GDPR i EU
Personuppgifter som utförs av företag som bedriver onlinetjänster
Här kan du läsa information om behandling av personuppgifter som utförs av företag som bedriver onlinetjänster.
Definitionen av onlinetjänster
“Onlinetjänster” är juridiskt och formellt benämnt “informationssamhällets tjänster” inom EU-rätten och vissa medlemsländernas nationella rätt. Den juridiska benämningen definieras i EU-direktiv 2015/1535 artikel 1.1.b), ofta kallad för “Anmälningsdirektivet”.
Onlinetjänster är en tjänst som ett företag bedriver på distans, vilket innebär att leverantören och tjänstemottagaren inte befinner sig på samma plats.
Det är vidare en tjänst som innebär att leverantören får en ekonomisk fördel, exempelvis genom reklamintäkter, ersättning från användare för nyttjandet eller insamlade data som ger en ekonomisk fördel. Vidare ska onlinetjänsten tillhandahållas elektroniskt, exempelvis via internet eller annan form av överföring via elektronisk väg.
Dessutom tillhandahålls onlinetjänster på tjänstemottagarens individuella begäran, och därmed inte via massdistribution såsom TV- eller radiosändning.
Exempel på onlinetjänster är följande:
- Sociala medier
- E-handelsplattformar
- Sökmotorer
Behandling av personuppgifter som utförs av företag som bedriver onlinetjänster
Företag som bedriver onlinetjänster behandlar nästan alltid personuppgifter. Därför är det viktigt att känna till reglerna för att inte göra överträdelser. Dessutom är det viktigt att tjänsteleverantören anpassar onlinetjänsten efter GDPR, genom att till exempel implementera ett inbyggt dataskydd, såsom att ha inställningar för att användaren ska kunna återkalla sitt lämnade samtycke.
Ändamål med behandlingen av personuppgifterna
Företag som omfattas av GDPR måste alltid ha ett syfte med sin behandling av personuppgifter. Det är viktigt för leverantören av en onlinetjänst att analysera vad syftet med behandlingen är, och vilka personuppgifter som är nödvändiga för att uppnå det. Detta utgör en fundamental grund i GDPR och är baserad på principen om ändamålsbegränsning som regleras närmare i artikel 5(1)(b) i GDPR.
Transparens gentemot de registrerade avseende behandlingen
Företag måste alltid vara transparenta gentemot de registrerade vid behandlingen av deras personuppgifter. Detta gäller även för leverantörer av onlinetjänster.
Till exempel brukar många mobilapplikationer behandla vissa typer av personuppgifter för att användaren ska kunna registrera sitt användarkonto och använda tjänsten. Vid sådana fall är den rättsliga grunden ofta avtal med registrerad enligt artikel 6(1)(b) i GDPR. Information om den rättsliga grunden ska framgå i ett integritetsmeddelande, som användaren måste intyga att denne har läst.
Behandling av personuppgifter för andra ändamål
Det är vanligt att ett företag vill behandla personuppgifter som de har samlat in i samband med avtalets ingående för att kunna utföra beteendebaserad marknadsföring, men då är det inte tillåtet att stödja den behandlingen på den rättsliga grunden avtal med registrerad, eftersom sådan behandling inte är nödvändigt för avtalets ingående eller fullgörande. Däremot kan företaget använda samtycke enligt artikel 6(1)(a) i GDPR eller intresseavvägning enligt artikel 6(1)(f) i GDPR som rättslig grund för behandlingen istället.
Striktare regler när de registrerade är barn
Många onlinetjänster riktar sig till barn, eller har många barn som användare. Till exempel sociala medier. Det är tillåtet att inhämta ett samtycke från ett barn för en personuppgiftsbehandling i enlighet med GDPR, men reglerna är striktare. Åldersgränsen för ett giltigt samtycke från ett barn gällande behandling av barnets personuppgifter i samband med onlinetjänster är enligt artikel 8 i GDPR 16 år. Men alla länder i unionen har rätt att sänka åldersgränsen, till lägst 13 år, om de vill det i sin nationella rätt.
Sanktionsavgift för ett företag som informerade barn om personuppgiftsbehandlingen på engelska
Ett företag som bedriver en mobilapplikation med många barn som användare fick en sanktionsavgift utfärdad från den Nederländska dataskyddsmyndigheten för sina överträdelser av GDPR. Företaget hade bland annat informerat de registrerade om personuppgiftsbehandlingen på engelska, även fast de var barn. Företaget borde ha förmedlat informationen på holländska, eftersom engelska inte är det nationella språket i landet. När de registrerade är barn, måste företaget försäkra sig om att barnen förstår informationen om behandlingen av deras personuppgifter.
Rättsliga grunder företag som bedriver onlinetjänster kan använda
Avtal med registrerad innebär att ett företag har rätt att behandla de personuppgifter som är nödvändiga för att ingå och fullgöra avtalet. Till exempel behöver leverantören av en e-handelsplattform behandla kundens namn och adress, för att kunna fullgöra leveransen av de varor som kunderna beställer.
Behandla personuppgifter för att:
Utveckla en tjänst
Det är vanligt att behandla personuppgifter för att kunna utveckla en tjänst såsom sociala medier eller en marknadsplats. Däremot är dessa behandlingar i de flesta fall inte nödvändiga för att fullgöra avtalet, och därför är avtal med registrerad inte en lämplig rättslig grund. Samtycke eller berättigat intresse kan vara ett bättre val vid sådana fall.
Förhindra brott
Många företag arbetar med att förhindra brott, såsom bedrägerier, och många har också en skyldighet att göra det. De rättsliga grunderna som företag vid dessa fall brukar stödja sådan behandling på är rättslig förpliktelse eller berättigat intresse.
Beteendebaserad reklam
Många onlinetjänster är gratis för användaren och finansieras istället genom reklamintäkter och reklam som är beteendebaserad. Vid sådana fall brukar behandlingen av användarnas personuppgifter för marknadsföringsändamål stödjas på samtycke eller berättigat intresse som laglig grund. Den Europeiska dataskyddsstyrelsen gav ett yttrande gällande ”consent or pay-modeller” .
Det är viktigt att tänka på att företag måste genomföra en intresseavvägning för att se om de har ett berättigat intresse, samt dokumentera resultatet, innan denna rättsliga grund används som stöd för behandlingen.
Acceptans av avtalsvillkor och att ge ett samtycke till en viss personuppgiftsbehandling är inte samma sak
När ett företag bedriver en onlinetjänst behöver de ha allmänna villkor, som bland annat reglerar företagets och användarens rättigheter respektive skyldigheter. För att användaren ska få rätt att nyttja onlinetjänsten, måste användaren acceptera de aktuella allmänna villkoren. När användaren gör det, uppstår ett avtalsförhållande mellan användaren och företaget. Den rättsliga grunden för företagets behandling av användarens personuppgifter, för att kunna ingå och fullgöra avtalet, blir därmed avtal med registrerade.
Däremot får företaget enbart behandla personuppgifterna som är nödvändiga för att ingå och fullgöra avtalet. Företaget får inte får behandla personuppgifterna för andra oförenliga ändamål, såsom för att kunna utföra beteendebaserad marknadsföring. Vid sådana fall behöver företaget en annan rättslig grund för behandlingen. Till exempel samtycke eller berättigat intresse.
Observera att det inte får utgöra ett krav att användaren måste samtycka till en viss behandling för att få använda onlinetjänsten. Då är samtycket inte frivilligt lämnat, eftersom det är förenat med en negativ konsekvens för den registrerade om samtycket inte lämnas, och därmed blir ett sådant lämnat samtycke ogiltigt.
Lär dig mer om GDPR
Kakor på webbplatser
Det är vanligt att webbplatser lagrar cookies på besökarens enhet för att till exempel utföra riktad marknadsföring eller analysera webbplatsens användning. Cookies kan samla in personuppgifter som är omfattade av GDPR, exempelvis IP-adresser, och vid sådana fall måste företaget följa GDPR. Det är skillnad på nödvändiga och frivilliga cookies. Om företaget vill behandla frivilliga cookies behöver företaget få ett samtycke från användaren. Detta skiljer från nödvändiga cookies, som inte behöver ett samtycke för att få bli använda.