• No results found

8 oktober PERSONUPPGIFTSLAGEN Förvaltningsrätten i Stockholm har nyligen prövat om en kommuns användning

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "8 oktober PERSONUPPGIFTSLAGEN Förvaltningsrätten i Stockholm har nyligen prövat om en kommuns användning"

Copied!
6
0
0

Loading.... (view fulltext now)

Download now ( 6 Page )

Full text

(1)

PERSONUPPGIFTSLAGEN

Förvaltningsrätten i Stockholm har nyligen prövat om en kommuns an- vändning av molntjänster var för- enligt med personuppgiftslagen.

Rätten gjorde i avgörandet flera intressanta uttalanden kring vilka krav som ställs på utformningen av avtalet mellan den personuppgiftsansvarige och molntjänstleverantören.

Salems kommun (”Kommunen”) hade tecknat ett avtal med Google Ireland Limited (”Google”) om användning av molntjänster från Google. Datainspek- tionen (“DI”) riktade 2011 kritik mot Kom- munens användning av molntjänsten och förelade Kommunen att upprätta ett personuppgiftsbiträdesavtal som upp- fyllde kraven enligt personuppgiftslagen (1998:204) (”PUL”).

nyhetsbrev ip/tmt 2014:4 8 oktober 2014

W

hat

s neW

?

• personuppgiftslagen ställer krav på utformningen av avtalet om molntjänster

• marknadsdomstolen besvarar frågan vem som är annonsens av- sändare

• Kommissionen föreslår ett nytt direktiv om företagshemligheter

Vid den efterföljande granskningen av avtalet fann DI att avtalet inte var förenligt med PUL eftersom (i) det gav Google ett för stort utrymme att behandla personup- pgifterna för egna ändamål,

(ii) det inte tillräckligt tydligt stadgade när personuppgifterna skulle raderas och (iii) det inte gav Kommunen tillräcklig information om vilka underleverantörer som Google använde sig av. DI förelade Kommunen att rätta till bristerna i avtalet alternativt att upphöra med behandlingen av personuppgifterna i molntjänsten. Kom- munen valde då att överklaga avgörandet till förvaltningsrätten i Stockholm.

Ändamålet med behandlingen av person- uppgifterna

Enligt 9 § PUL måste den personuppgifts- ansvarige se till att personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifts- biträde har inget eget skadeståndsansvar

(2)

utan den personuppgiftsansvarige ans- varar även för den behandling som per- sonuppgiftsbiträdet utför. Mot bakgrund av detta anförde förvaltningsrätten att det var viktigt att instruktionerna till person- uppgiftsbiträdet, d.v.s. Google, utformades på ett sådant tydligt sätt så att Kommunen säkerställde att ingen otillåten behandling kunde komma att utföras. Enligt avtalet var ändamålet med behandlingen defini- erat som ”the purposes of providing, main- taining and improving the services”. För- valtningsrätten fann detta oförenligt med PUL eftersom villkoret var allt för omfat- tande och gav Google möjlighet att själv bestämma ändamålet med behandlingen och därigenom använda personuppgiftena i egna syften.

Personuppgifternas lagringstid

Den personuppgiftsansvarige ska även se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behand- lingen. Den s.k. Artikel 29-gruppen, vars uppgift är att bidra till en enhetlig tillämpning av Dataskyddsdirektivet 95/46/EG, har uttalat att ett person- uppgiftsbiträdesavtal bör innehålla villkor som säkerställer att radering av data ska ske på ett tillförlitligt sätt vid avtalets upp- hörande samt när den personuppgifts- ansvarige så begär. Google åtog sig att radera personuppgifterna från sina servrar när Kommunen så begärde, dock endast efter en viss tid beroende på kommersiell hänsyn -”after commercially reasonable time”. Förvaltningsrätten fann att skrivn- ingen inte var tillräckligt preciserad för att kunna godtas. Domstolen menade att en mer exakt lagringstid måste anges och anförde att även en förhållandevis lång lagringstid kunde godtas förutsatt att be- handlingen av personuppgifterna då be- gränsades.

Insyn i vilka underleverantörer som anlitas Artikel 29-gruppen har även uttalat att den personuppgiftsansvarige måste ha kännedom om alla eventuella underlev- erantörer som behandlar personuppgifter

och även i vilka länder som de är lokaliser- ade. Syftet med detta är att den ansvarige ska veta om personuppgifter kan komma att behandlas i tredje land som inte har en adekvat nivå för skydd av personuppgifter.

I det aktuella fallet hade Google lämnat en lista till Kommunen över underleverantörer som användes av Google och som behand- lade personuppgifter för Googles räkning.

Listan till Kommunen omfattade dock inte alla Googles underleverantörer och det framgick inte heller av listan i vilka länder underleverantörerna var lokaliserade. För- valtningsrätten fann därför att kraven som uppställs enligt PUL inte var uppfyllda. Att Kommunen träffat en muntlig överenskom- melse med Google, som gav Kommunen möjlighet att vid varje tidpunkt få infor- mation om vilka underleverantörer som behandlar personuppgifter för Googles räkning, påverkade enligt förvaltningsrät- ten inte bedömningen.

Sammanfattning

Förvaltningsrättens dom ger vägledning för utformande av avtal om behandling av personuppgifter i molntjänster. Den visar att en relativt lång lagringstid av person- uppgifter kan godkännas förutsatt att lagringstiden preciseras och behandlingen av personuppgifter begränsas under lagringstiden. Domen visar också att det inte är tillräckligt att en personuppgifts- ansvarig muntligen erhåller information om vilka underleverantörer som person-

uppgiftsbiträdet anlitar, utan att detta måste följa av avtalet. Slutligen har rätten genom domen gett särskild vikt till Artikel 29-gruppens rekommendationer varför även deras innehåll bör beaktas vid ut- formande av personuppgiftsbiträdesavtal.

Vill ni veta mer, kontakta gärna Bojana Saletic (bojana.saletic@hammarskiold.se)

(3)

MARKNADSRÄTT

Marknadsdomstolen har kommit med ett intressant avgörande där domsto- len slagit fast att kärande ska bevisa vem som haft ansvar för marknads- föring som strider mot marknads- föringslagen. Domstolen fann att bo- laget som debiterades för annonsering var annonseringens avsändare. Bolag- et som var varumärkesinnehavare och hade en relativt stark koppling till det bolag som debiterades ansågs trots detta inte ansvarigt för annonserna.

The Absolut Company AB (”Absolut”) stämde Purity Vodka AB (”Purity”) och yrkade att Marknadsdomstolen (”MD”) skulle besluta att vid vite förbjuda Purity att använda påståendet ”Unlike other vodka producers, Purity has de- veloped a still specifically designed for vodka production”, tre diagram som framställde att Purity Vodka hade högst värden i jämförelse med andra vodka- märken och påståendet ”The World’s Most Awarded”. Det första påståendet och ett diagram fanns publicerade på Puritys hem- sida, medan de övriga två diagrammen och det andra påståendet fanns public- erade i en skrift. Absolut ansåg även att marknadsföringen var vilseledande och misskrediterande.

Vad gäller påståendet ”Unlike other vodka producers, Purity has developed a still specifically designed for vodka produc- tion”, vitsordade Purity att det var oriktigt.

Eftersom påståendet endast fanns pub- licerat på Puritys hemsida, ansågs Purity vara ansvarig för det. MD fann påståendet vilseledande och otillbörligt och beslutade att förbjuda Purity vid vite om en miljon kronor att använda påståendet.

Vad gäller påståendet ”The World’s Most Awarded” och diagrammen invände Purity att bolaget inte var avsändare varför Absolut även stämde spritdistributören Symposion International AB (”Sympo- sion”).

Varumärke

Enligt 9 § marknadsföringslagen (2008:486) (”MFL”) måste det tydligt framgå vem som är avsändare till reklam.

Detta sker oftast genom att avsändarens namn eller firma anges. MD konstaterade med stöd av förarbetena att ett varu- märke i vissa fall kan ge upplysning om marknadsföringens ursprung, särskilt om varumärket är välkänt. Samtidigt hän- visade MD till tidigare praxis, och slog fast att så inte alltid behöver vara fallet eftersom återförsäljare ofta självständigt marknadsför produkter under varumärken som innehas av andra. I det aktuella fallet var det Symposion som hade ansökt om registrering av varumärket Purity och tre år senare överlät registreringen till Purity.

Ägarförhållanden och webbadresser Båda annonserna innehöll dels uppgifter om både Puritys och Symposions webb- adresser och dels texten ”Symposion house of taste”. Dessa uppgifter kunde en- ligt domstolen inte läggas till grund för att med säkerhet bestämma vilket bolag som var annonsens avsändare.

Därefter tittade MD på kopplingen mel- lan bolagen. Puritys grundare var ensam styrelseledamot och ordförande i Sympo- sion när en av annonserna publicerades.

Utöver det var Purity-grundarens far verksam i Symposion. Bolagen hade sam- ma adress och grundaren och hans familj ägde 10 procent i Purity. MD fann dock att ingen av dessa omständigheter hade någon direkt betydelse för bedömningen av ansvaret för marknadsföringen.

Debitering

Enligt domstolen hade Absolut inte lyckats bevisa att Purity även var avsändare av an- nonser som var publicerade i skrift.

Puritys invändning att Symposion fung- erade som en distributör och i denna ställ- ning beställde och utformade de aktuella annonserna var bestyrkt av det faktum att Symposion debiterades för annonser- ingen. Därför ansågs Symposion vara en- sam ansvarig för påståendet ”The World’s

(4)

Most Awarded”. Domstolen fann att Sym- posion inte lyckades visa att Purity Vodka var den mest prisbelönta vodkan i världen.

Därför beslutade MD att även detta påstående var vilseledande och oveder- häftig och förbjöd Symposion vid vite om en miljon kronor att använda det.

Undersökning byggs på en enda persons bedömning

Eftersom diagrammen både var pub- licerade i skrift och på Puritys hemsida, ansågs båda bolagen ansvariga för dem.

Absolut åberopade att diagrammen utfor- mats av en ensam journalist som dessutom var en nära vän till Puritys grundare och ti- digare marknadschef på Symposion. Trots att Purity och Symposion tyckte att det var en etablerad praxis att enskilda expert- er uttalar sig om alkoholhaltiga drycker fann MD att diagrammen var vilseledande eftersom det inte framgick att de bygg- des på en enda persons bedömning, utan verkade ha sitt ursprung i mer objektiva tester. Båda bolagen förbjöds vid vite om en miljon kronor att använda diagrammen utan att ange vilka tester som ligger till grund för dem.

Sammanfattning

Domen ställer ganska höga krav på käran- den som måste bevisa vem som är avsän- dare av marknadsföringen. I det aktuella fallet ansågs innehav av varumärke och nära koppling mellan två bolag inte till- räckliga för att visa att innehavaren av varumärket stod bakom marknadsföringen utan MD valde att lägga större vikt vid vem som faktiskt finansierade annonsen.

Vill ni veta mer, kontakta gärna Bojana Saletic (bojana.saletic@hammarskiold.se)

FÖRETAGSHEMLIGHETER

Europeiska kommissionen och minis- terrådet har presenterat ett förslag till direktiv om skydd för företagshem- ligheter. Syftet med direktivförslaget är att harmonisera skyddet för

konfidentiell know-how och företags- information inom Europeiska unionen.

Harmoniserad lagstiftning på området förbättrar villkoren för företagen att utveckla, utbyta och använda innova- tiv kunskap.

Företagshemligheter uppfattas av de fles- ta marknadsaktörer som strategiskt viktiga för företagens tillväxt, konkurrenskraft och innovationsförmåga. Trots detta är skydds- nivån för företagshemligheter uppsplittrad på den inre marknaden. Lagar i många medlemsstater saknar bl.a. en definition av företagshemligheter, vad anses utgöra angrepp på dessa, regler om beräkning av skadestånd och regler för skydd av före- tagshemligheter i samband med en rätts- tvist. Förutom att detta hämmar innova- tion, kunskapsöverföring och forsknings- samverkan, äventyrar det även en väl fungerande inre marknad och undergräver dess tillväxtfrämjande potential.

Högre rättsäkerhet och konvergens av- seende civilrättsliga rättsmedel minskar risken för angrepp på företagshemligheter och bidrar till ökat värde på innovationer.

Syftet med direktivförslaget är att införa jämförbara möjligheter till rättslig prövning på den inre marknaden. Avsikten är att stärka företagens konkurrenskraft och förbättra villkoren för innovativ affärs- verksamhet inom EU.

Definition av begreppet företagshem- lighet

Enligt förslaget är en företagshemlighet information som inte är allmänt känd eller lättillgänglig, har kommersiellt värde genom att den är hemlig samt hemlighålls av innehavaren med rimliga åtgärder.

Begreppet ska utöver teknisk kunskap täcka bl.a. information om kunder, lever-

(5)

eller besluta om beslag av dessa. Ett in- termistiskt beslut kan vara villkorad av att sökanden ställer säkerhet. Alternativt kan intrångsgöraren föreläggas att ställa säker- het för att undgå ett dylikt intermistiskt beslut till dess tvisten avgörs.

Domstolen ska beakta samtliga relevanta faktorer vid fastställande av skadestånds- beloppet inbegripet utebliven vinst för innehavaren av företagshemligheten, den oskäliga vinsten som intrångsgöraren gjort samt den immateriella skadan som vållats.

För det fall att beloppet är svårt att fast- ställa kan skadeståndet istället beräknas utifrån den fiktiva licensavgift som skulle utgått vid lovlig användning.

Ansökan om tillämpning av åtgärderna ska enligt kommissionens direktivförslag göras inte senare än två år efter att sökanden blivit medveten om sakförhållandena.

Ministerrådet har dock föreslagit en preskriptionsfrist om sex år.

Domstolssekretess för företags- hemligheter

Alla som har deltagit i ett rättsligt förfar- ande om ett intrång i en företagshemlighet eller har tillgång till handlingar som in- gått i det rättsliga förfarandet, ska enligt förslaget förbjudas att utnyttja eller röja företagshemligheten. Medlemsstaterna ska således säkerställa att företagshemligheter som röjts i samband med en rättstvist ska förbli konfidentiella. En domstol ska exem- pelvis kunna förordna om sekretess i fråga om dokument som innehåller företags- hemligheter, begränsa tillträde till dom- stolsförhandlingar samt tillhandahålla icke- konfidentiella versioner av avgöranden.

Vad händer framöver?

Europaparlamentets beslut väntas senare under hösten. Efter att direktivförslaget har antagits, har medlemsstaterna en tids- frist om två år för att genomföra direktivet.

Direktivet förväntas öka incitament till gränsöverskridande innovativ verksamhet genom att ge företagen verksamma på den inre marknaden ett bättre skydd för företagshemligheter.

antörer, affärsplaner och marknadsunder- sökningar.

Olagligt anskaffande, utnyttjande och röjande av företagshemlighet

Förutom att det enligt förslaget anses olovligt att anskaffa en företagshemlighet genom stöld, givande av muta, brott mot sekretessavtal eller annat beteende som strider mot god affärssed, ska det dess- utom vara olovligt att utan innehavarens samtycke obehörigen kopiera eller bereda sig tillgång till fysiska eller elektroniska dokument i innehavarens besittning. Där- utöver ska det även vara olagligt att den person som olovligen anskaffat företags- hemligheten utnyttjar eller röjer den utan innehavarens samtycke.

I kommissionens direktivförslag krävs att anskaffandet, utnyttjandet eller röjandet sker med uppsåt eller grov oaktsamhet.

Ministerrådet har dock i sitt yttrande poängterat att det är tillräckligt att de objektiva förutsättningarna för förbud är uppfyllda, d.v.s. att krav på uppsåt eller grov oaktsamhet inte borde ställas.

Civilrättsliga sanktioner och skadestånd Enligt förslaget ska medlemsstaterna se till att det finns adekvata civilrättsliga sank- tioner mot den som gjort intrång i en före- tagshemlighet. Åtgärder, förfaranden och rättsmedel ska vara rättvisa, ändamåls- enliga och avskräckande.

Bland föreslagna sanktioner nämns ett föreläggande om att utnyttjandet eller röjandet av företagshemligheten ska upp- höra. Domstolen ska dessutom kunna förelägga intrångsgöraren att förstöra in- trångsgörande varor, återkalla dessa från marknaden samt förstöra handlingar inne- hållande företagshemligheter.

Under pågående intrång kan en domstol enligt förslaget under vissa förutsätt- ningar besluta om interimistiska åtgärder för att sätta stopp i ingreppet genom att exempelvis förelägga den påstådda intrångsgöraren att sluta tillverka, sälja eller marknadsföra intrångsgörande varor

(6)

För svenskt vidkommande innebär imple- mentering av direktivet ändringar i lagen (1990:409) om skyddet för företags- hemligheter. Ändringarna kommer främst beröra utformning av civilrättsliga sank- tioner. Direktivförslaget motsvarar i stora drag den svenska skyddsnivån varför ändringarna inte torde innebära några större nyheter.

Samtidigt kan den svenska lagråds- remissen, ”Ett bättre skydd för företags- hemligheter”, innebära en straffrättslig uppdatering av lagen om skyddet för

Advokatfirman Hammarskiöld & Co

Besöksadress: Skeppsbron 42 Telefon: +46(0)8 578 450 00

Box 2278 Fax: +46(0)8 578 450 99

103 17 Stockholm www.hammarskiold.se

Kontaktpersoner IP/TMT

Thomas Lindqvist (delägare) Claes Langenius (Managing Partner) Peter Ahlström

thomas. lindqvist@hammarskiold.se claes.langenius@hammarskiold.se peter.ahlstrom@hammarskiold.se Bojana Saletic Emma Lindwall Anna Rzewuska bojana.saletic@hammarskiold.se emma.lindwall@hammarskiold.se anna.rzewuska@hammarskiold.se

Denna publikation från Hammarskiöld & Co förmedlar information och kommentarer på den juridiska utveck- lingen av intresse för våra klienter. Nyhetsbrevet är inte en heltäckande sammanställning av de behandlade frågorna och är inte avsett att utgöra juridisk rådgivning. Läsare skall därför alltid söka specifik juridisk råd- givning innan de vidtar några åtgärder med anledning av de frågor som behandlas i nyhetsbrevet.

företagshemligheter. De föreslagna änd- ringarna är tänkta att stärka skyddet mot att företagshemligheter sprids och an- vänds illojalt av anställda och andra personer som deltar i näringsidkarens verksamhet.

Vill ni veta mer, kontakta gärna Anna Rzewuska

(anna.rzewuska@hammarskiold.se)

References

Download now ( PDF - 6 Page - 232.09 KB )

Related documents

Intern kontroll i kommunen

Behovet av att motverka ekonomiskt missbruk och oegentligheter av detta slag har varit utgångspunkt till att intern kontroll blev av stor vikt även inom den kommunala

KOMMUNEN OCH DEN VAGA POLICYN

Syftet med studien är att dels bidra till forskningen kring kommuner i det svenska psykologiska försvaret och dels kommunernas möjlighet att agera inom policyn, att stärka

Kommunen – en part i

I den första diskurs som ska presenteras – Kommunen som resultatansvarig – centreras konstruktionen av kommunen som part i utbildningspolitiken kring ett ansvar för

Månadsrapport oktober 2019 för kommunen. , KS 2019/148

Under delar av 2018 och 2019 har arbetsgruppen för den fördjupade översiktsplanen för Falkenbergs stad inhämtat information och underlag som ska ligga till grund för framtagandet

Kommunen som vårdgivare

Du som patient ska ge ditt samtycke till att information om ditt hälsotillstånd lämnas ut till en annan vårdgivare eller till närstående?. Om Du inte kan lämna ditt samtycke

Boende i kommunen

[r]

Uddevalla kommuns användning av Facebook: en kvalitativ studie om hur kommunen använder Facebook

Detta har lett till att många organisationer vill vara aktiva på sociala medier, framförallt på Facebook, men att de inte har kunskap om hur de ska dra nytta av alla fördelar

Kommunen som dokumenthanterare

(ekonomi, personal, kommunikation) (Intern service & administration) Syfte: Tillgodose behovsanpassad vård och omsorg. Syfte: Tillgodose behovet av en effektiv och