Onlinetjänster är ett annat ord för informationssamhällets tjänster

Ett annat ord för informationssamhällets tjänster är onlinetjänster, vilket är ett begrepp inom GDPR som är bra att förstå.

Definition av onlinetjänster

Onlinetjänster är ett annat ord för informationssamhällets tjänster. Ofta blir tjänsten utförd mot en ersättning, men det behöver inte vara direkt från användarna. Det finns många företag som istället tar betalt från andra företag som får marknadsföra sig på tjänsten. Dessutom ska tjänsten ske på distans genom en elektronisk väg. Hur företaget finansierar verksamheten har ingenting att göra med om det är en onlinetjänst eller inte. Exempel på sådana tjänster är företag som bedriver sociala medier och tillhandahåller program för internetsökning via sökmotorer.

Onlinetjänster för barn

Barn över 16 år får enligt GDPR ingå avtal med företag om att bli medlemmar på till exempel sociala medier. Däremot har medlemsländerna rätt att sänka åldern, vilket vissa har gjort. Sverige har sänkt åldern till 13 år. Med andra ord får barn i vissa fall ingå avtal utan sina föräldrars samtycke, såsom avseende användarkonton till vissa typer av sociala medier.

Företag som bedriver sådana tjänster riktade till barn behöver tänka på att barn har starkare skydd avseende bland annat sina personuppgifter, och att kraven på företaget är högre. Till exempel ska informationen till barn vara formulerad på ett enkelt språk och på samma språk som det inhemska i landet.

Ändamål med behandlingen av personuppgifterna

För att få behandla personuppgifter, måste företag ha ett ändamål med varje enskild behandling. Utgångspunkten är att de registrerade ska förstå vad syftet är med behandlingen och hur personuppgifterna kommer att bli använda.

Det är viktigt att inte skriva vaga beskrivningar avseende behandlingen, såsom att enbart skriva att ”behandlingen sker för marknadsföringsändamål”. Det måste vara mer specifikt beskrivet. Exempelvis: ”Behandlingen av din e-postadress sker för att vi ska marknadsföra av våra tjänster till dig, genom att vi skickar nyhetsbrev till din e-postadressen som innehåller marknadsföring av våra tjänster”.

Rättslig grund för behandling av personuppgifter

Efter att företaget har bestämt ändamålet för behandlingen, ska företaget även välja en rättslig grund att stödja behandlingen på. Det finns totalt sex (6) stycken rättsliga grunder enligt GDPR, varav två vanliga är ”Avtal” och ”Samtycke”. Avtal innebär att företaget behöver behandla personuppgifterna för att kunna ingå avtalet med den registrerade, eller fullfölja avtalet.

Dessutom kan företaget vilja använda samma personuppgifter för något marknadsföringsändamål (måste dock vara specifikt beskrivet), men då måste företaget använda någon annan rättslig grund också för det specifika ändamålet. Till exempel kan det ske genom samtycke.

Ett företag får nämligen inte samla inte fler personuppgifter än nödvändigt för ändamålet, eller använda personuppgifterna till något annat ändamål som inte är förenligt med det första ändamålet. Företag bör använda en annan rättslig grund än avtal om företaget inte kan:

– Visa att det finns ett avtal och att företaget behöver behandla personuppgifterna för att kunna fullfölja det.

– Visa att avtalet är giltigt enligt de avtalsrättsliga reglerna.

Praktiskt exempel på när det är nödvändigt att behandla personuppgifter för att fullfölja ett avtal

Ett företag som bedriver en webbshop där de säljer kläder som de skickar hem till kunderna, behöver behandla kundens namn och adress för att kunna leverera produkterna. Om behandlingen inte sker och leveransen därmed uteblir, begår företaget ett avtalsbrott eftersom de inte fullgjort sina avtalsenliga skyldigheter enligt köpeavtalet.

I dessa fall är det nödvändigt för företaget att behandla personuppgifter som tillhör kunden. Därmed är behandlingen tillåten, eftersom den sker för att fullfölja ett ingått avtal. Behandlingen av personuppgifterna ifråga sker då med stöd i den rättsliga grunden avtal.

Behandla personuppgifter för att förbättra tjänsten

Det är vanligt att företag som bedriver onlinetjänster, som är ett annat ord för informationssamhällets tjänster, vill behandla personuppgifter för att förbättra och utveckla sin tjänst. Exempelvis genom att analysera och förstå hur de registrerade använder den. Vid sådana fall är behandlingen av personuppgifterna inte nödvändig för att fullfölja ett avtal med den registrerade ifråga. Därför är avtal inte en lämplig rättslig grund för det specifika syftet. Företaget ska då använda en annan rättslig grund för det syftet. Exempelvis är det mer lämpligt att använda någon av följande rättsliga grunder: Samtycke eller Intresseavvägning.

Rättslig grund för att förebygga bedrägeri

Ett företag bör förebygga bedrägeri och det kan ske genom att övervaka registrerade. Vid sådana fall är det ”Intresseavvägning” eller ”Rättslig förpliktelse” som är lämpliga rättsliga grunder att använda, och inte ”Avtal”. Orsaken är att företaget inte behöver personuppgifterna för att fullfölja avtalet, utan syftet är att istället förebygga bedrägeri (vilket utgör ett annat ändamål).

Användarvillkor för tjänsten och villkor för behandlingen är två olika saker

Det är viktigt att skilja på Användarvillkor för en tjänst och villkoren för behandlingen av personuppgifter som brukar framgå i en Integritetspolicy. Dessa bör vara två separata dokument som kunden accepterar. Något som är bra att känna till är dessutom att en integritetspolicy inte är ett avtal, utan utgör ett dokument av informativ karaktär, tillskillnad från användarvillkor som utgör en bindande avtal mellan företaget och användaren.

Dessutom är det vanligt att ha en ruta för samtycke som den registrerade aktivt ska kryssa i, när samtycke utgör den rättsliga grunden för en behandling. Observera att rutan inte får vara förikryssad eftersom den registrerade måste ge ett aktivt samtycke genom att kryssa i den själv för att samtycket ska vara giltigt.

Informera de registrerade

Enligt GDPR ska företag informera de registrerade om behandlingen av deras personuppgifter som företaget utför. Företag ska vara transparenta kring detta och bland annat informera om vilket ändamål (syfte) de grundar på behandlingen på, rättslig grund, vilka rättigheter de registrerade har enligt GDPR, kontaktuppgifter till den personuppgiftsansvarige m.m.

Rätten att bli glömd från sökmotorer

I vissa fall har en person rätt att bli glömd från sökmotorer. Om du vill bli bortglömd från en sökmotor, bör du kontakta den aktör som tillhandahåller sökmotorn och påkalla din rätt att bli bortglömd. Om företaget invänder mot begäran, kan du istället kontakta den nationella tillsynsmyndigheten. Observera att rätten att bli bortglömd inte brukar gälla om behandlingen sker för journalistiska ändamål.

Enligt EU-domstolen har privatpersoner rätt att få sin information på sökmotorer osynliggjorda vid vissa fall. En man hade en lång rättsprocess gentemot ett stort internationellt företag som bedriver en sökmotor. Mannen hade tidigare haft skulder, vilket ledde till att hans hus låg ute på exekutiv försäljning. Däremot var detta under 1990-talet och personen hade därefter betalat tillbaka skulderna. EU-domstolen kom fram till att mannen hade rätt att få dessa uppgifter borttagna från sökmotorn.

Även fast detta var en dom från år 2014, vilket är 4 år före GDPR började gälla, har domen fortfarande relevans eftersom rätten att bli glömd även finns i GDPR som började gälla år 2018.

Personuppgifter från barn i onlinetjänster

Det är tillåtet att behandla personuppgifter som tillhör barn i onlinetjänster, såsom sociala medier. Däremot gäller vid sådana fall striktare krav. Enligt GDPR är åldersgränsen 16 år, men varje medlemsland har rätt att sänka åldern. I Sverige är åldersgränsen 13 år för samtycke vid sådana tjänster. Om barnen är yngre än 13 år, ska företaget inhämta samtycke från vårdnadshavaren.

Informationen som företaget ger till barnet avseende behandlingen av barnets personuppgifter ska vara formulerat på det inhemska språket i landet. Det finns företag som har fått betala en sanktionsavgift för att språket inte varit på det inhemska. Dessutom ska informationen vara skriven på ett enkelt och lättbegripligt språk som barn förstår.

När en person är under 18 år och därmed omyndig har de dessutom en begränsad rätt att ingå avtal. Till exempel kan ett barn som är 16 år eller äldre ingå ett köpeavtal om de har arbetat och fått en lön och därmed köper något för de pengarna.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.