Juridiska institutionen Vårterminen 2018
Examensarbete i IT-rätt 30 högskolepoäng
Användares skydd i sociala medier
En analys av samspelet mellan reglerna i GDPR och DTD
The users protection in social media
An analysis of the interplay between the rules in GDPR and DTD
Författare: Ellen Pettersson
Handledare: Doktorand Johanna Chamberlain
2
3
Innehållsförteckning
Innehållsförteckning 3
Förkortningar 5
1 Inledning 6
1.1 Bakgrund 6
1.2 Syfte och frågeställningar 8
1.3 Begrepp 8
1.4 Metod och material 8
1.5 Avgränsning 11
1.6 Disposition 12
2 Sociala medier - innehåll och uppgifter 14
2.1 Inledande kommentar 14
2.2 De sociala mediernas innehåll 14
2.3 Skapande av ett konto 15
2.4 Information som lagras i tjänsten 17
2.4.1 Information som användaren aktivt och direkt tillhandahåller 17 2.4.2 Information som observeras om användarens användning av tjänsten 18
2.4.3 Information från partners 19
2.5 Hur informationen används 19
2.6 Sammanfattning 21
3 GDPR och sociala medier 22
3.1 Inledande kommentar 22
3.2 Förordningens tillämplighet i sociala medier 22
3.3 Rättslig grund för behandling av personuppgifter 27
4 Rätten till dataportabilitet 31
4.1 Inledande kommentar 31
4.2 Personuppgifter som rör honom eller henne 32
4.3 Tillhandahållit den personuppgiftsansvarige 35
5 Förslag till direktiv om tillhandahållande av digitalt innehåll 39
5.1 Inledande kommentar 39
5.2 Direktivets tillämplighet i sociala medier 40
5.3 Konsekvenserna av konsumentens hävning 45
6 Sammanfattning 50
4
6.1 Insamling och behandling av information i sociala medier 50
6.2 Tillämpligheten av GDPR och DTD i sociala medier 50
6.3 Användarens rätt att få ut innehåll enligt GDPR och DTD 51
7 Avslutande reflektioner 53
8 Källförteckning 54
5
Förkortningar
AvkL Lag (1994:1512) om avtalsvillkor i
konsumentförhållanden
DTD Förslag till Europaparlamentets och rådets
direktiv om vissa aspekter på avtal om tillhandahållande av digitalt innehåll
DEK Europaparlamentets och rådets direktiv
2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för
elektronisk kommunikation
DKR Europaparlamentets och rådets direktiv
2011/83/EU om konsumenträttigheter
DOK Rådets direktiv 93/13 om oskäliga villkor i
konsumentavtal
DPD Europaparlamentets och rådets direktiv
1995/45/EG om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
DSL Lag (2018) med kompletterande bestämmelser
till EU:s dataskyddsförordning
FEUF Fördraget om Europeiska unionens
funktionssätt
GDPR Europaparlamentets och rådets förordning
2016/679/EU om skydd för fysiska personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
PUL Personuppgiftslag (1998:204)
Stadgan Europeiska unionens stadga om de
grundläggande rättigheterna
6
1 Inledning
1.1 Bakgrund
Användandet av sociala medier har blivit en central roll för många av Sveriges internetanvändare.1 Facebook är den sociala plattform som flest svenskar använder, men även andra sociala medier som Instagram och Twitter har blivit populära bland svenskarna.2 De flesta av sociala medierna är gratis, i det avseende att användaren inte betalar ett pris för att nyttja tjänsten.3 Istället för en betalning vid skapandet av ett konto fyller användaren endast i vissa uppgifter och godkänner företagens användarvillkor.
Innehållet i olika sociala medier varierar och skiljer sig åt beroende på vilket socialt medium det är frågan om. En gemensam nämnare bland de sociala medierna är dock att det är användarna som producerar en stor del av innehållet medan företaget tillhandahåller plattformen.4 På Facebook kan exempelvis användarna ladda upp bilder, skriva texter och konversera med andra användare av plattformen. Det innehåll som användaren skapar eller laddar upp i företagets tjänst brukar kallas för användargenererat innehåll.5 Genom att användargenererat innehåll skapas och lagras i sociala medier kan även andra användare av tjänsten ta del av det innehåll som en viss användare har laddat upp eller skapat.
En användare kan av olika anledningar vilja avsluta sitt konto i det sociala mediet eller häva avtalet med företaget. Samma användare kan då ha ett intresse av att nyttja det innehåll som har lagrats i tjänsten eller vilja flytta över innehållet till ett annat företags tjänst.
1 År 2017 använde fyra av fem svenskar över 16 år sociala nätverk och över hälften gjorde det dagligen, Internetstiftelsen i Sverige, Svenskarna och internet, s 36.
2 Internetstiftelsen i Sverige, Svenskarna och internet, s 44.
3 SOU 2016:41, s 379.
4 IT-ord, Sociala medier, 13 maj 2018.
5 Techopedia, User-Generated Content.
7
Dataskyddsförordningen, GDPR, innehåller en ny bestämmelse i artikel 20 GDPR som ger den som får sina personuppgifter behandlade rätt till dataportabilitet. Rätten till dataportabilitet i artikel 20 GDPR stadgar att den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige, om behandlingen grundar sig på samtycke eller på ett avtal och behandlingen sker automatiserat.
Under de senaste åren har den ekonomiska aspekten av företagens insamling och behandling av personuppgifter börjat diskuteras. Ett exempel på detta är den diskussion som har förts om samspelet mellan personuppgiftsbehandling och konkurrensrätten.6När personuppgiftsbehandling har diskuterats utifrån användarnas perspektiv, har dock främst frågor om den personliga integriteten varit i fokus. Den ökade förekomsten av behandling av personuppgifter i gratistjänster har dock lett till att de registrerades ekonomiska rättigheter börjat diskuteras. En del författare har till och med börjat jämställa personuppgifter med betalningsmedel.7 På konsumenträttens område har EU- kommissionen, föreslagit ett direktiv om vissa aspekter på avtal om tillhandahållande av digitalt innehåll, DTD. Till skillnad från övrig konsumentskyddslagstiftning ska DTD även tillämpas på avtal där konsumentens motprestation består av aktivt tillhandahållande av personuppgifter och andra uppgifter.8 Artikel 13.2 c DTD föreslås innehålla en bestämmelse som ger konsumenten rätt att hämta allt tillhandahållet innehåll vid en hävning av ett avtal om digitalt innehåll.9
Den tekniska utvecklingen och utvecklingen med avseende på insamlingen av personuppgifter har gränserna mellan personuppgiftslagstiftning och annan skyddslagstiftning blivit allt mer flytande. Det är tänkbart att olika regelverk komma att tillämpas parallellt, eller i vart fall att andra regelverk beaktas vid tillämpningen av GDPR.10 I denna uppsats ska jag därför undersöka hur GDPR och DTD kan tillämpas på
6 Volny, Personuppgifter som valuta i den digitala ekonomin, JP 2017 1 s 91ff.
7 KO 2017:4, s 16.
8 Förslag till Europaparlamentets och Rådets direktiv om vissa aspekter på avtal om tillhandahållande av digitalt innehåll, COM (2015) 634 final av den 9 december 2015, s 26.
9 COM (2015) 634 final av den 9 december 2015, s 30f.
10 Artikel 29-gruppen, WP 217, s 44.
8
gratistjänster när en användare vill få ut innehåll från sociala medier, främst Instagram, Facebook och Twitter.
1.2 Syfte och frågeställningar
Mitt syfte med uppsatsen är att undersöka vilken rätt GDPR och DTD ger användare av sociala medier att få ut det innehåll som har lagrats i tjänsten av företaget.
Följande frågeställningar ska besvaras i uppsatsen:
● Vilken information lagras om användarna i sociala medier samt i vilka syften?
● Är GDPR och DTD tillämpliga på sociala mediers lagring av information om användarna?
● Vilken rätt ger GDPR och DTD användare av sociala medier att få ut innehåll som har lagrats genom användarens nyttjande av tjänsten?
1.3 Begrepp
I uppsatsen diskuterar jag användarens rätt att få ut innehåll som finns hos ett företag som tillhandahåller sociala medier. Med få ut avses användarens rätt att få innehållet till sig digitalt från företaget, exempelvis i en textfil som användaren kan öppna på sin dator.
Med begreppet sociala medier avses tjänster på internet där tjänstens användare kan kommunicera med varandra samt publicera innehåll. Begreppet sociala medier är främst avgränsat till att omfatta Facebook, Twitter och Instagram. Med innehåll avses sådant innehåll som finns lagrat i tjänsten genom användarens användning av det sociala mediet, vilket bland annat innefattar användargenererat innehåll, observerade uppgifter och uppgifter skapade av sociala medie-företaget.
1.4 Metod och material
I uppsatsen undersöker jag rättsläget för användare som godkänner ett företags användarvillkor i sociala medier, nyttjar företagets tjänst och sedan vill få ut innehållet.
Den metod som tillämpas vid besvarandet av syftet är därför den metod som Kleineman beskriver som den rättsdogmatiska metoden. Kleineman menar att det är sambandet mellan den abstrakta rättsregeln och den konkreta situationen som ger rättsdogmatiken
9
sin speciella karaktär genom att en abstrakt lösning appliceras på ett konkret problem.11 Det konkreta problemet i uppsatsen är att användaren vill få ut innehållet och lösningen på problemet ska sökas i de abstrakta personuppgiftsskyddande och konsumenträttsliga regelverken.
Den rättsliga grunden för GDPR är artikel 16.2 FEUF. Artikel 16.2 FEUF bemyndigar Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer vid behandling av personuppgifter och om den fria rörligheten för personuppgifter.12 Den rättsliga grunden för DTD är artikel 114.1 FEUF, som anger att Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet och efter att ha hört Ekonomiska och sociala kommittén, ska besluta om åtgärder för tillnärmning av bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera.13 Sedan Sveriges EU-medlemskap har EU- samarbetet utvecklats ytterligare och idag står EU bakom en stor del av den svenska lagstiftningen. Tidigare har EU-rätten främst diskuterats som något isolerat från den svenska rättsordningen. Den ökade omfattningen av lagstiftning från EU och EU- domstolens auktoritära ställning har dock inneburit att gränserna för vad som är EU-rätt och svensk rätt suddats ut allt mer.14 Vid besvarandet av syftet undersöker jag EU- rättsliga dokument och tillämpar därför även den EU-rättsliga metoden. I denna uppsats används den EU-metoden som ett tillvägagångssätt för att hantera EU-rättsliga källor.
Den EU-rättsliga metoden kan därför både vara relevant utifrån en svensk rättstillämpares perspektiv.15
GDPR är en EU-rättslig förordning, vilket gör att den enligt 288 FEUF har allmän giltighet och till alla delar är bindande och direkt tillämplig i varje medlemsstat. En förordning kan därför prövas direkt i nationell domstol och ger enskilda rättigheter som
11 Kleineman, Rättsdogmatisk metod, i Korling och Zamboni, s 26.
12 Skäl 12 GDPR.
13 COM (2015) 634 final av den 9 december 2015, s 5.
14 Reichel, EU-rättslig metod, i Korling och Zamboni, s 115.
15 Reichel, EU-rättslig metod, i Korling och Zamboni, s 109.
10
de nationella domstolar måste skydda.16 DTD föreslås genomföras som ett direktiv. Enligt 288 FEUF är det resultat som ska uppnås med ett direktiv bindande för varje medlemsstat som direktivet riktar sig till, men de nationella myndigheterna får välja form och tillvägagångssätt för genomförandet. En viktig skillnad mellan förordningar och direktiv blir därför vem de riktar sig till. Direktiv riktar sig främst till medlemsstaterna och anses därför inte ha horisontell direkt effekt. EU-domstolen har dock slagit fast att de nationella domstolarna är skyldiga att i den utsträckning det är möjligt tolka nationell rätt mot bakgrund av direktivets ordalydelse och syfte så att direktivets resultat uppnås.17 Om en EU-rättslig regel har genomförts i svensk rätt bör en korrekt tolkning av regeln beakta tolkningsmaterial från EU, som EU-domstolens praxis, EU:s allmänna rättsprinciper och EU-rättsliga förarbeten och soft law. Även i preamblerna, nedan kallade skäl, i GDPR och DTD kan viktiga tolkningsunderlag finnas.18 En viss försiktighet krävs därför vid användandet av nationella tolkningsunderlag, som snarare kan fylla en deskriptiv funktion och ge vika för EU-rättsliga källor vid en tolkning av förordningars och direktivs innehåll.19
GDPR började gälla i medlemsstaterna den 25 maj 2018 och DTD har ännu inte antagits av EU. Bindande rättspraxis från EU-domstolen finns därför ännu inte med avseende på rätten att få ut innehåll från gratistjänster. Framträdande inom GDPR-arbetet är dock Artikel 29-gruppen, som består av företrädare för nationella tillsynsmyndigheter i EU och ger ut icke-bindande dokument i form av vägledningar för hur artiklarna i GDPR ska tolkas på ett enhetligt sätt i medlemsstaterna.20 Enligt artikel 288 FEUF är vägledningar i form av rekommendationer och yttranden inte bindande. Soft law har dock inte sällan inom EU-rätten en påtagligt normerande verkan.21 Artikel 29-gruppen har arbetat fram en speciell vägledning om rätten till dataportabilitet, WP 242/01, som beaktas vid skrivandet av uppsatsen.
16 Mål C-43/71, Politi mot Ministero delle finanze, ECLI:EU:1971:122, p 9.
17 Mål C-212/04, Adeneler m.fl. mot Ellinikos Organismos Galaktos, ECLI:EU:C:2006:443, p 108.
18 Reichel, EU-rättslig metod, i Korling och Zamboni, s 125.
19 Reichel, EU-rättslig metod, i Korling och Zamboni, s 125.
20 Datainspektionen, under rubriken Artikel 29-gruppen.
21 Reichel, EU-rättslig metod, i Korling och Zamboni, s 127f.
11
Med avseende på DTD utgår jag främst Kommissionens förslag till direktiv i COM (2015) 634 och diskuterar effekterna av att förslaget träder i kraft i sin ursprungliga form. EU- parlamentets utskott för den inre marknaden och konsumentskydd samt utskottet för rättsliga frågor har dock föreslagit vissa förändringar i direktivet och där dessa förändringar kan påverka rättsläget med avseende på användarens rätt att få ut innehåll kommer dessa förslag att diskuteras. Vissa svenska remissinstanser har även kommenterat DTD, och dessa remissinstansernas uttalanden beaktas för att användas som stöd för att rikta kritik mot en formulering eller för att komma med förslag på en annan lösning.
Sammanfattningsvis behöver det konstateras att avsaknaden av rättspraxis med avseende på vissa artiklar i GDPR och DTD, samt avsaknaden av rättsligt bindande dokument, gör att de källor som används i uppsatsen inte fullt ut kan sägas klargöra rättsläget på området för användarens rätt att få ut digitalt innehåll. Däremot kan materialet som används ge vägledning för hur artiklarna skulle kunna komma att tolkas vid en rättstillämpning och syftet kan även besvaras genom att studera hur liknande frågor har hanterats på andra håll inom juridiken.
1.5 Avgränsning
För att besvara mina frågeställningar i uppsatsen är innehållet studeras GDPR och DTD.
Med avseende på GDPR är uppsatsen avgränsad till att undersöka det materiella tillämpningsområdet i artikel 2 GDPR, de rättsliga grunderna för behandling av personuppgifter i artikel 6 GDPR samt rätten till dataportabilitet i artikel 20 GDPR.
GDPR består av 99 artiklar och är en lagstiftning som kräver att företag agerar i full överensstämmelse med alla tillämpliga artiklar för att uppfylla förordningens krav vid behandling av personuppgifter. För tolkningen av artikel 20 GDPR kan därför även andra artiklar komma att beaktas, bland annat rätten till tillgång i artikel 15 GDPR och automatiserat beslutsfattande och profilering i artikel 22 GDPR.
12
Med avseende på DTD kommer främst artikel 3 DTD och artikel 13 DTD att undersökas.
Artikel 3 föreslås stadga det materiella tillämpningsområdet för DTD och artikel 13 DTD föreslås stadga de rättsliga konsekvenserna av att en konsument häver ett avtal om tillhandahållande av digitalt innehåll. För användarens rätt att få ut innehåll är främst artikel 13.2 c DTD av intresse. Artikel 13.2 c föreslås stadga att leverantören ska förse konsumenten med tekniska medel för att hämta allt innehåll som tillhandahållits av konsumenten och alla undra uppgifter som producerats eller genererats genom konsumentens användning av det digitala innehållet, i den mån dessa uppgifter har lagrats av leverantören.22
I uppsatsen undersöker jag förhållandet mellan användare av sociala medier och företag med avseende på rätten att få ut innehåll. Frågan om rätten att få ut innehåll är nära sammankopplad med vissa immaterialrättsliga frågor, framförallt med avseende på användargenererat innehåll. De immaterialrättsliga aspekterna kommer att beaktas i den utsträckning som dessa kan påverka användarens rätt att få ut eller hämta innehåll från företaget, men diskuteras inte löpande i texten. Även andra rättsområden än de immaterialrättsliga kan vara relevanta för frågan om användarens rätt att få ut innehåll.
Inom den svenska konsumenträtten finns exempelvis AvkL, DAL och KköpL, som ställer upp tvingande regler till förmån för konsumenten. Tillämpligheten av dessa regelverk behandlas inte närmare eftersom regelverken som sådana inte reglerar den specifika frågan om rätten att få ut eller hämta innehåll i gratistjänster. Vid en diskussion om tolkningen av rekvisitet avtal i DTD kommer däremot AvkL att diskuteras i viss utsträckning för att tillföra ytterligare underlag för diskussionen.
1.6 Disposition
I avsnitt 3 undersöker jag sociala mediers insamling och behandling av information om användarna.. Detta avsnitt syftar till att ge läsaren en förståelse för vilken information som kan finnas i de sociala medierna och därmed även vilken information en användare kan ha rätt att få ut. Under avsnitt 3 diskuterar jag GDPR, vilket innefattar en diskussion
22 COM (2015) 634 final av den 9 december 2015, s 31.
13
om förordningens tillämpningsområde i sociala medier samt sociala mediers rättsliga grunder för behandling av personuppgifter. I avsnitt 4 går jag över till att diskutera rätten till dataportabilitet i artikel 20 GDPR där jag resonerar kring vilka uppgifter en användare har rätt att få ut med stöd av rätten till dataportabilitet. Under avsnitt 5 går jag vidare till att diskutera bakomliggande frågor och tillämpningsområdet för DTD samt konsumentens rätt att få ut innehåll efter en hävning med stöd av artikel 13 DTD. I avsnitt 6 sammanfattar jag uppsatsens innehåll. Sammanfattningen sker i tre delar där den första delen är hur information samlas in och behandlas i sociala medier. Den andra delen är hur GDPR och DTD är tillämpliga på konton i sociala medier. Den tredje delen är vilken rätt användaren har att få ut digitalt innehåll i sociala medier, mot bakgrund av GDPR och DTD. Uppsatsen avslutas med en avslutande diskussion i avsnitt 7, där frågor kopplade till uppsatsens innehåll problematiseras ytterligare.
14
2 Sociala medier - innehåll och uppgifter
2.1 Inledande kommentar
I föregående avsnitt introducerade jag läsaren för förhållandet mellan en användare och ett företag vid användningen av gratistjänster i form av sociala medier på internet. Under detta avsnitt undersöker jag vilken information som sociala medier samlar in om de användare som skapar ett konto och sedan använder kontot i sociala medier. Jag avgränsar innehållet genom att granska Facebooks, Twitters och Instagrams användarvillkor samt datapolicy för att undersöka vilken information som samlas in om användarna och hur denna information används. Eftersom både Facebook och Instagram ägs av Facebook, överensstämmer en stor del av användarvillkoren och datapolicyn.
2.2 De sociala mediernas innehåll
Facebook är ett socialt medium som hjälper användarna att komma i kontakt med personer, grupper, företag och organisationer. På Facebook kan användarna exempelvis kommunicera med andra användare genom att dela statusuppdateringar, foton, videor och dela händelser från andra Facebook-produkter, skicka meddelanden och skapa evenamang eller grupper. Även företags annonser och erbjudanden och annat sponsrat innehåll förekommer på Facebook, skilt från eller blandat med det användargenererade innehållet.23
I likhet med Facebook används även Instagram för att användare ska kunna kommunicera med varandra. På Instagram kan användarna främst dela med sig av bilder och kortare filmer, men publicering av texter kan också förekomma i anknytning till en bild eller film.
Användarna kan kommunicera med varandra genom att kommentera varandras bilder eller filmer och genom att skicka direktmeddelanden till varandra. Även på Instagram förekommer företags annonser och sponsrad i nära anslutning till det användargenererade innehållet.
23 Facebooks användarvillkor, under rubriken Våra tjänster, av den 19 april 2018.
15
Twitter är känt för att vara en plats där användarna kortfattat kan kommunicera med varandra genom offentliga tweets. Användarnas tweets får innehålla max 280 tecken, till skillnad från statusuppdateringarna på Facebook som får innehålla över 60 000 tecken.
Kommunikationen mellan användarna på Twitter består därför till stor del av kortfattade texter. På Twitter kan användarna även publicera bilder och skicka meddelanden direkt till andra användare. I likhet med vad som gäller på Instagram och Facebook förekommer marknadsföring och sponsrat innehåll i anslutning till det användargenererade innehållet.
2.3 Skapande av ett konto
Vid skapandet av ett konto på Instagram, Facebook och Twitter fyller användaren i vissa uppgifter via ett nätformulär. När en användare skapar ett konto på Facebook ska användaren fylla i sitt för- och efternamn, mobilnummer eller e-post, lösenord, födelsedatum och om användaren av kontot är en man eller kvinna.24På Instagram får användaren välja mellan att logga in med hjälp av sitt Facebook-konto eller att fylla i mobilnummer eller e-post samt fullständigt namn, användarnamn och lösenord.25 Vid skapandet av ett Twitter-konto fyller användaren i sitt namn, telefonnummer eller e-post, användarnamn och lösenord.26 De uppgifter som användare lämnar vid skapandet kan ses som själva grunden för att användare ska kunna nyttja de sociala medierna. På Facebook sker kommunikationen mellan användare utifrån för- och efternamn, och på Instagram och Twitter utifrån användarnamn. För att kunna logga in i tjänsterna behövs ett lösenord och e-postadress eller telefonnummer.
Efter att ha fyllt i de efterfrågade uppgifterna skapar användaren ett konto i det sociala mediet. På Facebook förekommer följande formulering:
24 Facebooks startsida, https://www.facebook.com/, hämtad den 13 juli 2018.
25 Instagrams startsida, https://www.instagram.com/, hämtad den 13 juli 2018.
26 Twitters startsida, https://twitter.com/i/flow/signup, hämtad den 13 juli 2018.
16
Genom att klicka på Gå med godkänner du våra användarvillkor. Läs mer om hur vi samlar in, använder och delar dina data i vår datapolicy och hur vi använder cookies och liknande teknologi i vår cookiespolicy.27
Följande formulering förekommer på Instagram
Genom att registrera dig godkänner du våra användarvillkor, vår datapolicy och vår policy för cookies. Läs mer om hur vi samlar in, använder och delar dina uppgifter i vår datapolicy och hur vi använder cookies och liknande teknologi i vår policy för cookies.28
På Twitter förekommer följande formulering
Genom att registrera dig samtycker du till användarvillkoren, integritetspolicyn och bruket av cookies. Du meddelar även att du är över 16 år gammal.29
En första skillnad mellan Twitter och Facebook och Instagram är att användaren innan godkännandet av användarvillkoren godkänner om den vill låta andra hitta Twitter-kontot med hjälp av telefonnummer och om användaren vill få personliga annonser som bygger på vad den gör utanför Twitter, se mer om hur informationen används under avsnitt 2.5.
Användarvillkoren reglerar användarens användning av det sociala mediet, företagens rätt att ta bort användargenererat innehåll som strider mot policys och vilken information som samlas in om användarna samt i vilka syften denna information används. I nästa avsnitt ska jag studera användarvillkoren i de tre sociala medierna närmare. Det jag ska undersöka är vilken information som samtliga av de tre sociala medier samlar in om användarna av tjänsten samt hur informationen som samlas in används.
27 Facebooks startsida, https://www.facebook.com/, hämtad den 13 juli 2018.
28 Instagrams startsida, https://www.instagram.com, hämtad den 13 juli 2018
29 Twitters startsida, https://twitter.com/i/flow/signup, hämtad den 13 juli 2018.
17
2.4 Information som lagras i tjänsten
2.4.1 Information som användaren aktivt och direkt tillhandahåller
Gemensamt för Facebook, Instagram och Twitter är att de samlar in och lagrar det innehåll som användarna aktivt och direkt laddar upp eller skapar i tjänsten, så kallat användargenererat innehåll.
Facebook och Instagram samlar in det innehåll, den kommunikation och annan information som användaren lämnar vid användandet av tjänsten. Exempel på detta är de uppgifter som användaren lämnar vid registrering av ett konto, exempelvis e-postadress och lösenord, den information som användaren lämnar när den skapar eller delar innehåll, skickar meddelanden samt kommunicerar med andra användare.30
Twitter samlar in grundläggande kontoinformation, vilket är sådan information som användaren tillhandahåller vid skapandet av kontot, som namn, användarnamn, lösenord och e-postadress eller telefonnummer.31 Twitter samlar vidare in sådan information som företaget kallar för “offentlig information”, vilket bland annat innefattar användarens Tweets samt användarens “hjärtan” och kommentarer på sina egna och andras Tweets.32
Tillsammans med det innehåll som användaren tillhandahåller aktivt och direkt lagras även kompletterande uppgifter som användare kan välja att visa för andra användare i anslutning till användargenererat innehåll, till exempel plats för publicering, datumet för publicering samt tidpunkt för publicering.
Den ovanstående lagringen av uppgifter kan ses som naturlig mot bakgrund av sociala mediers användningsområde. Genom att användargenererat innehåll lagras i tjänsten kan andra användare ta del av det innehåll som en användare har laddat upp eller skapat.
30 Instagrams datapolicy, under rubriken Vilka typer av information och uppgifter samlar vi in?, av den 19 april 2018 och Facebooks datapolicy under rubriken Vilka typer av information samlar vi in?, av den 19 april 2018.
31 Twitters privacy policy, under rubriken Basic account information, av den 25 maj 2018.
32 Twitters privacy policy, under rubriken Public information, av den 25 maj 2018.
18
Om användargenererat innehåll inte skulle lagras av företagen skulle ingen annan kunna ta del av innehållet på tjänsten.
2.4.2 Information som observeras om användarens användning av tjänsten
Utöver att de sociala plattformarna lagrar och behandlar sådan information om användarna som användarna själva producerar i tjänsten förekommer även lagring av information om användarens aktivitet. Sådan information kallas nedan för observerade uppgifter, eftersom användarens beteende studeras och lagras. Uppgifterna kan både vara sådana som gälla den enskilda användarens aktivitet, men också gälla användarens kontakters aktivitet i det sociala mediet eller uppgifter om vilka enheter en användare nyttjar vid användandet av tjänsten.
Exempel på när information samlas in och lagras om användarens aktivitet och användarens kontakters aktivitet finns i Instagrams datapolicy där det anges att
Vi samlar in information om de personer, sidor, konton, hashtags och grupper du har kontakt med och hur du samverkar med dem i våra produkter, exempelvis vilka personer du kommunicerar mest med eller vilka grupper du är med i.
Vi samlar in information om hur du använder våra produkter, som vilken typ av innehåll du tittar mest på eller interagerar med; funktioner du använder; åtgärder du utför; personer eller konton som du interagerar med; samt tid, frekvens och varaktighet för dina aktiviteter. Exempelvis loggar vi när du använder och senast har använt våra produkter.33
Med avseende på användarens enheter anger Instagrams datapolicy att
I enlighet med beskrivningen nedan samlar vi in information från och om datorer, telefoner, anslutna tv-apparater och andra webbslutna enheter som du använder och som interagerar med våra produkter.34
Den information som Instagram hämtar in från enheter är bland annat information om operativsystem, information om åtgärder och beteenden utförd på enheten, bluetooth-
33 Instagrams datapolicy, under rubriken Vilka typer av information samlar vi in?, av den 19 april 2018.
34 Instagrams datapolicy, under rubriken Vilka typer av information samlar vi in?, av den 19 april 2018.
19
signaler och information om närliggande Wi-Fi-åtkomstpunkter, aktiv GPS-position, IP- adress och information från cookies. I likhet med Instagram lagras även observerade uppgifter om användarens nätverk, aktivitet och enheter av Facebook och Twitter.35 2.4.3 Information från partners
Ytterligare information som samlas in av företagen som tillhandahåller de sociala medierna är information om en användares användning av företagets partners tjänster.
Facebook och Instagram är exempelvis partners, vilket innebär att annonsörer, apputvecklare och publicerare kan skicka information till Instagram via Facebooks företagsverktyg. Instagram kan därmed även få information om användarens aktiviteter utanför Instagram och Facebook, från Facebooks partners. Denna information kan även omfatta information om de enheter användaren använder, de webbplatser som användaren tidigare har besökt, de inköp som användaren har gjort i en annan tjänst och annonserna som användaren ser och hur användaren använder respektive tjänst.36 Denna typ av insamling av information förekommer även på Facebook och Twitter. De tre sociala plattformarna samlar därmed inte bara in information om användarens användning av själva sociala mediet, utan även information om användarnas aktivitet utanför det sociala mediet, exempelvis om en viss användare spelar ett visst spel.
2.5 Hur informationen används
Den information som samlas in om användarna av tjänsten kan samlas in i olika syften.
Före dessa syften undersöks närmare behöver något kort sägas om hur det kommer sig att sociala medie-företagen kan använda den information som de lagrar om användarna för olika ändamål.
Tillvägagångssättet kan beskrivas som en kedja. Kedjans första led är att användarna av tjänsten gör något, till exempel att en kvinna “gillar” ett företags sida på Facebook. Detta
35 Facebooks datapolicy, under rubriken Vilka typer av information samlar vi in?, den 19 april 2018 och Twitters privacypolicy under rubriken, Information you share with us, den 25 maj 2018.
36 Instagrams datapolicy, under rubriken Vilka typer av information samlar vi in?, den 19 april 2018.
20
beteende observeras av företagen som lagrar uppgifter om användarens gilla-markering.
Gilla-markeringen kan senare bearbetas tillsammans med övrig information om användaren som företaget har lagrat, till exempel uppgifter om kön, ålder och plats. All information som företaget har lagrat om användaren kan senare studeras mot bakgrund av statistik och fakta och med hjälp av en matematisk algoritm kan informationen som företaget har lagrat om användaren användas för att dra vissa slutsatser om användarens beteende. En slutsats kan vara att kvinnan som “gillade” sidan på Facebook är intresserad av de produkter som företaget tillhandahåller. Användandet av algoritmer för att kategorisera beteenden kan beskrivas som profilering.37 Profilering som begrepp kan ha en väldigt varierande innebörd och ibland gå så långt att den liknas vid prediktiv modellering, som innebär att en modell försöker baserat på algoritmer försöker förutspå framtida mönster i mänskligt beteende.38 Profilering är vanligt förekommande bland kommersiella företag, och en stor del av det innehåll som användare ser på internet eller i sociala medier avgörs med hjälp av kategorisering av användares beteenden och uppgifter.
Gemensamt för Facebook, Instagram och Twitter är att företagens policy anger övergripande att det är nödvändigt att företagen samlar in information för att kunna tillhandahålla användaren tjänsten som användaren vill få tillgång till.39 De olika ändamål som informationen om användarna används till är bland annat för att ge en anpassad och relevant tjänst för varje användare, för att främja trygghet, integritet och säkerhet, för att kunna visa relevant marknadsföring för en viss användare.40
Användaren kan sedan, i viss utsträckning, anpassa hur informationen används, exempelvis om informationen får användas för att visa beteendeanpassade annonser. Ett exempel på detta är att användaren innan skapandet av ett Twitterkonto kan anpassa om adressboken får användas för att andra personer ska kunna hitta användaren och om
37 Greenstein, s 42f.
38 Greenstein, s 100f.
39 Instagrams användarvillkor, under rubriken Datapolicyn, den 19 april 2018, Facebooks användarvillkor, under rubriken Vår datapolicy och dina sekretessavtal, den 19 april 2018 och Twitters privacy policy, under rubriken Information you share with us och Additional information we receive about you, den 25 maj 2018.
40 Facebooks datapolicy, under rubriken Hur använder vi den här informationen?, den 19 april 2018 och Twitter, Data processing and legal basis summary, den 25 maj 2018.
21
användaren vill ha annonser som är anpassade efter aktivitet. Användaren kan dock inte anpassa den mängd av information som lagras vid användandet av tjänsten, då denna information lagras för att kunna tillhandahålla tjänsten.
Eftersom själva användningen av sociala medie-plattformarna går ut på att användarna delar med sig av information om sig själva kan företagen samla in en stor mängd data om användarna. Genom kategoriseringen av data och användandet av algoritmer kan rätt information visas för rätt användare. Reklamplatserna kan därmed i sin tur säljas för ett högre pris än reklam som riktar sig till större målgrupper, och sociala medieföretagen får in ökade intäkter.41
2.6 Sammanfattning
Under detta huvudavsnitt har jag redogjort för vissa praktiska frågor kring användningen av sociala plattformarna Instagram, Facebook och Twitter. Innehållet i de olika sociala medierna liknar varandra, med mindre skillnader. Innehållet på Facebook kan generellt sägas vara mer övergripande medan innehållet på Instagram främst består av bilder och filmer och innehållet på Twitter av korta texter och bilder. Användarna skapar ett konto och godkänner användarvillkoren, som bland annat innehåller villkor om den information som samlas in och lagras om användarna. Det är en omfattande mängd av information som samlas in och lagras om användarna. Denna information kan sedan användas i varierande syften, däribland för att visa sponsrat innehåll och för att främja integriteten och säkerheten i tjänsten. Mot bakgrund av ovanstående diskussion övergår jag nu till att diskutera sociala mediers placering under GDPR och DTD och vilken rätt GDPR och DTD ger användarna att få ut det innehåll som finns lagrat i det sociala mediet.
41 SOU 2016:41, s 330 och s 379.
22
3 GDPR och sociala medier
3.1 Inledande kommentar
GDPR började gälla i medlemsstaterna den 25 maj 2018. Anledningen till att GDPR kom att ersätta det tidigare dataskyddsdirektivet, DPD, beror på att den tekniska utvecklingen har inneburit att tillvägagångssätten och mängden av personuppgifter som behandlas har förändrats, vilket har krävt ett mer harmoniserat och sammanhängande regelverk.42
Under detta avsnitt undersöker jag tillämpligheten av GDPR på de sociala medie- plattformarna och även företagens rättsliga grund för behandling av användarnas personuppgifter. I GDPR används begreppet registrerad för att beskriva den som får sina personuppgifter behandlade. Begreppet registrerad kommer därför att användas under redogörelsen av de olika artiklarna. Vidare förekommer begreppet personuppgiftsansvarig i GDPR, för att beskriva den som ensamt eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter.43 Som framgår av föregående avsnitt är det sociala medie-företagen som i användarvillkoren anger och bestämmer ändamålen för insamlingen och behandlingen av den information som samlar in och lagras. Med begreppet personuppgiftsansvarig avses därför sociala medie-företagen.
3.2 Förordningens tillämplighet i sociala medier
Enligt artikel 2.1 GDPR är förordningen tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
En personuppgift enligt GDPR är varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänsyn till identifierare som ett namn, ett
42 Skäl 6 och 7 GDPR.
43 Artikel 4.7 GDPR.
23
identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.44
Definitionen av en personuppgift i GDPR stämmer överens med den definition som fanns i DPD. EU-domstolen har tidigare anfört att rekvisiten “varje upplysning” återspeglar avsikten att ge begreppet personuppgift en vidsträckt innebörd. Begreppet personuppgift är inte är avgränsat till känsliga upplysningar eller upplysningar av privat karaktär, utan kan innefatta samtliga upplysningar, objektiva som subjektiva, under förutsättningen att upplysningarna avser en fysisk person.45
Vid bedömningen av om en viss uppgift är en personuppgift ska man beakta alla hjälpmedel som antingen den personuppgiftsansvarige rimligen kan använda eller en annan person rimligen kan komma att använda för att direkt eller indirekt identifiera en fysisk person. För att fastställa om ett hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera en fysisk person behöver man beakta samtliga objektiva faktorer, som tidsåtgång och kostnad för identifiering, med beaktande av tillgänglig teknik vid tidpunkten för behandlingen och den tekniska utvecklingen.46 I DPD har formuleringen alla hjälpmedel som rimligen kan komma att användas av den registeransvarige eller någon annan tolkats som att det inte krävs att det är en och samma person som innehar alla upplysningar som är nödvändiga för att identifiera en person för att uppgiften ska utgöra en personuppgift.47
I EU-domstolens praxis har bland annat en bild av en person tagen av en kamera kunna utgöra en personuppgift eftersom bilden gör det möjligt att identifiera personen.48 Även ljudupptagningar kan utgöra personuppgifter, om man med hjälp av ljudupptagningen,
44 Artikel 4.1 GDPR.
45 Mål C-434/16, Peter Nowak mot Data Protection Commissioner, ECLI:EU:C:2017:994, p 34.
46 Skäl 26 GDPR.
47 Mål C-582/14, Patrick Breyer mot Bundesrepublik Deutschland, ECLI:EU:C:2016:773, p 43.
48 Mål C-212/13, Frantisek Rynes mot Urad pro ochranu osobnich udaju, ECLI:EU:C:2014:2428 p 22.
24
eller med hjälp av kompletterande uppgifter, kan fastställa vem rösten tillhör.49 En persons namn har tillsammans med personens telefonnummer eller med andra uppgifter om arbetsförhållanden och fritidsintressen också ansetts utgöra en personuppgift.50 Men även sådana uppgifter som man inte nödvändigtvis förknippar med en person har ansetts utgöra personuppgifter. EU-domstolen har anfört att en IP-adress som en leverantör registrerar i samband med att en person besöker en webbplats kan utgöra en personuppgift, eftersom leverantören förfogar över hjälpmedel som rimligen kan komma att användas för att identifiera den registrerade.51
Tidigare innehöll 5 a § PUL en missbruksregel, som innebar att det var tillåtet att behandla personuppgifter som förekom i löpande text så länge uppgiften inte var kränkande för den personliga integriteten. Motivet med missbruksregeln var att anpassa regelverket efter den tekniska utvecklingen, eftersom PUL inte ansågs vara anpassad för den utbredda användningen av informationsteknik för ostrukturerad vardagshantering och kommunikation som vanligtvis var helt harmlös ur ett integritetsperspektiv. När personuppgifter förekom i löpande text och i form av enstaka ljud- och bildupptagningar ansågs själva texten, ljudet eller bilden vara det centrala och inte möjligheterna att söka efter eller sammanställa ett stort antal personuppgifter.52 Den som behandlade personuppgifter i löpande text, som meddelanden eller texter, eller som en del av en ljudupptagning eller bild inte normalt behövde tillämpa hanteringsreglerna i PUL.53 En liknande missbruksregel återfinns dock inte i GDPR.54 Även behandling av personuppgifter i löpande texter kan därför omfattas av GDPR:s tillämpningsområde.
Vad gäller då om endast en liten del av en längre text omfattar personuppgifter?
EU-domstolen har tidigare prövat om den registrerades rätt till tillgång i DPD omfattade uppgifter i en ansökan om ett uppehållstillstånd och en rättslig analys. EU-domstolen
49 Blomberg, s 14.
50 Mål C-101/01, Bodil Lindqvist mot Sveriges Regering, ECLI:EU:C:2003:596, p 24.
51 Mål C-582/14, Patrick Breyer mot Bundesrepublik Deutschland, ECLI:EU:C:2016:773, p 48 och 49.
52 Prop. 2005/06:173, s 18f.
53 Prop. 2005/06:173, s 24.
54 I den nya dataskyddslagen, DSL, anges dock ett undantag i 5 kap. 2 § DSL från rätten till tillgång för för personuppgifter som behandlas i löpande text.
25
anförde inledningsvis att det inte råder något tvivel om att de uppgifter om den som söker uppehållstillstånd i en ansökan, som namn, födelsedatum, nationalitet, kön, etnicitet, religion och språk utgör upplysningar som avser den fysiska personen, som kan identifieras med hjälp av uppgifterna. Vidare anförde EU-domstolen att även om den rättsliga analysen kan innehålla personuppgifter, så utgör den inte i sig själv en personuppgift enligt DPD. Den rättsliga analysen utgör istället en rättslig analys som appliceras på personuppgifterna och inte en upplysning om den som ansöker om uppehållstillstånd. EU-domstolen ansåg därför att om den sökandes rätt till tillgång utvidgades till att omfatta den rättsliga analysen, skulle detta i realiteten inte uppfylla målet med DPD, att stärka skyddet för personuppgifter, utan istället målet att garantera sökanden tillgång till administrativa handlingar, något som inte omfattas av DPD.55 Viss försiktighet krävs vid en tillämpning av detta på personuppgifter i löpande text enligt GDPR. Även om personuppgifterna i ansökan om uppehållstillstånd hade en nära koppling till den rättsliga analysen var det fråga om två separata texter, något som kan ha påverkat bedömningen.
Facebook, Instagram och Twitter lagrar en stor mängd information om användarna. Till den del denna information består av uppgifter som kan identifiera en fysisk person utgör informationen personuppgifter enligt GDPR. Det användargenererade innehållet kan bestå av bilder, texter och konversationer som innehåller personuppgifter. Viss försiktighet kan dock vara påkallad med avseende på hela löpande texter, exempelvis i statusuppdateringar eller konversationer, som inte innehåller information som kan identifiera en fysisk person, utan istället innehåller fakta eller liknande innehåll. Det är dock tänkbart att till exempel statusuppdateringar, bilder som avbildar landskap och tweets kan komma att bedömas som personuppgifter på grund av att uppgifterna publiceras i nära anslutning till användarens för- och efternamn eller användarnamn. En sådan tolkning av rekvisitet personuppgifter kan dock enligt min mening inte ligga helt i linje med syftet med GDPR och dataportabiliteten, att stärka skyddet för personuppgifter och öka kontrollen över personuppgifter. I likhet med målet i EU-domstolen skulle ett
55 De förenade målen C-141/12, YS mot Minister voor Immigratie, Integratie en Asiel och C-372/12, M, S, mot Minister voor Immigratie, Integratie en Asiel, ECLI:EU:C:2014:2081, p 38, 39, 40, 46.
26
sådant resonemang snarare verka konstlat och frångå tanken på att GDPR främst ska skydda den personliga integriteten och inte stärka rätten att få ut innehåll i gratistjänster.
Den information som Facebook, Instagram och Twitter lagrar genom att observera användarnas aktivitet kan innehålla uppgifter om IP-adresser (enhetsbaserad information), GPS-funktioner och information om användarnas samverkan med andra användare av tjänsten. Även den information som företagen samlar in från cookies kan utgöra personuppgifter.56 De slutsatser som företagen drar om användarna med hjälp av algoritmer kan utgöra personuppgifter, om slutsatserna innehåller uppgifter om användarna och inte enbart generella fakta.
En behandling av personuppgifter är enligt artikel 4.2 GDPR en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, som bland annat insamling, lagring, bearbetning och användning av personuppgifter. En behandling enligt GDPR är alltså en rad av åtgärder som vidtas med avseende på personuppgifter.
Instagram, Facebook och Twitter samlar här in personuppgifter, och lagrar dessa uppgifter, och behandlar därför personuppgifter enligt GDPR.
GDPR är vidare tillämplig på sådan behandling som är helt eller delvis automatiserad.
När en teknisk åtgärd vidtas med avseende på personuppgifter, exempelvis i en databas, talar man generellt om en automatiserad behandling. Enligt EU-domstolen har en åtgärd att lägga ut uppgifter på en webbsida innefattat överföring av denna sida till en server samt innefattat åtgärder som är nödvändiga för att göra webbsidan tillgänglig för personer som har kopplat upp sig på internet åtminstone delvis gjorts på automatisk väg.57 En skillnad mellan målet i EU-domstolen och den behandling som förekommer på Instagram, Facebook och Twitter var den mänsklig inblandning som förekom, då kvinnan som var ansvarig över webbplatsen manuellt publicerade de olika personuppgifterna som förekom på webbplatsen. På Instagram, Facebook och Twitter sker behandlingen automatiskt utan mänsklig inblandning vid de uppgifter som samlas in. Utgångspunkten är därmed att den
56 Se skäl 30 GDPR om att fysiska personer kan knytas till information som lämnas av kakor.
57 Mål C-101/01, Bodil Lindqvist mot Sveriges Regering, ECLI:EU:C:2003:596, p 26.
27
behandling som utförs på Instagram, Twitter och Facebook är automatiserad och att GDPR är tillämplig på den behandling av personuppgifter som utförs av Instagram, Facebook och Twitter.
3.3 Rättslig grund för behandling av personuppgifter
För att en behandling av personuppgifter ska vara tillåten enligt GDPR måste behandlingen ha stöd av en rättslig grund enligt artikel 6.1 GDPR.
De rättsliga grunderna för behandling av personuppgifter är samtycke (artikel 6.1 a), om behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder för att ingå ett sådant avtal (artikel 6.1 b), om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), om behandlingen är nödvändig för att skydda intressen som är av grundläggande intressen (artikel 6.1 d), om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) eller om behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f).
En stor del av den behandling som utförs av Facebook, Instagram och Twitter har stöd i flera av de rättsliga grunderna i artikel 6.1 GDPR, eftersom behandling av personuppgifter enligt GDPR endast är laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt. Som jag tidigare har nämnt i uppsatsen kan den registrerade endast utöva sin rätt till dataportabilitet enligt artikel 20 GDPR om behandlingen av personuppgifter stödjer sig på samtycke i artikel 6.1 a GDPR eller ett uttryckligt samtycke enligt artikel 9.2 a GDPR eller avtal i artikel 6.1 b GDPR. Jag ska därför, mot bakgrund av användarvillkoren, undersöka vilka uppgifter som Instagram, Facebook och Twitter behandlar med stöd av samtycke eller avtal. För Instagrams rättsliga grunder hänvisas till
28
Facebook. Det som anges om Facebooks grunder för behandling nedanför gäller alltså även på Instagram.58
I Facebooks användarvillkor anges att alla personer som har rättskapacitet att ingå ett verkställbart kontrakt får sina personuppgifter behandlade med den rättsliga grunden att behandlingen är nödvändig för att fullgöra avtal. Facebook hänvisar sedan vidare till användarvillkoren, där användaren kan ta del av vilken databehandling som är nödvändig.59 Vilka uppgifter det är som samlas in för nödvändigheten att fullgöra avtal framgår dock inte direkt av Facebooks användarvillkor. Där användarvillkoren exempelvis anger att Facebook ger användaren en anpassad upplevelse anges endast att Facebook för att anpassa upplevelsen använder data om användarens kontakter.60 Facebooks hänvisning till användarvillkoren skulle därför kunna tolkas som att all den information som samlas in enligt användarvillkoren behandlas med stöd av avtal. Så är dock inte fallet, mot bakgrund av att Facebook även behandlar känsliga uppgifter, som kräver ett uttryckligt samtycke från den registrerade. Dessa uppgifter är information om användarens religiösa åskådning, politiska åsikter, vem användaren är intresserad av och uppgifter om användarens hälsa.61
De personuppgifter som Facebook behandlar med stöd av användarens samtycke är uppgifter med särskilt skydd, vilka är de särskilda kategorierna av uppgifter enligt artikel 9 GDPR, uppgifter som annonsörer och andra partner tillhandahåller om användarens aktivitet i Facebook-företagets produkter, information om användaren, som namn eller e- postadress, som kan användas för att kontakta användaren eller för att identifiera användaren samt information om enhetsbaserade inställningar, som information om GPS, kamera eller bilder.62
58 Instagrams datapolicy, under rubriken Vilken är vår rättsliga grund för behandling av data?, den 19 april 2018.
59 Facebook, rättsliga grunder.
60 Facebooks användarvillkor, under rubriken Våra tjänster, den 19 april 2018 .
61 Facebook, rättsliga grunder, under rubriken Ditt samtycke.
62 Facebooks rättsliga grunder.
29
I likhet med Facebook och Instagram behandlar Twitter en stor del av användarnas personuppgifter med den rättsliga grunden nödvändighet att fullgöra avtal. Uppgifter som Twitter behandlar om användarna med stöd av avtal är grundläggande kontoinformation, som namn och användarnamn. Vidare behandlas offentlig information, vilket omfattar en användares aktivitet på Twitter, som Tweets, då denna aktivitet är offentlig, kontaktinformation, direktmeddelanden och andra icke offentliga kommunikationer, betalningsinformation, “account controls”, platsinformation, interaktioner med länkar, loggad data (när användaren tittar på innehåll eller annars interagerar inom tjänsten), cookies, data från annonsörer och andra annonspartners samt data från tredje part.63
De personuppgifter som Twitter behandlar med stöd av avtal sammanfaller även med de personuppgifter som behandlas med stöd av samtycke. De ytterligare uppgifter som Twitter behandlar med stöd av samtycke är så kallade data från adressboken, vilket en användare gör när den laddar upp sina kontakter från telefonens adressbok till sitt Twitterkonto. Ytterligare uppgifter som Twitter behandlar med stöd av samtycke är information om den utrustning som Twitter anser tillhör användaren. Denna information får Twitter när användaren loggar in på sitt Twitterkonto från en viss utrustning och informationen kan exempelvis avse utrustningens IP-adress. Twitter inhämtar även användarens samtycke för att använda information som utgör en precis lokalisering för mobil utrustning, som GPS-information. Avslutningsvis använder Twitter även samtycke som grund för att behandla “Twitter for web”-data, som innebär att Twitter samlar in information om hur en viss användare surfar på webben, exempelvis på andra webbplatser, för att sedan låta en algoritm beräkna vilket innehåll som ska visas på Twitter för en viss användare.64
Sammanfattningsvis kan det konstateras att företagen behandlar en stor del av användarens personuppgifter med stöd i avtal eller samtycke enligt GDPR. Eftersom Facebook inte uttryckligen anger om all information som framgår av användarvillkoren under “Våra tjänster” behandlas med stöd av avtal går det inte att klart konstatera att så
63 Twitter, Data processing and legal bases summary, den 25 maj 2018.
64 Twitter, Data processing and legal bases summary, den 25 maj 2018.
