Onlinetjänster enligt GDPR som en del av Europarätten

Här kan du läsa information om att behandla personuppgifter för journalistiska ändamål och onlinetjänster enligt GDPR som en del av Europarätten.

Onlinetjänster enligt GDPR som en del av Europarätten

GDPR är en EU-förordning

GDPR är en EU-förordning som gäller inom hela EU samt EES-länderna (såsom Schweiz och Norge) och det finns mycket saker att tänka på som företag. En EU-förordning är bindande för alla medlemsstater. Det går att likställa med en nationell lagstiftning som gäller ordagrant. Till skillnad från ett EU-direktiv, som består av mål för medlemsländerna att uppnå genom att implementera en egen nationell lagstiftning. 

Syftet med GDPR

Syftet med GDPR är bland annat att skyddet för personuppgifter ska vara enhetligt och likvärdigt i unionen. Dessutom blir det enklare för företag att vara verksamma i flera länder och det främjar konkurrensen. Syftet med GDPR framgår bland annat av skäl 2 i GDPR. Syftet är: 

– att skydda fysiska personers personuppgifter när företag, organisationer och offentliga organ behandlar dem.

– att skapa förutsättningar för att det ska vara ett fritt flöde av personuppgifter inom EU/EES-området där GDPR gäller. 

Onlinetjänster

Onlinetjänster spelar en viktig roll i det moderna samhället och därför har EU-rätten blivit anpassad efter den utvecklingen. Dessutom har den Europeiska dataskyddsstyrelsen skapat riktlinjer  för behandling av personuppgifter vid tillhandahållande av onlinetjänster. Exempel på onlinetjänster är sociala medier, e-handel och internetsökningar. 

Tjäna pengar på onlinetjänster

I vissa fall betalar användarna för sådana onlinetjänster, men i andra fall är det gratis och då är det främst företagen som annonserar på plattformen som finansierar företaget. Det är vid sådana fall datan om användarna som är värdet för företaget som driver plattformen. Det förekommer tyvärr företag som spårar beteenden, som användarna inte är medvetna om. 

Rättslig grund vid onlinetjänster

Avtal är en vanlig rättslig grund att använda vid onlinetjänster, men om företaget vill samla in data för reklamsyfte, ska de använda någon annan rättslig grund för det ändamålet. Detta beror på att den behandlingen inte är nödvändigt för att fullfölja avtalet och använda tjänsten. Med andra ord ska företag i sådana fall kombinera olika rättsliga grunder. Företag måste ha en rättslig grund per varje enskild behandling. Om företaget utför en behandling utan stöd i en rättslig grund är behandlingen olaglig.

Till exempel kan företaget använda avtal som rättslig grund för att samla in de personuppgifter som är nödvändiga för att använda tjänsten. Därefter kan företaget använda samtycke som rättslig grund, för att till exempel samla in personuppgifter för att kunna rikta annonser till användaren utifrån de preferenser användaren har. Däremot ska det inte vara förvirrande vilken rättslig grund som företaget använder, utan det är viktigt att vara tydlig i den information som användaren får gällande detta. 

Behandla personuppgifter på ett öppet sätt och inte fler än nödvändigt

Företag ska vara öppna och transparenta med vilka personuppgifter de behandlar och varför. Dessutom ska företag inte behandla fler personuppgifter än vad som är nödvändigt för ändamålet. Det är inte heller tillåtet att behandla personuppgifter för eventuella framtida syften som inte är angivna, bara för att det kan vara bra att ha personuppgifterna.

Syftet måste vara specifikt och angivet. Några exempel på för breda syften som inte är specifika är ”för att förbättra användarupplevelsen” eller ”för marknadsföringsskäl”. Dessa beskrivningar är för korta och en person kan inte med säkerhet veta hur personuppgifterna kommer att bli behandlade. Personen kan därmed inte ta ett välgrundat beslut och har inte blivit informerad om behandlingen på ett korrekt sätt.

I och med den tekniska utvecklingen har det blivit enklare att samla in fler personuppgifter än det som är nödvändigt för ändamålet. Exempelvis genom algoritmer och ”big data”.  Däremot är detta inte tillåtet. Företag måste därför se till att all behandling av personuppgifter, inklusive insamling, sker i enlighet med GDPR. 

Reglerna är striktare vid behandling av personuppgifter som avser barn

Många företag tillhandahåller plattformar som riktar sig till barn. Exempelvis spel, sociala medier m.m. Det är tillåtet enligt GDPR, men det finns särskilda regler och ett starkare skydd för barnen. Barn är extra skyddsvärda och det är viktigt för företagen att bland annat anpassa villkoren och utformningen av tjänsten efter det. Bolag inom EU som erbjuder onlinetjänster måste följa reglerna enligt GDPR som är en del av Europarätten.

Företag måste iaktta barns rättigheter enligt GDPR

Företag som driver plattformar som riktar sig till barn behöver se till användarna är skyddade och att barns rättigheter enligt GDPR iakttas. 

Barn har särskilda skydd enligt flera lagar, bland annat barnkonventionen och GDPR eftersom de är extra utsatta. De har bland annat svårare att bedöma risker av sina handlingar och företag som bedriver exempelvis digitala plattformar som riktar sig till barn, behöver anpassa plattformen efter reglerna. Barn spenderar mycket tid på digitala plattformar och därför är det en viktig del av deras utveckling. Företag som bedriver plattformar som riktar sig till barn behöver se till användarna är skyddade.

Enligt GDPR får barn som är över 16 år gamla lämna ett samtycke till ett företag som bedriver informationsamhällets tjänster, för att företaget ska få behandla personuppgifterna som tillhör barnet. Exempel på sådana tjänster är sociala medier.

Däremot har länderna där GDPR gäller fått rätt att sänka åldern, om de vill det. Sverige har valt att sänka den till 13 år, vilket framgår i kompletteringslagen till dataskyddsförordningen (GDPR).

Digitala plattformar som riktar sig till barn

Några saker att tänka på för företag som bedriver digitala plattformar som riktar sig till barn:

– Det är inte tillåtet att utföra direktmarknadsföring till barn under 16 år i Sverige enligt marknadsföringslagen.

– Barn ska vara skyddade från mediepåverkan som kan vara skadlig. Dessutom ska företag säkerställa att barn är skyddade från skadligt kommunikativt handlande. Exempelvis att de blir utsatta för mobbning eller hat via plattformen.

– Det är viktigt att företagen ser till att barnen inte kommer i kontakt med pornografiska bilder eller innehåll som skildrar våld. Det står reglerat i radio- och tv-lagen.

Dessutom måste onlinetjänster följa bestämmelser enligt GDPR som är en del av Europarätten.

Barnkonventionen är svensk lag

År 2020 blev barnkonventionen en svensk lag, även fast Sverige redan antog den 30 år tidigare. Konventionen reglerar rättigheter som barn ska ha i de länder som den gäller inom. I Sverige har vi en särskild myndighet som heter Barnombudsmannen, som företräder barn och utgår från barnkonventionen. 

I barnkonventionen står det reglerat att barnets bästa alltid ska tas i hänsyn när det kommer till frågor och beslut kring barnet.

Detta finns även reglerat i familjerätten, som är ett juridisk område som handlar om bland annat vårdnad om barn och arv. Även fast individerna är barn, ska deras åsikter och viljor tas i beaktande vid beslut, såsom vart ett barn vill bo mestadels av tiden om föräldrarna skiljer sig. Ju äldre barnet blir, desto högre väger åsikterna. 

informationssamhällets tjänster är även med ett annat ord kallat för onlinetjänster

Cookies på webbplatser och applikationer

Det är vanligt att företag som bedriver en webbplats eller applikation använder olika cookies på plattformen. Cookies är små textfiler som blir lagrade i besökarens enhet som denna använder vid besök av plattformen. Exempelvis kan det vara en mobil, surfplatta eller dator.

Cookies kan ge besökaren tillgång till olika funktioner och kan även ge företaget information om besökarens användning av plattformen.

Olika kategorier och typer av cookies

Det finns olika kategorier av cookies, bland annat nödvändiga cookies och icke-nödvändiga cookies.

Nödvändiga cookies får alltid bli använda och kräver inte att företaget har fått ett samtycke från användaren. Nödvändiga cookies är sådana som absolut måste bli använda för att plattformen ska fungera korrekt och att funktioner som är viktiga för användaren, ska fungera. Bedömning av vad som utgör en nödvändig cookie ska alltid utgå från användarens perspektiv. 

Däremot måste företag alltid få ett samtycke för att få använda icke-nödvädniga cookies på plattformen. Icke-nödvändiga cookies är exempelvis cookies som blir använda för analytiska ändamål, för att rikta annonser och marknadsföring till användaren, ge användaren tillgång till vissa extra funktioner m.m. 

Det finns även olika typer av cookies: sessioncookies och permanenta cookies. 

Sessioncookies blir lagrade i enheten enbart under tiden plattformen används. Normalt blir en sessionscookie borttagen när sessionen har blivit avslutad. Denna typ av cookies blir skapad igen nästa gång användaren använder plattformen.

Permanenta cookies blir däremot lagrade under en längre period och blir raderade när lagringstiden har nått sitt slut. Exempelvis kan lagringstiden vara fler år. Denna typ av cookies blir alltså inte raderad när användaren slutar använda plattformen.

Använda cookies utan samtycke

Som ovan nämnt får företag enbart använda nödvändiga cookies utan att ha fått ett samtycke till sådan användning. Övriga kategorier av cookies, får inte bli använda utan ett samtycke.

Det finns olika cookie-plugin som kan bli installerade på plattformen, som tillhandahåller en funktion för att lämna samtycke och att återkalla ett lämnat samtycke.

En person som har lämnat ett samtycke, har rätt att när som helst återkalla samtycket utan att drabbas av negativa konsekvenser. Därför är det viktigt att företaget gör detta möjligt för användarna av en webbplats eller applikation som använder cookies.

När ett samtycke blir återkallat, eller om ett samtycke inte blir lämnat, får företaget inte placera icke-nödvändiga cookies. 

Företaget ska även kunna bevisa att användaren har lämnat sitt samtycke till användning av icke-nödvändiga cookies. Därför är det viktigt att företag ser till att de dokumenterar sin insamling av samtycken. Det finns olika cookie-plugin som erbjuder en funktion av så kallad ”samtyckeslogg”, där samtliga samtycken blir loggförda. 

Behandling av personuppgifter för journalistiska ändamål

Definition av journalistiska ändamål

Definitionen av journalistiska ändamål är bred och omfattar inte bara journalister som publicerar information i sitt professionella yrke eller massmedia. Enligt praxis från EU-domstolen handlar det om företag som sprider information, åsikter eller idéer till allmänheten. Det har alltså ingen betydelse i vilket medium det sker. Om någon publicerar något av ren privat karaktär, gäller inte undantagen för journalistiska ändamål enligt GDPR vid de flesta fallen. Däremot kan det göra det i vissa fall. 

Yttrandefrihet och informationsfrihet

Yttrandefrihet är reglerat i en grundlag i Sverige och även inom en del av GDPR. Denna frihet om yttrande innebär att personer har rätt att sprida sina åsikter, utan att offentliga myndigheter ska beblanda sig, såvida det inte strider mot någon annan lagstiftning. Till exempel är det inte tillåtet att begå brottet förtal och påstå att det är tillåtet att yttra sig om vad som helst enligt yttrandefrihetsgrundlagen. 

IMY (integritetsskyddsmyndigheten) har publicerat en redogörelse där de beskriver mer om journalistiska ändamål, eftersom det inte finns någon tydlig praxis på området ännu (ingen praxis per den 22 september 2022). Vi har också sammanfattat vägledningen. 

Europarätten

Sverige gick med i den Europeiska unionen (EU) år 1995 och Europarätten har därför en viktig betydelse för Sverige. Detta innebär bland annat att svenska myndigheter, domstolar och offentliga organ omfattas av Europarätten. Detsamma gäller konsumenter (privatpersoner) och näringsidkare (företag). Vissa rättsakter är bindande, medan andra inte är det. 

EU-fördning

En EU-fördning är en rättsakt som är bindande. Den ska bli tillämpad i sin helhet och gäller i hela unionen. Ett exempel på en EU-förordning är GDPR. Förordningar träder i kraft direkt och blir en del av den nationella lagstiftningen. En EU-förordning går att likställa med en nationell lagstiftning och gäller ordagrant. 

EU-direktiv

En annan rättsakt är ett EU-direktiv. Det består av olika mål som medlemsländerna i EU ska uppnå genom att upprätta och implementera en eller flera nationella lagstiftningar. Med andra ord får länderna själva bestämma hur det ska gå till i praktiken inom sitt land, för att landet ska uppnå målen i direktivet. Exempelvis finns EU:s direktiv om konsumenträttigheter som bland annat handlar om att företag ska ta bort dolda avgifter för konsumenter. 

Länderna ska först se om den gällande nationella lagstiftningen uppfyller de mål som EU-direktivet beskriver. Om inte, ska länderna upprätta ny lagstiftning eller ändra gällande lagstiftningar för att uppnå målen. Om detta inte sker i tid, kan det leda till ett så kallat fördragsbrott. EU-direktiv är en bindande rättsakt, precis som EU-förordningar

Beslut, rekommendationer och yttranden

Ett EU-beslut kan rikta sig till ett specifikt EU-land eller något företag och är bindande för den beslutet riktar sig till.

En rättsakt som inte är bindande är rekommendationer. Det är när EU:institutionerna framför åsikter och föreslår åtgärder.

Yttranden är heller bindande och är uttalanden från EU-institutioner. 

Skillnaden mellan Europadomstolen och EU-domstolen

Det finns flera domstolar i EU och det är vanligt att många blandar ihop Europadomstolen och EU-domstolen.

EU-domstolen arbetar med att tolka EU-lagstiftning så att alla medlemsländer ska tolka och tillämpa det på samma sätt. De löser bland annat rättsliga tvister mellan EU-länder, men tar också upp tvister när privatpersoner och företag anser att deras rättigheter har blivit kränka av någon EU-institution.

Tribunalen är en annan EU-domstol som bland annat avgör mål om konkurrens, handel och varumärken m.m.

Europadomstolen arbetar med frågor om de grundläggande mänskliga rättigheterna. Om någon anser att ett land brutit mot dem mänskliga rättigheterna kan Europadomstolen avgöra målet. Däremot måste målet först avgöras i de nationella domstolarna innan Europadomstolen kan ta upp målet.