Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Samtycke enligt förslaget till dataskyddsförordning

De kommande veckorna kommer vi att diskutera några utvalda delar av förslaget till dataskyddsförordning som vi anser har större relevans för er läsare av bloggen. Mycket nöje!

Samtycke

I dagens blogginlägg ska vi titta närmare på kapitel 2:s Artikel 6 som ersätter Artikel 7 i dataskyddsdirektivet. Artikeln handlar om när personuppgifter får behandlas, dvs bestämmelsen motsvarar 10 § i personuppgiftslagen (SFS 1998:204).

Utgångspunkten är fortfarande samtycke från den registrerade, även om det fortfarande ges möjlighet till behandling om den är nödvändig. Samtycke definieras i Artikel 4 punkt 8 enligt följande:

varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

Kommissionens och Europaparlamentets förslag är i nuläget samstämmiga när det gäller definitionen av samtycke. Det som är nytt jämfört med direktivet är ordet “uttryckligt” som har lagts till i definitionen. Ordet uttryckligt används i personuppgiftslagen endast i relation till känsliga personuppgifter idag, se 15 §.

Rådet har i ett av sina senaste dokument (mars 2015) ersatt ordet uttrycklig mot “unambiguous” i skäl 25, vilket skulle motsvara “otvetydig” i dagens personuppgiftslag. Enligt ett annat Rådsdokument från april 2015 finns dock varken ordet “otvetydig” eller “uttrycklig” med i definitionen av samtycke i Artikel 4, utan endast i Artikel 7. Flera medlemstater har i dagsläget reservationer mot denna lydelse.

Det återstår därför att se hur mycket samtyckeskraven kommer att ökas och hur/om Rådet, Europaparlamentet och Kommissionen kan enas.

Entydig affirmativ handling

Uttrycket “godtar” i den äldre definitionen i direktivet ersattes med “genom ett uttalande eller en entydig affirmativ handling” vilket antyder att man ökar kraven på agerandet som krävs av den registrerade för att denne ska anses ha givit samtycke till behandlingen. Detta synsätt stämmer också överens med Skäl 25 av förslaget som understryker att det ska finnas en medvetenhet hos den registrerade. Kommissionen och Europaparlamentet är eniga om definitionen, även Rådet har uttrycket med i ett av sina dokument från april 2015.

Där ståndpunkterna går isär just nu är hur “entydig affirmativ handling” ska tolkas.

Kommissionen och Europaparlamentet nämner som exempel för en entydig affirmativ handling (i Skäl 25) ”en ruta som klickas i vid besök på en internetsida”. Europaparlamentet påpekar även att “[t]ystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke.”

Just uttrycket ”användning av en tjänst” kan utmana allmänna villkor och privacy policies av flera webbtjänster, som använder sig av s.k. browse-wrap avtal, dvs avtalet anses accepterat genom användning av tjänsten.

Enligt ett av de senaste dokumenten från Rådet i mars – som bygger på en tillfällig partiell överenskommelse – har Rådet dock lagt till i Skäl 25: “Where it is technically feasible and effective, the data subject’s consent to processing may be given by using the appropriate settings of a browser or other application. In such cases it is sufficient that the data subject receives the information needed to give freely specific and informed consent when starting to use the service.”

Detta synsätt liknar den tidigare cookie-bestämmelsen i direktivet om integritet och elektronisk kommunikation (genomfört genom 6 kapitel 18 § i lag (2003:389) om elektronisk kommunikation [LEK]), där endast information krävdes och webbläsarinställningar ansågs tillräckliga för ett samtycke. Vid den senaste ändringen av direktivet och LEK år 2011 infördes dock även där ett samtyckeskrav.

Här går alltså Kommissionens, Europaparlamentets och Rådets ståndpunkt väldigt mycket isär. Rådet anser att webbläsarinställningar kan anses vara samtycke, i så fall antagligen för flera webbtjänster samtidigt, medan Europaparlamentet tycker att surfandet på en webbplats inte alls kan anses vara ett samtycke.

Frivilligt samtycke & ändring av ändamål

I skäl 33 understryks även att samtycke ska utgöra en fri valmöjlighet. Europaparlamentet har där även lagt till “Användning av standardalternativ som den registrerade måste ändra för att vägra behandling, såsom förkryssade rutor, utgör inte frivilligt samtycke.”

Även om Rådet understryker vikten av en medvetenhet, verkar skäl 33 har tagits bort i Rådsdokumentet från april 2015.

Intressant nog har Kommissionens förslag: “(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. “ tagits bort i Europaparlamentet.

Kommissionens förslag i Artikel 7 punkt 4 att “samtycke [inte] ska utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning” har ändrats i Europaparlamentet version:

Samtycke ska vara bundet till ändamålet och förlora sin giltighet om ändamålet inte längre föreligger eller så snart behandlingen av personuppgifter inte längre är nödvändig för det ändamål för vilket de ursprungligen samlades in.

Även denna lydelse tolkar jag som en utvidgning av samtyckeskravet, åtminstone från Europaparlamentets sida. Företag och organisationer kan, m.a.o. inte nöja sig när de väl har fått ett samtycke utan förslaget kräver än mer att ändamålen med behandlingen styr.

Intressant nog har Rådet reviderat Kommissionens ursprungliga förslag i det avseendet att det hänvisar till andra skäl för behandlingen ifall ändamålet ändras och inte står i relation till samtycket längre: “Where the purpose of further processing is incompatible with the one for which the personal data have been collected by the same controller, the further processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1.” Flera länder reserverar sig just nu till denna lydelse.

Just obalansen understryks av Rådet (och även Kommissionen) i Skäl 34: ”In order to safeguard that consent has been freely-given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller and this imbalance makes it unlikely that consent was given freely in all the circumstances of that specific situation.”

De tre institutionerna reglerar olika krav i Artikel 7. Vissa verkar vilja avse frivilligheten, vissa kopplingen mellan samtycke och ändamålen och vissa öppnar upp möjligheten – när samtycke inte längre räcker – att falla tillbaka på nödvändighet. Även här är det väldigt oklart just nu hur en slutgiltig text kan komma att se ut.

Avslutande ord

Som förhoppningsvis framgår av inlägget är utgången när det gäller samtycke väldigt oklar just nu. Ståndpunkterna av Kommissionen, Europaparlamentet och Rådet går isär på flera punkter. Just kravet på hur ett samtycke ska se ut definieras väldigt olika. Europaparlamentet lägger mycket mer vikt på tydlighet och ett aktivt agerande, dvs inte ens förkryssade rutor uppfyller kraven på ett giltig samtycke eftersom de saknar frivillighet.

Å andra sidan anser Rådet att webbläsarinställningar i vissa fall uppfyller kraven på en ”entydig affirmativ handling”, dvs konkludent handlande, när det är teknisk effektivt. I dessa fall behöver endast information lämnas.

I alla versioner av förslaget (Kommissionens, Europaparlamentets och Rådets) finns dock möjligheten till personuppgiftsbehandling på grund av nödvändighet kvar i Artikel 6. Detta ska vi diskutera i kommande inlägg, särskilt vad avser sambandet med en intresseavvägning.

This entry was posted in Internationellt, Sverige. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment .

Kommentera

  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.