Hoppa till innehåll på sidan
Vi guidar dig

Behandling av personuppgifter vid tillhandahållande av onlinetjänster

Här får ni som erbjuder tjänster online vägledning kring rättslig grund i affärsförhållandets olika skeden. Texten baserar sig på EDPB:s riktlinjer om avtal som rättslig grund vid tillhandahållande av onlinetjänster.

EDPB:s riktlinje 2/2019 om avtal som rättslig grund vid tillhandahållande av onlinetjänster

Vad menas med onlinetjänster?

Onlinetjänster, eller informationssamhällets tjänster som de ibland kallas, är tjänster som normalt utförs mot ersättning och som tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Det handlar om tjänster inom sociala medier, e-handel, internetsökning, kommunikation, resor och liknande.

Sådana tjänster kan finansieras på olika sätt, till exempel kan de betalas direkt av de som använder tjänsten eller genom försäljning av reklamplatser. I det här sammanhanget spelar det dock ingen roll hur tjänsterna finansieras.

Identifiera ändamålen innan personuppgifter samlas in

Det är viktigt att ni som ska tillhandahålla en onlinetjänst noggrant tänker igenom och preciserat dokumenterar för vilka ändamål ni kommer att samla in, bearbeta, lagra och på andra sätt behandla användarnas personuppgifter. Det behöver ni göra innan ni påbörjar insamlingen.

Om ni inte gör det är det i princip omöjligt att ta ställning till om ni över huvud taget har rätt att behandla personuppgifter och vilken rättslig grund ni har för de olika behandlingarna. Inom ramen för ett avtalsförhållande kan det ju finnas olika ändamål med behandlingen och därmed olika rättsliga grunder för olika delar av behandlingen.

Transparens är viktigt

Genom dataskyddsförordningen ska de registrerade få bättre kontroll över sina personuppgifter och kunna göra väl avvägda val till vilka man lämnar ut sina personuppgifter. För att det ska vara möjligt krävs att de registrerade känner till hur deras personuppgifter används i olika situationer. En av de grundläggande dataskyddsprinciperna är att personuppgifter ska behandlas på ett öppet sätt i förhållande till de registrerade (artikel 5.1 a).

När det gäller onlinetjänster kan det vara svårt för användare att förstå hur deras personuppgifter hanteras. Tekniska framsteg har gjort det möjligt att enkelt samla in och behandla fler personuppgifter än tidigare. Till exempel kartläggs ofta användarnas beteende på ett sätt som användaren inte är medveten om och som inte är uppenbart utifrån typen av tjänst.

Därför är det extra viktigt att ni som tillhandahåller tjänsten klart och tydligt informerar användarna om för vilka olika ändamål deras personuppgifter kommer att behandlas (skäl 39). Utifrån beskrivningen av respektive ändamål ska den registrerade kunna förstå vilken typ av behandling som kommer att utföras. Vaga eller allmänt hållna beskrivningar, såsom "att förbättra användarnas upplevelse", "marknadsföringsändamål", "IT-säkerhetsändamål" eller "framtida forskning", är inte tillräckligt precisa.

Att smyga in villkor om behandling av personuppgifter i avtalstexten för att maximera möjlig insamling och användning av personuppgifter är naturligtvis inte okej.

Öppenhet och information till registrerade (pdf, 462 kB)

Allmänt om avtal som rättslig grund

Ibland kan avtalsenliga skyldigheter mot den registrerade inte fullgöras utan att den registrerade lämnar vissa personuppgifter. Om en specifik behandling är en nödvändig del av tjänsten som den registrerade vill använda ligger det i båda parternas intresse att behandla dessa personuppgifter, eftersom tjänsten annars inte kan tillhandahållas. Behandling av harmlösa personuppgifter som är ”nödvändig” för att fullgöra ett avtal med den registrerade, eller för att på begäran av den registrerade vidta åtgärder inför ett avtal, är därför tillåten enligt dataskyddsförordningen (artikel 6.1 b).

Men om ni som tillhandahåller tjänsten inte kan visa att

a) ett avtal finns,
b) att avtalet är avtalsrättsligt giltigt och
c) att behandlingen objektivt sett är nödvändig för fullgörandet av avtalet

bör ni överväga en annan rättslig grund för behandling.

Rättslig grund

Avtal som rättslig grund vid tillhandahållande av onlinetjänster

Ni kan fritt utforma er verksamhet och era tjänster, så länge ni håller er inom avtalsrättens och konsumentlagstiftningens ramar. Till exempel kan ni välja att samla flera separata tjänster eller delar av en tjänst med olika syften och funktioner i ett och samma avtal.

Om avtalet består av flera separata tjänster eller delar av en tjänst som kan fullgöras oberoende av varandra uppstår frågan i vilken utsträckning fullgörande av avtalet kan fungera som rättslig grund för de behandlingar som ni utför. För att avgöra den frågan bör ni titta närmare på vilka behandlingar som objektivt sett är nödvändiga att utföra för att tillhandahålla var och en av de tjänster som användaren aktivt har begärt eller registrerat sig för.

Begreppet ”nödvändig”

Då en viss behandling av personuppgifter är nödvändig för att ett avtal med den registrerade ska kunna fullgöras finns alltså rättslig grund för behandlingen.

Avtal för onlinetjänster innehåller ibland uttryckliga villkor om bland annat reklam, betalningar eller cookies. Att en viss personuppgiftsbehandling nämns i ett avtal innebär dock inte per automatik att behandlingen är nödvändig för att fullgöra avtalet.

Behandlingen måste vara objektivt sett nödvändig för att det specifika tjänsteavtalet ska kunna fullgöras. Det räcker inte att behandlingen är ”användbar”. Och om det till exempel finns andra rimliga och mindre integritetskänsliga sätt att uppnå syftet med tjänsten på, är behandlingen i fråga inte nödvändig för fullgörandet (skäl 39).

I bedömningen av om en behandling är nödvändig är det viktigt att ni beaktar användarnas förväntningar. Kan den typiske användaren förutse att en viss behandling kommer att utföras då avtalet ingås? Kan avtalet anses fullgjort utan att behandlingen i fråga har utförts?

Ni bör kunna visa att det huvudsakliga syftet med det specifika avtalet i praktiken inte kan uppnås om behandlingen i fråga inte utförs.

Om ni kommer fram till att vissa behandlingar inte är nödvändiga för att fullgöra det enskilda tjänsteavtalet är det möjligt att en annan rättslig grund bättre matchar syftet med den typen av behandlingar, till exempel ett frivilligt lämnat samtycke (artikel 6.1 a) eller en så kallad intresseavvägning (artikel 6.1 f). Bedömningen av om fullgörande av avtalet är lämpligt som rättslig grund påverkar alltså inte lagligheten i avtalet eller paketet av tjänster som sådant.

Vad är nödvändigt?

Exempel

En person köper en vara från en nätbutik. Kunden vill betala med kreditkort och vill att varan ska levereras till hemmet. För att fullgöra avtalet måste nätbutiken behandla kundens kreditkortsinformation för betalningsändamål och kundens hemadress för att kunna leverera varan. För dessa behandlingar utgör fullgörande av avtalet rättslig grund. Men om kunden hade valt att varan i stället skulle skickas till en viss upphämtningsplats skulle behandlingen av kundens hemadress inte vara nödvändig för att fullgöra avtalet. Behandling av kundens hemadress skulle i den situationen kräva en annan rättslig grund.

 

Att acceptera avtalsvillkor och att lämna sitt samtycke är två olika saker

Ni bör vara tydliga med vilken rättslig grund ni stöder er behandling av personuppgifter på. Det är särskilt viktigt när man baserar behandlingen på fullgörande av avtal och det handlar om avtal i samband med onlinetjänster.

Användarna kan lätt få intrycket att de ger sitt samtycke till behandling av personuppgifter när de tecknar ett avtal eller accepterar villkor för en tjänst. Samtidigt kan en tjänsteleverantör felaktigt anta att undertecknandet av ett avtal motsvarar ett samtycke i dataskyddsförordningens mening (enligt artikel 6.1 a). Det är viktigt att skilja mellan att acceptera villkor för att ingå ett avtal och att ge samtycke i den mening som avses i dataskyddsförordningen, eftersom dessa koncept har olika förutsättningar och olika rättsliga konsekvenser (se artikel 4.11).

Då ni behandlar personuppgifter som faktiskt är nödvändiga för att fullgöra ett avtal, utgör inte samtycke rättslig grund för behandlingen. Omvänt får behandling som i praktiken inte är nödvändig för fullgörandet av ett avtal utföras endast om den vilar på en annan rättslig grund.

Rättslig grund innan avtal ingåtts

Viss behandling av personuppgifter kan vara nödvändig att utföra innan ett avtal ingås (artikel 6.1 b och skäl 44). Även en sådan behandling är tillåten, förutsatt att det är den registrerade som tar initiativ till att ingå ett avtal och behandlingen är nödvändig för att nå fram till det den registrerade har tagit initiativ till (se skäl 40).

Till exempel då den registrerade kontaktar er för att fråga om närmare detaljer kring en viss tjänst, kan behandlingen av den registrerades personuppgifter i syfte att svara på frågan utföras med stöd av denna rättsliga grund. Marknadsföring eller annan behandling som utförs enbart på initiativ av er omfattas dock inte, utan kräver en annan rättslig grund.

Behandling på begäran av den registrerade

Exempel

En registrerad ger ut sitt postnummer för att få veta om ett visst företag levererar sina tjänster i det område hen bor. Behandlingen för det ändamålet betraktas som nödvändig för att vidta åtgärder på begäran av den registrerade innan hen ingår ett avtal, och har därmed rättslig grund.

 

Behandlingar till följd av avtalet

Avtal som rättslig grund är alltså tillämpligt på behandlingar som behövs för att fullgöra ett avtal. Det omfattar behandling av personuppgifter för att vidta sådana åtgärder som man rimligen kan förutse och som behövs inom ett normalt avtalsförhållande. Det kan till exempel handla om att skicka betalningspåminnelser eller att hantera reklamationer.

Ni kan dock inte med automatik hänvisa till avtal som rättslig grund för alla behandlingar som kan komma att utföras när någon part till exempel inte följer avtalet. Behandling av personuppgifter i inkassoverksamhet eller inom ramen för en rättsprocess anses inte rymmas inom ett normalt avtalsförhållande men kan vara tillåten på en annan rättslig grund, till exempel ett berättigat intresse enligt artikel 6.1. f under de förutsättningar som anges där.

Rätta till fel efter köp

Exempel

Ett företag säljer produkter online. En kund kontaktar företaget eftersom färgen på den levererade produkten skiljer sig från vad som avtalats. Behandlingen av personuppgifter om kunden i syfte att rätta till felet kan baseras på den rättsliga grunden fullgörande av avtal.

 

Förändringar i onlinetjänsten

Om ni till exempel introducerar ny teknik så att behandlingen av personuppgifter inom ramen för en tjänst förändras, måste ni på nytt analysera behandlingen av personuppgifter och säkerställa att det finns en rättslig grund för den.

När ett avtal upphör att gälla

Om er behandling av personuppgifter bygger på den rättsliga grunden fullgörande av avtal och avtalet upphör i sin helhet är behandlingen inte längre nödvändig för att fullgöra det avtalet. Behandling av personuppgifter för att till exempel lämna tillbaka varor eller betala utestående belopp kan baseras på den rättsliga grunden att fullgöra avtalet. Men som huvudregel måste ni alltså radera användarens personuppgifter, eftersom de inte längre är nödvändiga att bevara i förhållande till de ändamål för vilka de samlades in (artikel 17.1 a).

Fortsatt behandling kan dock vara nödvändig för att till exempel uppfylla en rättslig förpliktelse eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 17.3 b och e). 

Bevarande av personuppgifterna förutsätter dock att ni redan innan de samlas in har identifierat dessa ändamål och de rättsliga grunderna. Användarna ska dessutom ha fått tydlig information om hur länge ni planerar att spara  personuppgifterna för respektive ändamål efter att avtalet har upphört (artikel 13.1 c, 13.2 a, 14.1 c och 14.2 a).

Spara uppgifter för bokföringsändamål

Exempel

En prenumerationstjänst erbjuds online. Användaren kan avbryta prenumerationen när som helst. När ett avtal om tjänsten ingås informerar tjänsteleverantören användaren om behandlingen av personuppgifter. Tjänsteleverantören förklarar bland annat att så länge avtalet löper kommer man att behandla personuppgifter om användarens användning av tjänsten för fakturering. I det fallet är den rättsliga grunden att fullgöra avtalet, eftersom behandlingen för faktureringsändamål objektivt sett är nödvändig för det. Tjänsteleverantören förklarar också att användningshistoriken kommer att raderas när avtalet sägs upp och det inte länge finns några krav på betalning.

Vidare informerar tjänsteleverantören användaren om att han har en rättlig förpliktelse att behålla vissa personuppgifter för bokföringsändamål under ett visst antal år. Tillämplig rättslig grund i den delen är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c). Tjänsteleverantören kan därmed bevara de personuppgifter som krävs för bokföringen även efter att avtalet har upphört att gälla.

 

Behandling för att utveckla tjänsten

Tjänsteleverantörer samlar ofta in detaljerad information om hur användarna nyttjar tjänsten. Även om möjligheten att förbättra en tjänst eller utveckla nya funktioner inom en befintlig tjänst nämns i avtalsvillkoren så kan den typen av behandling i de flesta fall inte anses nödvändig för att tillhandahålla tjänsten, eftersom tjänsten kan levereras utan att behandlingen utförs. Grunden att fullgöra ett avtal är alltså inte tillämplig, utan ni behöver se er om efter en annan rättslig grund för den typen av behandling.

Behandling för att förhindra bedrägerier

Åtgärder i syfte att förebygga eller bekämpa bedrägerier kan innebära övervakning och profilering av användare. Sådan behandling av personuppgifter går sannolikt utöver vad som objektivt sett är nödvändigt för att ett avtal med en användare ska kunna fullgöras. Behandlingar av personuppgifter som är strikt nödvändiga för att förhindra bedrägerier skulle dock kunna vara tillåtna med stöd av en så kallad intresseavvägning (artikel 6.1 f) eller för att uppfylla en rättslig förpliktelse (artikel 6.1 c).

Behandling för beteendebaserad reklam

Som huvudregel är behandling av personuppgifter för att kunna tillhandahålla beteendebaserad reklam inte nödvändig för att fullgöra ett avtal om onlinetjänster. Användaren har inte anlitat tjänsteleverantören för att få sina preferenser och sin livsstil kartlagda genom klickhistorik på en webbplats och de varor som denne har köpt, utan för att leverera vissa varor och tjänster. Det är svårt att hävda att avtalet inte hade fullgjorts om det inte hade funnits någon beteendebaserad reklam.

Beteendebaserad reklam, med tillhörande kartläggning och profilering av användare, används ofta för att finansiera onlinetjänster. Den rättsliga grunden att fullgöra avtal kan dock inte ge stöd för behandling i syfte att ta fram beteendebaserad reklam bara för att sådan reklam indirekt finansierar tjänsten. I denna riktning talar även det faktum att registrerade har en absolut rätt att invända mot behandling av personuppgifter för direktmarknadsföring (artikel 21).

Med tanke på att dataskydd är en grundläggande rättighet och att ett av huvudsyftena med dataskyddsförordningen är att ge de registrerade kontroll över sina personuppgifter, kan personuppgifter inte betraktas som en handelsvara. Även om användaren kan acceptera behandlingen, kan denne inte byta bort sina grundläggande rättigheter mot en onlinetjänst.

Automatiserat individuellt beslutsfattande och begreppet profilering (pdf, 458 kB)

Användarprofiler

Exempel

En nätbutik vill skapa användarprofiler baserade på användarnas besök på webbplatsen. Fullgörandet av köpeavtalet är inte beroende av skapandet av sådana profiler. Så även om profileringen uttryckligen nämns i avtalet, gör inte det ensamt att behandlingen anses nödvändig för att fullgöra köpeavtalet. En sådan profilering förutsätter att nätbutiken kan luta sig mot en annan rättslig grund.

 

Behandling för individuell anpassning av innehåll

I vissa fall kan behandling av personuppgifter för individuell anpassning av innehållet i en onlinetjänst anses nödvändig för att fullgöra avtalet med användaren.

Huruvida sådan behandling kan betraktas som en del av en onlinetjänst beror på typen av tjänst, förväntningarna hos den genomsnittliga användaren i förhållande till avtalsvillkoren och hur tjänsten marknadsförs samt om tjänsten kan tillhandahållas utan den individuella anpassningen. Där individuell anpassning av innehållet inte objektivt sett är nödvändig för syftet med det bakomliggande avtalet, till exempel då anpassningen är avsedd att öka användarnas nyttjande, behöver ni hitta en annan rättslig grund.

Söktjänst

Exempel

En söktjänst för att hitta hotell skapar profiler på användarna baserat på deras tidigare hotellbokningar. Profilen används för att rekommendera användaren specifika hotell bland sökresultaten. I det här fallet är profileringen av användarens tidigare beteende och ekonomiska data inte objektivt sett nödvändig för att fullgöra avtalet med användaren. Därför kan leverantören inte använda fullgörande av avtal som rättslig grund i den situationen.

Digital marknadsplats

Exempel

Potentiella köpare kan söka efter och köpa produkter på en digital marknadsplats. För att öka interaktiviteten vill marknadsplatsen visa individualiserade förslag på produkter baserat på vilka produkter de potentiella köparna tidigare har tittat på via plattformen. En sådan anpassning är inte objektivt sett nödvändig för att tillhandahålla tjänsten och marknadsplatsen kan därför inte använda fullgörande av avtal som rättslig grund.

 

Senast uppdaterad: 12 april 2021
Sidans etiketter Dataskydd