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Tjänsteleverantörers personuppgiftsansvar: Tjänsteleverantörers ansvar för personuppgifter utifrån dataskyddsförordningen respektive e-handelsdirektivet"

Copied!
86
0
0

Loading.... (view fulltext now)

Download now ( 86 Page )

Full text

(1)

Juridiska institutionen Vårtermin 2020

Examensarbete inom EU-rätt 30 högskolepoäng

Tjänsteleverantörers personuppgiftsansvar

- Tjänsteleverantörers ansvar för personuppgifter utifrån dataskyddsförordningen respektive e-handelsdirektivet

Service provider’s liability for personal data

- Service provider’s liability for personal data based on the General Data Protection Regulation and the e-Commerce Directive

Författare: Amelie Demelew

Handledare: Docent Vladimir Bastidas

(2)
(3)

Innehållsförteckning

FÖRKORTNINGAR ... 5

SAMMANFATTNING ... 8

1. INLEDNING ... 10

1.1 BAKGRUND ... 10

1.2 SYFTE OCH FRÅGESTÄLLNING ... 11

1.3 AVGRÄNSNING ... 12

1.3.1 Allmän avgränsning ... 12

1.3.2 Avgränsning till ePrivacy-direktivet ... 13

1.4 METOD OCH MATERIAL ... 15

1.4.1 Metodval ... 15

1.4.2 Val av material ... 16

1.5 DISPOSITION ... 17

2. CENTRALA BEGREPP ... 18

2.1 BEGREPPENS BAKGRUND ... 18

2.2 TJÄNSTELEVERANTÖRER OCH ONLINEPLATTFORMAR ... 18

2.2.1 Tjänsteleverantörer ... 18

2.2.2 Värdtjänster och onlineplattformar ... 21

2.3 ANVÄNDARE ... 21

2.4 EXTERNA ORGANISATIONER PÅ ONLINEPLATTFORMAR ... 22

3. DATASKYDDSFÖRORDNINGENS HUVUDDELAR ... 23

3.1 RÄTTSLIGA UTGÅNGSPUNKTER ... 23

3.1.1 Bakgrund ... 23

3.1.2 Tillämpningsområde ... 24

3.1.3 Syfte och intresseavvägningar ... 25

3.2 PERSONUPPGIFTSBEGREPPET ... 26

3.3 BEHANDLING AV PERSONUPPGIFTER ... 28

3.3.1 Definition ... 28

3.3.2 Principer för behandling av personuppgifter ... 29

3.3.3 Ändamål och laglig grund för behandling ... 30

3.3.4 Profilering och automatiserad behandling ... 32

3.4 DEN REGISTRERADES RÄTTIGHETER ... 33

3.5 PERSONUPPGIFTSANSVAR ... 35

3.5.1 Ansvarets innebörd ... 35

3.5.2 Personuppgiftsansvarig ... 36

3.5.3 Personuppgiftsbiträde ... 37

3.5.4 Tekniska och organisatoriska åtgärder ... 38

3.6 DATASKYDDSDIREKTIVET (ÄLDRE LAGSTIFTNING) ... 39

3.7 SAMMANFATTANDE SLUTSATSER ... 39

4. HUR LÅNGT STRÄCKER SIG TJÄNSTELEVERANTÖRERS ANSVAR FÖR PERSONUPPGIFTER INOM RAMEN FÖR DERAS TJÄNSTER? ... 41

4.1 BAKGRUND ... 41

4.2 INTERNET SERVICE PROVIDERS BEGRÄNSAD PERSONUPPGIFTSBEHANDLING ... 41

4.2.1 Behandling av personuppgifter ... 41

4.2.2 Personuppgiftsansvarets omfattning ... 42

4.3 VÄRDTJÄNSTER TILLHANDAHÅLLARE AV ONLINEPLATTFORMAR ... 43

4.3.1 Behandling inom ramen för onlineplattformar ... 43

4.3.2 Registrering av ett konto på en onlineplattform ... 44

4.3.3 Chatt- och meddelandefunktioner ... 45

4.3.4 Publiceringsfunktioner – Texter, bilder eller videor ... 46

4.3.5 Beteendebaserad reklam ... 47

(4)

4.3.6 Beteendebaserat innehåll ... 48

4.3.7 Tjänsteleverantörens övriga skyldigheter som personuppgiftsansvarig ... 49

4.4 SAMMANFATTANDE SLUTSATSER ... 50

5. PERSONUPPGIFTSANSVARET VID TILLHANDAHÅLLANDE AV ONLINEPLATTFORMAR ... 52

5.1 GRÄNSDRAGNINGSPROBLEMATIKEN ... 52

5.2 ENSKILT PERSONUPPGIFTSANSVARIG SOM TJÄNSTELEVERANTÖR ... 53

5.2.1 Värdtjänsters personuppgiftsbehandling ... 53

5.2.2 Publicerat innehåll på onlineplattformen ... 53

5.2.3 Ansvaret vid behandling för direktmarknadsföring och individanpassat innehåll ... 56

5.3 EXTERNA ORGANISATIONERS ENSKILDA PERSONUPPGIFTSANSVAR PÅ ONLINEPLATTFORMAR ... 58

5.4 GEMENSAMT PERSONUPPGIFTSANSVARIG ... 59

5.4.1 Gränsdragningsfrågan ... 59

5.4.2 Gemensamt personuppgiftsansvar – doktrin och vägledning ... 59

5.4.3 ”Gilla-knappen” – Fashion ID och Facebook ... 60

5.4.4 Fanpage – Wirtschaftsakademie och Facebook ... 62

5.4.5 Slutsatser om gemensamt personuppgiftsansvar ... 63

5.5 SAMMANFATTANDE SLUTSATSER ... 64

6. HUR FÖRHÅLLER SIG DATASKYDDSFÖRORDNINGEN TILL ANSVARSFRIHETSGRUNDERNA FÖR TJÄNSTELEVERANTÖRER? ... 66

6.1 E-HANDELSDIREKTIVET RÄTTSLIGA UTGÅNGSPUNKTER ... 66

6.2 ANSVARSFRIHETSGRUNDER ... 67

6.2.1 Mellanhänders ansvar ... 67

6.2.2 Mere conduit ... 68

6.2.3 Cachning ... 69

6.2.4 Värdtjänster ... 69

6.2.5 Förbud mot allmän övervakningsskyldighet ... 70

6.3 ANSVARSFRIHETSGRUNDERNAS FÖRHÅLLANDE TILL DATASKYDDSFÖRORDNINGEN ... 71

6.3.1 Tillämpningsområdets gränsdragningsproblematik ... 71

6.3.2 Gränsdragningen enligt doktrin ... 72

6.3.3 Gränsdragningen genom tolkning av EU-institutioners yttranden ... 75

6.3.4 Ansvarets påverkan på möjligheten till ansvarsfrihet i praktiken ... 76

6.3.5 Personuppgiftsansvarets förhållande till förbudet mot allmän övervakningsskyldighet . 77 6.3.6 Sammanfattande analys ... 78

7. AVSLUTANDE KOMMENTAR ... 80

KÄLLFÖRTECKNING ... 82

(5)

Förkortningar

art. artikel

Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter

dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på

behandling av personuppgifter och om det fria flödet av sådana uppgifter

dataskyddskonventionen Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter

dataskyddsförordningen Europaparlamentets och rådets direktiv 95/46 EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på

behandling av personuppgifter och om det fria flödet av sådana uppgifter

direktiv (EU) 2015/1535 Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster som ersatt Europaparlamentets och rådets direktiv 98/47/EG av den 20 juli 1998 om ändring av direktiv 98/34/EG om ett

informationsförfarande beträffande tekniska standarder och föreskrifter

dnr diarienummer

(6)

EDPB European Data Protection Board

EKMR Den europeiska konventionen om skydd för

de mänskliga rättigheterna och de grundläggande friheterna

ePrivacy-direktivet Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och

integritetsskydd inom sektorn för elektronisk kommunikation

EU Europeiska Unionen

EU-stadgan Europeiska unionens stadga om de

grundläggande rättigheterna

e-handelsdirektivet Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden

FEUF Fördraget om europeiska unionens

funktionssätt

LEK Lag (2003:389) om elektronisk

kommunikation

rådet Europeiska unionens råd

ePrivacy direktivet Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation

(7)

prop. regeringens proposition

SOU Statens offentliga utredningar

(8)

Sammanfattning

Dataskyddsförordningen trädde i kraft år 2018 och har medfört ett starkare och bredare skydd för fysiska personers personuppgifter. Syftet med denna uppsats är att utreda hur tjänsteleverantörers ansvar påverkas av dataskyddsförordningen. Tjänsteleverantörer av informationssamhällets tjänster definieras som tillhandahållare av tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare.

Exempel på tjänsteleverantörer är internetåtkomstleverantörer eller tillhandahållare av onlineplattformar såsom t.ex. Facebook, YouTube eller Airbnb. Även om tjänsteleverantörer vidtar olika typer av åtgärder för att kunna tillhandahålla sina tjänster har de alla gemensamt att de behandlar personuppgifter, om än i olika omfattning, vilket innebär att de faller inom dataskyddsförordningens tillämpningsområde.

Tjänsteleverantörer som enbart tillhandahåller de ”bakomliggande” tjänsterna, såsom internetåtkomst, behandlar personuppgifter i begränsad omfattning och har därför ett begränsat ansvar för personuppgifter som de överför och tillfälligt lagrar. Tjänsteleverantörer som tillhandahåller onlineplattformar kan dock ha dubbla roller med anledning av att olika typer av onlinetjänster erbjuds inom ramen för samma plattform. Dessa tjänsteleverantörer kan därför behandla personuppgifter för flera olika ändamål och med olika medel vilket medför att deras ansvar för personuppgifterna är mer omfattande än de förstnämnda tjänsteleverantörerna. Alla typer av tjänsteleverantörer måste dock åtminstone vidta tekniska och organisatoriska åtgärder för att skydda de personuppgifter som förekommer i deras tjänster.

Vid tillhandahållande av onlineplattformar kan även externa organisationer behandla personuppgifter genom onlinetjänster på plattformar. Personuppgiftsansvaret, dvs. ansvaret att säkerställa att behandlingen av personuppgifterna följer dataskyddsförordningen, kan i sådana fall vara gemensamt. Den eller de som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är enligt huvudregeln personuppgiftsansvarig. En aktör som enbart har möjlighet att initiera eller avsluta en behandling samt har ett ekonomiskt intresse i att behandlingen utförs anses dock också ha sådant inflytande att den kan bli gemensamt personuppgiftsansvarig med den aktör som har beslutat om det specifika ändamålet och medlen.

Sammanfattningsvis kan tjänsteleverantörer som tillhandahåller onlineplattformar bli gemensamt personuppgiftsansvariga med externa aktörer som behandlar personuppgifter på deras plattformar, dock enbart i den utsträckning som de är delaktiga.

(9)

Vidare har tjänsteleverantörer av informationssamhällets tjänster under vissa förutsättningar en möjlighet att åtnjuta ansvarsfrihet avseende den information som användare publicerar eller skickar via deras tjänster enligt bestämmelser i e-handelsdirektivet. Till följd av att e- handelsdirektivet föreskriver att det inte ska tillämpas på frågor som omfattas av dataskyddsförordningen och dataskyddsförordningen hänvisar tillbaka och anger att förordningen inte ska påverka tillämpningen av ansvarsfrihetsgrunderna i e-handelsdirektivet har oklarhet förelegat avseende förhållandet mellan regelverken. Efter analys av såväl förarbeten till dataskyddsförordningen som doktrin och praktiska exempel tycks förhållandet föreligga så att de två regelverken kan tillämpas parallellt utan att begränsa varandra.

Sammanfattningsvis är tjänsteleverantörer personuppgiftsansvariga för de uppgifter som förekommer i deras tjänster i den utsträckning de bestämmer ändamålen med och medlen för den behandling de utför. Personuppgiftsansvaret för med sig olika omfattande skyldigheter beroende på hur omfattande behandlingen är. Tjänsteleverantörers personuppgiftsansvar påverkar dock inte deras möjligheter att åtnjuta ansvarsfrihet i förhållande till eventuellt olagligt innehåll som användare publicerar eller skickar inom ramen för deras tjänster.

(10)

1.  Inledning

1.1   Bakgrund

Sociala medier och onlineplattformar används dagligen av människor i alla åldrar och utgör samtidigt ett effektivt verktyg för kommersiella aktörer att samla in personuppgifter. Vissa uppgifter som förekommer i sådana medier syns för användaren – exempelvis ålder, umgängeskrets, bilder, meddelanden, offentligt publicerat innehåll m.m. Andra uppgifter som tillhandahållaren av plattformen1 kan se är gömda för användaren, exempelvis information om sökningar, lokaliseringsuppgifter, personnummer och IP-adresser. Personuppgifter har ett högt värde för företag idag, inte minst de uppgifter som tjänsteleverantören har om användarens aktiviteter i den onlinetjänst som tillhandahålls. I syfte att nå ut med riktad marknadsföring, och därigenom få ekonomisk ersättning från annonsörer, kan företag använda sådana personuppgifter för att skapa beteendeprofiler. Processer som de nyss nämnda är användare av tjänsterna vanligen inte medvetna om och utan uttryckliga skyldigheter för företagen att informera användare om de behandlingar som vidtas blir det mycket svårt för gemene man att åtnjuta sina rättigheter och fatta informerade beslut rörande sina personuppgifter.2 Uppgifter som lagras och överförs eller på andra sätt behandlas i tjänsteleverantörers tjänster utgör i många fall personuppgifter enligt den utvidgade begreppsdefinitionen som anges i dataskyddsförordningen.3 Detta innebär att dataskyddsförordningen blir tillämplig i de fall då tjänsteleverantörer behandlar användarnas personuppgifter på olika sätt, bl.a. vid lagring och överföring av uppgifterna. Mot bakgrund av att tjänsteleverantörer, liksom andra näringsidkare, har ett stort ekonomiskt intresse i att behandla personuppgifter föranleder det frågan vilka skyldigheter som de har gentemot personerna vars uppgifter de behandlar.

Samtidigt som dataskyddsförordningen ålägger tjänsteleverantörer av informationssamhällets tjänster4 ett ansvar för personuppgifterna de behandlar har de en möjlighet att åtnjuta ansvarsfrihet i förhållande till viss information. Ansvarsfriheten avser den information som deras användare publicerar eller skickar inom ramen för deras tjänster vilket regleras i art. 12- 15 i e-handelsdirektivet. För att som tjänsteleverantör kunna åtnjuta ansvarsfrihet förutsätts att vissa kriterier uppfylls och medför att tjänsteleverantören inte har något ansvar för eventuellt

1 Tillhandahållare av onlineplattformar är en typ av tjänsteleverantör av informationssamhällets tjänster, se definition i avsnitt 2.2.2.

2 EDPB, Guidelines 2/2019, s. 5.

3 Art. 2.1 dataskyddsförordningen anger det materiella tillämpningsområdet.

4 Vad som avses med tjänsteleverantörer av informationssamhällets tjänster kommer behandlas närmare i avsnitt 2.2.

(11)

olagligt innehåll som förekommer i deras tjänster. Mot bakgrund av dessa bestämmelser kan ett inledande antagande vara att dataskyddsförordningen inte ska tillämpas i de fall tjänsteleverantören åtnjuter ansvarsfrihet i förhållande till olaglig information som förekommer från användare i deras tjänster. Dock anges det i e-handelsdirektivet5 att direktivet inte ska tillämpas på frågor beträffande informationssamhällets tjänster som omfattas av dataskyddsförordningen.6 Det föreligger således en oklarhet avseende förhållandet mellan e- handelsdirektivets ansvarsfrihetsbestämmelser och dataskyddsförordningen. Likaså kvarstår frågan om hur omfattande tjänsteleverantörers ansvar är för de enorma mängder data med personuppgifter som dagligen behandlas i deras tjänster.

En kort tid innan dataskyddsförordningens ikraftträdande lämnade EU-domstolen ett förhandsavgörande rörande frågan om personuppgiftsansvar för den information som samlas in när externa organisationer integrerar tjänster från onlineplattformar, i fallet gällde det tjänsteleverantören Facebook.7 Domstolen kom fram till att båda aktörerna var gemensamt personuppgiftsansvariga för uppgifterna. Mot bakgrund av att det är möjligt att tjänsteleverantörer som tillhandahåller onlineplattformar blir gemensamt personuppgiftsansvariga tillsammans med externa organisationer som använder deras plattform aktualiseras även frågan var gränsdragningen avseende enskilt respektive gemensamt personuppgiftsansvar görs.

Mot bakgrund av det ovan angivna förefaller det tydligt att det föreligger en mängd oklara fall vid tillämpningen av dataskyddsförordningen vid tjänsteleverantörers personuppgiftsbehandling, inte minst med anledning av förordningens unga ålder.

Datainspektionen, liksom motsvarande tillsynsmyndigheter i andra EU-länder samt EDPB och EU-domstolen har ännu inte hunnit klargöra alla aspekter av förordningens verkan vilket öppnar för de frågeställningar som kommer utredas i denna uppsats.

1.2   Syfte och frågeställning

Syftet med denna uppsats är att utreda och analysera hur tjänsteleverantörer av informationssamhällets tjänster påverkas av dataskyddsförordningens bestämmelser om

5 Art. 1.5 (b) e-handelsdirektivet.

6 I art. 94.2 dataskyddsförordningen anges att hänvisningar till det upphävda direktivet 95/46/EG ska betraktas som hänvisningar till dataskyddsförordningen.

7 Dom av den 29 juli 2019, Fashion ID, mål C-40/17, EU:C:2019:629, målet behandlas i avsnitt 5.4.3.

(12)

personuppgiftsbehandling samt hur dessa regler förhåller sig till ansvarsfrihetsgrunderna i e- handelsdirektivet vilket vissa tjänsteleverantörer kan åtnjuta.

Tjänsteleverantörers, och i synnerhet tjänsteleverantörer av onlineplattformars, verksamheter skiljer sig i betydande omfattning från mer konventionella verksamheters uppbyggnad och funktioner samt innefattar ofta att tjänsteleverantören har dubbla roller. Komplexiteten i tjänsteleverantörernas verksamheter föranleder således frågan hur omfattande dessa aktörers personuppgiftsansvar är. Skälet till att ansvarsfrihetsgrunderna kommer behandlas är att tjänsteleverantörer, under vissa förutsättningar, har en säregen möjlighet att undgå ansvar för den information som förekommer i deras tjänster. Det är därför nödvändigt att utreda hur ansvarsfrihetsbestämmelserna eventuellt påverkar dataskyddsförordningens tillämpning.

Mot bakgrund av syftet kommer flera delfrågeställningar besvaras i syfte att bygga upp en helhetsbild över tjänsteleverantörers och i synnerhet tjänsteleverantörer av onlineplattformars personuppgiftsansvar. Sammanfattningsvis kommer därför följande frågeställningar att behandlas:

-   Hur långt sträcker sig tjänsteleverantörernas ansvar för personuppgifter som behandlas inom ramen för deras tjänster?

-   Hur förhåller sig tjänsteleverantörers personuppgiftsansvar till andra näringsidkare som behandlar personuppgifter via onlineplattformar som tillhandahålls av tjänsteleverantörer?

-   Är dataskyddsförordningen tillämplig på tjänsteleverantörer som kan åtnjuta ansvarsfrihet enligt e-handelsdirektivet?

1.3   Avgränsning

1.3.1   Allmän avgränsning

Huvudsyftet med uppsatsen är att utreda tjänsteleverantörers personuppgiftsansvar och de aktörer som kommer undersökas är således alla typer av tjänsteleverantörer som tillhandahåller informationssamhällets tjänster. Vid besvarandet av den andra frågeställningen kommer emellertid främst värdtjänster, och i synnerhet tillhandahållare av onlineplattformar, att analyseras med anledning av att frågan berör ansvarsförhållandet mellan tjänsteleverantörers och andra näringsidkares behandling av personuppgifter på onlineplattformar.

(13)

Mot bakgrund av dataskyddsförordningens mycket omfattande regelverk kommer utredningen avgränsas till de mest centrala delarna av förordningen och då främst i syfte att exemplifiera personuppgiftsansvarets omfattning. Regleringar kring bl.a. särskilda kategorier av personuppgifter, dataskyddsombud, tillsynsmyndigheternas arbete samt sanktioner vid överträdelser av förordningen kommer således inte att behandlas inom ramen för den aktuella uppsatsen.

Tjänsteleverantörer av informationssamhällets tjänster har ofta gränsöverskridande verksamheter där de kan nå ut till användare utanför landets eller till och med världsdelens gränser. Dataskyddsförordningen, som utgör utgångspunkten för denna uppsats, är emellertid enbart bindande för tjänsteleverantörer som har sin verksamhet inom EU eller som riktar sig till användare8 som befinner sig inom EU. Mot denna bakgrund kommer uppsatsen avgränsas till EU-rätt och bredare internationella analyser kommer därmed inte att genomföras. Med det sagt kan emellertid viss vägledning hämtas från nationella förarbeten till bl.a. den svenska dataskyddslagen. Dataskyddslagen kommer dock inte utgöra en central del i analysen då utgångspunkten är dataskyddsförordningen.

1.3.2   Avgränsning till ePrivacy-direktivet

ePrivacy-direktivet reglerar i likhet med dataskyddsförordningen frågor om behandling av personuppgifter och integritetsskydd och åsyftar att precisera och komplettera dataskyddsförordningens bestämmelser.9 ePrivacy-direktivets bestämmelser är emellertid inriktade på ändamålet att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna vid behandling av personuppgifter inom sektorn för elektronisk kommunikation samt för att säkerställa fri rörlighet för sådana uppgifter och tjänster avseende elektronisk kommunikation.10 Det anges inte specifikt i direktivet vilka tjänster eller nät som omfattas av direktivet men den svenska tillsynsmyndigheten för direktivet, Post- och telestyrelsen, har sammanfattat definitionen av de tjänster som omfattas genom ett antal kriterier. För att omfattas av LEK ska(1) tjänsten tillhandahållas till en annan (extern) part, på kommersiella grunder, (2) tjänsten huvudsakligen bestå av överföring av signaler samt, (3) tjänsteleverantören ha rådighet över överföringen.11 Tjänster som omfattas är således alla typer av kommunikationsnät såsom

8 I dataskyddsförordningen används begreppet ”registrerade” för de vars personuppgifter näringsidkaren behandlar, närmare definition av begreppet följer i avsnitt 2.2.

9 Art. 1.2 ePrivacy-direktivet.

10 Art. 1.1 ePrivacy-direktivet.

11 PTS-ER-2009:12, s. 6.

(14)

telenätet, internet och kabel-tv-nätet.12 Betraktar vi typen av tjänsteleverantörer som omfattas kan det sammanfattningsvis anges vara internetleverantörer och telekomoperatörer.13 ePrivacy- direktivet är emellertid inte tillämpligt på innehåll som överförs i elektroniska nät med hjälp av elektroniska kommunikationstjänster.14 Innehåll på internet omfattas således inte av bestämmelserna i ePrivacy-direktivet. Exempel på tjänsteleverantörer som inte omfattas av direktivet är således tillhandahållare av meddelandetjänster, webbaserade e-posttjänster och andra OTT-tjänster15.16

Art. 95 i dataskyddsförordningen anger att den inte ska innebära några ytterligare förpliktelser vad gäller allmänt tillgängliga elektroniska kommunikationstjänster eller kommunikationsnät i unionen avseende de områden som redan omfattas av särskilda skyldigheter för samma ändamål i ePrivacy-direktivet. Bestämmelsen samt skäl 173 avser klargöra förhållandet mellan dataskyddsförordningen och ePrivacy-direktivet vilket förefaller så att dataskyddsförordningen utgör lex generalis och direktivet lex specialis. Vissa bestämmelser i ePrivacy-direktivet

”specialiserar” bestämmelserna i dataskyddsförordningen vilka, vid överlappande av de materiella tillämpningsområdena mellan de två regelverken, således ska tillämpas framför dataskyddsförordningens mer allmänna bestämmelser. Förhållandet mellan regelverken bekräftas även genom skäl 10 i ePrivacy-direktivet som anger att den elektroniska kommunikationssektorn ska regleras av dataskyddsförordningen avseende frågor som inte omfattas av specifika bestämmelser i detta direktiv.17

Mot bakgrund av att dataskyddsförordningen är det regelverk som ska analyseras i förhållande till tjänsteleverantörers ansvar för personuppgifter kommer den följande utredningen avgränsas till att inte beakta ePrivacy-direktivets lex specialis-regleringar avseende vissa tjänsteleverantörer.

12 Olsen m.fl., s. 56 f.

13 Edmar, s. 203.

14 1 kap 4 § andra stycket LEK.

15 OTT-tjänster (over-the-top-tjänster) är sådana tjänster som är operatöroberoende, exempelvis video, ljud eller meddelanden som sänds till användare över data-, tele- eller kabelnätet av en fristående tjänst, se it-

ord.idg.se/ord/over-the-top/.

16 Edmar, s. 205.

17 EDPB, yttrande 5/2019, s. 13 ff.

(15)

1.4   Metod och material

1.4.1   Metodval

Frågeställningarna kommer att utredas och analyseras utifrån en rättsdogmatisk samt EU- rättslig metod. Den rättsdogmatiska metoden beskrivs som svårdefinierad i doktrin men utgångspunkten för metoden är att använda de allmänt accepterade rättskällorna. Med andra ord avser metoden att finna svaren på frågeställningen avseende vad rätten säger genom att söka i och analysera lagstiftning, rättspraxis, lagförarbeten och doktrin. Här måste även hänsyn tas till normhierarkin mellan rättskällorna.18 Rättsdogmatiken bygger vidare på att också analysera vilka argument för eller mot lösningen på ett visst problem som är accepterade. I en sådan analys är det viktigt att tydligt skilja på de lege lata- respektive de lege ferenda- argumentation.19

Den EU-rättsliga metoden motiveras av att dataskyddsförordningen, som kommer lägga grunden för utredningen av frågeställningarna, utgör EU-rättslig författning och därför måste tolkas EU-konformt. Den EU-rättsliga metoden kännetecknas av att utgångspunkt tas i EU- rättsliga dokument i syfte att finna vägledning i hur EU-rätt ska tolkas och tillämpas på nationell nivå.20 EU-rättsliga bestämmelser måste, även om de återfinns i svenska lagar, tolkas och tillämpas i enlighet med den juridiska metod som EU-domstolen har utvecklat.21 Till skillnad från medlemsländernas nationella läror tillämpar EU-domstolen en mångkulturell prejudikatlära vilket är nödvändigt att förstå för att kunna avgöra hur man tolkar enskilda domar från EU-domstolen. Alltför stor vikt bör inte läggas vid enskilda formuleringar i EU-domstolens domar utan måste förstås mot bakgrund av både tidigare och ibland även senare avgöranden inom samma frågeställningar.22

EU:s rättskällor utgörs av främst primärrätt, vilket är de grundläggande fördragen, EU:s stadga om grundläggande rättigheter, allmänna rättsprinciper, internationella avtal, bindande och icke bindande sekundärrätt, EU-domstolens och tribunalens rättspraxis, förarbeten, generaladvokaternas förslag till avgöranden, doktrin och ekonomiska teorier. De fyra förstnämnda samt bindande sekundärrätt utgör de rättskällor som är bindande och de övriga källorna ska användas som vägledning.23 Skillnaden mellan förordningar och direktiv är att

18 Nääv och Zamboni, s. 21.

19 A.a.s. 36.

20 A.a.s. 109.

21 Hettne och Otken Eriksson, s. 34.

22 A.a.s. 37.

23 A.a.s. 40.

(16)

förordningar har allmän giltighet och är i sin helhet bindande och direkt tillämpliga i alla unionsländer samtidigt som direktiv är bindande avseende det resultat som ska uppnås för den eller de medlemsstater de är riktade till, här överlåts det emellertid till nationella myndigheter att besluta om form och tillvägagångssätt.24 Den EU-rättsliga doktrinen är omfattande men har inte formellt ställningen som rättskälla och citeras inte i EU-domstolens avgöranden.25 Med anledning av det EU-rättsliga systemet har EU-domstolen ett särskilt ansvar för att EU-rätten följs vid tolkning och tillämpning av fördraget. EU-domstolen tolkar bestämmelserna mot bakgrund av dess ändamålsenliga verkan, därefter fungerar EU-domstolens rättspraxis som ett viktigt komplement till den skrivna rätten.26

1.4.2   Val av material

För att kunna besvara frågeställningarna kommer rättskällor med auktoritativ ställning inom EU-rätten användas i utredningen, däribland primär- och sekundärrätt, EU-domstolens praxis, allmänna EU-rättsliga principer samt yttranden från EDPB och andra rättsliga dokument från EU-rätten. EDPB ersatte den tidigare Artikel 29-gruppen, som hade motsvarande uppgift, varpå vissa yttranden från Artikel 29-gruppen kommer att hänvisas till. Dessa yttranden är formellt sett inte bindande men bör, i avsaknad av vägledande praxis från EU-domstolen samt med hänsyn till Artikel 29-gruppens ställning och oberoende roll, bedömas som tillförlitlig vägledning inom ämnet.27 Vissa nationella beslut från tillsynsmyndigheter i EU:s medlemsstater kan även komma att användas i de fall då författningen kräver ytterligare vägledning rörande tolkningen. Dataskyddsrättslig doktrin kommer även användas i stor utsträckning i syfte att få en nyanserad bild av tolkningar av de EU-rättsliga regelverken samt deras inbördes förhållanden. För det fall doktrin inte är enhällig i sina tolkningar kan dessa källor komma att tillämpas komparativt.

I övrigt kommer även artiklar om dataskyddsförordningens respektive e-handelsdirektivets tolkning och tillämpning användas i syfte att nyansera utredningen. Med anledning av dataskyddsförordnigens unga ålder och den begränsade praxis som finns på området kommer tillämpningen av EU-rättslig praxis vara begränsad till nyare mål, äldre rättspraxis kan emellertid komma att användas i det fall då delar av dataskyddsförordningen motsvarar äldre lagstiftning i syfte att finna vägledning.

24 europarl.europa.eu, fact sheets, Sources and scope of European Union law, s. 3.

25 Lehrberg, s. 204.

26 Hettne och Okten Eriksson, s. 49.

27 Kahn och Gustafsson, s. 277.

(17)

1.5   Disposition

Initialt presenteras en redogörelse för de begrepp som denna uppsats grundas på och cirkulerar kring i syfte att läsaren ska få en fullständig förståelse för de begrepp som löpande kommer uppkomma i analyserna. Därefter redogörs för dataskyddsförordningens bakgrund samt relevanta bestämmelser och syften som förordningen stadgar i syfte att presentera läsaren för de tillämpliga rättsreglerna vilka utredningen kommer kretsa kring. Med anledning av förordningens komplexitet och ringa ålder genomförs en grundlig redogörelse avseende de mest centrala begreppen; personuppgifter, behandling av personuppgifter, de registrerades rättigheter, personuppgiftsansvar och personuppgiftsbiträde.

I avsnitt 4 behandlas den första frågeställningen, dvs. hur långt tjänsteleverantörers personuppgiftsansvar sträcker sig. Avsnittet bygger upp en grund för de efterföljande frågeställningarna genom att klargöra vilka krav som ställs på olika typer av tjänsteleverantörer avseende olika typer av personuppgiftsbehandling. I avsnitt 5 utreds den tredje frågeställningen, om vem eller vilka som är personuppgiftsansvariga vid tillhandahållande av värdtjänster, och i synnerhet onlineplattformar. Här riktar vi in oss på tjänsteleverantörer som tillhandahåller s.k.

onlineplattformar där både användare och externa organisationer kan verka i förhållande till användare. I avsnitt 6 behandlas den avslutande frågeställningen, dvs. hur dataskyddsförordningen förhåller sig till ansvarsfrihetsgrunderna i e-handelsdirektivet. I denna del kommer e-handelsdirektivets syften samt rekvisiten för ansvarsfrihet för olika typer av tjänsteleverantörer att presenteras samt diskuteras. Avsnittet avslutas med en analys av förhållandet mellan dataskyddsförordningen och e-handelsdirektivet. Här kommer även en diskussion rörande huruvida det förekommer någon begränsning i ansvar för tjänsteleverantörer med anledning av deras möjlighet till ansvarsfrihet. Efter att ha besvarat samtliga frågeställningar kommer uppsatsens trådar knytas ihop i en avslutande reflektion och diskussion vari intresset att stärka den personliga integriteten vägs mot intresset av att upprätthålla det fria flödet av informationssamhällets tjänster med vissa inslag av de lege ferenda.

(18)

2.  Centrala begrepp

2.1   Begreppens bakgrund

Inom ramen för denna uppsats kommer ett flertal begrepp att användas för att kunna utreda frågeställningarna. Med anledning av att begreppen och företeelserna inte används i allmänna diskussioner och kan anses vara tekniskt komplexa kommer de mest centrala begreppen att presenteras och klargöras under detta avsnitt. Flera av begreppen härrör från e-handelsdirektivet respektive dataskyddsförordningen men begreppen ”användare” och ”externa organisationer”

är uttryck som enbart används i denna uppsats för att kunna särskilja olika aktörer.

Utöver de begrepp som presenteras här kommer ytterligare begrepp, som enbart härrör ur dataskyddsförordningen, att beskrivas närmare i avsnitt 3.

2.2   Tjänsteleverantörer och onlineplattformar

2.2.1   Tjänsteleverantörer

I art. 2 (b) i e-handelsdirektivet definieras begreppet tjänsteleverantör som ”varje fysisk eller juridisk person som tillhandahåller någon av informationssamhällets tjänster”. Definitionen av

”informationssamhällets tjänster” är tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare, se avsnitt 2.3 för definitionen av en tjänstemottagare.28 Definitionen av informationssamhällets tjänster utvecklas i skäl 18 i e-handelsdirektivet och omfattar:

”… en mängd näringsverksamheter som bedrivs online. Dessa verksamheter kan särskilt bestå i försäljning av varor online. Sådana verksamheter som själva leveransen av varor eller tillhandahållandet av offlinetjänster omfattas inte.

Informationssamhällets tjänster begränsas inte enbart till tjänster som föranleder avtal online utan gäller även tjänster, i den mån de utgör näringsverksamhet, som inte betalas av de som mottar dem, exempelvis tillhandahållande av information eller kommersiella meddelanden online eller tillhandahållande av sökmöjligheter samt åtkomst till och hämtning av data. Informationssamhällets tjänster omfattar också tjänster som avser vidarebefordran av information via kommunikationsnät,

28 Art. 2(a) e-handelsdirektivet som hänvisar till art. 1.2 i direktiv 98/34/EG som har ersatts av art. 1.1 b i direktiv (EU) 2015/1535.

(19)

genom att tillhandahålla tillgång till kommunikationsnät eller genom att fungera som värdtjänst för information från tjänstemottagaren.[…]”

I andra sammanhang i EU-rätten har tjänsteleverantören även benämnts som ”online mellanhand”, det förekommer dock ett flertal olika definitioner för det begreppet. Betraktar vi samtliga definitioner innefattas, i den vidaste tolkningen av definitionerna, flera olika aktörer och tekniker, t.ex. leverantörer av betaltjänster, marknadsplatser online, sociala nätverkstjänster, molntjänster, sökmotorer m.m.29

E-handelsdirektivet delar upp tjänsteleverantörer som erbjuder olika typer av informationssamhällets tjänster i tre olika kategorier vilka vi kommer återkomma till under avsnitt 6.2. I syfte att tydliggöra vilka typer av tjänster som tjänsteleverantörer av informationssamhällets tjänster tillhandahåller kommer vi här översiktligt gå igenom olika typer av tjänsteleverantörers tjänster. För att underlätta förståelsen för dessa stundtals komplicerade tjänster kommer vi även här skilja på olika typer av tjänsteleverantörer genom att använda motsvarande kategorisering som anges i e-handelsdirektivet. Här bör dock understrykas att kategoriseringen inte förekommer i dataskyddsförordningen utan enbart avser förtydliga vilka åtgärder som olika typer av tjänsteleverantörer vidtar vid tillhandahållandet av respektive tjänst.

i.   Enbart vidarebefordrande tjänster (Mere conduit) ii.   Överförande och tillfälligt lagrande tjänster (cachning) iii.   Värdtjänster

Tjänsteleverantörer som faller under kategori (i) är normalt traditionella tjänsteleverantörer som vanligen tillhandahåller ledningar eller motsvarande (t.ex. kopparkabel, fiberoptisk kabel eller satellitöverföring) samt datorer hos internetleverantörer, webb- eller e-postservrar, serverprogram och routrar. När information överförs över internet sker en automatisk mellanliggande lagring på olika servrar och routrar vilket är nödvändigt för att överföringen ska kunna ske.30 Exempel på typiska tjänsteleverantörer som innefattas under kategori (i) är således traditionella internetåtkomstleverantörer, som ansluter sina abonnenter till internet, samt nätverksoperatörer, som kopplar samman olika delar av internet. Båda dessa typer av tjänsteleverantörer överför stora mängder data på begäran av sina prenumeranter.31 Exempel på

29 Karlsson (2017), s. 1.

30 Prop. 2001/02:150, s. 20 samt Olsen m.fl., s. 177.

31 SMART 2007/0037, kap 6, s. 7.

(20)

internetleverantörer är ComHem, Telia och Bredbandsbolaget vilka möjliggör internetåtkomst för sina abonnenter. I internationella diskurser benämns denna kategori av tjänsteleverantörer som internet service providers (ISP), som levererar internetåtkomst och internet access providers (IAP), dvs. som tillhandahåller internetåtkomst. Skillnaden mellan dessa är hårfin och inte av avgörande betydelse för denna utredning.32

Tjänsteleverantörer som faller under kategori (ii) skiljer sig från kategori (i) genom att den tillhandahållna tjänsten också innebär att en mellanlagring av informationen, men här i syfte att effektivisera överföringen av informationen. Lagringen kan bl.a. ske genom att webbläsaren (ett program som hämtar och visar informationen som användaren får upp) sparar de senast öppnade sidorna på användarens hårddisk i syfte att snabbt kunna hämta informationen när användaren väljer att gå tillbaka till samma sida igen. Lagringen kan också ske genom att internetleverantören lagrar webbsidor på sina lokala mellanservrar (även kallat proxyservrar).

Genom att lagringen i dessa fall sker på servrar som ligger närmare användaren behöver den data som ska vidarebefordras inte hämtas från den ursprungliga servern utan kan hämtas från de kopior som ligger på närmaste server som andra användare i närheten tidigare har använt och lagring har skett.33 Den typiska tjänsten som en tjänsteleverantör i kategori (ii) tillhandahåller är som sagt en så kallad ”proxyserver”, vilken är den server som lagrar lokala kopior av webbplatser som en användare har åtkomst till. När samma webbplats besöks igen kan proxyservern leverera den lokalt lagrade kopian av webbplatsen och undviker då att behöva kontakta den ursprungliga webbservern igen i syfte att minska nätverkstrafiken och på så sätt påskynda leveransprocessen.34 Liksom för kategori (i) är det normalt internetleverantören som tillhandhåller denna tjänst i syfte att effektivisera åtkomsten för användarna.35

Dessa typer av tjänsteleverantörer tillhandahåller sammanfattningsvis inte några plattformar på internet som är synliga för användaren utan möjliggör informationstransaktioner genom att leverera tjänster som utför de tekniska och ”bakomliggande” åtgärderna för att andra, synliga, funktioner på internet ska kunna användas.

32 BEREC, Report on OTT services, s. 9.

33 BEREC, Report on OTT services, s. 21.

34 SMART 2007/0037, kap 6, s. 7.

35 Olsen, s. 17.

(21)

2.2.2   Värdtjänster och onlineplattformar

Avseende kategori (iii), enligt vår lista ovan, s.k. värdtjänster tycks begreppet vara förhållandevis brett. I propositionen till den svenska e-handelslagen36 definieras värdtjänster som tillhandahållare av webbhotell och chattjänster. Webbhotell är en tjänst som innebär att tillhandahållaren hyr ut lagringsutrymme till den som vill göra en webbsida tillgänglig via internet men som inte har en egen webbserver med permanent internetuppkoppling. Sådana tjänster tillhandahålls oftast av teleoperatörer men kan även tillhandahållas av andra tjänsteleverantörer med s.k. portaler. I propositionen nämns exempel som MSN, Spray och Torget vilka var högaktuella år 2001 då e-handelslagen skrevs, men sedan dess har sådana typer av tjänsteleverantörer ökat i betydande omfattning och utvecklats avseende dess funktioner.37 En icke uttömmande förteckning med exempel på aktuella tjänster som tillhandahålls av tjänsteleverantörer idag är onlineplattformar såsom Facebook och Instagram (sociala medier), YouTube (videodelningsplattform), Traderas marknadsplats (e-handel) och Airbnb (förmedlingsplattform), Google Search (sökmotor) och Google Ads (annonserings- och marknadsföringstjänst).38

Onlineplattformar är sammanfattningsvis, såsom de uppräknade exemplen, en typ av tjänsteleverantör i informationssamhället som spelar en förmedlande roll och omfattar en rad olika aktörer som är involverade i många olika ekonomiska verksamheter, däribland e-handel, sociala medier, sökmotorer m.fl. och omfattas därför inte av någon klar eller exakt definition.39 Sammanfattningsvis kan begreppet värdtjänster, som förekommer i art. 14 i e- handelsdirektivet, betraktas som en övergripande definition av den grupp tjänsteleverantörer av informationssamhällets tjänster som tillhandahåller lagringsutrymme på internet för den som vill skapa en webbsida (dvs. tillhandahåller webbhotell) eller tillhandahåller en onlineplattform.

2.3   Användare

I kontexter där e-handelsdirektivet är aktuellt används normalt begreppet tjänstemottagare som de fysiska eller juridiska personer som använder någon av informationssamhällets tjänster, i synnerhet för att efterforska information eller göra den tillgänglig.40 I denna uppsats kommer

36 E-handelslagen utgör det regelverk som implementerade E-handelsdirektivet i svensk nationell rätt.

37 Prop. 2001/02:150, s. 21.

38 COM (2016) 288 final, s. 2, fotnot 4 samt Handelsrådets rapport 2019, s. 9.

39 Europaparlamentet, betänkande A8-0204/2017, s. 19.

40 Prop. 2001/02:150, s. 26 samt art. 2 (d) och skäl 20 i e-handelsdirektivet.

(22)

vi emellertid särskilja tjänstemottagare som är juridiska respektive fysiska personer och kommer, i syfte att förenkla för läsaren, att använda begreppet användare som häri ska ses som en fysisk person som använder någon av informationssamhällets tjänster, i synnerhet för att efterforska eller överföra information eller göra den tillgänglig. Begreppet användare ska inte förväxlas med ”den registrerade”, vilken definieras i avsnitt 3.2. ”De registrerade” är ett samlingsbegrepp för alla personer vars personuppgifter finns registrerade hos en personuppgiftsansvarig. För att exemplifiera begreppet kan en användare vara en privatperson som använder tjänsten Facebook för att skicka meddelanden till andra användare eller för att publicera icke-kommersiella inlägg på onlineplattformen. Sammanfattningsvis kan både begreppet registrerade och användare förekomma och förhåller sig till varandra på så sätt att användare är alla privatpersoner som använder en tjänsteleverantörs tjänst och de registrerade är de personer vars personuppgifter finns registrerade hos tjänsteleverantörer eller andra organisationer.

2.4   Externa organisationer på onlineplattformar

Eftersom att vi i denna uppsats vill skilja på fysiska respektive juridiska personer som använder någon av informationssamhällets tjänster kommer begreppet externa organisationer användas när en juridisk person som använder informationssamhällets tjänster avses. Externa organisationer kommer i denna uppsats inte innefatta någon typ av tjänsteleverantör som tillhandahåller informationssamhällets tjänster utan enbart juridiska personer som i näringsverksamhet använder sig av informationssamhällets tjänster i syfte att främja den egna verksamheten på olika sätt. Det kan exempelvis vara företag som, genom att upprätta en egen sida på onlineplattformen Facebook, når ut med marknadsföring till sina kunder.

(23)

3.  Dataskyddsförordningens huvuddelar

3.1   Rättsliga utgångspunkter

3.1.1   Bakgrund

Det tidigare dataskyddsdirektivet har sitt ursprung i början av 1900-talet vilket medförde att det inte var särskilt anpassat till den samhällssituation som föreligger idag.41 Den snabba tekniska utvecklingen och globaliseringen samt den ekonomiska och sociala integration som uppstått har lett till en betydande ökning av gränsöverskridande flöden av personuppgifter vilket har medfört nya utmaningar avseende skyddet för personuppgifter.42 Vidare försvårades tillämpningen av direktivet då det tolkades på olika sätt av medlemsstaterna. De nyss nämnda skälen sammantagna föranledde att EU-kommissionen år 2012 lämnade ett förslag till en EU- förordning som skulle ersätta dataskyddsdirektivet.43 Dataskyddsförordningen trädde därefter i kraft den 25 maj 2018 och ersatte det tidigare dataskyddsdirektivet. Ett av syftena med förordningen är att uppnå en ökad harmonisering av den nationella lagstiftningen i medlemsstaterna, vissa områden kvarstår dock inom den nationella kompetensen, t.ex. rörande undantagen.44 Genom att tillföra en enhetlig reglering rörande behandlingen av personuppgifter ämnar förordningen att skapa en starkare rättssäkerhet samt eliminera potentiella hinder för det fria flödet av personuppgifter.45 Mot bakgrund av de grundläggande skälen bakom den nya regleringen bör spörsmål rörande tjänsteleverantörer av informationssamhällets tjänsters personuppgiftsansvar träffas i högre utsträckning än tidigare, det återstår att se huruvida denna tes stämmer överens med de lege lata.

Den rättsliga grunden till dataskyddsförordningen är art. 16 i FEUF som anger att alla har rätt till skydd för sina personuppgifter. Vidare anges att Europaparlamentet och rådet ska skapa regler relaterade till skyddet för enskildas personuppgifter med beaktande av bl.a. reglerna om fri rörlighet för personuppgiftsdata.46 Eftersom det är en förordning så har den direkt effekt i medlemsländerna genom art. 288 i FEUF.

41 Öman, s. 18 f.

42 Skäl 5-6 i dataskyddsförordningen.

43 Öman, s. 18 f.

44 Jay, s. 2 samt jfr. skäl 3 i dataskyddsförordningen.

45 Voigt och von dem Bussche, s. 2.

46 Jay, s. 3.

(24)

En avgörande skillnad i förhållande till tidigare dataskyddsregleringar är sanktionsbestämmelserna i dataskyddsförordningen. I art. 83 regleras villkoren för påförande av administrativa sanktionsavgifter vid överträdelser av bestämmelser i dataskyddsförordningen. Dessa sanktionsavgifter kan anpassas till den aktuella verksamhetens globala årsomsättning och kan bli relativt höga beroende på överträdelsens art och omfattning.47 Exempelvis utfärdade Datainspektionen, Sveriges tillsynsmyndighet avseende dataskyddsförordningen, en sanktionsavgift mot Google på 75 miljoner kronor med anledning av att Google inte uppfyllt den registrerades rätt till radering enligt art. 17.48

3.1.2   Tillämpningsområde

Dataskyddsförordningen är tillämplig på all behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.49 Mot bakgrund av definitionen av tillämpningsområdet omfattar det nästintill alla organisationer. Fysiska personer som bedriver verksamhet av privat natur omfattas emellertid inte.50

Det territoriella tillämpningsområdet utvidgar förordningens tillämpningsområde till att både omfatta verksamheter som är etablerade i unionen samt verksamheter som behandlar personuppgifter avseende registrerade som befinner sig i unionen.51 På så sätt är verksamheter och organisationer i hela världen berörda av dataskyddsförordningen så fort de behandlar personuppgifter rörande registrerade som befinner sig i EU. I syfte att ge en övergripande förståelse för dataskyddsförordningens tillämpning och verkan kommer vi i följande stycke gå igenom de grundläggande personuppgiftsregleringarna i förordningen.

Inledningsvis bör det understrykas att alla typer av insamling av personuppgifter till verksamheter innefattas i förordningens tillämpningsområde, exempelvis information om kunder, personal, skolbarn, arbetsplats m.m.52 Dessa personuppgifter får enbart samlas in för ett specifikt angivet ändamål och enbart de uppgifter som är nödvändiga för att uppfylla ändamålet får samlas in. Vidare får uppgifterna endast behandlas om man uppfyller de krav som uppställs i förordningen, vad som avses med behandling samt om de krav som ställs på

47 Öman s. 601 ff.

48 DI-2018-9273, Datainspektionens beslut mot Google LLC.

49 Art. 2.1 dataskyddsförordningen.

50 Art. 2.2 (c) dataskyddsförordningen.

51 Art. 3 dataskyddsförordningen.

52 Öman s. 58 f.

(25)

behandlingen kommer diskuteras närmare i avsnitt 3.3.53 Dataskyddsförordningen ålägger verksamheter som behandlar personuppgifter en skyldighet att ansvara för dessa uppgifter genom att verksamheten är personuppgiftsansvarig, vad som avses med personuppgiftsansvar diskuteras närmare under avsnitt 3.5.54

3.1.3   Syfte och intresseavvägningar

Dataskyddsförordningen bygger de dataskyddsprinciper som antagits i dataskyddskonventionen från 1981 men har utvidgat och stärkt skyddet för personuppgifter i betydande omfattning.55 Dataskyddsförordningen tar vidare avstamp i den grundläggande rätten till skydd för fysiska personer vid behandling av personuppgifter genom hänvisning till stadgandet i art. 8.1 i EU-stadgan.56 Även art. 16.1 i FEUF utgör en grund för förordningen, vilken anger att var och en har rätt till skydd av de personuppgifter som rör honom eller henne, samt art. 8 i EKMR som stadgar rätt till privatlivet. Den huvudsakliga avsikten med förordningen är, mot bakgrund av det nyss angivna, att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.57 Vidare anges förordningens centrala syften i art. 1 vari skyddet för rättigheten som angetts i första skälet återupprepas tillsammans med ett materiellt förbud mot att av dataskyddsskäl begränsa det fria flödet av personuppgifter inom EU. Genom en gemensam förordning för samtliga EU-länder minskar risken för skillnader i nivån på skyddet av personuppgifter vilket underlättar det fria flödet inom EU.58 För att säkerställa en enhetlig skyddsnivå inom unionen krävs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och dess biträden samma ansvar.59

Dataskyddsförordningens tillkomst belyser, enligt min mening, det faktum att information besitter ett högt värde i dagens samhälle, inte minst i den digitala världen. I takt med digitaliseringen har också mängden information om människor som samlas in av företag och

53 Öman, s. 115 ff.

54 Art. 5.2 dataskyddsförordningen.

55 Öman, s. 19.

56 Skäl 1 dataskyddsförordningen.

57 Skäl 2 och 10 dataskyddsförordningen.

58 Öman s. 29 samt prop. 2017/18:105, s. 18.

59 Skäl 13 dataskyddsförordningen.

(26)

organisationer ökat, inte minst med anledning av att dessa aktörer genom uppgifterna kan analysera köpbeteenden, politisk åsikt, religionstillhörighet och värderingar hos användarna vilket ger stora möjligheter att påverka användarnas framtida val. Ett tydligt exempel på detta är hur företag använder sig av kunders köphistorik för att rikta marknadsföring inför kommande köp. På nyss beskrivna sätt utgör personuppgifter idag värdefulla immateriella tillgångar.60 Förevarande kunde vi bl.a. bevittna under Cambridge Analytica-”skandalen” våren 2018 då företaget samlade in personlig information om miljontals Facebookanvändare i syfte att bland annat hjälpa Donald Trump inför det amerikanska presidentvalet 2016.61 Mot bakgrund av det nyss nämnda är det min bedömning att personuppgifter och annan information har ett så pass högt värde för marknadens aktörer att ett utbrett och starkt skydd för dessa är nödvändigt, vilket möjliggörs genom dataskyddsförordningen.

3.2   Personuppgiftsbegreppet

En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person, vilken kallas en registrerad. Uppgifter om juridiska personer utgör således inte personuppgifter.62 En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare såsom exempelvis ett namn, ett identifikationsnummer (exempelvis personnummer), en lokaliseringsuppgift eller onlineidentifikatorer alternativt en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.63 De uppgifter som anses utgöra personuppgifter har utökats sedan dataskyddsdirektivet då genetisk data som identifierare, onlineidentifikatorer samt lokaliseringsuppgifter har lagts till. Skälet bakom tilläggen är en anpassning till dagens tekniker.64 E contrario innebär uppräkningen att information som inte kan kopplas till en identifierad eller identifierbar fysisk person inte heller utgör personuppgifter i dataskyddsförordningens mening och omfattas då inte av förordningen.

Mot bakgrund av att även uppgifter om en registrerad som kan användas som ”identifierare”

innefattas är begreppet personuppgifter omfattande. Förevarande innebär även att exempelvis en lista med information om användares aktivitet på en hemsida, som vid första anblick tycks vara avidentifierade då inga namn eller personnummer finns angivna, ändå utgör

60 En immateriell tillgång kan beskrivas som en förmögenhetsrättslig tillgång som inte är ett fysiskt föremål.

61 Svt.se, Detta har hänt: Facebook och Cambridge Analytica.

62 Arikel 4.1 dataskyddsförordningen samt Öman s. 59.

63 Art. 4.1 dataskyddsförordningen.

64 Jay, s. 54.

References

Download now ( PDF - 86 Page - 1.00 MB )

Outline

B EHANDLING AV PERSONUPPGIFTER P ERSONUPPGIFTSANSVAR E NSKILT PERSONUPPGIFTSANSVARIG SOM TJÄNSTELEVERANTÖR Gemensamt personuppgiftsansvar – doktrin och vägledning A NSVARSFRIHETSGRUNDER Gränsdragningen enligt doktrin Personuppgiftsansvarets förhållande till förbudet mot allmän övervakningsskyldighet . 77 AVSLUTANDE KOMMENTAR

Related documents

Varför behandlar vi dina personuppgifter? Parter och ansvar för behandlingen av dina personuppgifter Integritetspolicy

• Om du motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger

Vilka delar vi personuppgifter med? Varför behandlar vi dina personuppgifter? Parter och ansvar för behandlingen av dina personuppgifter Integritetspolicy

• Om du motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre

Vilka delar vi personuppgifter med? Varför behandlar vi dina personuppgifter? Parter och ansvar för behandlingen av dina personuppgifter Integritetspolicy

• Om du motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger

Integritetspolicy Parter och ansvar för behandlingen av dina personuppgifter

Uppgifterna kommer inte att överföras till tredje land och dina personuppgifter kommer inte att utsättas för automatiserat beslutsfattande.. Om VIF/SISU vid något enstaka

Parter och ansvar för behandlingen av dina personuppgifter Integritetspolicy

För att distriktet ska kunna bedriva sin verksamhet behandlas personuppgifter för olika ändamål kopplade till verksamheten.. Vår uppgift är att företräda, leda och

Behandling av personuppgifter Om Dataskyddsförordningen (GDPR)

· Till depåinstitut när vi utför en tjänst eller uppdrag för dig samt när vi följer upp och bevakar dina intressen vid genomförda affärer.. · Till produkt- och

Dataskyddsbeskrivning för behandlingen av personuppgifter inom migrationsförvaltningen

Den registeransvariga får behandla uppgifter om fingeravtryck som tagits för ansökningar om uppehållstillstånd, uppehållstillståndskort eller uppehållskort för

1. Översikt Kategorier av personuppgifter Barns personuppgifter Vad händer om du inte vill förse oss med dina personuppgifter?

Om du registrerar dig på vår webbplats för att få specifikt innehåll, nyhetsbrev eller för att delta i webbinarier, eller om du kontaktar oss via e-post eller på annat sätt,