• No results found

Behandling av personuppgifter i direktmarknadsföringssyfte: I ljuset av GDPR och ePrivacy-förordningen

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Behandling av personuppgifter i direktmarknadsföringssyfte: I ljuset av GDPR och ePrivacy-förordningen"

Copied!
54
0
0

Loading.... (view fulltext now)

Download now ( 54 Page )

Full text

(1)

Juridiska institutionen Höstterminen 2017

Examensarbete i civilrätt, särskilt IT-rätt 30 högskolepoäng

Behandling av personuppgifter i direktmarknadsföringssyfte

I ljuset av GDPR och ePrivacy-förordningen

The processing of personal data for the purpose of direct marketing

In the light of GDPR and ePrivacy Regulation

Författare: Fredrik Eråker

Handledare: Professor Bengt Domeij

(2)

2

(3)

3

“Internet is an advertisement supported service and the development of marketing based on profiling and personal data is what makes it go round.

Personal data is the new oil of the internet and the new currency of the dig- ital world.”

Meglena Kuneva, European Consumer Commissioner, 2009

(4)

4

Innehållsförteckning

Förkortningar ... 7

1 Inledning ... 9

1.1 Introduktion till ämnet ... 9

1.2 Syfte och frågeställning ... 11

1.3 Avgränsning ... 11

1.4 Metod och material... 12

1.5 Disposition ... 13

2 Svensk reglering av personuppgifter ... 14

2.1 Personuppgiftslagens grunder ... 14

2.1.1 Personuppgift ... 14

2.1.2 Behandling av personuppgifter ... 15

2.1.3 Den registrerade och personuppgiftsansvarig ... 15

2.1.4 Personuppgiftsansvariges skyldigheter ... 16

2.1.5 Legala grunder för behandling ... 17

2.2 Behandling av personuppgifter i direktmarknadsföringssyfte ... 18

2.2.1 Definitionen av direktmarknadsföring ... 18

2.2.2 Samtycke ... 18

2.2.2.1 Personuppgiftslagen ... 18

2.2.2.2 MFL ... 20

2.2.3 Intresseavvägning ... 20

2.2.3.1 Personuppgiftslagen ... 20

2.2.3.2 Dataskyddsdirektivet ... 21

2.2.3.3 Datainspektionen ... 22

2.2.3.4 SWEDMA ... 22

2.2.3.5 EU-praxis ... 23

2.2.4 Övriga inskränkningar vid direktmarknadsföring ... 25

(5)

5

2.3 Sammanfattning och analys av rättsläget ... 25

3 GDPR ... 27

3.1 Samtycke ... 27

3.1.1 Krav på bekräftelse och ansvarsskyldighet ... 27

3.1.2 Dataportabilitet ... 28

3.1.3 Sanktioner... 29

3.1.4 Sammanfattning ... 29

3.2 Intresseavvägning ... 30

3.2.1 Berättigat intresse och direktmarknadsföring i beaktandeskälen ... 30

3.2.2 Intresseavvägning i förordningstexten ... 30

3.2.3 Artikel 29-gruppens riktlinjer ... 31

3.2.3.1 Behovet av harmonisering ... 31

3.2.3.2 Berättigat intresse ... 32

3.2.3.3 Balanstestet... 32

3.2.4 Intresseavvägningen – en fortsatt oviss och flexibel bestämmelse ... 34

3.3 Sammanfattning av rättsläget ... 36

4 ePrivacy-förordningen ... 37

4.1 Data från elektronisk kommunikation ... 37

4.2 Konsekvenser av digitaliseringen ... 37

4.3 Eurobarometerundersökning ... 38

4.4 REFIT-utvärderingen ... 39

4.5 Kommissionens förslag ... 40

4.5.1 Samtycke och cookies ... 41

4.5.2 Metadata ... 43

4.5.3 Direktmarknadsföringskommunikation ... 43

4.5.4 Artikel 29-gruppens utlåtande ... 44

4.6 Lauristin Report ... 44

4.6.1 Bakgrund ... 44

4.6.2 Justeringar jämfört med Kommissionens förslag ... 45

(6)

6

4.6.3 Reklambranschens invändningar ... 45

4.6.4 Integritet och direktmarknadsföring – en konkurrensrättslig aspekt ... 46

4.7 Sammanfattning och analys ... 48

5 Sammanfattning ... 49

6 Källförteckning ... 50

(7)

7

Förkortningar

Artikel 29-gruppen Arbetsgrupp för skydd av enskilda med avseende på behand- lingen av personuppgifter

dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

ePrivacy-direktivet Europaparlamentets och Rådets direktiv 2002 /58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikat- ion (direktiv om integritet och elektronisk kommunikation)

ePrivacy-förordningen Dels Förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personupp- gifter i samband med elektronisk kommunikation och om upp- hävande av direktiv 2002/58/EG (förordning om integritet och elektronisk kommunikation COM(2017) 10 final 2017/0003 (COD), dels Report on the proposal for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulat- ion on Privacy and Electronic Communications) (COM(2017)0010 – C8-0009/2017 – 2017/0003(COD))

EU Europeiska unionen

(8)

8

GDPR Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ICC International Chamber of Commerce

Kommissionen Europeiska kommissionen

Kommissionens förslag Förslag till Europaparlamentets och rådets förordning om re- spekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direk- tiv 2002/58/EG (förordning om integritet och elektronisk kommunikation COM(2017) 10 final 2017/0003 (COD)

Lauristin Report Report on the proposal for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regula- tion on Privacy and Electronic Communications) (COM(2017)0010 – C8-0009/2017 – 2017/0003(COD))

MFL Marknadsföringslag (2008:486)

PuL Personuppgiftslag (1998:204)

REFIT Regulatory Fitness and Performance Programme

SWEDMA Swedish Direct Marketing Association

(9)

9

1 Inledning

1.1 Introduktion till ämnet

Personuppgifter har på många sätt blivit internets främsta valuta, vilket framgår av webbplatser så som Facebook och Google där användare erbjuds ”gratis” tjänster mot tillgång till dennes personuppgifter.1 Personuppgifters allt mer valutaliknande funktion stödjs av att företag i större grad värderas utifrån dess datatillgångar.2

Behandling av personuppgifter till följd av den digitala utvecklingen möjliggör rik- tad marknadsföring som bättre är anpassad efter kunders behov. För kommersiella aktö- rer är detta förfarandet mycket lönsamt. Värdet- respektive omfattningen av personupp- gifter som behandlas har följaktligen kraftigt ökat de senaste åren. De marknadsfördelar tillgång till personuppgifter bär med sig, måste dock beaktas i ljuset av enskildas rätt till personlig integritet. I och med detta uppkommer en intressekonflikt mellan, å ena sidan, företags intressen av att driva en så lönsam och konkurrenskraftig verksamhet som möj- ligt, å andra, den enskildes intresse av att inte få sin personliga integritet kränkt.3 På EU-nivå regleras personuppgifter i dataskyddsdirektivet som i Sverige har im- plementerats genom PuL. Medlemsländerna har således, inom ramen för direktivet, haft möjlighet att tolka och utforma sin egen nationella lagstiftning. De senaste åren har ut- bytet av personuppgifter inom EU kraftigt ökat mellan både offentliga och privata aktö- rer. Mot bakgrund av teknikens utveckling har det skapats ett behov av ett mer harmoni- serat och modernare regelverk.4 Till följd av detta träder GDPR i kraft den 25 maj 2018.

I egenskap av förordning ersätter regelverket i Sverige PuL och blir direkt tillämpligt inom hela unionen. GDPR:s främsta syfte är att, mot bakgrund av den tekniska utveckl- ingen, tillvarata och stärka den registrerades rättigheter och således skapa ett starkt och enhetligt skydd för personuppgifter.5 Behandling av personuppgifter måste enligt för- ordningen baseras på en laglig grund, vilket som utgångspunkt uppfylls genom ett sam- tycke från den registrerade.6 Om den personuppgiftsansvariges eller tredje mans berätti- gade intresse i att behandla personuppgifter väger tyngre än den registrerades intressen eller grundläggande- fri och rättigheter, får dock personuppgifter behandlas utan den

1 Volny, s 92.

2 Graef, s 493.

3 Volny s 91, beaktandeskäl 6 GDPR.

4 Beaktandeskäl 5 GDPR.

5 Beaktandeskäl 7 och 10 GDPR.

6 Artikel 6.1 a) GDPR.

(10)

10

registrerades samtycke.7 Det anges i beaktandeskälen till GDPR att behandling av per- sonuppgifter i direktmarknadsföringssyfte kan ligga i den personuppgiftsansvariges el- ler tredje mans berättigade intresse.8 Jämfört med dataskyddsdirektivet stärks i GDPR skyddet för den registrerade vid samtycke, eftersom det i direktivet under vissa förut- sättningar varit tillåtet att erhålla ett indirekt samtycke eller samtycke i form av möjlig- het till opt-out.9 Således tenderar samtycke som laglig grund att, ur ett kommersiellt perspektiv, bli mer opraktiskt.

I samband med att internetanvändare besöker webbplatser lämnas spår i form av data från elektronisk kommunikation. Dessa data är vanligtvis personuppgifter och kan för annonsörer vara otroligt värdefull information.10 Till följd av digitaliseringen har den personuppgiftsansvariges informations- och yttrandefrihet vid reklam allt mer förflyttats till ett ekonomiskt intresse i att lära känna sina kunder genom att övervaka deras bete- enden. Vid en intresseavvägning i dessa fall handlar det inte längre om att beakta den personuppgiftsansvariges rätt till informations- eller yttrandefrihet, utan snarare vägs det ekonomiska intresset mot den enskildes rätt till integritet och intresset i att inte bli otill- börligt övervakad.11 En intresseavvägning kan i dessa fall inte rättfärdiga en behandling av personuppgifter och vid insamling av data från elektronisk kommunikation krävs som huvudregel samtycke. I syfte att säkerställa ett starkt skydd för den enskildes in- tegritet, är EU:s avsikt att ePrivacy-förordningen ska träda i kraft samtidigt som GDPR.

ePrivacy-förordningen ersätter ePrivacy-direktivet och är lex specialis i förhållande till GDPR. I likhet med dataskyddsdirektivet är ePrivacy-direktivets bestämmelser, som i svensk rätt implementeras i lagen om elektronisk kommunikation, i behov av moderni- sering.12 ePrivacy-förordningens nuvarande utformning tyder på en vilja att utöka till- lämpningsområdet för data från elektronisk kommunikation och direktmarknadsförings- kommunikation, samtidigt som en ökad transaparens i samband med användning av cookies krävs till skydd för användares integritet.13

7 Artikel 6.1 f) GDPR.

8 Beaktandeskäl 47 GDPR.

9 Calder, s 39.

10 Beaktandeskäl 4 Lauristin report, Preliminary Opinion of the European Data Protection Supervisor, Privacy and competitiveness in the age of big data: the interplay between data protection, competition law and consumer protection in the Digital Economy, mars 2014, s 10.

11 Opinion 06/2014, s 46.

12 Beaktandeskäl 5 och 6 Lauristin report, lag (2003:389) om elektronisk kommunikation.

13 Se bl.a. artikel 4 a), 4 b) och beaktandeskäl 22 Lauristin report samt Voss, s 5.

(11)

11

Nyheterna i förslaget kan komma att förändra dagens gynnsamma digitala marknads- föringsmiljö och flera protester från organisationer inom reklambranschen runt om i EU har skett till följd av ePrivacy-förordningen.14

1.2 Syfte och frågeställning

Syftet med uppsatsen är att utreda kommersiella aktörers intresse i att behandla person- uppgifter i direktmarknadsföringssyfte i förhållande till skyddet för den enskildes in- tressen eller grundläggande fri- och rättigheter. Genom att undersöka GDPR och ePri- vacy-förordningen är framställningens syfte att klargöra eventuella gränsdragningspro- blem vad gäller tillämpning av regelverken vid direktmarknadsföring. Vidare syftar uppsatsen till att fastställa hur GDPR och ePrivacy-förordningen förhåller sig till svensk rätt samt undersöka vilken inverkan förordningarna har på den registrerades samtycke och den personuppgiftsansvariges berättigade intresse som lagliga grunder för behand- ling.

Uppsatsens frågeställning formuleras med anledning av det nu anförda enligt föl- jande:

Vilka konsekvenser får GDPR och ePrivacy-förordningen för direktmarknadsföring i Sverige?

1.3 Avgränsning

Jag har valt att redogöra för följderna av GDPR och ePrivacy-förordningen i Sverige.

Det första skälet är att Sverige genom PuL implementerade dataskyddsdirektivet med en likalydande struktur som i direktivet.15 Den svenska lagstiftningen på området motsva- rar därför dataskyddsdirektivet och endast då det är nödvändigt för en mer korrekt och tydlig jämförelse med GDPR kommer dataskyddsdirektivets bestämmelser att hänvisas till. Eftersom svensk rätt ska vara konform med EU-rätten kommer, i syfte att klargöra rättsläget, praxis från EU-domstolen att redovisas för. Det andra skälet är att en sådan undersökning blir för praktiserande jurister av främst svensk rätt tydligare.

14IAB Statement On New Privacy Proposal, ETNO’s views on the Proposal for an ePrivacy Regulation.

15 SOU 1997:39 s 319.

(12)

12

Dataskyddslagsstiftning och närliggande rättsområden berör förutom fysiska perso- ner även juridiska personer vilket i detta fall innefattar både kommersiella aktörer och myndigheter. Ur ett marknadsrättsligt perspektiv är det främst de kommersiella aktörer- na som påverkas av de nya regleringarna, vilket tydlig märks på de starka reaktionerna och den lobbying-verksamhet som just nu sker på EU-nivå.16. För att uppnå en så rele- vant och enhetlig undersökning som möjligt avgränsas uppsatsen till att gälla kommer- siella aktörers direktmarknadsföring mot fysiska personer över 18 år. Då reglerna vid behandling av barns personuppgifter i direktmarknadsföringssyfte ser annorlunda ut kommer dessa ej att behandlas.

I uppsatsen utgår jag från ICC:s definition av direktmarknadsföring. Enligt ICC in- nebär begreppet aktiviteter med avsikt att, oberoende medium, erbjuda produkter eller tjänster med syfte att uppnå ett svar från mottagaren.17 Ett svar från mottagaren förstås i uppsatsen som en möjlighet för denne att vidta en åtgärd som för marknadsföraren är direkt mätbar. Detta kan t.ex. vara en uppmaning att klicka på en specifik länk för att köpa en produkt eller att kontakta en viss adress för mer information. När personuppgif- ter behandlas i direktmarknadsföringssyfte samlas uppgifterna in med avsikt att presen- tera en så relevant marknadsföring som möjligt. Det rör sig således om en riktad mark- nadsföring då direktmarknadsföring nämns i uppsatsen. Den tekniska utvecklingen har resulterat i nya metoder för marknadsföring och konventionell marknadsföring har minskat allt mer. Digital marknadsföring kommer därför främst att redogöras för.

När behandling av personuppgifter i direktmarknadsföring diskuteras är framför allt den registrerades samtycke och den personuppgiftsansvariges berättigade intresse av relevans. Undersökningen kommer därför att avgränsas till dessa två lagliga grunder för behandling av personuppgifter. Således bibehålls en röd tråd i uppsatsen och frågeställ- ningen behandlas på ett så effektivt sätt som möjligt.

1.4 Metod och material

Uppsatsen kommer att skrivas ur ett rättsdogmatiskt perspektiv med beaktande av rätts- källor bestående av förordningar, lagar, förarbeten, praxis, doktrin, myndighetsföreskrif- ter och branschöverenskommelser. Eftersom GDPR ännu inte trätt i kraft och ePrivacy- förordningen fortfarande är under beredning finns begränsad praxis och doktrin av rele-

16 Voss, s 9.

17 ICC:s Regler för reklam- och marknadskommunikation, s 27 (kapitel C).

(13)

13

vans för området. Vidare har Datainspektionen i uppdrag att ta fram vägledningar för tolkningen av PuL och dataskyddsdirektivet.18 Marknadsföring aktualiserar ett stort och föränderligt rättsområde som till stora delar är branschstyrt. Sammantaget resulterar det i att även mer informella rättskällor kommer att ligga till grund för utredningen, främst i form av vägledningar och uttalanden från Artikel 29-gruppen, Datainspektionen samt branschorganisationerna SWEDMA och ICC.

1.5 Disposition

Inledningsvis kommer PuL och dataskyddsdirektivet att redogöras för, i syfte att genom lagstiftning, branschöverenskommelser och praxis påvisa vilket utrymme som i svensk rätt hittills givits den personuppgiftsansvarige att med stöd av ett berättigat intresse be- handla personuppgifter i direktmarknadsföringssyfte. GDPR kommer sedan att behand- las med avsikt att klargöra vad förändringarna i förordningen har för inverkan på sam- tycke och berättigat intresse vid direktmarknadsföring. Slutligen kommer ePrivacy- förordingen undersökas.

18 SOU 1997:39 s 365 ff.

(14)

14

2 Svensk reglering av personuppgifter

Skydd för personuppgifter är i EU en grundläggande rättighet som, utöver dataskydds- direktivet i dagsläget, framgår av artikel 8 i Europeiska konventionen om skydd de mänskliga rättigheterna och artikel 7 och 8 i Europeiska unionens stadga om de grund- läggande rättigheterna. Skyddet för den enskilde vid behandling av personuppgifter tar särskilt sikte på rätten till privatliv.19

Det noterades redan i dataskyddsdirektivet från 1995 att teknikens utveckling möj- liggör ett mer utbrett och friare flöde av personuppgifter.20 För att upprätthålla en ade- kvat och jämnhög skyddsnivå i EU avseende den enskildes fri- och rättigheter vid han- tering av personuppgifter infördes dataskyddsdirektivet.21 Direktivet implementerades i svensk rätt år 2001 i form av PuL och ersatte datalagen från 1973. Eftersom EU-direktiv är en bindande unionsakt där ändamålet och tolkningen ska vara EU-konform, valde Sverige att i PuL huvudsakligen följa den struktur och de formuleringar som följer av den svenska versionen av dataskyddsdirektivet.22

2.1 Personuppgiftslagens grunder

2.1.1 Personuppgift

Enligt definitionen i PuL är en personuppgift ”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.” Därmed undantas juridiska personer, foster samt avlidna personer från lagen.23 Den breda och relativt löst utfor- made definitionen i PuL indikerar att personuppgifter är mer än bara personnummer, adress, telefonnummer etc. Personuppgifter kan innefatta bilder och ljudupptagningar på enskilda personer, även om inga namn eller direkt hänförliga uppgifter till personen ifråga uttryckligen anges. Det har av EU-domstolen konstaterats att IP-adresser kan hän- föras till en individ och således utgör dessa personuppgifter.24 Även tillfälliga IP- adresser vilka skapas vid varje ny uppkoppling på internet, s.k. dynamiska IP-adresser,

19 Artikel 1 dataskyddsdirektivet.

20 Beaktandeskälen 4 och 6 dataskyddsdirektivet.

21 Beaktandeskäl 7 dataskyddsdirektivet.

22 SOU 1997:39 s 319 ff.

23 SOU 1997:39 s 340.

24 Se mål C-70/10.

(15)

15

klassas under vissa omständigheter som personuppgifter.25 Det räcker att individen kan identifieras med hjälp av informationen för att det ska röra sig om en personuppgift, även för det fall den personuppgiftsansvarige inte själv har tillräcklig information för att identifiera den fysiska personen. Därmed klassas även krypterade uppgifter som per- sonuppgifter, under förutsättning att en utomstående part har möjlighet att läsa av upp- gifterna och identifiera individer.26

2.1.2 Behandling av personuppgifter

Behandling av personuppgifter avser alla åtgärder som vidtas gällande personuppgifter.

I samma stund personuppgifter samlas in faller det in under lagens definition av behand- ling, under förutsättning att behandlingen sker automatiskt eller i ett manuellt personre- gister.27 Bestämmelsen framgår av 5 § PuL som tar sikte på all automatiserad behand- ling vilket innebär att lagen, utöver traditionella register och databaser, tar sikte på per- sonuppgifter i löpande text samt ljud- och bildupptagningar. Vad automatiserad behand- ling exakt innebär framgår inte av lagen och för en korrekt tillämpning av 5 § PuL bör all behandling av personuppgifter som registreras i datorformat eller i någon annan form utan direkt mänsklig inblandning täckas av definitionen.28

2.1.3 Den registrerade och personuppgiftsansvarig

Den vilken personuppgiften hänför sig till är den registrerade enligt 3 § PuL. I förarbe- ten och lagtext har ”den registrerade” ansetts innefatta en redan registrerad personupp- gift om en individ såväl som en personuppgift om en individ som avses bli registrerad.29 När personuppgifter behandlas finns det en eller flera parter som tillsammans be- stämmer ändamålen med och medlen för behandlingen. Den parten/de parterna är enligt 3 § PuL personuppgiftsansvarig. I realiteten innebär det att myndigheter och juridiska personer som i sin verksamhet behandlar personuppgifter samt bestämmer vilka uppgif- ter och hur dessa ska användas, normalt är att se som personuppgiftsansvarig.30 Person- uppgiftsansvarig kan således variera från fall till fall. Genom att en person t.ex. har till- gång till personuppgifter i en databas men endast har åtkomst till att söka i registret,

25 Se mål C-582/14 p 49.

26 SOU 1997:39 s 341.

27 A a s 334.

28 A a s 347.

29 A a s 344.

30 A a s 337.

(16)

16

uppfyller inte kriterierna för att vara personuppgiftsansvarig. Skulle däremot den aktu- ella personen få tillgång till att bestämma över ändamålen med behandlingen och börja ta bort eller ändra uppgifter klassas personen istället som personuppgiftsansvarig.31

2.1.4 Personuppgiftsansvariges skyldigheter

I 9 § PuL framgår de grundläggande principerna för den personuppgiftsansvarige vid behandling av personuppgifter. Utöver att behandlingen ska var laglig, d.v.s. ske i en- lighet med övriga regler i PuL samt övriga föreskrifter hänförliga till lagen, ska:

- behandlingen ske korrekt och i enlighet med god sed

- personuppgifterna behandlas för uttryckligt angivna och berättigade ändamål, som överensstämmer med ändamålen för vilka uppgifterna blev inhämtade - personuppgifterna vara adekvata och relevanta sett till behandlingens ändamål - inte fler personuppgifter än nödvändigt behandlas med hänsyn till ändamålen

med behandlingen

- de personuppgifter som behandlas vara riktiga och aktuella

- alla rimliga åtgärder vidtas för att se till att felaktiga och ofullständiga person- uppgifter inte behandlas på ett sätt som strider mot ändamålen för behandlingen, inbegripet att uppgifterna inte bevaras för längre tid än vad som är proportioner- ligt sett till ändamålen för behandlingen.32

Angående ändamålen för behandling får dessa inte vara allt för allmänt utformade. Det är möjligt att behandla personuppgifter för andra ändamål än det som angavs vid in- samlingen, dock under förutsättning att de nya ändamålen inte är oförenliga med det första.33 Vad oförenligt innebär nämns inte uttryckligen. I ljuset av att behandlingen ska vara transparent till skydd för den registrerade, kan ändamål som denne inte haft att räkna med vid insamlandet av personuppgifterna tänkas utgöra oförenliga sådana. De nya ändamålen begränsas sedermera till likartade eller naturligt näraliggande ändamål.

Att behandling inte får ske längre tid än vad som är nödvändigt i proportion till än- damålen ger uttryck för principen om gallring. Personuppgifter ska därför tas bort eller avidentifieras om de inte längre behövs för de ändamål som de samlades in för. Denna typ av avvägning ska även ske redan vid stadiet för inhämtande av uppgifter, där inte

31 A a.

32 Se 9 § PuL, HFD 2016 ref. 40.

33 SOU 1997:39 s 353 ff.

(17)

17

fler personuppgifter än vad som behövs för att uppnå ändamålet för behandlingen be- handlas.34

2.1.5 Legala grunder för behandling

I 10 § PuL räknas de legala grunderna upp för behandling av personuppgifter. För att personuppgifter ska få behandlas måste någon av följande legala grunder vara upp- fyllda:

- den registrerade har lämnat sitt samtycke

- behandlingen är nödvändig för att fullgöra ett avtal

- behandlingen är nödvändig för fullgörandet av en rättslig skyldighet - behandlingen är nödvändig för att skydda den registrerades vitala intressen - behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna

utföras

- behandlingen är nödvändig för att personuppgiftsansvarig eller tredje man ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

- ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller tredje man, om intresset väger tyngre än den registrerades intresse för skydd mot kränkning av den personliga integriteten.

Att sända direktmarknadsföring till en enskild individ med anledning av att fullgöra avtal eller annan rättslig skyldighet torde sällan bli aktuellt då avtal om marknadsföring i huvudsak ingås mellan näringsidkare. De lagliga grunderna rörande arbetsuppgifter av allmänt intresse och i samband med myndighetsutövning är inte av relevans för direkt- marknadsföring. Den registrerades samtycke och den personuppgiftsansvariges berätti- gade intresse är de lagliga grunderna av störst intresse vid direktmarknadsföring. I redo- görelsen nedan kommer därför dessa två grunder att stå i fokus.

34 SOU 1997:39 s 356 ff.

(18)

18

2.2 Behandling av personuppgifter i direktmarknadsföringssyfte

2.2.1 Definitionen av direktmarknadsföring

Direktmarknadsföring innebär att marknadsföraren söker direkt kontakt med motta- garen. Kontakten sker genom exempelvis adresserade försändelser eller via telefon och det rör sig därför inte om en masskommunikation. Vid direktmarknadsföring är kraven ofta högre ställda på marknadsföraren angående respekt gentemot mottagaren.35 Enligt ICC:s regler för reklam och marknadskommunikation, utgör direktmarknadsföring ”alla aktiviteter som syftar till att erbjuda produkter – liksom överföring av sådana kommer- siella budskap (oavsett medium) – och vilka är avsedda att informera och uppnå ett svar från adressaten, samt alla tjänster med direkt anknytning därtill.”36

Direktmarknadsföring förutsätter m.a.o. att marknadsföringen skickas till en eller flera bestämda adressater i syfte att erhålla ett svar från dessa. Då personuppgifter be- handlas i direktmarknadsföringssyfte av kommersiella aktörer har uppgifterna inhämtats i syfte att marknadsföra produkter och tjänster mot en så relevant målgrupp som möj- ligt, s.k. riktad marknadsföring. Riktad marknadsföring innebär således att data inhäm- tas rörande en individs beteende för att på så vis identifiera dennes personliga preferen- ser.37

2.2.2 Samtycke

2.2.2.1 Personuppgiftslagen

Av 3 § PuL, i likhet med dataskyddsdirektivets motsvarande bestämmelse, framgår att samtycke är ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.”38 I förarbetet till PuL diskuteras termerna ”otvetydig” och ”uttryck- ligt” och det föreligger en osäkerhet kring hur begreppen bör tolkas. Utan någon när- mare beskrivning konstateras det att ett samtycke alltid i någon mån måste vara uttryck-

35 Svensson, Stenlund, Brink, Ström, Carlén-Wendel, s 649.

36 ICC:s Regler för reklam- och marknadskommunikation, s 27 (kapitel C).

37 Report on the CMA’s call for information, s 56.

38 SOU 1997:39 s 343.

(19)

19

ligt, samtidigt som det rörande ”otvetydigt” inte finns något mellanläge då ett samtycke antingen har givits eller inte.39

Att döma av förarbetet ställs ett högt krav på samtycke i och med kravet på otvety- dighet. I brist på en tydlig definition av begreppet blir dock tolkningen problematisk i vissa situationer. Även om inga mellanlägen tillåts kan en gränsdragning vara svår att göra och ur ett juridiskt perspektiv är beskrivningen relativt intetsägande.

Det finns inga formkrav för ett samtycke vilket innebär att det är godtagbart såväl skriftligt som muntligt. Det ligger dock i den personuppgiftsansvariges intresse att er- hålla skriftliga samtycken, då den personuppgiftsansvarige har bevisbördan för att sam- tycke inhämtats.40 Att den registrerade godtar kravet på behandling betyder inte nöd- vändigtvis att ett personligt samtycke från den registrerade har givits. Visserligen kan inte en organisation så som företrädare för den registrerade samtycka till att uppgifter behandlas om denne. Däremot får det anses vara rimligt att en ställföreträdare genom fullmakt, godmanskap eller förvaltarskap kan ge ett samtycke å den registrerades väg- nar, i de situationer det anses vara befogat.41

Har den registrerade samtyckt till att personuppgifter behandlas i direktmarknadsfö- ringssyfte lämnas, mot bakgrund av ovan nämnda, inga större tvivel för den registrera- des vilja och vad denne har att förvänta sig. Oavsett om det har varit eller är en på- gående kundrelation, eller om den registrerade aldrig tidigare haft kontakt med den per- sonuppgiftsansvarige, får personuppgifter samlas in för de direktmarknadsföringsända- mål som den registrerade uttryckligen samtyckt till. För att undvika oklarheter på denna punkt bör den personuppgiftsansvarige därför dokumentera vad som samtyckts till.42 Att erhålla ett samtycke kan ur ett ekonomiskt- och effektivitetshänseende vara pro- blematiskt för marknadsförare. Ett samtycke kan nämligen när som helst återkallas en- ligt 12 § PuL av den registrerade utan någon särskild anledning. Förutsebarheten för den personuppgiftsansvarige är därför till viss del låg när det kommer till samtycke vilket är något som denne vill undvika, särskilt om mycket tid lagts på att erhålla dessa. Om en annan laglig grund för behandling används kan detta problem undvikas. Att samla in personuppgifter utan den registrerades samtycke riskerar dock att i större mån kränka den personliges integritet. Ett högre krav ställs därför på den personuppgiftsansvarige att säkerställa att behandlingen går att rättfärdiga. Som det i uppsatsen senare kommer

39 A a.

40 Samtycke enligt personuppgiftslagen, s 7.

41 SOU 1997:39 s 344.

42 SWEDMA:s branschregler, s 4 f.

(20)

20

att påvisas, är denna bedömning ofta svår att göra. Utöver återkallelser är det även tidskrävande att inhämta samtycken från registrerade, speciellt om direktmarknadsfö- ringen rör ett stort antal individer.

2.2.2.2 MFL

Samtyckeskravet enligt PuL tar sikte på när den registrerade godkänner en behandling av personuppgifter för ett direktmarknadsföringssyfte. När det kommer till själva mark- nadsföringen finns flertalet regler och rekommendationer angående god marknadsföring enligt MFL, till skydd för den enskildes integritet. Nu aktuella uppsats fokuserar huvud- sakligen på insamling och behandling av användardata samt personuppgifter i direkt- marknadsföringssyfte. Integritetsfrågor hänförliga till metoden för och innehållet i själva marknadsföringen ges därför inte ett lika stort utrymme. En bestämmelse värd att nämna är dock 19 § MFL som i förhållande till PuL uppställer ett mer vittgående skydd för den enskildes integritet vid direktmarknadsföring.43 I paragrafen uppställs ett krav på samtycke från den enskilde individen, då en näringsidkare vid direktmarknadsföring använder sig av e-post (inbegripet SMS och MMS), uppringningsautomater eller andra liknande automatiska system som inte betjänas av någon enskild. De nu uppräknade medierna har ansetts vara tekniker som vid direktmarknadsföring är särskilt påträngande i den enskildes integritet och således krävs i dessa fall alltid ett samtycke från den en- skilde. 19 § i MFL har tillkommit genom implementationen av ePrivacy-direktivet. Be- stämmelsen tar därmed sikte på direktmarknadsföring via elektroniska kommunikat- ionstjänster, vilket redogörs för senare i uppsatsen.

2.2.3 Intresseavvägning

2.2.3.1 Personuppgiftslagen

Det har framkommit att samtycke är en tydlig grund för behandling av personuppgifter samtidigt som det ur ett kommersiellt perspektiv medför vissa negativa aspekter. Det är därför av intresse för den personuppgiftsansvarige att kunna behandla personuppgifter på en annan laglig grund. I 10 § punkt f i PuL föreskrivs en generalklausul i förhållande till övriga lagliga behandlingsgrunder i paragrafen, baserat på en intresseavvägning.44 Generalklausulen föreskriver att personuppgiftsansvarige, eller tredje man till vilken

43 Levin, Marknadsföringslag (2008:486) 19 §, Lexino 2016-12-30.

44 Sjöberg, Personuppgiftslag (1998:204) 10 §, Lexino 2017-07-02.

(21)

21

personuppgifterna lämnas ut, kan behandla personuppgifter såtillvida intresset i att be- handla uppgifterna för ett visst ändamål väger tyngre än den registrerades intresse att skyddas mot kränkning av den personliga integriteten. I förarbetet till PuL nämns att behandling av personuppgifter för direktmarknadsföringsändamål kan vara tillåten då behandlingen grundar sig på en intresseavvägning i 10 § punkt f i PuL.45 Generellt sett i fall där ett kommersiellt intresse vägs mot den enskildes rätt till integritet, krävs för en laglig behandling att det kommersiella intresset tydligt väger över. Mer vägledning i bedömningen än så ges inte i förarbetena, utan istället nämns Datainspektionen som den ytterst ansvariga myndigheten vad gäller råd till personuppgiftsansvariga vid en intres- seavvägning där myndigheten och regeringen i samspråk ska ta fram relevanta föreskrif- ter.46

2.2.3.2 Dataskyddsdirektivet

I artikel 7 f) dataskyddsdirektivet återfinns regeln gällande intresseavvägning. Bestäm- melsen är i huvudsak likalydande, men med en avvikelse beträffande intresse. I stället för att, i enlighet med PuL, endast iaktta den registrerades intresse av att den personliga integriteten inte kränks vid intresseavvägning, skiljer dataskyddsdirektivet på den regi- strerades intressen och dennes grundläggande fri- och rättigheter. Vid en intresseavväg- ning måste därför båda faktorerna separat beaktas och respekteras.47

I ljuset av dataskyddsdirektivets syfte som i artikel 1 är att skydda enskildas grund- läggande fri- och rättigheter, talar mycket för att den registrerades intresse i de allra flesta fallen tar sikte på just detta skydd. Att Sverige valt en speciell utformning torde därför inte påverka bedömningen, men för tydlighetens skull vid undersökning av EU- praxis och vägledningar på EU-nivå bör dataskyddsdirektivets bestämmelse tas i beakt- ning.

45 Prop. 1997/98:44 s 65.

46 SOU 1997:39 s 365 ff.

47 Opinion 06/2014, s 23.

(22)

22 2.2.3.3 Datainspektionen

Datainspektionen är den myndighet i Sverige som verkar för att den personliga integri- teten inte kränks vid behandling av personuppgifter. Datainspektionen publicerar väg- ledningar vilka kompletterar lagstiftningen på området och i ett informationsblad rö- rande intresseavvägningen i PuL behandlas frågan om hur bestämmelsen ska tolkas.48 Enligt Datainspektionen är det inte möjligt att generellt påstå att ett intresse i att be- handla personuppgifter för direktmarknadsföring alltid väger tyngre än den registrerades intresse, utan intresseavvägningen får bedömas från fall till fall. Intresset i att marknads- föra produkter och tjänster är dock ett sådant intresse som i regel väger över till den personuppgiftsansvariges fördel.49 I regeringsrätten slogs det fast att CSN:s register över studenter fick lämnas ut efter en intresseavvägning för marknadsföringsändamål. Den aktuella marknadsföringen var dock bara ett reklamutskick per termin, inga känsliga uppgifter behandlades utan enbart offentliga uppgifter så som namn och adress samt den enskilde gavs möjlighet att motsätta sig direktmarknadsföringen.50

Som ovan praxis indikerade kan känsliga uppgifter inte behandlas med stöd av in- tresseavvägning, vilket också explicit framgår av 15-19 §§ PuL. Känsliga uppgifter in- nefattar enligt 13 § PuL bl.a. uppgifter som avslöjar ras, sexuella preferenser, religiös övertygelse, politisk åsikt eller hälsotillstånd.

2.2.3.4 SWEDMA

Branschorganisationen SWEDMA, med fokus på direkt och datadriven kommunikation, har tagit fram branschregler gällande god sed enligt PuL, vid behandling av personupp- gifter i direktmarknadsföringssyfte.51 Branschreglerna, vilka godkänts av Datainspekt- ionen, utreder särskilt i vilka fall det kan vara aktuellt med en intresseavvägning. Per- sonuppgifter för direktmarknadsföringsändamål kan dels samlas in direkt från den regi- strerade, dels från en källa där den registrerade personen, utan att ha invänt, presumeras vara medveten om att personuppgifter kan samlas in för nu aktuellt ändamål.52 SWEDMA:s riktlinjer pekar på en viktig skillnad vad gäller relationen mellan person- uppgiftsansvarige och den registrerade och då en sådan inte existerar. En relation före- ligger om en anknytning finns mellan parterna i form av personlig kontakt där den regi-

48 Intresseavvägning enligt personuppgiftslagen.

49 A a s 7.

50 RÅ 2002 ref. 54.

51 SWEDMA:s branschregler.

52 A a 4.

(23)

23

strerade självmant lämnat uppgifter eller medgivit ett utlämnande av personuppgifter.

Anknytningen kan även bestå i ett kund- eller medlemsförhållande.53

Intresseavvägningen påverkas således av vilken ”hatt” den registrerade har på sig i samband med att personuppgifterna inhämtas. Den registrerade i egenskap av privatper- son, jämfört med en befattningshavare vid ett företag, löper större risk att vid behand- lingen utsättas för ett otillbörligt intrång i den personliga integriteten.54 Att lämna ut register från Jordbruksverket med adressuppgifter till mjölkbönder har av Regeringsrät- ten ansetts vara ett lagenligt förfarande. Målet rörde en marknadsförare av foderproduk- ter där domstolen inledningsvis konstaterade att behandlingen var nödvändig för att tillgodose bolagets intresse i att sälja produkterna. Ytterligare faktorer med inverkan på domslutet var att mjölkbönderna, trots att de var enskilda individer, mottog marknadsfö- ringen i form av näringsidkare. Det rörde sig vidare inte om känsliga personuppgifter och mjölkbönderna hade även givits rätt att motsätta sig behandlingen.55 Till skillnad från målet rörande reklamutskick till CSN-studenter, nämndes inget i nuvarande mål om att marknadsföringen skulle bestå i ett begränsat antal utskick per år. De registrerade var i ena fallet näringsidkare och i andra fallet studenter vilka rimligtvis utgör en större och mer utsatt målgrupp. Att jämföra de två fallen blir därför aningen problematiskt och det får konstateras att såväl rollen den registrerade utåt sett iklär sig som antalet reklamut- skick påverkar intresseavvägningen.

2.2.3.5 EU-praxis

I mål C-468/10 begärdes ett förhandsavgörande från EU-domstolen med frågan huruvida artikel 7 f) i dataskyddsdirektivet utgjorde ett hinder för nationell lagstiftning att uppställa ett krav på att, utöver säkerställandet av den personuppgiftsansvariges eller tredje mans berättigade intresse och att den registrerades fri- och rättigheter inte åsido- sätts, personuppgifterna ska finnas i allmänt tillgängliga källor. EU-domstolen konstate- rade inledningsvis att artikel 7 f) består av två kumulativa rekvisit, där behandlingen, för att vara laglig, måste vara nödvändig för den personuppgiftsansvariges eller tredje mans berättigade intressen samt att aktuella intressen inte vägs upp av den registrerades grundläggande fri- och rättigheter.56 En tolkning av det senare rekvisitet kräver dock en

53 A a s 5.

54 A a.

55 RÅ 2001 ref. 68.

56 Mål C-468/10 p 28.

(24)

24

bedömning i det enskilda fallet och ska ske i ljuset av artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna.57 Personuppgifter i allmänt till- gängliga källor är en faktor möjlig att beakta vid intresseavvägningen och för det fall personuppgifterna inte finns tillgängliga i sådana källor - talar det för en allvarligare kränkning av rättigheterna i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna.58 Mot bakgrund av vikten av en bedömning i det enskilda fallet, fastslog EU-domstolen att personuppgifter inte faller utanför bestämmelsen i arti- kel 7 f) under den enskilda omständigheten att uppgifterna inte är tillgängliga i allmänna källor.

Fyra år senare, i mål C-582/14, betonades vidare vikten av flexibilitet i artikel 7 f) i dataskyddsdirektivet. EU-domstolen hänvisade till uttalandet i mål C-468/10 och påta- lade att bestämmelsen inte ger medlemsstaterna rätt att utesluta vissa typer av person- uppgifter från intresseavvägningen.

Mål C-13/16 berörde frågan huruvida en skyldighet föreligger att lämna ut person-

uppgifter till tredje man, då uppgifterna är en nödvändighet för att denne ska kunna väcka skadeståndstalan. EU-domstolen anförde att artikel 7 f) i dataskyddsdirektivet inte innebar någon skyldighet att lämna ut personuppgifter till tredje man i förevarande situation. Däremot kan ett sådant förfarande vara godtagbart med stöd av nationell rätt.

EU-domstolen har genom åren varit sparsam med vägledning angående intresseav- vägningen i artikel 7 f) dataskyddsdirektivet och Artikel 29-gruppen har flaggat för att ytterligare vägledning på området är av nödvändighet för att upprätthålla en enhetlig lagstiftning.59 Att döma av ovan praxis har EU medvetet givit medlemsländerna ett stort tolkningsutrymme vid intresseavvägningen vilket resulterat i att EU-domstolen har missat möjligheter att presentera vägledning för intresseavvägningen i mer specifika fall.60 Samtidigt valde EU-domstolen i mål C-468/10 att begränsa den nationella rätten, trots att det i beaktandeskäl 30 i dataskyddsdirektivet framgår att medlemsstaterna har rätt att bestämma under vilka omständigheter personuppgifter får användas och utläm- nas till tredje man. Således kan det argumenteras för att EU i och med domslutet gick emot direktivet.61

57 A a, p 40.

58 A a, p 44 f.

59 Opinion 06/2014, s 51.

60 Ferretti, s 845 och 863.

61 A a, s 857.

(25)

25

2.2.4 Övriga inskränkningar vid direktmarknadsföring

Om anknytningen är till följd av ett kundförhållande eller medlemskap regleras möjlig- heterna till att behandla uppgifterna för direktmarknadsföring främst genom Datain- spektionens yttranden eller branschöverenskommelser som gäller för den aktuella relat- ionen mellan registrerade och personuppgiftsansvarige. Om det för situationen inte finns passande regler, får personuppgifterna användas för den personuppgiftsansvariges di- rektmarknadsföringsändamål, dock med hänsyn till vissa begräsningar.62 Sådana be- gräsningar kan som tidigare nämnt vara intresseavvägningen till skydd för den registre- rades integritet eller kravet på samtycke i 19 § MFL. En annan viktig inskränkning framgår av 10 § PUL som erbjuder den registrerade en rätt att förbjuda den personupp- giftsansvarige att behandla dennes uppgifter för direktmarknadsföringsändamål. En så- dan motsättning ska till den personuppgiftsansvarige ske skriftligen. Som huvudregel får direktmarknadsföring inte riktas till personer under 16 år, nyblivna föräldrar innan kontroll gjort att barnet inte avlidit i samband med eller i nära anslutning till födseln samt till dödsbon inom fyra veckor från dödsfallet. Till det sista förbudet föreligger dock undantag för varor och tjänster där behovet kan sägas vara akut. Detta kan vara t.ex. gravsten, kistor och dödsboutredningar, där direktmarknadsföringen dock inte få ske via telefon.63 Med dessa begräsningar i beaktande har den personuppgiftsansvarige även rätt att föra vidare personuppgifterna till tredje man under förutsättning att tredje mans planerade marknadsföring har en näraliggande och naturlig koppling till den regi- strerades och personuppgiftsansvariges relation.64

2.3 Sammanfattning och analys av rättsläget

Det finns inget generellt svar på när en intresseavvägning väger över till den person- uppgiftsansvariges fördel. Det fordras en bedömning i det enskilda fallet. Yttranden från Datainspektionen och branschorganisationer tillsammans med praxis är de källor som ger störst vägledning i frågan. Ett tillfredsställande svar i frågan uppnås dock inte, och från den personuppgiftsansvariges synvinkel är situationen problematisk då det många gånger är fördelaktigt att basera behandlingen på en intresseavvägning. För personupp- giftsombud erbjuds visserligen råd från Datainspektionen i hur PUL ska tolkas, s.k.

62 SWEDMA:s branschregler, s 5.

63 A a s 6.

64 A a s 5.

(26)

26

samrådsyttringar.65 Även om tanken är god har yttringarna ofta en tendens att bli mer allmänt hållna än vad den personuppgiftsansvarige kan tänkas önska och några bin- dande förhandsbesked från Datainspektionen är inte möjliga att få.66

Datainspektionen påstår att intresset i att marknadsföra är ett sådant intresse som i regel väger över till den personuppgiftsansvariges fördel. Samtidigt pekar förarbetet på att personuppgiftsansvariges intresse i sådana situationer tydligt måste väga tyngre än den registrerades intresse för privatliv. Det är anmärkningsvärt att Datainspektionens uttalande skiljer sig så pass mycket åt från förarbetet och den senare rättskällan väger i regel tyngre än myndigheters vägledningar. I dagens medieklimat där privatpersoner i allt större utsträckning interagerar med kommersiella aktörer på internet och i många fall frivilligt delar med sig av personuppgifter där privatlivets gräns blir allt mer oklar, ter sig uttalandena i förarbetet från år 1997 något förlegade.

Även om intresseavvägningen sker utifrån det enskilda fallet finns mot bakgrund av den enskildes integritet riktlinjer att förhålla sig till. Frågor att beakta är främst vem den registrerade är, i vilken roll den registrerade mottar marknadsföringen, vad denne har att förvänta sig i aktuell roll och vilken typ av personuppgifter det rör sig om. Ju känsligare uppgifterna är, desto större är risken att behandlingen kränker den enskildes integritet.

Synsättet gäller inte enbart för direktmarknadsföring, utan följer av principerna för be- handling i 9 § e) och f) i PuL där krav ställs på en adekvat och proportionell behandling sett till ändamålet. Uppgifter så som namn, adress, ålder och kön är vanligtvis uppgifter av en mindre integritetskänslig natur.67

65 Information om samråd från Datainspektionen.

66 Sjöberg, Personuppgiftslag (1998:204) 10 §, Lexino 2017-07-02.

67 Svensson, Stenlund, Brink, Ström, Carlén-Wendel, s 654.

(27)

27

3 GDPR

Sedan dataskyddsdirektivet trädde i kraft har tekniken fortsatt att utvecklas i snabb takt.

Allt fler individer tillgängliggör sina personuppgifter och utbytet av personuppgifter mellan offentliga och privata aktörer inom unionen har blivit allt vanligare.68 Med an- ledning av det ökade flödet av personuppgifter har ett mer enhetligt regelverk som med- för förbättrad tillsyn ansetts nödvändigt, i vilken den registrerade ska få bättre insikt och kontroll över sina personuppgifter.69 Den 25 maj 2018 träder följaktligen GDPR i kraft som ersätter dataskyddsdirektivet och PuL.

Av förordningens nyheter följer bl.a. krav på ökad kontroll vid hantering av person- uppgifter som för företag innebär ett omfattande arbete vad gäller kartläggning, struktu- rering och framtagandet av nya rutiner för personuppgifterna de behandlar. Förordning- en kommer även att gälla för personuppgiftsansvariga utanför EU som erbjuder varor och tjänster inom unionen.70 I det följande kommer redogörelsen av GDPR dock att avgränsas till bestämmelserna av betydelse för samtycke och intresseavvägning som lagliga grunder för behandling av personuppgifter i direktmarknadsföringssyfte.

3.1 Samtycke

3.1.1 Krav på bekräftelse och ansvarsskyldighet

De lagliga grunderna för behandling av personuppgifter återfinns i artikel 6 GDPR. I artikel 4 GDPR introduceras ett krav på bekräftelse för att giltigt samtycke ska före- ligga. För att ett samtycke i enlighet med förordningen ska anses ha skett behöver den registrerade ha godkänt behandlingen genom en entydig bekräftande handling. Jämfört med dataskyddsdirektivet ställs nu ett högre krav på den personuppgiftsansvarige och denne måste säkerställa att ett otvetydigt samtycke erhålls från den registrerade innan personuppgifter behandlas. Tystnad, på förhand ifyllda rutor eller inaktivitet uppfyller inte kravet på samtycke.71

I artikel 5.1 GDPR återfinns de grundläggande principerna för behandling av per- sonuppgifter. Förutom skyldigheten att följa dessa har den personuppgiftsansvarige nu

68 Beaktandeskäl 5 GDPR.

69 Beaktandeskäl 7 GDPR.

70 Artikel 3.2 a) GDPR.

71 Beaktandeskäl 32 GDPR.

(28)

28

även en ansvarsskyldighet enligt artikel 5.2 att visa på efterlevnad av principerna. Den personuppgiftsansvarige måste därför bl.a. kunna styrka vilken laglig grund personupp- gifterna behandlas på. Att behöva styrka ett påstått samtycke från den registrerade inne- bär ett högre ställt krav på dokumentation för den personuppgiftsansvarige än tidigare.

Att stödja behandlingen på ett samtycke erhållet genom långa och svårbegripliga avtals- villkor kommer ur ett bevishänseende sannolikt inte vara tillräckligt, särskilt i ljuset av kravet på bekräftelse från den registrerade. Kravet harmoniserar även bra med den s.k.

öppenhetsprincipen med krav på en lättillgänglig och lättbegriplig kommunikation i samband med behandlingen av personuppgifter.72

Behandling av personuppgifter i direktmarknadsföringssyfte med samtycke som lag- lig grund i GDPR innebär för den registrerade ett förbättrat skydd avseende den person- liga integriteten. I stället för att den registrerade samtycker till en behandling där syftena inte klart och tydligt framgår kommer nu den personuppgiftsansvarige i och med GDPR tvingas att tydligt informera vad behandlingen avser. Från den personuppgiftsansvariges perspektiv innebär däremot de nya regleringarna ett större arbete i syfte att uppnå de höjda kraven. Omfattande interna strukturella förändringar väntar för berörda företag, både i hur samtycken inhämtas och hur de på ett lättillgängligt sätt lagras.73

3.1.2 Dataportabilitet

En annan nyhet i GDPR är rätten till dataportabilitet i artikel 20. Rätten innebär att den registrerade, om behandlingen grundar sig på samtycke eller genom avtal, har rätt att få sina personuppgifter överförda från en personuppgiftsansvarig till en annan. Om en be- handling baseras på en intresseavvägning, aktualiseras m.a.o. inte en skyldighet för den personuppgiftsansvarige att överföra personuppgifter.

För den registrerade innebär rätten en ökad kontroll över personuppgifter och ett smidigt verktyg för att med hjälp av den personuppgiftsansvarige t.ex. överföra data mellan olika sociala medietjänster.74 För konkurrerande kommersiella aktörer kan detta även vara en smidig process för att etablera nya kunder och användare. Med rättigheter följer också skyldigheter och för att möjliggöra en efterlevnad av kravet på dataportabi- litet kommer personuppgiftsansvariga att behöva utveckla effektivare format för lagring

72 Beaktandeskäl 32 GDPR.

73 Europeiska företag är oförberedda inför EU:s General Data Protection Regulation (Dagens Nyheter).

74Information om dataportabilitet från Datainspektionen.

References

Download now ( PDF - 54 Page - 587.04 KB )

Outline

Artikel 29-gruppens riktlinjer Data från elektronisk kommunikation

Related documents

POPULATIONSUTVECKLING HOS DE VANLIGASTE BOTTENFAUNA-ARTERNA I RINNANDE VATTEN I GÖTA- OCH SVEALAND 1986-2010

Trots stora mellanårsvariationer står det helt klart att de mycket höga tätheterna av dessa arter, ofta mer än 100 individer per kvadratmeter i vattendrag spridda över stora delar

Behandling av känsliga uppgifter i testverksamhet

Detta beslut har fattats av enhetschefen Charlotte Waller Dahlberg efter föredragning av juristen Elena Mazzotti Pallard. Charlotte Waller Dahlberg, 2020-04-17 (Det här är

Remissyttrande för Promemorian Behandling av känsliga personuppgifter i testverksamhet

115 76 Stockholm • Besöksadress: Tegeluddsvägen 1 • Telefon: 08-561 680 00 • Fax: 08-561 680 01 • forvaltningsrattenistockholm@dom.se •

Behandling av känsliga personuppgifter i testverksamhet

Den föreslagna ändringen har bakgrund i att behandlingen av biometriska data i testverksamhet kommer att behövas för att Sverige ska kunna förbereda sig för användandet av

Promemorian Behandling av känsliga personuppgifter i testverksamhet YTTRANDE

Förslaget i promemorian medför att känsliga personuppgifter får behandlas för testverksamhet inte bara av Polismyndigheten utan också av Migrationsverket och utlandsmyndigheterna

2020-04-21

Sveriges ambassad i Amman har beretts möjlighet att lämna remissvar på promemorian Behandling av känsliga personuppgifter i.

Ambassaden Peking har granskat förslaget ur ambassadens verksamhetsperspektiv och har inga synpunkter att redovisa. AnnaStina Okuhata

AnnaStina Okuhata 2020-04-15 Peking AnnaStina Okuhata Andre ambassadsekreterare Migrationssektionen Justitiedepartementet 103 33 Stockholm E-post:

Behandling av känsliga personuppgifter i testverksamhet Säkerhetspolisen instämmer i förslagen i promemorian. Remissvaret har beslutats av biträdande chefsjuristen Annica Runsten. Verksjuristen Fredrik Sjöberg har varit föredragande. Annica Runsten Fredri

Remissvaret har beslutats av biträdande chefsjuristen Annica Runsten.. Verksjuristen Fredrik Sjöberg har