Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Juridiska institutionen
Höstterminen 2016
Examensarbete i offentlig rätt, särskilt IT-rätt
30 högskolepoäng
Kakor och statlig kartläggning
Myndigheters ansvar enligt dataskyddslagstiftningen och
överordnade regelverk
Författare: Gustav Linder
Handledare: Docent Anna-Sara Lind
Innehåll
1. INLEDNING .......................................................................................................................................... 1
1.1 BAKGRUND ................................................................................................................................................... 1 1.2 SYFTE OCH PROBLEMFORMULERING ............................................................................................................. 3 1.3 METOD OCH MATERIAL ................................................................................................................................. 3 1.4 AVGRÄNSNINGAR .......................................................................................................................................... 5 1.5 DISPOSITION .................................................................................................................................................. 6
2. KAKOR ................................................................................................................................................. 7
2.1 VAD ÄR KAKOR? ........................................................................................................................................... 7 2.1.1 Introduktion och definitioner ................................................................................................................ 7 2.1.2 TCP/IP, HTTP och tre sorters kakor .................................................................................................... 7 2.1.3 Användningsområden för kakor – särskilt om integritetsproblematiken .............................................. 9
2.2 STATERS INTRESSE I STORSKALIGA DATASAMLINGAR ................................................................................. 12
3. 6 KAP 18 § LEK - KAKREGELN ...................................................................................................... 15
3.1 INLEDNING .................................................................................................................................................. 15 3.2 REGELNS EU-RÄTTSLIGA URSPRUNG .......................................................................................................... 15
3.2.1 Direktiv 2009/136/EG - ändringsdirektivet ........................................................................................ 15 3.2.2 Samtycke enligt personuppgiftsdirektivet ........................................................................................... 17 3.2.3 Kakor och dataskyddsförordningen .................................................................................................... 20
3.3 REGLERINGEN AV KAKOR ENLIGT SVENSK RÄTT ......................................................................................... 22 3.3.1 Samtyckesbegreppet enligt PUL och LEK .......................................................................................... 22 3.3.2 Kan ”på förhand gjord inställning” godtas som samtycke? .............................................................. 25 3.3.3 Påföljder enligt LEK ........................................................................................................................... 26
3.4 EFTERLEVNAD ............................................................................................................................................. 27 3.4.1 Inledning ............................................................................................................................................. 27 3.4.2 Myndigheters tillämpning av regeln ................................................................................................... 27 3.4.2 Är den svenska implementeringen fördragskonform? ........................................................................ 29
4. KONSTITUTIONELLA ASPEKTER ................................................................................................ 35
4.1 INLEDNING .................................................................................................................................................. 35 4.2 SVENSK GRUNDLAG – REGERINGSFORMENS 2 KAPITEL ............................................................................... 35
4.2.1 Skyddet för den personliga integriteten – 2 kap 6 § ........................................................................... 35 4.2.2 Skadestånd på grundval av RF ........................................................................................................... 39
4.3 SKYDDET FÖR DEN PERSONLIGA INTEGRITETEN ENLIGT EKMR .................................................................. 44 4.3.1 Inledning ............................................................................................................................................. 44 4.3.2 Det materiella skyddet för den personliga integriteten ...................................................................... 44 4.3.3 Det formella skyddet för den personliga integriteten ......................................................................... 49 4.3.4 Skadestånd enligt EKMR .................................................................................................................... 50
5. SAMMANFATTNING OCH AVSLUTNING .................................................................................... 51
5.1 UNDERSÖKNINGENS RESULTAT ................................................................................................................... 51 5.2 KOMMANDE REGLERING AV KAKOR – NÅGRA ORD PÅ VÄGEN ..................................................................... 52
5.2.1 En mer aktiv tillsyn – särskilt om PTS kommande allmänna råd om kakor ....................................... 52 5.2.2 Ytterligare tankar för framtiden ......................................................................................................... 55
REFERENSER ............................................................................................................................................. 59
Förkortningslista
Står Utläses
EKMR Europeiska konventionen om skydd för de
mänskliga rättigheterna och de
grundläggande friheterna
E-kommunikations- Europaparlamentets och rådets direktiv
direktivet 2002/58/EG om behandling av personuppgifter m.m.
EU/EG Europeiska unionen/Europeiska gemenskapen
FEU/FEUF Fördrag om Europeiska unionen/Fördrag om
Europeiska unionens funktionssätt
HTTP Hypertext Transfer Protocol
LEK Lag (2003:389) om elektronisk kommunikation
OSL Offentlighets- och sekretesslag (2009:400)
Personuppgifts- Europaparlamentets och rådets direktiv
direktivet 95/46/EG om skydd för personuppgifter m.m.
PTS Post- och Telestyrelsen
PUL Personuppgiftslag (1998:204)
RF Regeringsform (1974:152)
Stadgan Europeiska unionens stadga om de mänskliga
rättigheterna
TCP/IP Transmission Control Protocol/Internet Protocol
TF Tryckfrihetsförordning (1949:45)
WP29 Article 29 Data Protection Working Party
Ändrings- Europaparlamentets och rådets direktiv 2009/136/EU
direktivet om ändring av direktiv 2002/58/EG m.m.
1
1. Inledning
1.1 Bakgrund
Den informationsteknologiska utveckling som skett under de senaste 25 åren har
inneburit stora förändringar inte bara för hur vi kommunicerar med varandra, utan även
hur vi kommunicerar med det offentliga. Information som den enskilde för 30 år sedan
kanske var tvungen att hämta ut i fysisk form på kommunkontoret, en myndighets
servicekontor eller beställa från en mer centralt belägen ort kan nu nås efter några
minuters letande på den relevanta myndighetens hemsida.1 Även vissa former av
myndighetsutövning kan inledas, handläggas och expedieras helt utan att en enskild har
någon som helst personlig kontakt med någon av myndighetens anställda.2 Dessa två
faktorer – att enskilda förväntar sig att information finns närmre till hands än tidigare
samt att enskilda idag har mindre fysisk kontakt med myndigheter än tidigare – innebär
att myndigheter idag upplever sig ha större behov av information om de individer som
använder sig av myndigheternas tjänster än vad som varit nödvändigt innan dessa faktorer
uppkom.
Den första faktorn innebär att myndighetens hemsida för många enskilda blir
myndighetens ansikte utåt; den enskildes första och i många fall enda direkta
referenspunkt till myndighetens arbete. Detta medför i sin tur krav på att en myndighets
hemsida ska vara läslig, lättförståelig och intuitivt utformad – med ett ord,
användarvänlig. För att utvärdera användarvänlighet använder sig många myndigheter av
statistik- och analysverktyg som samlar in information om enskilda, som fungerar med
hjälp av så kallade kakor (eng. cookies) Kakor är en sorts textfil som sparas i användarens
webbläsare och som kan spåra hur den enskilde användaren använder myndighetens
webbplats – hur många klick som krävs för att komma fram till rätt sida, hur lång tid det
tar för den enskilde att hitta det hen letar efter, hur hen hittade till myndighetens hemsida
och så vidare. När sådan information från ett större antal användare aggregeras blir den
sammanställningen av data ett oerhört användbart analysverktyg.
1 Enligt SCB hämtade 69 % av personer i åldern 16-74 år information från myndigheters hemsidor under
2015. Se SOU 2016:41 s 292. 2 Magnusson Sjöberg, Rättens internationalisering i det digitala informationssamhället, s 280.
2
Den andra faktorn innebär att enskilda måste identifiera sig inför myndigheter på andra
sätt när kontakten med myndigheten är helt digital än när det finns inslag av fysisk
kommunikation. I regel sker detta genom inloggning på myndighetens webbplats, i
samband med att den enskilde anger sitt personnummer. För användaren ska kunna
använda olika sidor på webbplatsen utan att för den sakens skulle behöva logga in igen
mellan varje individuell sida använder man sig även i det här fallet av kakor. Kakan lagras
i användarens webbläsare och bekräftar för hemsidan att det är samma användare som
interagerar med webbplatsen till dess att webbläsaren stängs.
Användningen av kakor är inte helt oproblematisk ur juridisk synvinkel. Det är möjligt
att, med hjälp av kakor, samla in omfattande information om enskilda individers
personliga förehavanden. Storskaliga aggregeringar av sådan information har vidare
omfattande ekonomiskt värde, så både privata företag och offentliga aktörer har ett
intresse av att tillgodogöra sig sådana aggregeringar. Därför ansågs att en helt oreglerad
användning av kakor skulle innebära väsentliga risker för enskildas personliga integritet.
Det var mot bakgrund av detta som regler upptogs i Europaparlamentets och rådets
direktiv 2002/58/EG – e-kommunikationsdirektivet - som anger under vilka
omständigheter kakor får användas.3 Direktivets regler är genomförda i svensk rätt som
lag (2003:389) om elektronisk kommunikation och kakregeln återfinns i lagens 6 kap 18
§.
Trots att lagen ställer upp krav på att den enskilde dels ska informeras om användningen
av kakor samt att samtycke till användningen ska inhämtas upplever en överväldigande
majoritet av tillfrågade EU-medborgare att de inte regelbundet informeras om dylik
datainsamling.4 Den nationella tillsynsmyndigheten för LEK, PTS noterar vidare att
regleringen framstår och uppfattas som svårtolkad för webbplatsinnehavare, alltså de
parter som har att följa lagens krav.5 Denna uppenbara diskrepans mellan lagregelns
innebörd vid första anblick och de faktiska förhållanden som antyds av empirisk
bevisning måste ha en förklaring.
3 PTS-ER-2012:28, s 28 f (bilaga 4). 4 Special Eurobarometer 431, s 18. 5 PTS-ER-2012:28, s 14.
3
1.2 Syfte och problemformulering
Denna uppsats syfte är dels att identifiera vilka juridiska regler som styr användningen
av kakor, dels att exemplifiera vissa problematiska tendenser som kan identifieras i dessa
reglers implementering och efterlevnad. Uppsatsen tar särskilt sikte på dessa reglers
implikationer för offentliga aktörers användning av kakor. Offentliga aktörer är särskilt
intressanta i sammanhanget eftersom dessa omfattas av ett större antal rättsliga strukturer,
vilket komplicerar bilden av gällande rätt; där ett privat företag enbart måste förhålla sig
till svensk lag och eventuellt vissa unionsrättsliga institut har statliga aktörer utöver dessa
även särskilda skyldigheter enligt regeringsformen och vissa internationella
rättsordningar, såsom EKMR. Om dessa särskilda skyldigheter har någon inverkan på
myndigheters användning av kakor utreds därför i denna uppsats.
1.3 Metod och material
Uppsatsens utredning lutar sig på den rättsdogmatiska metoden samt den EU-rättsliga
metoden. Med användning av den rättsdogmatiska metoden är det möjligt att utröna vilka
normer som ligger till grund för en specifik juridisk regel samt att utvärdera hur effektivt
dessa normer kommer till uttryck i den regeln. Metoden tillåter även utvärdering av en
lagregels syfte och hur väl regeln uppnår sitt syfte. Eftersom unionsrättsliga regler ofta är
utformade som målstadganden som medlemsstaterna har att uppnå, är sådan utvärdering
väsentlig när det gäller tolkning av regler som grundar sig på unionsrätten.6 Sådan
identifikation av en bakomliggande norm är ett huvudsakligen teoretiskt hantverk, där
hänvisning till empiri eller andra ”omvärldsfaktorer” traditionellt sett undvikits.7 I
uppsatsen används till viss del sådana ”omvärldsfaktorer,” men främst för att belysa olika
lagreglers konkreta resultat, snarare än som grund för en viss uppfattning om gällande
rätt. Detta bör vara godtagbart enligt den rättsdogmatiska metoden.
Den EU-rättsliga metoden skiljer sig på flera punkter från den rättsdogmatiska metoden,
till följd av EU:s mellan- och överstatliga karaktär samt de skillnader som finns mellan
de svenska och unionsrättsliga lagstiftningsprocesserna. På det EU-rättsliga området
saknas ofta de utförliga förarbeten som kännetecknar den svenska lagstiftningsprocessen.
6 Reichel i Korling & Zamboni (red.), Juridisk metodlära, s 122 f. 7 Kleineman i Korling & Zamboni (red.), s 24.
4
I stället tillkommer inslag av jämförande språklig tolkning8 samt en rad rättsliga principer
som kan härledas från fördragen. Även EU-domstolens självständiga ställning kan
nämnas i sammanhanget, samt den teleologiska eller ändamålsinriktade tolkningsmetod
som utarbetats i domstolens praxis. Här fäster domstolen vikt inte bara vid den enskilda
rättsregelns syfte utan dess syfte och plats i förhållande till själva rättsordningens syfte,
vilket har beskrivits som en sorts meta-teleologisk metod.9 I uppsatsen används även
autonom tolkning för att fastställa vissa begrepps unionsrättsliga innebörd, oavsett vilken
innebörd begreppen kan ha i den nationella rättsordningen.10
Eftersom insamling, sammanställning av och handel med personuppgifter är dels ett mer
eller mindre globalt fenomen samt dels ett relativt nytt fenomen kan det vara nyttigt att
använda sig av material från andra rättsordningar än den egna, särskilt när man anlägger
ett perspektiv de lege ferenda. Det kan därmed sägas att även den komparativa juridiska
metoden förekommer i uppsatsen, som tillåter jämförelse och viss utvärdering av
alternativa regleringsmetoder.11 Det kan också anföras att någon form av komparativ
metod används i de delar av uppsatsen där unionsrättens innehåll jämförs med dess
implementering i nationell rätt. Denna komparation syftar till att utvärdera eventuella
diskrepanser mellan unionsrätt och nationell rätt, och har eventuellt mer med den EU-
rättsliga metoden att göra än den rena komparativa metoden.
Vad gäller material använder uppsatsen främst det sedvanliga juridiska källmaterialet –
de primära rättskällorna som lag och förarbete, lagens tillämpning i rättspraxis samt det
som kommit till uttryck i doktrinen. Eftersom lagreglerna i fråga tar sikte på eller relaterar
till ett område av relativt komplex informationsteknologisk utveckling används även
lämpliga datorvetenskapliga källor för att förklara olika tekniska lösningar eller förlopp.
Vid tolkningen av den unionsrättsliga regleringen av skydd för och fritt flöde av
personuppgifter har särskild vikt tillmätts WP29s vägledande uttalanden. Gruppen består
av representanter för de nationella tillsynsmyndigheterna på området och har mandat att
utarbeta rådgivande doktrin enligt personuppgiftsdirektivets artikel 29. Dessa uttalanden
8 Hettne & Otken Eriksson (red.), EU-rättslig metod, s 160. 9 Hettne & Otken Eriksson (red.), s 151. 10 Hettne & Otken Eriksson (red.), s 161 f. 11 Valguarnera i Korling & Zamboni (red.), s 162.
5
kan förvisso karaktäriseras som ”soft law” som i regel inte har rättsligt bindande verkan.12
Det kan trots detta ändå finnas en skyldighet för nationella myndigheter att använda
dylika instrument som tolkningsunderlag vid tolkningen av nationella regler som
genomför unionsrätten,13 vilket i och för sig motiverar att gruppens uttalanden tillmäts
sådan vikt.
Det kan också nämnas att även om användningen av kakor varit föremål för uttrycklig
lagreglering och viss medial uppmärksamhet åtminstone sedan 2003, verkar påfallande
lite skrivits om kakor i den juridiska doktrinen. Det verkar inte heller förekomma någon
egentlig domstolspraxis på området. Många av de resonemang som uppsatsen framför är
således oprövade och kan inte kontrasteras mot alternativa uppfattningar från doktrinen
annat än i analogi med likartade rättsområden.
1.4 Avgränsningar
Uppsatsens syfte utesluter uttryckligen att något omfattande utrymme skulle lämnas till
privata aktörers förehavanden på området. Big data-industrin behandlas alltså endast i
förbigående och i den mån det är relevant för uppsatsens egentliga syfte. Uppsatsen
behandlar inte heller i någon vidare utsträckning regleringen för behandling av
personuppgifter enligt personuppgiftslagen (SFS 1998:204), annat än i de fall regleringen
av kakor innehåller hänvisning till regleringen av personuppgiftsområdet. Det är förvisso
sant att i många fall utgör sådan information som samlas in med kakor personuppgifter.14
Samtidigt är den personuppgiftsrättsliga regleringen både systematiskt och materiellt
distinkt från regleringen av kakor (åtminstone i svensk rätt), och det områdets
implikationer för regleringen av kakor behandlas därför inte i uppsatsen. Viss vikt
kommer dock att läggas vid Europaparlamentets och rådets allmänna
dataskyddsförordning (2016/679), eftersom den förordningen kommer att innebära ett
antal nya skyldigheter för sådana aktörer som redan omfattas av regleringen i LEK.
12 Reichel i Korling & Zamboni (red.), s 127 f. 13 Se mål C-322/88 Grimaldi, särskilt punkt 18 och 19. 14 Carey & Treacy, Data Protection, s 309 f.
6
1.5 Disposition
Uppsatsens kapitel är tematiskt indelade. Den inleds med en introduktion till ämnet kakor
– hur de fungerar och vad de används till. Kapitlet behandlar även staters intresse av
storskalig insamling och analys av data, med belysande exempel från såväl svensk
förvaltning som amerikansk brottsbekämpning. Därefter förklaras den juridiska
regleringen av kakor – den ovan nämnda 6 kap 18 § i LEK – ingående, med särskild fokus
på hur regleringen fungerar som implementering av ett EU-direktiv. I samma kapitel
presenteras också illustrerande exempel på vissa problem med efterlevnad av regleringen
hos vissa statliga förvaltningsmyndigheter. Det efterföljande kapitlet utreder hur
kakregleringen förhåller sig till det statsrättsliga skyddet för den personliga integriteten –
kartläggningsförbudet i 2 kap 7 § andra stycket RF – samt om regleringen är
tillfredsställande mot bakgrund av skyddet av den personliga integriteten som mänsklig
rättighet enligt EKMR. Ett avslutande kapitel sammanfattar uppsatsen och diskuterar
kommande förändringar i regleringen av kakor, med särskild fokus på den
tillsynsverksamhet som bedrivs av regleringens nationella tillsynsmyndighet, PTS.
7
2. Kakor
2.1 Vad är kakor?
2.1.1 Introduktion och definitioner
Ovan presenterades en väldigt kortfattad och förenklad sammanfattning av vad kakor är
och hur de fungerar. I detta kapitel redogörs mer noggrant för vilka sorts kakor som finns,
hur de används och vilken sorts information man kan samla in med hjälp av kakor.
För att undvika förvirring under framställningen nedan kan det vara hjälpsamt att först
tydligt definiera begreppen ”sida”, ”hemsida” och ”webbplats.” I vardagligt språkbruk
används nämligen dessa begrepp för vad som mer korrekt borde kallas ”domäner.” Om
en enskild till exempel letar efter viss information som tillhandahålls av PTS finns
informationen sannolikt någonstans på PTS domän, pts.se. En domän kan sedan ha ett
större antal sidor, beroende på hur den är utformad. I det här exemplet är alltså http://pts.se
och http://www.pts.se/sv/Nyheter/Internet/2016/PTS-granskar-registret-for-
toppdomanen-se/ två olika sidor på en och samma domän. I uppsatsen används begreppet
webbplats för domäner, eftersom det är det begrepp som verkar användas i offentligt
tryck, och sida för enskilda sidor på en webbplats.
2.1.2 TCP/IP, HTTP och tre sorters kakor
Internet kan sägas ha två huvudsakliga beståndsdelar, som kallas protokoll. Dessa
protokoll kallas i sin tur TCP/IP och HTTP. Protokollet TCP/IP tillåter att två enheter på
ett och samma nätverk sammankopplas i ett server-klientförhållande. Servern
tillhandahåller information till klienten och är i regel tillgänglig för ett flertal klienter.
Klienten uppger i sin tur en unik IP-adress för servern, som därmed kan skilja mellan
olika klienter. Protokollet HTTP sköter sedan utbytet av faktisk information mellan
servern och klienten.15 Servern översänder information till klienten på klientens
förfrågan, i regel genom att klienten anger en adress till en specifik sida som finns på
servern.
15 Benoist, Collecting Data for the Profiling of Web Users, s 170 f.
8
HTTP-protokollet har dock inte som utgångspunkt stöd för sessionsidentifikation, vilket
innebär att när servern har uppfyllt klientens förfrågan, det vill säga laddat den sida vars
adress klienten angivit, bryts kopplingen mellan klient och server. Om en ny förfrågan
görs, exempelvis genom att klienten klickar på en länk på sidan, skapas en ny koppling
för att överföra den informationen. Servern kommer inte att spara vilken information
klienten begärt tidigare. Om användaren har loggat in på en webbplats kommer servern
inte att spara informationen att användaren är inloggad om användaren laddar en ny sida
på samma webbplats. För att komma runt detta implementerades sessionskakan.
En sessionskaka är en textfil som sparas i användarens webbläsare när servern levererar
den information som användaren har efterfrågat. När användaren sedan gör en ny
förfrågan av servern kan servern identifiera sessionskakan och därmed ”komma ihåg” till
exempel att en viss användare är inloggad, eller att användaren har lagt en viss vara i en
digital varukorg. Sessionskakan raderas när användaren stänger sin webbläsare, det vill
säga när sessionen är över.16 Utöver sessionskakor finns även varaktiga kakor, som inte
raderas när webbläsaren stängs. Dessa möjliggör exempelvis automatisk inloggning på
hemsidor från session till session och är därför vanliga på internetbutiker och sociala
nätverk. Varaktiga kakor raderar i regel sig själva efter att en viss tid passerat. Hur lång
denna period är bestäms av den som programmerat kakan, och kakor med en varaktighet
på 30 år har påträffats.17 I vissa extrema fall har kakor med en varaktighet på 8000 år
påträffats.18
Utöver dessa två huvudkategorier av kakor brukar man även klargöra om man talar om
tredjepartskakor (eng. third-party cookies) eller inte. Här ses klient-serverförhållandet
som ett utbyte av information mellan två parter. Tredjepartskakor är alltså kakor som sätts
på klientens dator av någon annan än den webbplats som användarens dator för
närvarande kommunicerar med. Informationen som dessa kakor lagrar sänds även över
till denna tredje part. Tredjepartskakor kan sättas av bland annat reklambanners, då dessa
16 Benoist, s 171 f. 17 A a sida 171. 18 WP29 Cookie Sweep Combined Analysis Report, sida 2. Kakan i fråga hade programmerats att radera
sig själv år 9999, vilket sannolikt uttrycker en önskan att programmera en kaka med obegränsad
varaktighet.
9
tekniskt sett befinner sig på en annan webbplats än resten av sidan. När klienten sänder
en förfrågan till den domänen kan alltså en kaka sättas i klientens webbläsare.
Tredjepartskakor kan även sättas av så kallade web-bugs, som också kallas web-beacons.
Liksom reklambanners befinner sig web-bugs på en annan domän än resten av sidan och
måste således hämtas med en separat förfrågan till en annan server, men är till skillnad
från dessa typiskt sett omöjliga att urskilja med blotta ögat. De består i regel av en 1x1
pixel stor, färglös bildfil.19
Själva användningen av kakor får betraktas som väldigt utbredd, till den grad att
webbplatser som inte använder kakor numera får betraktas som ovanliga. Enligt en
mätning av PTS använder ”i stort sett” samtliga webbplatser idag kakor.20
2.1.3 Användningsområden för kakor – särskilt om integritetsproblematiken
Som visades ovan var kakfilen ursprungligen tänkt som en lösning på ett specifikt tekniskt
problem, nämligen att möjliggöra identifiering och spårning av enskilda användare på
internet-domäner. Det visade sig dock snart att kakfiler även kunde användas för mer
storskalig spårning av användare, och att man genom sådan spårning kunde utvinna
förvånansvärt stora mängder potentiellt känslig information. Det kan här vara hjälpsamt
med ett illustrerande exempel.
Låt oss säga att en student under en tid varit krasslig och börjar bli oroad över sina
symptom. Hen besöker därför Vårdguidens webbplats http://www.1177.se, som drivs av
Stockholms läns landsting, där hen klickar runt på flera tänkbara diagnoser baserat på en
sökning enligt sina symptom. När hens oro, föga förvånande, inte stillas besöker hen
Akademiska sjukhusets webbplats http://www.akademiska.se och börjar planera tänkbara
behandlingar för sin sjukdom. När hen kommer på att hen eventuellt kommer behöva vara
frånvarande från sina studier besöker hen Uppsala universitets webbplats
http://www.uu.se för att ta reda på vilken information hen behöver lämna till universitetet
i den eventualiteten.
19 Gomez, Pinnick & Soltani, KnowPrivacy Report, s 8. 20 PTS-ER-2012:28, s 13. Notera att undersökningen ”inte grundar sig på ett urval som ger statistiskt
säkerställda resultat,” s 7.
10
Eftersom dessa tre hemsidor alla använder sig av kakor som sätts av statistik- och
analysverktyget Google Analytics21 innebär det att varje enskilt sidbesök den enskilde
användaren gör på dessa domäner översänds till Google. Sådan information kan också
överföras från Google till tredje part i de fall det krävs av lag, enligt Googles
sekretesspolicy.22 Dessa kakor är bland de vanligast förekommande på Internet – enligt
en mätning användes Google Analytics av 88 % av ett urval på 400 000 webbplatser och
på 92 av de 100 största webbplatserna.23 Det bör klargöras att dessa kakor inte
självständigt inhämtar några personuppgifter som kan användas för att identifiera den
enskilde användaren. Vad kakor däremot möjliggör är långsiktig spårning av enskildas
förehavanden. Dessutom kan information från kakor kombineras med sådana
personuppgifter som den enskilde frivilligt redan lämnat över till den som sätter kakor
för att på så vis möjliggöra identifiering. Om vår fiktive student i exemplet ovan hade
inlett sin browsing-session med att kolla sin Gmail, till exempel, hade Google kunnat
kombinera personuppgifterna som framgår av studentens e-postkonto med den
information om studentens surfvanor som de har tillgång till från sitt nätverk av kakor för
att på så vis både identifiera och spåra individen. Informationen används sedan för att
dela in enskilda i segment för mer träffsäker marknadsföring. Dylik användning av
statistik- och analysverktyg som tagits fram av tredje part har väckt viss medial
uppmärksamhet, men verkar inte ha föranlett några juridiska konsekvenser.24
Det kan också ske att olika aktörer, däribland myndigheter, använder sig av kakor utan
att de själva känner till det, genom samarbete med diverse sociala media och användning
av deras insticksprogram. Om en myndighet till exempel använder sig av ”dela-” eller
”gilla-”knappar på sina egna sidor, eller bäddar in YouTube-videos på sina egna sidor,
21 http://www.akademiska.se/sv/Om-Akademiska/Om-webbplatsen-och-hur-vi-anvander-cookies/ och
http://www.uu.se/om-webbplatsen. http://www.1177.se/Stockholm/Om-1177/1177-Vardguiden-pa-
webben/#section-4 anger att 1177 Vårdguiden inte använder varaktiga kakor, men trots detta sätter sidan
varaktiga Google Analytics-kakor. Att dessa tr förekommer på hemsidan bekräftas av PTS verktyg ”Hitta
kakor”, tillgängligt på http://e-tjanster.pts.se/internet/kakor/ . Samtliga kontrollerade den 29 september
2016. 22 Googles sekretesspolicy, rubriken ”Information som vi delar.” 23 Gomez, Pinnick & Soltani 2009, s 4. 24 DN, ”Svenska myndigheter lämnar ut dina surfvanor” publicerad 2015-09-02. Se även SOU 2016:41, s
314 f.
11
kan dessa tredje parter sätta kakor på användares terminalutrustning.25 Detta gäller
oavsett huruvida användaren interagerar med sådana insticksprogram eller inte, och även
om de inte har något konto hos det sociala mediet i fråga. Myndigheter har naturligtvis
ett intresse av att samarbeta med sociala media eftersom de på så vis kan förmedla
kunskap om sin verksamhet till stora befolkningsgrupper. Samtidigt har vissa
myndigheters inställning till sådant samarbete beskrivits som ”[präglat] av ett visst mått
av naivitet.”26 Det förefaller finnas en okunskap om att man, när man använder sig av
sådana insticksprogram, kan förmedla information om sina användare till en tredje part.
Denna okunskap får i sin tur konsekvensen att myndigheten på ett väldigt konkret sätt
inte kan informera om att sådan förmedling sker vilket, som visas nedan under 3.2.2, får
betydelsefulla konsekvenser för huruvida användningen av kakor är laglig eller inte.
Ur individens surfvanor kan också utläsas sådan information som individen själv
eventuellt inte var medveten om.27 Ny information kan närmast syntetiseras genom analys
av en individs beteenden och preferenser. I samband med detta kan det nämnas att även
om informationen som samlas in med hjälp av kakor är helt anonym, har det varit möjligt
att identifiera enskilda med hänvisning till helt anonyma data. En studie visade
exempelvis att 99,4 % av ett urval på 2,8 miljoner holländska medborgare kunde
identifieras enbart baserat på kön, födelsedatum och postnummer.28 Detsamma gäller,
enligt studier baserade på folkbokföringsdata, mellan 60 och 87 % av den amerikanska
befolkningen.29 Även genom att kombinera data från i och för sig anonymiserade register,
såsom skulle kunna ske när en organisation absorberar en annan eller genom ömsesidigt
utbyte, kan enskilda identifieras.30 Av särskild relevans för just kakor är att enskilda även
kunnat identifieras i vissa fall med hänvisning endast till deras sökhistorik på internet.31
Samtidigt måste det poängteras att kakor inte enbart används på sådana sätt som skulle
kunna betecknas som integritetskänsliga. Användningen av sessionskakor för att
25 SOU 2016:41, s 381. 26 SOU 2016:41, s 82. 27 A. Roosendaal, Digital Personae and Profiles in Law, s 105. 28 A a, sida 173. 29 P. Ohm, Broken Promises of Privacy, s 1705. Studierna Ohm hänvisar till utfördes av Sweeney (2000)
och Golle (2006). Sweeneys studie behandlas mer ingående på s 1719 f. 30 A a, s 1725–1727. Se även SOU 2016:41 s 582. 31 A a, s 1717–1718.
12
möjliggöra fortsatt inloggning, eller för att komma ihåg vad en kund i en onlinebutik lagt
i sin kundvagn, är goda exempel på sådana användningsområden. I det senare fallet kan
det dock upplevas att en integritetsproblematik uppstår i ett senare led, om sådan
information om användaren sparas och används för marknadsföringssyften.
Det bör också nämnas att kakor är långt ifrån det enda verktyget som används för
storskalig uppsamling av data. Privata aktörer använder i regel en kombination av kakor
och dylika verktyg samt olika metoder för att få enskilda användare att självmant uppge
sina personuppgifter, såsom genom att fylla i formulär för att skapa en användarprofil på
ett socialt nätverk eller genom att utsträcka särskilda erbjudanden till sina
medlemsklubbar.
2.2 Staters intresse i storskaliga datasamlingar
Från framställningen ovan förstår man varför kakor har uppfattats som problematiska ur
en integritetssynpunkt. Sådan kartläggning och övervakning som i ett inte alltför avlägset
förflutet hade ställt närmast ouppnåeliga krav vad gäller fysiska resurser och personal
framstår nu som närmast realistiska. Än så länge är big data, som den industri som baserar
sig på storskalig insamling av uppgifter om enskilda kallas,32 huvudsakligen ett område
för privata aktörer. Det har dock noterats att även stater har visat intresse för de
möjligheter som storskalig dataanalys erbjuder.33 Big data-tekniker kan ha
tillämpningsområden inom såväl marknadsföring, forskning, sjukvård och
samhällsplanering.34
En teknik som sett stor utveckling på senare år är mönsterbaserad datautvinning (eng.
pattern-based web mining), en beteckning för ett antal metoder för analys av stora
datasamlingar. Metoderna används bland annat inom webbanvändningsanalys men deras
kanske mest kontroversiella användningsområden är inom kontraterrorism och
brottsbekämpning. Genom att iaktta mönster i individuellt agerande som enligt antagna
32 ”Uppgifter om enskilda” kan omfatta personuppgifter i juridisk mening, men även uppgifter av mindre
kvalificerad karaktär kan vara relevanta för big data-syften. Se dock P. Ohm, s 1752, som anför att data
blir mindre användbara ju svårare det är att använda dem för att identifiera en enskild och vice versa. 33 A. Roosendaal, s 125. 34 SOU 2016:41 s 576.
13
modeller är typiska för förberedelse för eller planering av en viss sorts brottslighet hoppas
man kunna identifiera potentiella gärningsmän och vidta förebyggande åtgärder.35 Sådan
verksamhet bedrivs bland annat av myndigheter som lyder under USA:s försvars- och
inrikessäkerhetsdepartement.36 Metoderna används också för att bedöma hur stor risken
är att en viss person återfaller i en viss typ av brottslighet, och kan därmed spela in i
bedömningar om storlek på borgenssummor eller permissionsansökningar.37 Metoderna
kritiseras tidvis ur rättssäkerhetssynpunkt eftersom de har en prediktiv funktion, alltså att
man förutsätter att vissa historiska beteenden kan vara indikativa för ett framtida
beteende. Kritiken fokuserar oftast dels på metodernas egentliga ineffektivitet, men det
har också hävdats att den prediktiva funktionen innebär att enskilda kan komma att de
facto misstänkas för brott innan något brott ens har begåtts, vilket anses rättsvidrigt.38
Liknande metoder förefaller även användas i Sverige, och har här kallats
medborgarprofilering.39 Medborgarprofilering verkar dock inte huvudsakligen användas
av de brottsbekämpande myndigheterna utan av myndigheter som är verksamma inom
socialförsäkringssystemet, exempelvis Försäkringskassan. Denna myndighet använder
sig av prediktiva analysmetoder och datautvinningsalgoritmer för att kunna dela in
enskilda ansökningar i olika riskkategorier, för att på så vis undvika att felaktiga beslut
meddelas eller för att förhindra systematiskt utnyttjande av socialförsäkringssystemet.40
I samma syfte bedrivs även elektroniskt informationsutbyte med andra offentliga aktörer,
såsom Skatteverket, Arbetslöshetskassorna och Centrala studiestödsnämnden.41 Även
dessa myndigheter bedriver liknande arbete med stora datasamlingar.
Integritetsskyddskommittén anför att sådan verksamhet, särskilt i kombination med
bristande transparens om att sådan verksamhet bedrivs, kan medföra allvarliga risker för
den personliga integriteten.42
35 Rubinstein, Lee & Schwartz, Data Mining and Internet Profiling, s 261. 36 A a, s 263–265. 37 SOU 2016:41, s 577. 38 Lum & Williams, To predict and serve?, s 15. Notera att Lum och Williams diskuterar problematiken
ur ett statistikvetenskapligt perspektiv, med inslag av amerikansk konstitutions- och polisrätt. 39 SOU 2016:41, s 307. 40 A bet, s 308. 41 A bet, s 309. 42 A bet, s 326.
14
Dessa metoder liknar i hög grad de metoder som används på big data-området, och kan
således vara behäftade med samma problematiska aspekter även ur andra perspektiv. Det
har bland annat anförts att redan befintliga fördomar förstärks genom att historiska data
läggs till grund för antaganden om framtida beteenden.43 Detta kan i förlängningen leda
till diskriminering, eftersom historiska data inte nödvändigtvis är representativa för
faktiska förhållanden. Polisiär användning av prediktiva modeller har exempelvis visats
ha markant större felmarginal när det kommer till profilering av vissa minoritetsgrupper,
vilket motsvarar befintliga fördomar om sådana gruppers benägenhet för kriminalitet.44
Det är därför väsentligt att myndigheter som använder sig av prediktiva modeller är
transparenta med vilka algoritmer och vilka data de använder sig av, vilket ännu inte
verkar ske inom svensk förvaltning vad gäller medborgarprofilering.45
43 A bet, s 582. 44 Lum & Williams, s 16–18. Specifikt tyder Lum och Williams undersökning på att främst icke-vita
låginkomsttagare har kommit att diskrimineras i det specifika fall de granskar. 45 SOU 2016:41, s 309.
15
3. 6 kap 18 § LEK - kakregeln
3.1 Inledning
Som utredningen ovan visar har kakor stor potential för insamling av information om
enskilda individer. Detta har föranlett upprepad juridisk reglering av användningen av
kakor, huvudsakligen initierad av EU. Den europeiska lagstiftaren hänvisar särskilt till
behovet att skydda EU-medborgares mänskliga rättigheter enligt såväl EKMR som EU:s
stadga om de grundläggande rättigheterna. Specifikt menar lagstiftaren att skyddet för
privatliv och personuppgifter enligt stadgan (artikel 7 respektive 8) föranleder positiva
åtgärder.46 Problematiken kring kakor tas även upp i sammanhanget – lagstiftaren noterar
att legitim användning av kakor kan vara ett användbart verktyg på elektroniska
marknadsplatser, men att det är nödvändigt att fastslå vad som utgör legitim respektive
illegitim användning.47
För att få klarhet i frågan om under vilka förutsättningar en aktör, och särskilt en offentlig
förvaltningsmyndighet, får använda sig av kakor i sin verksamhet bör denna juridiska
reglering undersökas närmare. I förevarande kapitel presenteras först den EU-rättsliga
regleringen i mer detalj, för att därefter undersöka hur denna reglering genomförts i
svensk rätt. Här behandlas också de förändringar i rättsläget som kan förväntas
uppkomma i och med att den allmänna dataskyddsförordningen träder i kraft 2018. I
kapitlets avslutande del återkommer även de exempel som tagits upp under 2.1.3 ovan.
Denna gång jämförs de berörda myndigheternas användning av kakor med de regler som
framgår av det befintliga regelverket.
3.2 Regelns EU-rättsliga ursprung
3.2.1 Direktiv 2009/136/EG - ändringsdirektivet
Som nämndes ovan uppfattade den europeiska lagstiftaren att en helt oreglerad
användning av kakor var oförenligt med det skydd för de mänskliga rättigheterna som EU
åtagit sig att upprätthålla. Mot bakgrund av detta formulerades en bestämmelse i direktiv
2002/58/EG, e-kommunikationsdirektivet, i syfte att klargöra under vilka omständigheter
46 Direktiv 2002/58/EG, skäl (2) och (3). 47 Direktiv 2002/58/EG, skäl (24) och (25). I detta sammanhang, se även direktiv 2009/136/EG skäl (65)
och (66).
16
kakor alls får användas. Direktivets regler kom dock att skärpas i och med direktiv
2009/136/EG, som numera utgör grunden för den tidigare nämnda kakregeln i LEK.
Direktivet är formulerat för att uppnå teknikneutralitet och nämner inte kakor annat än i
preambeln. Nedan följer därför en ingående förklaring av den specifika artikelns
innebörd.
Direktivet anger att medlemsstaterna måste se till att ”lagring av information eller tillgång
till information som redan är lagrad i en abonnents eller användares terminalutrustning
endast är tillåten på villkor att [densamme] gett sitt samtycke efter att ha fått tillgång till
tydlig och fullständig information […]”, och ger utrymme för undantag från kravet på
samtycke endast om det är ”[…] absolut nödvändigt för att leverantören ska kunna
tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten
uttryckligen begärt.”48 Det framgår också att samtyckesbegreppet ska förstås som samma
begrepp enligt direktiv 95/46/EG, personuppgiftsdirektivet.49 Direktivet är genomfört i
svensk rätt som PUL. Samtyckesbegreppet som används här skiljer sig väsentligen från
det samtyckesbegrepp som oftast används i svensk rätt, vilket motiverar ytterligare
utredning nedan under 3.2.2.
Begreppet ”terminalutrustning” förekommer i e-kommunikationsdirektivet,
ändringsdirektivet samt i LEK men saknar definition och får därför förstås mot bakgrund
av sin allmänna språkliga betydelse. Terminalutrustning bör vara sådan utrustning som
utgör en terminal eller slutpunkt för ett elektroniskt kommunikationsnät, såsom Internet.
Begreppet omfattar således såväl mer traditionella datorer som Internetanslutna telefoner
och surfplattor, men i takt med att fler och fler sorters enheter ansluts till Internet bör även
dessa omfattas av begreppet.
”Lagring av information eller tillgång till information som redan är lagrad” avser dels att
initiera eller sätta en ny kaka på användarens terminalutrustning, men även läsning av
informationen på en redan befintlig kaka. Båda dessa omfattas alltså av det generella
kravet på samtycke, även om denna tolkning mildrats av WP29s praxis.50
48 Båda citat ur direktiv 2009/136/EG art 3.5. 49 Direktiv 2009/136/EG art 3.5. 50 WP29 171, s 3.
17
Ändringsdirektivet anger alltså tre olika omständigheter som kan utgöra laglig grund för
att kakor sätts på en användares terminalutrustning. Den första och sannolikt oftast
åberopade omständigheten, användarens informerade samtycke, behandlas utförligt
nedan under 3.2.2. Den andra omständigheten är de fall där det är nödvändigt att sätta en
kaka enbart för att möjliggöra överföringen av ett meddelande via ett elektroniskt
kommunikationsnätverk. Den tredje omständigheten är att i de fall det är absolut
nödvändigt att en kaka måste sättas för att tillhandahålla en av ”informationssamhällets
tjänster”51 som användaren uttryckligen begärt. Om någon av de två senare
omständigheterna föreligger, behöver samtycke inte inhämtas. Faktum är att det framstår
som direkt olämpligt att inhämta användarens samtycke i sådana fall, eftersom
användaren då får intrycket att användningen av kakor grundar sig på samtycket och att
användningen kan avbrytas genom att återkalla samtycket, vilket inte vore fallet.
Innan samtyckesbegreppet utreds i närmre detalj kan det vara av värde att nämna att det
inte i alla tänkbara fall är uppenbart vem som ansvarar för att samtycke ska inhämtas,
särskilt när det gäller tredjepartskakor. När det gäller tredjepartskakor som sätts av
reklamnätverk för profileringssyften bör reklamnätverket ansvara för samtyckets
giltighet, och inte innehavaren av webbplatsen. Dessa har dock även i dessa fall en
skyldighet att informera användare om vilka kakor som används på sidan.52 När både
webbplatsens innehavare och en tredje part tar del av informationen som samlas upp med
hjälp av kakor kan dock båda dessa ha ett gemensamt ansvar för att ett giltigt samtycke
har inhämtats.53 Denna sistnämnda situation uppstår oftast vid användning av statistik-
och analysverktyg som tagits fram av tredje part.
3.2.2 Samtycke enligt personuppgiftsdirektivet
Samtyckesbegreppet är centralt för att förstå den unionsrättsliga regleringen av kakor.
Direktivet föreskriver att samtycket är formlöst;54 det definieras som ”varje slag av
51 Begreppet är svårdefinierat, men verkar omfatta bl.a. sådana funktioner på en hemsida som kräver att
användaren är inloggad. Se WP29 194, s 4. 52 Carey & Treacy, s 310. 53 A a, s 312. 54 WP29 15/2011, s 11.
18
frivillig, särskild och informerad viljeyttring” genom vilken användaren tillåter lagring
av kakor på sin terminalupprustning.55 Detta innebär dock inte att de materiella kraven
för att ett samtycke ska anses lämnat kan sägas vara lågt ställda. De angivna rekvisiten –
att samtycket måste vara frivilligt, särskilt och informerat – ställer tvärtom höga krav på
webbplatsinnehavare och tjänsteleverantörer. Samtycket ska, utöver det ovan anförda,
även vara otvetydigt. Samma rekvisit återfinns i stort sett oförändrade i PUL, men
rekvisiten kan ha något förändrad innebörd i nationell rätt. Samtycke enligt PUL
behandlas därför i ett eget avsnitt under 3.3.1 nedan.
Att kravet på frivillighet innebär att ett giltigt samtycke inte kan lämnas under hot eller
tvång framstår som uppenbart. Detta är dock inte den enda förutsättningen för att
frivillighet ska uppnås. Ett samtycke som framstår som frivilligt kan nämligen i själva
verket vara ofrivilligt, om den enskilde genom att vägra att lämna sitt samtycke riskerar
att gå miste om diverse fördelar hen kunde ha åtnjutit om samtycket hade lämnats. Detta
verkar främst gälla fördelar av en viss dignitet, såsom ett anställningsförhållande56 eller
vård och omsorg,57 men verkar även gälla för samtycke till användning av kakor i de
flesta medlemsstater.58 Användning av verktyg som tillåter användare att samtycka till
individuella kakor rekommenderas. Det är vidare oklart om det alls går att lämna ett
frivilligt samtycke till en offentlig myndighet om samtycket är ett villkor för att använda
myndigheters hemsidor, e-tjänster eller liknande.59
Rekvisitet informerat kan även det sägas bestå av två skilda komponenter. Den första
komponenten är materiell och avgör vilken information som måste lämnas för att
samtycket ska vara giltigt. Sådan nödvändig information är syftet med användningen av
kakor på webbplatsen, hur lång varaktighet kakorna har och vad gäller tredjepartskakor
exakt vilken information som den tredje parten har tillgång till.60 Användaren måste också
informeras om hur hen kan uttrycka sitt samtycke till samtliga, vissa eller inga av kakorna
som webbplatsen sätter. Den andra komponenten är kronologisk och följer av den
55 Direktiv 95/46/EG art 2. 56 WP29 8/2001, s 23. 57 WP29 131, s 8. 58 WP29 02/2013, s 5. Notera på samma sida fotnot (9), som tas upp i närmre detalj i avsnitt 3.3. 59 A bet, s 5. 60 WP29 02/2013, s 3.
19
materiella komponenten. För att ett samtycke ska vara giltigt måste nämligen
informationen i fråga ha lämnats innan samtycket ska anses ha lämnats.61 Det är också
relevant att klargöra på vilket sätt informationen ska lämnas. Rekvisitet är inte uppfyllt
om informationen endast är ”’tillgänglig’ någonstans.”62 Informationen måste vara klart
synlig, framträdande och omfattande, på så vis att den inte kan förbigå användaren.63
Ett samtycke är särskilt i den mån det är specifikt för ett särskilt angivet syfte. Ett generellt
samtycke, exempelvis genom vilket en användare samtycker till att kakor lagras på hens
terminalutrustning ”för marknadsföringssyften” bör inte vara giltigt eftersom ett sådant
samtycke inte är särskilt. En policy enligt vilken användaren samtycker till att information
som samlas in delas med ”våra samarbetspartners” utan att dessa anges specifikt bör inte
heller kunna godtas.
Ett otvetydigt samtycke innebär att processen för inhämtning av samtycke måste vara
sådan att den inte lämnar något utrymme för tvivel om samtycke verkligen har lämnats.64
Detta innebär inte att underförstått samtycke eller samtycke genom konkludent handlande
per automatik är ogiltigt. Om en enskild informerats i direktivets mening och väljer att
agera i enlighet med den informationen, skulle den handlingen sannolikt anses utgöra ett
otvetydigt samtycke. Det bör dock noteras att det i en Internetbaserad kontext finns större
risk att tvetydiga samtycken lämnas, genom metoder för inhämtning av samtycke som i
väsentlig grad baseras på användarens passivitet. Konstruktioner i stil med ”Genom att
fortsätta använda sidan samtycker du till […]” bör således snarare resultera i ett ogiltigt
samtycke än ett giltigt. Att ”fortsätta att använda sidan” kan ju betyda allt från att faktiskt
interagera med webbplatsen i fråga på olika sätt till att bara låta samma sida vara öppen
under ett arbiträrt tidsintervall. Åtminstone i det senare fallet uppstår en tvetydighet i
förhållande till användarens samtycke.
61 WP29 15/2011, s 9. 62 A bet, s 20. 63 A bet, s 35. 64 A bet, s 21.
20
3.2.3 Kakor och dataskyddsförordningen
Den allmänna dataskyddsförordningen, som kommer att tillämpas från 25 maj 2018,
kommer att innebära väsentliga förändringar för den unionsrättsliga regleringen av kakor.
Det är dock viktigt att vara uppmärksam på att förordningen inte upphäver någon del av
e-kommunikationsdirektivet; de regler som utretts ovan under 3.2.2 kommer att gälla
även i fortsättningen.65 Förordningen introducerar enbart nya förpliktelser för sådana
aktörer som använder kakor.
Dataskyddsförordningen kommer att innebära att regleringen av kakor blir ännu närmre
sammanbunden med regleringen av personuppgifter än i dagsläget. Förordningens artikel
4 definierar personuppgifter som ”varje upplysning som avser en identifierad eller
identifierbar fysisk person.” En identifierad eller identifierbar fysisk person är i sin tur
”direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett
namn […] eller onlineidentifikatorer […]” Direktivet innehåller ingen uttrycklig
definition av begreppet ”onlineidentifikator.” I preambeln förekommer dock begreppet
”nätidentifierare,” och kakor anges som en typ av nätidentifierare.66 De engelska, franska
och tyska språkversionerna gör igen sådan åtskillnad, utan använder samma begrepp på
båda platser. Mot bakgrund av detta bör begreppen förstås som entydiga även i den
svenska språkversionen. Nedan används ordet ”nätidentifierare” konsekvent i den
bemärkelsen.
En nätidentifierare är alltså inte per definition att anse som en personuppgift enligt
direktivet, men kan komma att bli en personuppgift beroende på hur den används. Därmed
blir regleringen mer flexibel, men också potentiellt mer svårhanterlig. Vidare kommer en
rad åtgärder, såsom läsning och användning, av sådana nätidentifierare att räknas som en
sorts behandling av personuppgifter.67 Till exempel verkar förordningens ordalydelse
innebära att sessionskakor som tillåter fortsatt inloggning på en domän kommer att räknas
som personuppgifter i de allra flesta fallen, eftersom dessa typiskt sett kan kopplas till ett
specifikt användarkonto som i sin tur i regel representerar en specifik fysisk person. En
sessionskaka som möjliggör användning av en digital kundvagn borde däremot i typfallet
65 Carey & Treacy, s 315. 66 Förordning 2016/679, skäl (30). 67 Förordning 2016/679, artikel 4.1 och 4.2.
21
inte räknas som en personuppgift, eftersom dessa endast i kombination med andra sorters
uppgifter borde kunna knytas till en ”identifierad eller identifierbar person.” Störst
oklarhet uppstår i förhållande till tredjepartskakor; det kommer i typfallet vara upp till
varje organisations personuppgiftsansvarige att avgöra huruvida sådana utgör
personuppgifter eller inte med hänsyn till vilka omständigheter som föreligger i varje
specifikt fall.
Sådana kakor som är att anse som personuppgifter kommer att vara föremål för ett antal
begränsningar som inte existerat under den tidigare regleringen. Den kanske mest
framträdande av dessa principer för behandling av personuppgifter vad gäller kakor är
principen om lagringsminimering. Denna innebär begränsningar i hur länge
personuppgifter får förvaras i en form ”som möjliggör identifiering av den
registrerade.”68 Detta innebär sannolikt att, till skillnad från enligt gällande reglering,
spårningskakor (eng. tracking cookies) med näst intill obegränsad varaktighet inte
kommer vara godtagbara under någon omständighet.
Förordningen kommer också innebära vissa mindre justeringar för definitionen av
samtycke. Samtliga rekvisit står kvar oförändrade, men förordningens skäl tydliggör vissa
aspekter som varit omtvistade under den tidigare regleringen. Av intresse för den framtida
regleringen av kakor är att tystnad eller inaktivitet inte kan utgöra samtycke till
behandling av personuppgifter.69 Samtycke måste enligt förordningen specifikt uttryckas
genom ”ett uttalande eller en entydigt bekräftande handling.”70 En ytterligare väsentlig
förändring är att förordningen klargör att det under alla omständigheter är den
personuppgiftsansvarige som bär bevisbördan för att giltigt samtycke föreligger. Dessa
förändringar i samtyckesbegreppet kommer sannolikt ha inflytande på det område som
regleras av e-kommunikationsdirektivet.71
Dataskyddsförordningens ikraftträdande kommer också att innebära att de nationella
tillsynsmyndigheternas ställning stärks, genom en kraftig ökning av deras medel för att
68 Förordning 2016/679, art 5(e). 69 Förordning 2016/679, skäl (33). 70 Förordning 2016/679, art 4.11. 71 Carey & Treacy, s 315.
22
framtvinga efterlevnad hos personuppgiftsansvariga. För de allvarligaste överträdelserna
mot förordningen kommer tillsynsmyndigheter kunna utdöma böter om upp till 4 % av
en organisations totala globala omsättning, inbegripet (för privata aktörer) även sådan
omsättning som härrör sig till eventuella moderbolag.72
3.3 Regleringen av kakor enligt svensk rätt
3.3.1 Samtyckesbegreppet enligt PUL och LEK
E-Kommunikationsdirektivets regler om användning av kakor har genomförts i svensk
rätt genom bestämmelser i LEK och PUL. Direktivets artikel 5(3) överensstämmer med
LEK 6 kap 18 §. 6 kap 1 § sista stycket samma lag anger att när begreppet samtycke
används i 6 kap har det samma innebörd som samma begrepp enligt PUL. På så vis
implementeras e-kommunikationsdirektivets hänvisning till personuppgiftsdirektivet.
Samtycke definieras enligt 3 § PUL som ”varje slag av frivillig, särskild och otvetydig
viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling
av personuppgifter som rör honom eller henne.” Direktivets rekvisit har alltså omsatts
direkt i svensk rätt. Rekvisiten förefaller även ha givits väsentligen samma innebörd som
utredningen under 3.2.2 ovan visat dem ha enligt unionsrätten.73
Trots lojaliteten till direktivets ordalydelse har samtycke enligt LEK av olika skäl i
praktiken tolkats som något annorlunda än samtycke enligt PUL. Det har inte gjorts någon
formell eller uttrycklig åtskillnad mellan begreppen, men om man ser till de yttranden
som gjorts kring bestämmelsen – särskilt i lagens förarbeten – upptäcks en distinkt
skillnad. Denna distinktion, och dess eventuella förenlighet med unionsrätten, utreds
nedan under 3.4.3.
När direktiv 2002/58/EG först genomfördes i svensk rätt som LEK, innehöll 6 kap 18 §
inget krav på samtycke för att kakor skulle få sättas i användarens terminalutrustning. I
stället formulerades användarens rättigheter som en rätt att informeras om ”ändamålet
72 Förordning 2016/679, art 83. 73 Öhman & Lindblom, Personuppgiftslagen (15 sept. 2016 Zeteo), kommentaren till 3 §, stycket med
rubriken ”Samtycke.”
23
med behandlingen” samt en rätt att beredas möjlighet att hindra sådan behandling – en
rätt att vägra.74 Detta var vid det tillfället en korrekt tolkning av direktivets innebörd. I
och med direktiv 2009/113/EG ersattes dock denna formulering med det krav på
samtycke som utretts ovan. Så skedde även i svensk rätt.
Lagändringen kom dock att kritiseras från olika håll. Flera remissinstanser, däribland
marknadsaktörer, framhöll att förslaget endast var godtagbart i den mån det inte var avsett
att försvåra användningen av kakor.75 Denna inställning kom i sin tur att kritiseras av
LEK:s nationella tillsynsmyndighet, PTS. Myndigheten menade att ett krav på samtycke
nödvändigtvis skulle innebära en skärpning av lagen.76 Lagstiftarens inställning var att
lagändringen inte skulle innebära någon förändring i sak vad gäller ”befogade” eller
”legitima tekniker,” till vilka man räknade kakor.77 Lagstiftaren angav att anledningen till
att man inte specifikt angav kakor som en ”legitim teknik” eller gjorde undantag för
sådana i lagrummet var målsättningen att lagstiftningen i fråga skulle vara teknikneutral
samt att ett sådant undantag inte vore förenligt med direktivet. Detta rimmar naturligtvis
illa med att göra samma åtskillnad i förarbetena, som efter positiv lag är den mest
inflytelserika rättskällan. Här har lagstiftaren dessutom gjort en väsentligen annorlunda
tolkning än WP29, som menar att det finns en inneboende skillnad mellan begreppen ”rätt
att vägra” och ”samtycke,” och att dessa inte kan förväxlas med varandra.78 Lagstiftaren
anförde sitt stöd i en tolkningsförklaring som avgivits av 13 medlemsstater (dock inte
Sverige) när direktivet antogs,79 samt i skälen till direktivet.
En diskussion fördes även kring huruvida lagen enligt sin ändrade ordalydelse skulle
tillåta olika former av automatiserat och generellt samtycke, företrädesvis genom att på
förhand gjorda inställningar i webbläsarprogram skulle tolkas som användarens
samtycke. Lagstiftarens inställning var att en sådan ordning i princip var tillåten enligt
direktivet.80 Direktivets egentliga ordalydelse innebär dock att ett sådant samtycke är
74 Prop 2002/3:110, s 256. 75 Prop 2010/11:115, s 131. 76 A prop, sida 132. 77 A prop, sida 136. 78 WP29 15/2011, s 32. 79 Tolkningsförklaring 15864/09, s 3. Notera att texten verkar hänvisa till en äldre version av direktivet;
hänvisningen till skäl 52(a) bör rätteligen göras till skäl 66. 80 Prop 2010/11:115, s 136.
24
giltigt i den utsträckning det är ”tekniskt möjligt och effektivt, i enlighet med direktiv
95/46/EG.”81 Hänvisningen till personuppgiftsdirektivet tydliggör att även om samtycke
i princip kan uttryckas på det sätt lagstiftaren angivit, måste alla former av samtycke
uppfylla de krav som följer av det direktivets bestämmelser. Denna inställning utreds mer
i detalj nedan under 3.3.2.
Här kan också uppmärksammas ett märkligt uttalande från WP29, som i en fotnot till sitt
vägledande dokument om inhämtning av samtycke till kakor påstår att svensk lag
innehåller ett undantag från kravet på frivilligt samtycke, enligt vilket domäninnehavare
får kräva att användare samtycker till kakor för att alls få tillgång till domänen, med
undantag för vissa hemsidor som tillhandahåller vissa tjänster inom offentlig sektor.82 Det
framgår inte varifrån påståendet härrör och ett sådan undantag kan i vart fall inte utläsas
av lagtexten. Det går inte heller att hitta något uttryckligt stöd för en sådan ordning i
lagens förarbeten.83 Påståendet kan eventuellt förklaras av att WP29 gjort en generös
tolkning av förarbetenas allmänt uttryckta motvilja att förändra det materiella rättsläget,
men med hänsyn till utredningen ovan kan en sådan inställning knappast anses
vägledande för gällande rätt.
Det finns förvisso goda praktiska skäl som talar för lagstiftarens inställning i frågan. Den
vitt spridda, från den enskilde användarens synpunkt närmast slentrianmässiga
användning av kakor som vi ser idag har möjliggjort stora framsteg inom
användarvänlighet på Internet. Användningen av kakor, särskilt för
marknadsföringssyften, är en väsentlig del i det maskineri som tillåter oss att använda så
många tjänster – sociala nätverk, nyhetsförmedling et cetera – utan monetär kostnad.
Stockholms Handelskammare poängterade särskilt i sitt remissvar att ett sådant krav på
samtycke som avses i direktivet sannolikt skulle innebära minskade annonsintäkter och
att enskilda användare i högre grad skulle komma att behöva betala för innehåll på
Internet.84 Det bör noteras att denna farhåga åtminstone till viss del kommit att bekräftas
i efterhand; en undersökning från PTS fann att den nya regleringen resulterat i ökade
81 Direktiv 2009/136/EG, skäl 66. 82 WP29 208, s 5, fotnot (9). 83 Prop 2010/11:115, s 133–137. 84 A prop, s 133 f.
25
kostnader för webbplatsinnehavare.85 Det faktum att en lagreglering av en företeelse
innebär kostnader för aktörer som omfattas av regleringen kan dock inte i och för sig ge
någon vägledning om hur bestämmelsen ska tolkas i praktiken.
3.3.2 Kan ”på förhand gjord inställning” godtas som samtycke?
Det bör i sammanhanget utredas vad som egentligen menas med en ”på förhand gjord
inställning i ett webbläsarprogram,” eftersom innebörden varken anges i direktivet eller i
den ovan citerade propositionen. De flesta kommersiellt tillgängliga webbläsare tillåter
mycket riktigt att användare anpassar hur webbläsaren ska hantera kakor. Det går till
exempel att blockera alla sorters kakor, endast varaktiga kakor eller alla tredjepartskakor.
Mer avancerade inställningar kan tillåta användare att acceptera eller neka individuella
kakfiler. Men när en webbläsare installeras på en dator installeras den i regel med
bibehållna ”fabriksinställningar,” alltså inställningar som gjorts på förhand av någon
annan än användaren. Dessa kan te sig annorlunda från webbläsare till webbläsare, men
avspeglar i regel tillverkarens ekonomiska intresse av att uppnå hög användarvänlighet
som utgångspunkt. Av de fyra största kommersiellt tillgängliga webbläsarna är det bara
en som blockerar tredjepartskakor som utgångspunkt.86 Det är förvisso upp till
användaren att själv avgöra huruvida hen vill använda ”fabriksinställningarna” eller inte.
I den meningen är alla inställningar i en webbläsare gjorda på förhand av användaren,
vilket är föga hjälpsamt i sammanhanget.
Det måste därmed ifrågasättas å det kraftigaste om den omständigheten att en användare
installerat en webbläsare med bibehållna ”fabriksinställningar” verkligen har avgett ett
informerat eller otvetydigt samtycke till att kakor sätts på hens dator. Samtycket kan
knappast anses som informerat, eftersom användaren inte kan ta emot den specifika grad
av information som krävs enligt PUL så långt i förväg. Samtycket måste vidare betraktas
som tvetydigt, eftersom det kan antas att många användare kommer att använda sig av
”fabriksinställningarna” utan att vidare reflektera över vad detta kommer innebära för
potentiella tredje parters möjligheter att lagra kakor på användarens terminalutrustning. I
många fall kan till och med ifrågasättas om detta alls utgör en viljeyttring från
85 PTS-ER-2012:28, s 15. 86 WP29 171, s 14.
26
användarens sida – vem funderar egentligen närmre på vad det betyder att installera en
webbläsare med de rekommenderade inställningarna? WP29 har här anfört att ”ansvaret
för behandling [av kakor] kan inte reduceras till användarens ansvar för att vidta eller inte
vidta vissa försiktighetsåtgärder i sina browserinställningar.”87
Om det alltså är så att ett samtycke uttryckt genom bibehållna ”fabriksinställningar” i en
webbläsare i vart fall är tvetydigt, blir den naturliga följdfrågan huruvida en
domäninnehavare kan skilja mellan en webbläsare som används med bibehållna
”fabriksinställningar” och en webbläsare med av användaren justerade inställningar. Att
så skulle vara fallet framstår milt uttryckt som osannolikt. Om en domäninnehavare inte
kan det, uppstår samma tvetydighet i förhållande till alla samtycken som lämnas genom
på förhand gjorda inställningar i en webbläsare.
3.3.3 Påföljder enligt LEK
Det bör nämnas i sammanhanget att underlåtenhet att iaktta 6 kap 18 § LEK kan förenas
med vissa påföljder. Om den nationella tillsynsmyndigheten, PTS, misstänker att en aktör
som bedriver verksamhet enligt LEK inte efterlever lagen ska aktören informeras om
detta. Myndigheten får även besluta om föreläggande och förbud i syfte att uppnå
efterlevnad av lagen. Ett sådant föreläggande eller förbud får förenas med vite, vilket
framgår av 7 kap 4 och 5 §§ LEK. Det förefaller som att beslut om föreläggande eller
förbud aldrig fattats med hänvisning till 6 kap 18 § LEK. Detta beror sannolikt på problem
med lagrummets tolkning; PTS noterar att ett flertal operatörer uppgivit att lagrummet är
”svårtolkat, och därmed svårt att efterleva,”88 och att man därmed beslutat att ge berörda
aktörer tid att anpassa sig till lagens krav. Här har myndigheten omfattande
handlingsfrihet; lagen innehåller nämligen ingen väg för enskilda att inleda en rättslig
process om de upplever att en webbplatsinnehavare använder sig av kakor på ett olagligt
sätt. Sedan lagregeln stiftades verkar endast ett tillsynsärende ha inletts med hänvisning
till 6 kap 18 LEK, som senare kom att avskrivas utan åtgärd. Detta ärende behandlas mer
utförligt nedan under 5.2.1.
87 A bet, s 14. 88 Beslut, dnr 14–1371 (m.fl.) (PTS), s 2. Se även PTS-ER-2012:28, s 14 f.
27
3.4 Efterlevnad
3.4.1 Inledning
Frågan om efterlevnad kan egentligen delas upp i två separata frågor som behandlas lite
i förbigående ovan under kapitel 3. Den första frågan som uppstår, och den som ligger
närmast uppsatsens syfte, är huruvida svenska myndigheter i allmänhet kan sägas följa
lagen genom sin användning av kakor. Den andra frågan, som uppstår i samband med de
tolkningar av direktivet som lagstiftaren gjort i 2010 års proposition, är om det verkligen
kan sägas att den svenska implementeringen av direktivet är konform med EU-rätten.
Frågorna utreds i den ordning de har tagits upp.
3.4.2 Myndigheters tillämpning av regeln
Låt oss återvända till de myndigheters hemsidor som presenterades i exemplet med den
fiktive krassliga studenten från avsnitt 2.1.3. När en enskild besöker dessa hemsidor sätts
kakor automatiskt på dennes terminalutrustning. I endast ett fall finns någon hänvisning
alls till att webbplatsen använder kakor, varvid användaren kan klicka sig vidare till mer
utförlig information om användningen. I de andra två fallen får användaren själv navigera
till en särskild sida där det anges att hemsidorna använder kakor. På alla tre hemsidor
förekommer i vart fall det som kan kallas det kronologiska felet; kakor sätts innan
användaren har kunnat ta del av informationen, vilket i samtliga fall innebär att ett
tilltänkt samtycke blir ogiltigt.
Överlag ges dock god och utförlig information om vilka sorters kakor som används och i
vilka syften, med undantag för det fallet där varaktiga kakor användes utan att detta
framgick. I inget fall inhämtas dock något aktivt samtycke från användaren; sannolikt gör
de nämnda myndigheterna samma tolkning av lagstiftningens utrymme för automatiserat
samtycke som framgår av propositionen. Utöver denna mer anekdotiska illustration finns
det indikationer på att denna problematik är utbredd; enligt en mätning utförd av PTS
informerade endast 15 % av webbplatser alls om kravet på samtycke, och endast en
”mycket liten andel” av webbplatser låter användare lämna aktivt samtycke.89 Det
framgår inte av undersökningen till vilken grad statliga myndigheter ingår i denna
89 PTS-ER-2012:28, s 14.
28
”mycket [lilla] andel,” men det bör kunna förutsättas att de åtminstone inte är
överrepresenterade till den grad att det skulle frånta exemplet sin illustrativa funktion.
Sådan användning av kakor som framgår av exemplet kan i vart fall inte, mot bakgrund
av utredningen ovan, anses juridiskt godtagbar. För det första framgår det tydligt att
information måste ha lämnats till användaren innan samtycket inhämtas för att samtycket
ska vara giltigt. Det behöver knappast ens nämnas att informationen dessutom måste vara
tillförlitlig. För det andra har förarbetets inställning, att samtycke kan uttryckas genom på
förhand gjorda browserinställningar, knappast utretts tillräckligt för att kunna sägas ha en
så pass fastställd betydelse som samtliga aktörer i sammanhanget verkar utgå från att det
har. Även i de fall då information faktiskt har lämnats går det alltså att ifrågasätta om
något samtycke faktiskt har inhämtats.
Ett annat problem i sammanhanget är den omtvistade frågan huruvida det verkligen är
möjligt att lämna ett samtycke i PULs mening till en myndighet, om detta krävs för att
tillgodogöra sig någon nyttighet som myndigheten erbjuder. Lagen föreskriver ju
nämligen att ett samtycke ska vara frivilligt. Det kan ifrågasättas om, till exempel, en
student vid Uppsala universitet verkligen har något annat val än att samtycka till de kakor
som sätts av universitets webbplats om studenten måste använda webbplatsen för att
fullgöra vissa moment i undervisningen, som till exempel att lämna in ett examensarbete
i juridik. Här uppstår problem främst i förhållande till tredjepartskakor eller tredje parts
statistik- och analysverktyg, som typiskt sett inte har någon nödvändig koppling till de
tjänster myndigheten erbjuder och därmed kräver samtycke; en sessionskaka som
möjliggör att en användare fortsätter vara inloggad i myndighetens e-tjänst under en
session skulle kunna motiveras på den alternativa grunden att det är nödvändigt att sätta
en sådan kaka för att tillhandahålla en informationssamhällets tjänst som användaren
uttryckligen har begärt, nämligen inloggning i myndighetens e-tjänst.90 Om denna
alternativa grund är uppfylld saknar det därefter relevans huruvida ett tilltänkt samtycke
är giltigt eller ogiltigt.
90 WP29 194, s 5 f. Notera att endast sessionskakor kan undantas från samtycke på denna grund, och inte
varaktiga kakor. Användare bör kunna förvänta sig att en inloggning som utgångspunkt inte sparas mellan
sessioner.
29
Det kan alltså ifrågasättas om åtminstone de myndigheter som specifikt behandlats i
uppsatsen verkligen använder kakor på ett lagenligt sätt. Det finns också visst empiriskt
stöd för påståendet att detta är ett övergripande problem för såväl privat som offentlig
sektor. Samtidigt kompliceras situationen av förarbetenas okritiska förhållningssätt till
sina egna förslag. Det förefaller ju inte orimligt att en myndighet vars huvudsakliga
expertområde inte är IT-juridik utgår ifrån att den tolkning av ett lagrum som framgår av
lagrummets förarbeten faktiskt är lämplig och användbar. Samtidigt finns viss
information om hur webbplatsinnehavare bör förhålla sig till kakor tillgänglig på PTS
webbplats, vilket sannolikt ligger närmre till hands än lagrummets specialmotivering i
propositionen.91 Den information som framgår härav ger vidare en bild av rättsläget som
i större utsträckning informerats av den unionsrättsliga förståelsen av bestämmelsens
innebörd.
3.4.2 Är den svenska implementeringen fördragskonform?
Den andra frågan, om implementeringens konformitet med EU-rätten, är en något svårare
nöt att knäcka. 6 kap 18 § LEK är en mer eller mindre ordagrann överförelse av direktivets
ordalydelse, och svensk rätt överensstämmer alltså i formell mening med EU-rätten. Det
kan dock inte åsidosättas att om bestämmelsen i LEK tillämpas i enlighet med de
uttalanden som gjorts i propositionen, skulle den svenska lagen ha ett väsentligen annat
materiellt innehåll än vad som förefaller ha varit den unionsrättsliga lagstiftarens mening.
En sådan tillämpning skulle i vart fall inte vara konform med den praxis som utarbetats
av WP29, som varit vägledande för den framställning av det unionsrättsliga rättsläget som
presenterats ovan.
I doktrinen har fem krav utarbetats, baserade på EU-domstolens rättspraxis, för att
kontrollera huruvida en lag som genomför ett unionsrättsligt direktiv gör det på ett fullgott
sätt eller inte.92 I denna del jämförs den svenska implementeringen i 6 kap 18 § LEK av
artikel 5(3) i direktiv 2002/58/EG mot dessa krav för att avgöra huruvida den svenska
regleringen är korrekt genomförd. Dessa krav är fullständighetskravet, klarhets- och
91 PTS, Frågor och svar om kakor för webbplatsinnehavare,
http://www.pts.se/sv/Bransch/Regler/Lagar/Lag-om-elektronisk-kommunikation/Cookies-kakor/Fragor-
och-svar-om-kakor-for-webbplatsinnehavare/ 92 Hettne & Reichel, Att göra rätt och i tid, s 19.
30
preciseringskravet, publiceringskravet, rättssäkerhetskravet samt effektivitetskravet.
Uppsatsen uppehåller sig främst vid fullständighetskravet; de andra kraven är av mer
formell karaktär och kräver inte någon vidare utredning i detta fall.
Publiceringskravet innebär att den lag som implementerar ett direktiv måste vara
offentligt tillgänglig, vilket får anses uppfyllt i och med att LEK publicerades i svensk
författningssamling. Direktivet är genomfört i form av lag, vilket typiskt sett
tillfredsställer kraven på rättssäkerhet och förutsägbarhet.93 Administrativ praxis och
domstolspraxis måste dock också vägas in i bedömningen av rättssäkerhetskravet, men
det finns som bekant inte mycket uttrycklig sådan på området. Effektivitetskravet
tillfredsställs genom att direktivet stärker de nationella tillsynsmyndigheternas
möjligheter att se till att direktivets regler efterlevs.
Det är först med beaktande av fullständighetskravet som den svenska regleringen framstår
som otillfredsställande. Detta krav innebär att de regler som genomför direktivet i
nationell rätt måste säkerställa att direktivet tillämpas fullt ut. Det kan därför vara
intressant att citera relevanta delar av ändringsdirektiv 2009/136/EG: ”Medlemsstaterna
ska se till att lagring av information eller tillgång till information som redan är lagrad […]
endast är tillåten på villkor att […] användaren i fråga har gett sitt samtycke efter att ha
fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG
[…]”94
Här kan det noteras att förarbetena och direktivets text, såväl skäl som artikel, ger uttryck
för essentiellt olika inställningar till vilka materiella krav direktivet ställer på
medlemsstaterna. Enligt propositionen ” […] vad gäller befogade tekniker […] talar
praktiska skäl för att ändringen inte bör medföra någon förändring i sak.”95 En
sammantagen bedömning ger vid handen att lagstiftarens inställning varit lagen, trots sin
nya ordalydelse, skulle tolkas som oförändrad, åtminstone vad gäller kakor.96 Vidare
93 Hettne & Otken Eriksson (red.), s 180. 94 Direktiv 2009/136/EG, art 3 punkt 5. 95 Prop 2010/11:115, s 136. 96 Propositionen, liksom direktivet, kontrasterar ”legitima” (eller befogade) och ”illegitima” tekniker.
Direktivet betraktar ”vissa typer av cookies” som en ”legitim” teknik, medan propositionen verkar vara
av uppfattningen att all användning av kakor per definition är legitim (befogad).
31
skulle en tillämpning av lagen enligt förarbetena innebära en urholkning av kravet på
samtycke enligt PUL, vilket diskuteras mer utförligt ovan under 3.3. Slutligen överlåter
lagstiftaren, i något av en brasklapp, på rättstillämpningen att avgöra hur lagrummet ska
tolkas. Lagstiftarens inställning förefaller dock vara att det vore att föredra om begreppet
”samtycke” tolkades som ”rätt att vägra.”
Direktivet, för sin del, uttrycker att den enskilde ska tillförsäkras en rätt att vägra att lämna
information i dessa sammanhang, och att denna rätt att vägra ska ha form av ett krav på
samtycke enligt direktiv 65/46/EG.97 Som vi sett är dessa begrepp inte ägnade att
förväxlas. Begreppet samtycke har en tydlig autonom innebörd på det unionsrättsliga
personuppgiftsrättsområdet. Det har vidare visats ovan under 3.2 att det måste anses ha
varit den unionsrättslige lagstiftarens avsikt att åstadkomma en materiell förändring av
rättsläget genom antagandet av ändringsdirektiv 2009/136/EG. Om lagrummet skulle
tolkas och tillämpas enligt förarbetsbestämmelsen, skulle det alltså inte kunna sägas vara
en fullständig implementering av direktivets bestämmelser.
Det kan observeras att avsteget från direktivets påbud inte ens verkar ha motiverats av
sådana hänsyn som annars har kunnat motivera avsteg från unionsrättsliga förpliktelser,
nämligen att ett sådant avsteg skulle vara motiverat med hänsyn till respekten för den
nationella identiteten. Avsteget verkar snarare vara motiverat, som visats ovan under 3.3,
av att lagstiftaren inte velat försvåra den användning av kakor som utförs av marknadens
aktörer. Ett sådant skäl kan inte motivera ett avsteg från en unionsrättslig förpliktelse och
framstår, i den mån direktivet implementerats korrekt i övriga medlemsstater, som direkt
protektionistisk. En tillämpning av lagen enligt förarbetena skulle ge alla berörda aktörer,
däribland myndigheter, ekonomiska fördelar eftersom stora datasamlingar har
ekonomiskt värde. Den skulle också innebära att Sverige erbjuder en lägre skyddsnivå för
de grundläggande rättigheterna till privatliv och personuppgiftsskydd än övriga
medlemsstater.
97 Direktiv 2009/136/EG, skäl (66). Begreppet ”rätt att vägra” återfinns i övrigt inte alls i direktivet;
begreppet ”samtycke” används konsekvent.
32
Felaktig implementering av direktiv kan vidare utgöra fördragsbrott.98 Enligt den
unionsrättsliga lojalitetsprincipen, som framgår av artikel 4.3 FEU, är medlemsstaterna
skyldiga att vidta sådana åtgärder som krävs för att säkerställa att de skyldigheter som
följer av unionens institutioners akter fullföljs. Om ett direktiv inte implementeras fullt
ut har medlemsstaten brutit mot lojalitetsprincipen i det hänseendet. Enligt artikel 258
FEUF har EU-kommissionen en skyldighet att vidta åtgärder i sådant fall, vilket
kulminerar i fördragsbrottstalan om inte rättelse sker. Vidare är det inte nödvändigt att
någon negativ konsekvens uppstått på grund av underlåtelsen att implementera direktivet
korrekt för att fördragsbrottstalan ska aktualiseras.99
Det är dock viktigt att här anmärka att den svenska regleringens ordalydelse inte utesluter
att lagen tolkas och tillämpas konformt med unionsrätten. Faktum är att EU-domstolen i
sin rättspraxis ålagt åtminstone nationella domstolar att tolka den nationella
rättsordningen så att den så långt som möjligt överensstämmer med unionsrätten.100
Denna skyldighet kan inte under någon omständighet omfatta att nationella bestämmelser
tolkas mot sin egen ordalydelse.101 Uttalanden gjorda i ett lagrums förarbeten utgör dock
inte ett sådant hinder.102 Det bör också noteras att en direktivkonform tolkning av
lagrummet i fråga ligger närmre till hands vid en läsning av lagrummets ordalydelse.
Det bör inte stickas under stol med att en direktivkonform tolkning av 6 kap 18 § LEK
högst sannolikt kommer att innebära negativa återverkningar för enskilda
webbplatsinnehavare, samtidigt som en sådan tolkning även skulle innebära positiva
rättsverkningar för sådana webbplatsers besökare. Förhållandet skulle alltså kunna
beskrivas som en sorts horisontell direkt effekt av unionsrätten. I doktrinen har tanken
om horisontell direkt effekt vid direktivkonform tolkning betraktats som problematisk,
eftersom det inte annars finns utrymme för horisontell direkt effekt för unionsrättsliga
direktiv.103 Denna kritik förefaller dock inte ha vunnit några framgångar i EU-domstolens
98 Bergström, Det nationella genomförandeutrymmet, s 1014. 99 C-392/96 Kommissionen mot Irland, punkt 60. 100 Principavgörandet C-14/84 von Colson, punkt 28. 101 Hettne & Otken Eriksson (red.), s 189. ”Mot sin egen ordalydelse” används här som en fri översättning
av latinets contra legem, som används i originaltexten. 102 C-371/02 Björnekulla Fruktindustrier, punkt 13. 103 Hettne & Otken Eriksson (red.), s 187.
33
rättstillämpning. Direktivkonform tolkning ska alltså göras, oavsett om detta medför
rättsverkningar för horisontella rättsförhållanden.
I den mån det är möjligt bör det därmed ankomma på den nationella tillsynsmyndigheten,
i det här fallet PTS, att i sin verksamhet tillämpa en direktivkonform tolkning av 6 kap
18 § LEK. Detta är på många sätt en otillfredsställande lösning, eftersom den överlämpar
på en förvaltningsmyndighet att utföra det utredningsarbete som borde ha gjorts vid ett
tidigare skede i implementeringsprocessen. Samtidigt kvarstår en sådan utveckling som
den enda möjligheten att tillämpa regeln konformt med unionsrätten.
34
35
4. Konstitutionella aspekter
4.1 Inledning
Med undantag för EU-rätten, som diskuteras i kapitel 3, finns det två huvudsakliga
juridiska system som begränsar lagstiftarens handlingsfrihet i antingen negativ
(hindrande) eller positiv (tvingande) riktning. Den första är naturligtvis svensk grundlag,
som ålägger lagstiftaren en rad förpliktelser. Den andra är Europakonventionen om de
mänskliga rättigheterna, som huvudsakligen innehåller negativa förpliktelser men även i
vissa fall positiva förpliktelser. Nedan diskuteras huruvida det ena, det andra eller båda
dessa system har någon bäring på frågan hur statens användning av kakor bör regleras.
Diskussionen tar särskilt sikte på hur dessa system reglerar frågor kring enskildas
personliga integritet samt skyddet för privatliv.
4.2 Svensk grundlag – Regeringsformens 2 kapitel
4.2.1 Skyddet för den personliga integriteten – 2 kap 6 §
Regeringsformens 2 kapitel innehåller det huvudsakliga skyddet för individuella
rättigheter enligt svensk rätt. Detta kapitel, tidvis kallat rättighetskatalogen, innehåller
såväl negativa som positiva skyldigheter för lagstiftaren, må vara att de negativa
skyldigheterna framstår allra tydligast och är flest i antal. Den för uppsatsen syften främst
relevanta bestämmelsen är 2 kap 6 §, som garanterar skydd mot bland annat påtvingat
kroppsligt ingrepp och betydande ingrepp i den personliga integriteten.
Skyddet för den personliga integriteten återfinns mer exakt i paragrafens andra stycke.
Stycket stadgar att ” […] var och en” – alltså även andra än svenska medborgare104 – ”är
gentemot det allmänna skyddad från betydande intrång i den personliga integriteten, om
det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes
personliga förhållanden.” Stycket innehåller alltså ett betydande antal rekvisit som
behöver förklaras för att avgöra om den har någon inverkan på regleringen av kakor.
”Det allmänna” är ett begrepp som används konsekvent i 2 kap. Det syftar på inte
nödvändigtvis endast på statliga aktörer utan omfattar även kommuner och landsting.
104 Bull & Sterzel, Regeringsformen – en kommentar, s 62.
36
Privaträttsliga subjekt omfattas inte av begreppet, ens om de ägs eller styrs av en
organisation som annars ingår i ”det allmänna.” I propositionen anger lagstiftaren
uttryckligen att bestämmelsen inte träffar ”åtgärder som en enskild vidtar i förhållande
till en annan enskild.”105 Dock borde sådana privaträttsliga subjekt som utför uppgifter
som innefattar myndighetsutövning i princip omfattas av begreppet.106 Därmed omfattas
såväl statliga som kommunala myndigheter och även vissa statligt och kommunalt ägda
bolag, stiftelser et cetera.
Vad ett ”betydande intrång i den personliga integriteten” ska anses innebära är dock mer
oklart. Begreppet ”betydande intrång” är kvalificerat, vilket antyder att ett intrång måste
uppnå en viss dignitet eller grad av allvar för att omfattas av bestämmelsen. Enligt
förarbetena är begreppet avsiktligen vagt formulerat, eftersom syftet med bestämmelsen
inte är att ta sikte på vissa specifika förfaringssätt.107 Särskilt relevanta omständigheter
som kan innebära att en åtgärd når upp till kravet på betydande intrång anges vara bland
annat ”omfattningen av utlämnande av uppgifter till andra som sker utan uppenbart stöd
i offentlighetsprincipen.”108
Detta är högst relevant vad gäller den användning av kakor för insamling av data för
statistik- och analyssyften som diskuterats på flera platser ovan. Användningen av sådana
kakor innefattar alltid ett moment av utlämning av uppgifter. Denna utlämning av
uppgifter grundar sig typiskt sett inte på offentlighetsprincipen, utan på ett
avtalsförhållande mellan myndigheten och den part som tagit fram statistik- och
analysverktyget i fråga, varigenom myndigheten får tillgång till verktyget i utbyte mot att
sådan information som samlas in även översänds till den som tagit fram verktyget. I
förlängd mening kan det också finnas en potentiell risk att överlämnande av uppgifter
sker utan uppenbart stöd i offentlighetsprincipen, eftersom statistik- och
analysverktygens huvudmän i många fall kan vara baserade i utlandet. De kan därmed,
enligt det landets lag, vara förpliktigade att under vissa omständigheter lämna ut sådana
105 Prop 2009/10:80, s 250. 106 Bull & Sterzel, s 62. I fråga om de privaträttsliga subjekt som omfattas av begreppet hänvisar
författarna till RF 12 kap 4 §. 107 Prop 2009/10:80, s 184. 108 A prop, s 184.
37
uppgifter de samlat in till det landets myndigheter, såsom exemplifierades med Googles
sekretesspolicy under 2.1.3 ovan. Även om det kan tänkas att sådan utlämning även kan
ha stöd i offentlighetsprincipen måste det faktum att informationen överlämnas under
automatiserade former och utan föregående sekretessprövning tala för att överlämningen
i vart fall saknar uppenbart stöd i offentlighetsprincipen.
Även konceptet ”personlig integritet” är ökänt svårdefinierat, såväl rättsligt som i
allmänspråklig bemärkelse. Warren och Brandeis definition, som sannolikt är den äldsta,
beskrev personlig integritet som ”en rätt att lämnas i fred.”109 Andra definitioner lägger
vikt vid rätten att själv kontrollera flödet av information som rör den egna personen.110
Integritetsskyddskommittén, vars betänkande låg till grund för införandet av 2 kap 6 §
andra stycket, framhöll att det inte vore nödvändigt att fastställa en allmängiltig definition
av begreppet eftersom det även utan en sådan borde vara möjligt att avgöra vilka intressen
som bör omfattas av grundlagens skydd.111 Lagstiftaren tillade därvid att
grundlagsändringen var särskilt motiverad av önskemålet att stärka individers rätt att
själva ”förfoga över […] det allmännas tillgång till sådan information som rör hans eller
hennes privata förhållanden […].”112 Andra återkommande försök att definiera begreppet
brukar hänvisa till att det skulle finnas en rätt till ”en personlig sfär där ett oönskat intrång,
såväl fysiskt som psykiskt, kan avvisas.”113 Begreppet verkar i vart fall omfatta en ”den
enskildes möjligheter att själv få avgöra i vem som i olika sammanhang får ta del om
uppgifter som rör denne.”114 Vid en sammantagen bedömning av dessa faktorer framstår
insamling av uppgifter om enskilda med hjälp av kakor som ett intrång i den personliga
integriteten.
De två alternativa rekvisiten ”övervakning eller kartläggning” är något lättare att förhålla
sig till. Dessa begrepp tar sikte på att de åtgärder som avses i andra stycket måste vidtas
på ett systematiserat eller organiserat sätt, och inte utgöra isolerade engångsföreteelser
109 Warren & Brandeis, The Right to Privacy, s 194. 110 SOU 2016:41, s 137–141. 111 Prop 2009/10:80, s 175. 112 A prop, s 176. 113 SOU 2002:18 s 52. Begreppet ”personlig sfär” förefaller vara besläktat med en sedermera övergiven
doktrin med ursprung i den tyska författningsdomstolens praxis (sphärenteorie). Se i sammanhanget
Gonzáles Fuster, The Emergence of Personal Data as a Fundamental Right of the EU, s 25–26. 114 SOU 2016:41, s 148.
38
för att omfattas av grundlagsskyddet. Vad gäller respektive rekvisits innebörd verkar det
som att begreppet övervakning tar sikte på själva insamlingen av uppgifter; förarbetena
nämner som exempel på övervakning ”hemlig kameraövervakning, hemlig teleavlyssning
och hemlig teleövervakning.”115 Begreppet verkar alltså knappast kunna kopplas till det
offentligas användning av kakor. Sådan användning av kakor som avses här är typiskt
sett inte hemlig, även om det kan finnas brister i den information som lämnas till den
enskilde användaren.
Begreppet kartläggning verkar å sin sida ta sikte på själva sammanställningen av uppgifter
i olika former av register eller databaser; här nämner förarbetena ”ett stort antal
uppgiftssamlingar som det allmänna förfogar över […] t.ex. lagrad i Skatteverkets,
Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även
Statistiska centralbyrån och […] t.ex. Socialstyrelsen och Brottsförebyggande rådet […]
I flertalet fall är uppgifterna tillgängliga för myndigheter på sådant sätt att lagringen och
behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det
huvudsakliga ändamålet med behandlingen är ett helt annat.”116 Här finns paralleller till
myndigheters användning av kakor, eftersom myndigheter typiskt sett inte använder
kakor i syfte att kartlägga enskildas förehavanden. Förarbetsuttalandet klargör att
kartläggning, i RFs mening, kan förekomma utan att det föreligger sådant uppsåt.
Slutligen är det inte alla tänkbara former av kartläggning och övervakning som täcks av
grundlagsskyddet. Kartläggningen eller övervakningen ska avse enskilds ”personliga
förhållanden,” ett begrepp som här används i samma bemärkelse som i TF och OSL.
Begreppet är dock omfattande i sin innebörd och har ingen uttömmande definition.
Förarbetena anger att detta innebär att bestämmelsen omfattar ”vitt skilda slag av
information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra
personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel.”117
Uttrycket omfattar även ”uppgifter som inte är direkt knutna till den enskildes personliga
sfär.”
115 Prop 2009/10:80, s 181. 116 Prop 2009/10:80, s 180. 117 A prop, s 177.
39
Här är det svårt att sätta ner foten eftersom de uppgifter en myndighet kan ta del av med
hjälp av kakor varierar baserat på vilken sorts kakor som används. Begreppet förefaller i
vart fall inte omfatta något generellt skydd för alla tänkbara personuppgifter. I de fall som
uppmärksammats i uppsatsen, då myndigheter använder tredje parters statistik- och
analysverktyg, kan myndigheter komma att ta del av enskildas IP-adresser, vilka
åtminstone i vissa fall kan användas för att identifiera enskilda individer. Dessutom kan
myndigheter komma att ta del om information om dessa enskildas Internethistorik och
browsingbeteende, som kan vara av vitt skilda slag. Åtminstone i vissa fall kommer denna
information ha direkt koppling till de faktorer som uttryckligen nämns i förarbetena.
Det är förvisso sant att skyddet för den personliga integriteten får begränsas enligt lag,
med förbehåll för de krav som ställs upp enligt RF 2 kap 21-24 §§. Det ter sig därmed
rimligt att betrakta LEK 6 kap 18 § som en sådan begränsning och förutsättningsvis –
även om detta inte diskuteras i förarbetena till LEK – är den också en sådan begränsning
som kan godtas enligt RFs formella och materiella krav på sådana begränsningar. Det är
dock också sant att en myndighet som använder sig av kakor på ett sådant sätt som inte
är tillåtet enligt LEK 6 kap 18 § - och om utredningen ovan kan tas som en indikation åt
endera hållet så verkar det som att det finns anledning att befara att så faktiskt sker – gör
så med risk att inkräkta på det grundlagsskyddade området. Eventuellt kan staten ådra sig
rättsliga konsekvenser genom att på så vis kränka en grundlagsskyddad rättighet, vilket
utreds nedan under 4.2.2.
4.2.2 Skadestånd på grundval av RF
Något som diskuterats i allt större utsträckning på senare år är frågan huruvida en
kränkning av en grundlagsskyddad rättighet skulle kunna utgöra grund för ideellt
skadestånd, trots att det saknas uttryckligt lagstöd för att sådant skadestånd skulle kunna
utgå. Historiskt sett har en sådan utveckling ansetts olämplig, men denna uppfattning har
successivt luckrats upp i doktrinen på senare tid.118 Faktum är att även Högsta domstolen
har tillämpat läran att åtminstone i vissa fall kan överträdelser av rättigheter enligt 2 kap
118 Se t.ex. Mörk & Hermansson, Enskildas rättsskydd vid lagstiftarens försummelse, och Crafoord,
Regeringsformens fri- och rättighetsskydd och skadestånd.
40
RF utgöra självständig grund för ideellt skadestånd.119 Frågan uppstår därmed om en
sådan tillämpning är möjlig i de fall som avses i denna uppsats. Här följer först en kortare
historisk genomgång av rättsutvecklingen vad gäller skadestånd till följd av
rättighetskränkningar och därefter en mer genomgående analys av domstolens
resonemang i 2014 års fall.
Enligt förarbetena till 1974 års regeringsform var rättigheterna som ingick i 2 kap inte
alls menade att åberopas direkt av medborgarna eller tillämpas materiellt av domstolarna.
Bestämmelserna skulle snarare ses som vägledande för lagstiftarens normgivande arbete,
och även då i normalfallet få stå tillbaka till förmån för principen att riksdagens
demokratiskt valda majoritet skulle ha stor handlingsfrihet i lagstiftningsarbetet.120 Det
anfördes att om sådan politisk makt kom att överföras till de icke-politiska domstolarna
skulle detta på sikt kunna leda till att domstolarnas sammansättning politiserades. Vissa
rättigheter, särskilt de sociala rättigheterna, skulle anses ha karaktär av ”målsättnings-
eller programstadganden” snarare än materiellt verksamma rättsregler.121 Under en tid
ansågs således riksdagen, och särskilt riksdagens konstitutionsutskott, som den främsta
tolkningsinstansen när det gällde grundlagsfrågor.122 Denna inställning kom att urholkas
med tiden, både i den politiska och juridiska debatten.123
Särskilt betydelsefullt i sammanhanget var att Sverige blev medlemsstat i EU och att i
samband med inträdet i EU EKMR började gälla som svensk lag.124 Det framstod då som
omotiverat att, om lagstiftarens makt kunde inskränkas av internationella avtal till vilka
lagstiftaren anslutit staten, inte då också anse att inhemsk grundlag utgjorde en liknande
begränsning. Detta kom att leda till en successiv utvidgning av domstolarnas befogenhet
att utöva lagprövning; först i praxis och därefter även enligt RF.125
119 Se NJA 2014 s 323. 120 Prop 1975/76:209, s 27. 121 Prop 1975/76:209, s 28. 122 Bull, Fundamentala fragment, s 56 f. 123 A a presenterar (och bemöter) ett tvärsnitt av kritiken mot KU som grundlagstolkare från slutet av
1990-talet till början av 2000-talet. 124 Nergelius, Svensk statsrätt, s 23. 125 A a, s 244–246.
41
Utvecklingen av vad som har kallats ”konstitutionaliseringen av ersättningsrätten”126
följer ett anmärkningsvärt parallellt mönster. I takt med att svenska domstolar blev allt
mer benägna att använda ideellt skadestånd som effektivt rättsmedel mot kränkningar av
EKMR (en utveckling som utreds mer i detalj nedan under 4.3.3) kom det att ifrågasättas
varför svensk grundlag skulle erbjuda sämre möjligheter till upprättelse än EKMR. I de
fall EKMR och svensk grundlag erbjuder samma skydd för samma rättighet saknar frågan
eventuellt praktisk betydelse, men ett något mer skarpt läge uppstår när staten kränker en
rättighet som skyddas av RF men inte av EKMR. Det var just detta som hade skett i 2014
års rättsfall. Vissa debattörer har hävdat att 2014 års rättsfall ger uttryck för en generell
rätt till ersättning vid kränkning av grundlagsskyddade rättigheter,127 men frågan är
omstridd och det tål att utredas om så verkligen är fallet.
Rättsfallet i fråga behandlar en individ, B.P., som avregistrerades som svensk medborgare
i strid med 2 kap 7 § RF. Att så var fallet hade tidigare avgjorts av regeringsrätten och
var därmed ostridigt i målet.128 B.P. hävdade att under den period han varit avregistrerad
som svensk medborgare hade han lidit ideell skada, dels på grund av att en sådan olaglig
avregistrering varit kränkande i och för sig, men även i samband med att han fråntagits
rösträtt i 2003 års folkomröstning om införandet av euro, 2006 års riksdagsval samt inte
haft möjlighet att utöva sådana yrken som kräver svenskt medborgarskap eller göra
värnplikt. B.P. angav att skadestånd kunde grundas på en direkt tillämpning av RF 2 kap
7 § eller annars i kombination med en tillämpning av EKMR, som dock saknar sådant
skydd för medborgarskapet som återfinns i RF. HD dömde till kärandens fördel och
fastslog att skadeståndsskyldighet för staten hade uppstått i samband med kränkningen
av RF 2 kap 7 § i och för sig.
2014 års rättsfall markerar således den första gången HD tillerkänt en enskild rätt till
ersättning efter att det allmänna kränkt en rättighet som skyddas av RF men inte EKMR.
Därmed uppstår frågan huruvida de principer som HD:s dom ger uttryck för är
126 Andersson, Konstitutionalisering av ersättningsrätten (I). 127 Mörk & Hermansson, Mörk & Hermanson, En enhetlig rättsordning vid överträdelser av
grundläggande rättigheter?, s 511 f. 128 De specifika sakliga och rättsliga omständigheterna angående BP:s medborgarskap återges således i
RÅ 2006 ref. 73.
42
allmängiltiga i förhållande till 2 kap RF eller om de är specifika för de omständigheter
som gällde i 2014 års fall.
I domskälen fokuserade HD:s majoritet på de juridiska omständigheter som omger RF 2
kap 7 § och som är mer eller mindre unika för just den bestämmelsen. Domstolen
poängterar först att bestämmelsen är absolut och således inte får inskränkas ens genom
lagstiftning.129 Därefter beskriver domstolen att bestämmelsen är av grundläggande
betydelse för det svenska statsskicket. HD anför att: ”Medborgarskapet kan sägas
representera det formella medlemskapet i det svenska samhället […] Detta rättsliga
förhållande innebär rättigheter och skyldigheter för [både stat och medborgare] […] En
överträdelse i ett enskilt fall mot förbudet i 2 kap 7 § andra stycket RF betar den drabbade
de rättigheter som följer av medborgarskapet. Den innebär att staten bryter mot den
grundläggande skyldigheten i det rättsliga förhållande som medborgarskapet utgör.”130
Mot bakgrund av dessa omständigheter menade HD att det var motiverat att låta en talan
om ideellt skadestånd grunda sig på en direkt tillämpning av 2 kap 7 § RF. Samtidigt
upprepade domstolen att ”Utgångspunkten i svensk rätt anses vara att det krävs särskilt
lagstöd för att en rätt till ersättning för ideell skada ska anses föreligga.”131
Åtminstone Integritetsskyddskommittén förefaller ha tolkat domskälen extensivt, och
anför att det vid intrång i den personliga integriteten som strider mot RF kan finnas en
rätt till skadestånd som grundar sig direkt på 2 kap 6 §.132 Det kan ifrågasättas om en
sådan tolkning verkligen finner stöd i domskälen.
Domstolens resonemang ger i själva verket ingen uttrycklig vägledning för den för
uppsatsen relevanta frågan huruvida ersättningsskyldighet för ideell skada kan uppstå vid
en överträdelse av 2 kap 6 §. En motsatsvis tolkning av domstolens skäl ger vid handen
att så inte borde vara fallet. De rättigheter som den paragrafen skyddar är inte absoluta,
129 NJA 2014 s 323, HD:s domskäl punkt 6. 130 NJA 2014 s 323, HD:s domskäl punkt 7 och 8. Det är eventuellt anmärkningsvärt att HD verkar
formulera medborgarskapet som ett sorts partsförhållande i ett samhällskontrakt. Att närmre utreda
implikationerna av denna formulering ligger dock utanför uppsatsens syften. 131 NJA 2014 s 323, HD:s domskäl punkt 9. Det kan i sammanhanget noteras att justitierådet
Calissendorff anförde som sin skiljaktiga mening att det egentligen ankommer på lagstiftaren att initiera
en sådan förändring av rättsläget som HD:s majoritet genom sitt domskäl gett uttryck för. 132 SOU 2016:41, s 171.
43
till skillnad från rätten till medborgarskap. Tvärtom är det grundlagsskyddade området
relativt snävt definierat, och faller vidare under den kategori av rättigheter som är enklast
att inskränka enligt 2 kap 23–24 §§ RF, på så vis att en inskränkning inte ens måste
motiveras på en särskilt angiven grund. Även den ovan citerade upprepningen av
domstolens inställning att det krävs särskilt lagstöd för att en rätt till ersättning för ideell
skada ska uppstå talar mot att en sådan rätt skulle kunna uppstå i förhållande till 2 kap 6
§. En sådan läsning av domstolens resonemang förefaller även finna visst stöd i doktrinen,
även om frågan förefaller omtvistad.133
Även om man ser till de skyddsintressen som respektive bestämmelse tar sikte på kan
man urskilja en klar skillnad i allvar mellan att å ena sidan olagligen fråntas sitt
medborgarskap och å andra sidan utsättas för övervakning av ens browsingbeteende på
Internet. Detta ska inte förstås som att rättigheterna kan betraktas som att de generellt har
väsentligen annan dignitet, utan snarare att de förefaller ha det om man jämför de
konkreta omständigheterna i 2014 års fall med de omständigheter som typiskt sett
förekommer i de fall uppsatsens syften avser.
Det kan tyckas omotiverat att på så vis göra en åtskillnad mellan rättigheter av högre och
lägre dignitet som knappast återspeglas av regeringsformens ordalydelse, och det har
anförts att om en sådan gradering utförs kan det knappast göras på annan väg än
politisk.134 Samtidigt är frågan inte av lika stor materiell innebörd som det framstår vid
första anblick. Det har nämligen varit HD:s praxis sedan en tid tillbaka att en rätt till
ersättning för ideell skada kan uppstå i förhållande till kränkningar av rättigheter som
skyddas av EKMR.135 Eftersom EKMR, liksom RF, innehåller bestämmelser till skydd
för den personliga integriteten kan det alltså röra sig om en sådan situation där en enskild
kan få upprättelse genom det konventionsrättsliga systemet även om det inte är möjligt
133 Bengtsson, Högsta domstolen fortsätter omvandlingen av skadeståndsrätten, s 433, som menar att
prejudikatet enbart kan anses vägledande för frågor om skadestånd för kränkningar av rätten till
medborgarskap, samt Andersson, punkt 3, som argumenterar för att domen förvisso inte utesluter att även
överträdelser av andra rättigheter kan ge upphov till skadeståndsskyldighet. Jämför Mörk & Hermanson,
En enhetlig rättsordning vid överträdelser av grundläggande rättigheter?, s 511 f, som hävdar att praktiska
skäl talar för att domen har bäring även på andra rättigheter enligt RF. 134 Bengtsson, s 437. 135 Denna inställning har sitt ursprung i NJA 2005 sida 462 och har tillämpats som gällande rätt sedan
dess.
44
enligt nationell rätt. Frågan huruvida sådana kränkningar kan tänkas uppstå i de fall som
uppsatsen avser utreds därför i avsnittet nedan.
4.3 Skyddet för den personliga integriteten enligt EKMR
4.3.1 Inledning
Det kan inte uteslutas att de bestämmelser som reglerar skyddet för den enskildes
personliga integritet enligt EKMR kan aktualiseras i samband med den användning av
kakor som beskrivits ovan. Huruvida så är fallet, samt vilka rättsliga konsekvenser detta
skulle få för staten, utreds därför i förevarande avsnitt. Konventionens bestämmelser är
relevanta eftersom lag eller annan föreskrift enligt RF 2 kap 19 § inte får meddelas i strid
med konventionen. En kränkning av en konventionsbestämmelse kan även, som nämndes
ovan, vara skadeståndsgrundande för staten. Frågan som ska besvaras här bör egentligen
beskrivas som två frågor, nämligen: Kan sådan insamling och vidarebefordrande av
uppgifter om enskilda som bedrivs med hjälp av kakor ses som en kränkning av någon
bestämmelse i EKMR? Om så är fallet, är den juridiska ordning som tillåter sådant
agerande ändå godtagbar enligt de principer som gäller för inskränkning av
konventionsskyddade rättigheter? Den första frågan är således av mer materiell art och
den andra frågan tar sikte på mer formella aspekter, och utreds därmed i var sitt avsnitt
nedan. Därefter utreds även vilka rättsliga följder en eventuell kränkning av en
konventionsskyddad rättighet kan få för staten.
4.3.2 Det materiella skyddet för den personliga integriteten
Skyddet för det som i svensk rätt kallas den personliga integriteten motsvaras i EKMR:s
system huvudsakligen av artikel 8, som stadgar att ”var och en har rätt till respekt för sitt
privat- och familjeliv, sitt hem och korrespondens.”136 Artikeln innehåller således fyra
grunder som på något sätt relaterar till den personliga integriteten: Privatliv, familjeliv,
hem, och korrespondens. Europadomstolen har traditionellt sett givit dessa begrepp en
generös eller extensiv tolkning.137 Artikeln innehåller också ett antal derogationsgrunder
enligt vilka staten under vissa omständigheter och i viss utsträckning får inskränka denna
136 EKMR art 8(1). 137 Gonzáles Fuster, s 95.
45
rättighet. En grundligare genomgång av dessa i förhållande till den svenska regleringen
av kakor återfinns under 4.3.3 nedan.
Det finns inte för närvarande någon uttrycklig praxis från Europadomstolen som klargör
huruvida sådan informationsinsamling av statliga myndigheter som denna uppsats
behandlar kan utgöra en kränkning av någon av rättigheterna som skyddas av artikel 8.
En utredning av huruvida så är fallet måste därför grunda sig främst på analogier andra
mål som behandlat kränkningar av artikel 8 på mer eller mindre likartade grunder.
Domstolen har i sin praxis kring artikel 8 uttalat ett flertal gånger att lagring av uppgifter
med anknytning till enskildas privatliv är att anse som en kränkning i konventionens
mening vid första anblick.138 Vad informationen efter insamling används för har ingen
bäring på frågan huruvida en kränkning har uppstått eller inte. Här har domstolen särskilt
poängterat att ” […] det ankommer inte på rätten att spekulera i huruvida informationen
som samlats in om käranden varit av känslig art eller huruvida käranden utsatts för någon
olägenhet.”139 Det ska sägas att samtliga av dessa fall behandlar manuell nedteckning av
information i register, och då särskilt polisregister. I samtliga av dessa fall var
informationen också av sådan art som skulle kunna beskrivas som särskilt känslig,
nämligen genom att beteckna en person som en potentiell säkerhetsrisk,140 upptagning
och lagring av fingeravtryck, cellprover och DNA-prov141 samt genom att beteckna en
person som en kontaktperson för den sovjetiska ambassaden i Berne.142 Det mer generella
uttalandet av domstolen i Amann-målet som citerats ovan måste dock anses gå före de
specifika omständigheterna i respektive mål.
Det allmännas insamling av information gällande enskildas surfvanor och Internethistorik
skulle alltså kunna sägas utgöra en kränkning av artikel 8 i den mån sådan information
kan anses ha anknytning till den enskildes privatliv. Det måste alltså utredas vad som
avses med privatliv i konventionens mening.
138 Leander mot Sverige 48 §, S. och Marper mot Storbritannien 67 §. 139 Amann mot Schweiz, 70 §. 140 Leander mot Sverige, 17 §. 141 S. och Marper mot Storbritannien, 58 §. 142 Amann mot Schweiz, 15 §.
46
Det första som bör noteras i sammanhanget är domstolens uppfattning att begreppet
privatliv inte är ägnat att definieras uttömligt,143 och att försöka definiera begreppet
uttömligt vore både onödigt och omöjligt.144 Det omfattar bland annat en persons fysiska
och psykiska integritet, och därmed även ett flertal aspekter av en enskild persons fysiska
och sociala identitet. Begreppet omfattar särskilt uppgifter rörande en persons namn145
eller andra identitetsuppgifter som fotografisk bild146 eller information som kan koppla
den enskilde till en viss familj, könsidentitet, sexualliv och sexuell läggning, information
om en enskilds personliga hälsotillstånd eller etnisk tillhörighet.147 Begreppet omfattar
även ett skydd för rätten att inleda och utveckla mellanmänskliga förhållanden eller
förhållanden med omvärlden i övrigt.148 Domstolen har också nämnt att det i
bedömningen av huruvida det finns anknytning till någon sådan privatlivsfaktor i ett
specifikt fall måste även beaktas bland annat hur och i vilket sammanhang insamlingen
skett, för vilket syfte registret ska användas och vad för resultat som kan uppnås med
hjälp av registret.149 Eftersom begreppet inte är ägnat att definieras uttömligt är det
möjligt att även ytterligare faktorer omfattas av begreppet, beroende på de konkreta
omständigheterna i ett fall.
Det kan här vara relevant att uppehålla oss en stund vid den typ av information som
berörts i de ovan citerade målen för att utröna varför just sådan information får betraktas
som känslig i förhållande till den personliga integriteten. I de förenade målen S. och
Marper mot Storbritannien gällde kärandens talan information i form av fingeravtryck,
cellprover och DNA-prover. Upptagning av sådana prover innefattar typiskt sett ett
kroppsligt intrång av det slag som skyddas av artikel 8,150 och sådana prover innehåller
143 Domstolen brukar i sammanhanget hänvisa till målet Pretty mot Storbritannien, 61 §, men notera att
domstolen verkar luta sig tillbaka på redan etablerade argument även i målet Pretty. 144 Gonzáles Fuster, s 96. 145 Burghartz mot Schweiz, 24 §. 146 Von Hannover mot Tyskland, 51-53 §§. Se även Sciacca mot Italien, 29 §. 147 S. och Marper mot Storbritannien, 66 §. 148 A bet, 66 § med vidare hänvisning till Friedl mot Österrike. Domstolen hänvisar här inte till sina egna
domskäl i målet Friedl, utan till vad som fastslagits av kommissionen vid ett tidigare skede i
handläggningen av målet. Dokumentering av detta har inte påträffats, men ska kunna utfås i tryckt form i
volym 305-B, serie A, Publications of the Court (se Friedl mot Österrike, registrators not 1). För ett
kortare referat av kommissionens domskäl, se Gonzáles Fuster, s 98. 149 S. och Marper mot Storbritannien, 67 §. 150 Danelius, Mänskliga rättigheter i europeisk praxis, s 372.
47
typiskt sett information som är högst specifika för den individ som lämnat proverna i
fråga, vilket försvagar ett analogiskt resonemang. En annan aspekt som domstolen
uppehöll sig vid var farhågan att en fortgående teknisk utveckling gjorde det svårt att
förutse vad sådana prover skulle kunna användas till i framtiden.151 Detta skulle kunna
stärka det analogiska resonemanget, eftersom i stort sett samma sak gäller för sådan
information som samlas upp med hjälp av kakor när den informationen blir del av stora
datasamlingar.
Om vi således resonerar i analogi med Europadomstolens praxis på området kan vi belysa
huruvida den användning av kakor som beskrivits ovan kan utgöra intrång på det av
artikel 8 skyddade området. Användningen av sessionskakor framstår som relativt
oproblematisk; dessa identifierar en viss användare och spårar hen under en begränsad
tid när hen interagerar med sidan i fråga.
Det är återigen förmedlingen av uppgifter om enskilda till tredje part som skulle kunna
vara ett problematiskt element. Här spelar det dels in att de största nätverken av kakor,
såsom Google Analytics, har en väsentligen mer omfattande möjlighet att skapa
information om den enskilde användaren, vilket diskuterats ovan under 2.2 och 2.3.
Denna information kan vara av vitt skilda slag och beröra såväl identifikationsuppgifter
som uppgifter om enskilds hälsa, sexualliv eller vandel, i den mån sådant framgår av den
enskildes internethistorik. Samtidigt borde det även vägas in i bedömningen att en enskild
myndighet knappast någonsin kommer ha tillgång till samma ”helhetsbild” som
tredjepartskakans upphovsperson har. Det är oklart vilken innebörd denna omständighet
har för utfallet i bedömningen.
Här kan det vara problematiskt att statliga myndigheter fungerar som en del i ett sådant
nätverk. I Sciacca-målet uppstod en kränkning av artikel 8 i samband med att den
italienska polisen utlämnade information om en brottsmisstänkt enskild för publikation i
den italienska pressen. Domstolen lade särskild vikt vid det faktum att käranden inte var
en offentlig person, med hänvisning till sin tidigare praxis i målet von Hannover.152
151 S. och Marper mot Storbritannien, 70 §, med vidare hänvisning till Van der Velden mot
Nederländerna. 152 Sciacca mot Italien, 29 §.
48
Frågan uppstår därmed om samma kränkning skulle uppstå om myndigheter överlämnar
uppgifter som anknyter till en enskilds privatliv till tredje part om dessa uppgifter inte är
avsedda för publicering, vilket är vad som sker när myndigheter använder sig av
tredjepartskakor eller statistik- och analysverktyg som tagits fram av tredje part.
Publikationsmomentet är sannolikt inte oväsentligt i analogin med Sciacca;
Europadomstolen hänvisar som stöd för sina domskäl till de tidigare avgjorda målen von
Hannover och Schüsser, som båda också berörde just publikation av fotografier av
enskilda. Samtidigt verkar det som att en kränkning hade uppstått även om
publikationsmomentet saknats, eftersom att domstolen noterar att italiensk lag saknade
uttrycklig reglering av såväl fotografering av brottsmisstänkta som utlämning av sådana
fotografier.153 Denna avsaknad av lagstöd innebar att intrånget i artikel 8 inte kunde
rättfärdigas.
En annan aspekt som kan belysas är den som tagits upp ovan under 4.1.1 om hur man ska
hantera det faktum att myndigheter, genom att delta i nätverk för storskalig insamling av
data för statistik- och analyssyften, potentiellt lämnar ut uppgifter om enskildas
förehavanden till tredje part. Två faktorer talar mot att denna omständighet skulle vara
problematisk enligt EKMR. Den första är att mycket talar för att medlemsstaterna åtnjuter
ett omfattande margin of appreciation på området.154 Detta, i kombination med Sveriges
traditionella hängivenhet till offentlighetsprincipen, talar mot att denna omständighet
skulle vara problematisk. Dessutom verkar Europadomstolen i mål som behandlar denna
fråga fäst sin uppmärksamhet vid utlämnande av uppgifter av en viss dignitet, såsom
uppgifter om brottslighet, hälsotillstånd eller medicinsk behandling.155 Samtidigt har det
visats ovan under 4.1.2 att utlämningen av information som sker med hjälp av tredje parts
statistik- och analysverktyg endast svårligen kan motiveras med hänvisning till
offentlighetsprincipen.
En sammantagen bedömning av dessa faktorer talar för att, åtminstone under vissa
omständigheter, offentliga myndigheters användning av tredjepartskakor eller kakor som
sätts av tredje parts statistik- och analysverktyg skulle kunna utgöra intrång på rätten till
153 A bet, 30 §. Se även Danelius, s 378. 154 Danelius, s 390. 155 A a, s 390 f.
49
privatliv enligt EKMR artikel 8. Det kan dock knappast anses klarlagt att så skulle vara
fallet i någon generell mening. Det ska också anföras att samtliga fall som citerats ovan
behandlar manuell behandling av uppgifter med anknytning till privatlivet. Domstolen
har aldrig slagit fast att automatisk eller semi-automatisk behandling av sådana uppgifter
skulle omfattas av artikel 8,156 även om den omständigheten i och för sig inte definitivt
innebär att så inte är fallet. I likhet med resultatet av utredningen kring RFs bestämmelser
ovan får det dock anses stå klart att artikel 8 i EKMR utgör hinder för vissa former av
användning av kakor, särskilt i samband med att information om enskilda översänds till
tredje part.
Det bör också anföras att det kan spela in i bedömningen att de data som samlas in med
hjälp av kakor åtminstone vid tillfället för insamling är anonyma. Det har förvisso visats
ovan under 2.1.1 att anonyma eller anonymiserade data under vissa omständigheter kan
knytas till identifierade fysiska personer med förvånansvärt hög träffsäkerhet.
4.3.3 Det formella skyddet för den personliga integriteten
Det formella skyddet för den personliga integriteten består av de derogationsgrunder som
uttrycker under vilka omständigheter det är tillåtet för konventionsstater att göra undantag
från konventionens bestämmelser. Sådana undantag måste, enligt konventionens artikel
8(2), ske enligt lag samt vara ”nödvändigt i ett demokratiskt samhälle med hänsyn till
statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till
förebyggande av oordning eller brott eller till skydd för hälsa och moral eller för andra
personers fri- och rättigheter.”
Den reglering av användningen av kakor som finns i svensk rätt, 6 kap 18 § LEK, skulle
kunna sägas utgöra en sådan begränsning som, principiellt sett, borde vara godtagbar
enligt EKMR. Regeln syftar till att balansera ekonomiska överväganden mot enskildas
rätt till skydd för sina personuppgifter enligt stadgans artikel 8. Myndigheters användning
av kakor bör alltså vara godtagbar enligt EKMR i den mån sådan användning sker i
enlighet med befintlig nationell lagstiftning. Om det däremot är så att kakor används i
strid med lagens innebörd – exempelvis genom att samtycken, i den mån de alls
156 Gonzáles Fuster, s 101.
50
inhämtats, varit ogiltiga – skulle det kunna utgöra en kränkning av artikel 8 som inte kan
ursäktas enligt derogationsgrunderna.
4.3.4 Skadestånd enligt EKMR
Om en enskild utsätts för en kränkning av en konventionsskyddad rättighet, uppstår
rättsliga konsekvenser för den stat som ansvarat för kränkningen. I många fall består
konsekvenserna i en skyldighet för staten att utge monetär kränkningsersättning till den
enskilde. Denna ersättning kan dömas ut av Europadomstolen, men döms även ut av
nationella domstolar i allt större utsträckning. Förevarande avsnitt omfattar en kortare
utredning av statens skadeståndsansvar för kränkningar av EKMR.
Enligt EKMR artikel 13 har den som utsatts för en kränkning av en konventionsstadgad
rättighet rätt till ett effektivt rättsmedel inför en nationell myndighet för att avhjälpa
kränkningen. Sådant rättsmedel behöver inte bestå av monetär ersättning utan kan ta olika
former; till exempel har straffnedsättning om en brottmålsrättegång inte hållits inom
skälig tid ansetts utgöra ett effektivt rättsmedel mot en kränkning av artikel 6.157 När det
gäller kränkningar av artikel 8 har Högsta domstolen dock slagit fast att ideellt skadestånd
kan utgå.158 I senare mål har domstolen även uttalat att i den mån en överträdelse mot en
konventionsskyddad rättighet inte kan kompenseras med hänvisning till nationell
skadeståndsrätt, kan skadestånd utgå även utan särskilt lagstöd.159
I den mån vissa sorters användning av kakor kan sägas kränka enskildas rättigheter enligt
artikel 8 i EKMR kan staten alltså ådra sig skadeståndsskyldighet enligt nationell rätt för
den ideella skadan om uppstår i samband med att den rättigheten kränks. Om det
materiella rättsläget angående kränkningar av artikel 8 genom användning av kakor var
tydligare, skulle detta eventuellt kunna fungera avskräckande från sådan användning av
kakor som inte har stöd i 6 kap 18 § LEK.
157 SOU 2010:87 s 128; NJA 2003 s 414. 158 NJA 2007 s 584. Se även SOU 2010:87 s 132–134. 159 Se NJA 2009 N 70. Se även Danelius, s 31.
51
5. Sammanfattning och avslutning
5.1 Undersökningens resultat
Syftet med denna uppsats har varit att identifiera vilka regler som styr myndigheters
användning av internetkakor, utreda reglernas bakgrund och specifika innebörd samt
exemplifiera vissa problematiska tendenser vad gäller dessa regelsystems efterlevnad.
Regleringens ställning i förhållande till vissa överordnade normsystem har också utretts
i uppsatsen, och därmed har de två slutsatserna dragits att regleringen potentiellt utgör en
felaktig implementering av det EU-direktiv den grundar sig på samt att det förekommer
såväl konstitutionella som konventionsrättsliga implikationer om regleringen inte följs av
offentliga aktörer.
Först, i syfte att introducera läsaren till ämnet kakor och exemplifiera varför
användningen av kakor kan vara problematisk ur integritetssynpunkt, förklaras hur kakor
fungerar och vilken sorts information som kan samlas in med hjälp av kakor i 2.1.2 och
2.1.3. Därefter, under 2.2, breddas perspektivet och ger mer allmänna exempel på statliga
aktörers intresse i storskaliga datasamlingar.
Genom att utreda den svenska regleringens unionsrättsliga bakgrund under 3.2.1 och
3.2.2 har det visats att kakregeln i LEK måste tillämpas enligt en väsentligen annorlunda
tolkning än den som framgår av lagens förarbeten för att uppnå de ändamål som den
unionsrättslige lagstiftaren avsett att uppnå. Efterlevnad har visat sig vara svår att uppnå,
även vad gäller de krav som ställs upp om lagregeln tolkas enligt förarbetenas mer
generösa inställning. Svårigheten verkar ha uppstått vad gäller såväl offentliga som
privata aktörers användning av kakor. Det har också visats under 3.2.3 att gällande rätt
kommer att kompliceras ytterligare i och med den allmänna dataskyddsförordningens
ikraftträdande, eftersom denna innehåller bestämmelser som kan kategorisera kakor som
en sorts personuppgift. Detta innebär i sin tur ytterligare skyldigheter för
webbplatsinnehavare i samband med användningen av kakor.
Därefter utreddes, under 4.2.1, huruvida dessa problem med regleringens efterlevnad av
offentliga aktörer har några konsekvenser på det konstitutionella planet. Även om det
saknas vägledande prejudikat på området har några konkreta slutsatser kunnat dras utifrån
52
gällande rätt. Mycket talar för att vissa former av myndigheters användning av kakor är
otillåtna enligt regeringsformens skydd för den personliga integriteten. Detta gäller
särskilt användningen av statistik- och analysverktyg som tagits fram av tredje part. Det
förefaller dock inte som att staten därigenom ådrar sig något rättsligt ansvar gentemot
medborgarna, vilket diskuterats under 4.2.2. Det kan dock inte uteslutas att samma sorts
användning av kakor strider mot EKMR, och även här finns det goda argument för att så
är fallet. I så fall är det klarlagt att staten ådrar sig de rättsliga konsekvenser som vanligtvis
följer av underlåtenhet att leva upp till sina skyldigheter enligt konventionen –
skyldigheten att erbjuda ett effektivt rättsmedel, typiskt sett i form av skadestånd. Dessa
frågeställningar har utretts i detalj under 4.3.2 och 4.3.3 respektive 4.3.4.
En sammantagen bedömning av de rättsliga problem som förekommer på området, de
tolkningsproblem som uppstått i förhållande till regleringen och de svårhanterade
problemen med efterlevnad ger vid handen vissa indikationer som måste beaktas i
framtida strävanden att uppnå efterlevnad med lagen. Dessa diskuteras nedan, i
uppsatsens avslutande avsnitt.
5.2 Kommande reglering av kakor – några ord på vägen
5.2.1 En mer aktiv tillsyn – särskilt om PTS kommande allmänna råd om kakor
Om det stämmer att lagens komplexitet har en avskräckande effekt på såväl offentliga
som privata aktörer, skulle det vara önskvärt att i framtiden initiera projekt för att göra
lagen mer tillgänglig för de som har att rätta sig efter den. PTS har under 2016 meddelat
att man i det syftet avser ta fram en vägledning, i form av allmänna råd, för hur
webbplatsinnehavare bör förhålla sig till kakor.160 En sådan utveckling vore definitivt
välkommen. Myndigheten hade tidigare bedrivit tillsyn i frågan mot ett mindre urval av
såväl privata som offentliga aktörer, men anför att det vore mer hjälpsamt att i stället
utarbeta allmänna råd, eftersom dessa potentiellt kan ge vägledning till en bredare krets
aktörer än beslut i enskilda fall. Det kan också noteras att det eventuellt inte bara är
regleringens komplexitet som avskräcker berörda aktörer – dessa har även, enligt egen
160 ”PTS tar fram vägledning för användning av kakor,” hämtad från
https://www.pts.se/sv/Nyheter/Internet/2016/PTS-tar-fram-vagledning-for-anvandning-av-kakor/ den 15
november 2016.
53
utsago och som visats ovan under 3.3.1, ekonomiska incitament att undandra sig
efterlevnad. Såväl privata som offentliga aktörer påverkas av sådana ekonomiska
incitament, eftersom stora datasamlingar har ett självständigt ekonomiskt värde som båda
sorters aktörer kan tillgodogöra sig.
Det kan också diskuteras om inte ett mer aktivt utnyttjande av de tvångsmedel
(föreläggande, förbud och vite) som står den nationella tillsynsmyndigheten till buds vore
att betrakta som något eftersträvansvärt. I den mån tvångsmedel är ägnade att avskräcka
från uppenbart illegitim användning av kakor skulle en sådan utveckling vara
välkommen. Det bör dock uppmärksammas att det är mer tidskrävande och därmed också
mer kostsamt att vidta åtgärder mot enskilda aktörer än det skulle vara att utarbeta
allmänna råd som samtliga aktörer kan förhålla sig till. I det sammanhanget kan det
nämnas att de nationella tillsynsmyndigheterna för e-kommunikationsdirektivet och
personuppgiftsdirektivet har visats vara nästintill konsekvent underfinansierade i
förhållande till de målsättningar de har att uppnå och i förhållande till de aktörer – särskilt
privata sådana – som de har att utöva tillsyn över.161 Det ska även noteras att vad gäller
just kakor saknar PTS möjlighet att använda sig av retroaktiva tvångsmedel, alltså
tvångsmedel avseende en redan begången överträdelse av regelverket. De tvångsmedel
som är förknippade med 6 kap 18 § LEK kan endast användas för att tvinga en
webbplatsinnehavare att avsluta en pågående illegitim användning av kakor. En aktör
som medvetet ägnar sig åt illegitim användning av kakor har alltså inga egentliga
incitament att på eget initiativ avsluta en sådan användning förrän tillsynsmyndigheten
utfärdat ett föreläggande, förenat med vite, om att sådan användning ska upphöra.
Det kan därmed vara av intresse att ta upp några punkter som förhoppningsvis kommer
att reflekteras i PTS kommande allmänna råd om kakor. Först och främst bör
myndigheten klargöra samtyckesbegreppets unionsrättsliga innebörd, och vad som krävs
för att nå upp till de krav som ställs upp av begreppets rekvisit enligt PUL. Av de krav
som framgår av utredningen under 3.2 ovan kan de allra mest väsentliga sammanfattas
enligt följande: Information måste lämnas till användaren innan kakor sätts. Att så inte
sker är sannolikt ett av de största skälen till att ogiltiga samtycken inhämtas i dagsläget.
161 Erdos, European Data Protection Regulation and New Online Media. s 550 och 555.
54
Samtycke till kakor kan inte utgöra ett krav för att få tillgång till webbplatsen. Ett sådant
krav innebär att samtycket inte kan anses som frivilligt, vilket också får betraktas som ett
omfattande problem på området. Samtycke måste kunna återtas och om kakor används
under en längre tid kan det vara nödvändigt att inhämta samtycke mer än en gång.
Eftersom formuleringen härrör från förarbetena bör myndigheten vara särskilt tydliga
med att på förhand gjorda inställningar i en webbläsare i de allra flesta fall inte kan anses
vara ett lämpligt sätt att inhämta samtycke från användaren. Metoden är, som redovisats
ovan under 3.3.2, behäftad med en rad problem ur juridisk synvinkel, inte minst att sådana
inställningar endast i undantagsfall kan anses utgöra en informerad och otvetydig
viljeyttring. Myndigheten skulle också kunna tydliggöra att vissa former av kakor, såsom
sessionskakor för inloggning eller för att spara användares preferenser, inte nödvändigtvis
kräver användarens samtycke och att det därmed är vilseledande att begära samtycke för
användning av sådana kakor.162
Myndigheten skulle även kunna exemplifiera vilken sorts information som måste lämnas
och under vilka former informationen måste lämnas för att ett giltigt samtycke ska kunna
erhållas. Sådan information omfattar dels för vilka syften webbplatsen använder kakor,
kakornas varaktighet samt, i den mån de används, information om vilka tredjepartskakor
som förekommer på webbplatsen samt i vilken mån tredje parter annars tar del av
information om användarna.163 Hittills har detta inte framgått tydligt av lagen utan snarare
av WP29s praxis, som kan vara svårtillgänglig för såväl privata som offentliga aktörer.
Här skulle alltså ett förtydligande av tillsynsmyndigheten vara särskilt välkommet.
Sannolikt vore det hjälpsamt för berörda aktörer om myndigheten även exemplifierade
metoder som är väl lämpade för att inhämta samtycke till kakor. WP29 har utarbetad en
omfattande praxis kring frågan och anför att tekniker som tillåter användaren att samtycka
till individuella kakor var och en för sig är att föredra framför ett generellt samtycke till
samtliga kakor som webbplatsen använder sig av.
162 WP29 04/2012, s 6. 163 WP29 02/2013, s 3.
55
Genom att beakta dessa faktorer kan myndigheten bidra till att lagrummet tolkas konformt
med det direktiv som lagrummet grundar sig på, vilket får anses ha hög prioritet mot
bakgrund av de rättsliga påföljder som annars kan komma att göras gällande. Det får
också anses att det finns ett värde i och för sig i att en implementering av unionsrättslig
lagstiftning är konform med de principer som kommer till uttryck i unionsrätten.
Myndighetens allmänna råd skulle även kunna inkorporera de förändringar till rättsläget
som den allmänna dataskyddsförordningen kommer innebära, så att berörda aktörer får
tid att anpassa sig till regelverket redan innan det träder i kraft. Dataskyddsförordningens
rättsverkningar kan dock behöva utredas i mer detalj innan en sådan åtgärd framstår som
lämplig. Förordningens rättsverkningar utreds förvisso av en särskild utredare på uppdrag
av Regeringskansliet, men utredningen verkar inte omfatta vilken effekt förordningen
kommer ha på denna specifika aspekt av området elektronisk kommunikation.164
5.2.2 Ytterligare tankar för framtiden
Avslutningsvis bör det också uppmärksammas att dessa problem med efterlevnad och
tillämpning som tas upp i uppsatsen inte är unika för området kakor. Det har tvärtom
noterats att det finns ett tydligt gap mellan regler och tillämpning (eng. enforcement gap)
på dataskyddsregleringens område.165 Det finns en tendens hos nationella
tillsynsmyndigheter på området för elektronisk kommunikation och personuppgiftsskydd
att förespråka en extensiv tolkning av dataskyddsregleringens omfattning, men att
samtidigt vidta relativt få tillämpningsåtgärder.166 Detta kan i sin tur bero på en diskrepans
mellan tillsynsmyndigheternas finansiering och de ekonomiska resurser som finns
tillgängliga för de privata subjekt som myndigheterna har att utöva tillsyn över, såsom
Google och Facebook.167 Även reglernas komplexitet kan avskräcka
tillsynsmyndigheterna från att vidta tillämpningsåtgärder, då en sådan tillämpning kan
framstå som orättvist gentemot sådana subjekt som endast svårligen kan sätta sig in i
regelverket (som fallet med PTS). Det kan även anföras för att det är svårare att förutse
om en rättslig konflikt med ett subjekt kommer att uppstå när det gäller komplexa
164 Kommittédirektiv 2016:15 – Dataskyddsförordningen. 165 Erdos, s 558. 166 A a, s 551 f. 167 A a, s 553.
56
regelverk, och även utfallet ur sådana konflikter blir svårare att förutse. En mer aktiv
tillämpning av regelverket har även i konkreta fall resulterat i omfattande negativ
publicitet för ansvariga myndigheter.168
I takt med att informationsteknologier blir mer och mer användbara inom offentlig
förvaltning kommer stater att bli tvungna att hantera de problem som
informationsteknologier innebär för den personliga integriteten. Denna uppsats har
utgjort en djupdykning i de utmaningar som offentlig förvaltning ställs inför i ett
normativt system där rättsregler i en semi-hierarkisk ordning interagerar med komplex
informationsteknologi, där såväl rättsliga som teknologiska överväganden kan ligga långt
utanför berörda aktörers huvudsakliga verksamhetsområden. Detta ställer än högre krav
än tidigare på den offentliga förvaltningen vad gäller utredningen av innebörder och
konsekvenser av de rättsregler som ska styra vilka sorters användning av
informationsteknologi som ska betraktas som godtagbara och vilka som ska vara föremål
för rättsliga sanktioner. Vad gäller kakor har den svenska lagstiftaren inte nått upp till de
krav som rimligtvis kan ställas på lagstiftning på området. Det verkar inte ha rått samsyn
mellan den svenska och den unionsrättslige lagstiftaren om vad regleringen materiellt
skulle innebära. Utvecklingen har lett till en situation som präglas av juridisk osäkerhet;
osäkerhet om vad som utgör gällande rätt, hur den ska tillämpas och vilka sanktioner som
lämpligen bör användas vid eventuella överträdelser.
Det ligger i alla aktörers intresse att denna osäkerhet avhjälps. Sådan juridisk osäkerhet
omöjliggör i förlängningen rättssäkerhet, eftersom osäkerheten ger två huvudsakliga
konsekvenser. Den första är att tillämpningen kan bli skönsmässig i förhållande till de
aktörer som träffas av lagregeln, om regeln är föremål för pågående tolkning och
omtolkning. Den andra konsekvensen är att om det är oklart hur en regel ska tillämpas
kan det uppstå en situation där regeln inte tillämpas alls, till nackdel för dem vars
rättigheter regeln avsågs skydda. Denna senare nämnda situation verkar vara den
förhärskande i svensk rätt på området, vilket sannolikt är en konsekvens av
tillsynsmyndighetens strävan efter att undvika den förstnämnda situationen. Eftersom
168 A a, s 558. Erdos exemplifierar detta med vissa mediala aktörers reaktion mot Google Spain-målet.
Den spanska tillsynsmyndighetens inställning beskrevs då ”som att kliva in i ett bibliotek och tvinga
personalen att förstöra alla böckerna.”
57
LEK, som nämnts ovan under 3.3.3, inte innehåller någon process för enskilda att formellt
anmäla uppfattade övertramp av regelverket har PTS frihet att själva välja att inleda eller
inte inleda tillsyn i frågan.
Utredningarna kring statens konstitutionella skyldigheter samt skyldigheter enligt EKMR
ger vid handen att det även ur ett rättighetsperspektiv är väsentlig att denna osäkerhet
kring lagrummets materiella innebörd avhjälps. Om osäkerheten avhjälps elimineras
också det för närvarande största befintliga hindret mot en rättssäker och förutsägbar
tillämpning av lagrummet, vilket på sikt skulle kunna leda till att enskilda tillförsäkras ett
mer effektivt skydd för sin personliga integritet än i nuläget. En sådan utveckling måste
ses som en prioritet i sammanhanget, eftersom skyddet för den personliga integriteten
varit det som motiverat lagstiftningsprojektet från första början.
58
59
Referenser
Källor
Svensk rätt
Offentligt tryck
Prop. 1975/76:209. Om ändring i regeringsformen.
Prop. 2002/03:110. Lag om elektronisk kommunikation, m.m.
Prop 2009/10:80. En reformerad grundlag.
Prop. 2010/11:115. Bättre regler för elektroniska kommunikationer.
SOU 2002:18. Personlig integritet i arbetslivet.
SOU 2010:87. Skadestånd enligt Europakonventionen.
SOU 2016:41. Hur står det till med den personliga integriteten?
Högsta domstolen och Högsta förvaltningsdomstolen (Regeringsrätten)
NJA 2003 sida 414.
NJA 2005 sida 462.
NJA 2007 sida 584.
NJA 2009 N 70.
NJA 2014 sida 323.
RÅ 2006 ref. 73.
Europeiska unionen
Sekundärrätt
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för
enskilda med avseende på behandling av personuppgifter och det fria flödet av sådana
uppgifter.
Europaparlamentets och rådets direktiv 2002/35/EG av den 12 juli 2002 om behandling
av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.
Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 om
ändring av direktiv 2002/22/EG om samhällsomfattande tjänster och användares
rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster,
direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom
sektorn för elektronisk kommunikation och förordning (EG) nr 2006/2004 om samarbete
60
mellan de nationella tillsynsmyndigheter som ansvarar för
konsumentskyddslagstiftningen.
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd
för fysiska personer med avseende på behandling av personuppgifter och det fria flödet
av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning)
Europeiska unionens domstol
Mål C-14/83 – Begäran om förhandsavgörande. Sabine von Colson och Elisabeth
Kamann mot Land Nordrhein-Westfalen. Domstolens dom av den 14 april 1984.
Mål C-322/88 – Begäran om förhandsavgörande. Salvatore Grimaldi mot Fonds des
maladies professionnelles. Domstolens dom av den 13 december 1989.
Mål C-392/96 – Europeiska gemenskapernas kommission mot Irland. Domstolens dom
av den 21 september 1999.
Mål C-371/02 – Begäran om förhandsavgörande. Björnekulla Fruktindustrier AB mot
Procordia Food AB. Domstolens dom av den 29 april 2004.
Soft law och övrigt
Article 29 Data Protection Working Party Cookie Sweep Combined Analysis – Report.
Article 29 Data Protection Working Party Opinion 02/2013 providing guidance on
obtaining consent to cookies.
Article 29 Data Protection Working Party Opinion 04/2012 on Cookie Consent
Exemption.
Article 29 Data Protection Working Party Opinion 15/2011 on the definition of consent.
Article 29 Data Protection Working Party Opinion 8/2001 on the processing of personal
data in the employment context.
Article 29 Data Protection Working Party Opinion 131 on the processing of personal data
relating to health in electronic health records.
Article 29 Data Protection Working Party Opinion 171 on behavioral advertising.
Tolkningsförklaring 15864/09 ADD 1 REV 1. Interinstitutionellt ärende 2007/0247.
Europadomstolen
61
Förenade målen S. och Marper mot Storbritannien, ansökan nr. 30562/04 respektive
30566/04, stora kammarens dom av den 4 december 2008.
Sciacca mot Italien, ansökan nr. 50774/99, kammarens dom av den 11 januari 2005.
Von Hannover mot Tyskland, ansökan nr. 59320/00, kammarens dom av den 24 juni
2004.
Pretty mot Storbritannien, ansökan nr. 2346/02, kammarens dom av den 29 april 2002.
Amann mot Schweiz, ansökan nr. 27798/95, stora kammarens dom av den 16 februari
2000.
Friedl mot Österrike, ansökan nr. 15225/89, kammarens dom av den 26 februari 1995.
Burghartz mot Schweiz, ansökan nr. 16213/90, kammarens dom av 22 februari 1994.
Leander mot Sverige, ansökan nr. 9248/81, kammarens dom av den 26 mars 1987.
Litteratur
Böcker
Benoist, E., Collecting Data for the Profiling of Web Users, i Hildebrandt, M. och
Gutwirth, S. (reds.), Profiling the European Citizen – Cross-disciplinary Perspectives,
Springer 2008.
Bull, T., Fundamentala fragment – ett konstitutionellt lapptäcke, Iustus Förlag, 1
upplagan, 2013.
Bull, T. & Sterzel, F., Regeringsformen – en kommentar, 2 upplagan, Studentlitteratur
2013.
Carey, P. & Treacy, B., Data Protection – A Practical Guide to UK and EU Law, Oxford
University Press, 4 upplagan, 2015.
Danelius, H., Mänskliga rättigheter i europeisk praxis – en kommentar till
Europakonventionen om de mänskliga rättigheterna, Norstedts Juridik, 5 upplagan, 2015.
Gonzáles Fuster, G., The Emergence of Personal Data as a Fundamental Right of the EU,
Springer, 1 upplagan, 2014.
Hettne, J. & Reichel, J., Att göra rätt och i tid – behövs nya metoder för att genomföra
EU-rätt i Sverige?, Svenska institutet för europapolitiska studier (SIEPS), 2012.
Hettne, J. & Otken Eriksson, I., EU-rättslig metod – teori och genomslag i svensk
rättstillämpning, Norstedts Juridik, 2011.
Korling, F. & Zamboni, M. (red.), Juridisk metodlära, 1 upplagan, Studentlitteratur, 2013.
62
Magnusson Sjöberg, C., Rättens internationalisering i det digitala informationssamhället,
i Stern, R. och Österdahl, I. (reds.), Folkrätten i svensk rätt, Liber, 1 upplagan, 2012.
Nergelius, J., Svensk statsrätt, 3 upplagan, Studentlitteratur 2014.
Roosendaal, A., Digital Personae and Profiles in Law – Protecting Individuals’ Rights in
an Online Context, Wolf Legal Publishing, Springer 2013.
Öhman, S. och Lindblom, H., Personuppgiftslagen (15 september 2016 Zeteo), hämtad
från zeteo.wolterskluwers.se och kontrollerad den 13 januari 2017.
Tidskriftsartiklar
Andersson, H., Konstitutionalisering av ersättningsrätten (I) – skadestånd vid
medborgarskapsförlust, InfoTorg Juridik, 2014.
Bengtsson, B., Högsta domstolen fortsätter omvandlingen av skadeståndsrätten, SvJT
2014 sida 431.
Bergström, M., Det nationella genomförandeutrymmet – reella valmöjligheter under
påföljdsansvar eller rutinmässig sanktionering av redan fattade beslut?, Europarättslig
tidskrift nummer 4 2008, sida 995-1017.
Crafoord, C., Regeringsformens fri- och rättighetsskydd och skadestånd, SvJT 2009 sida
1062.
Erdos, D., European Data Protection Regulation and New Online Media: Mind the
Enforcement Gap, Journal of Law and Society, volym 43, häfte 4, sida 534-564, 2016.
Gomez, J., Pinnick, T. & Soltani, A, KnowPrivacy Report, UC Berkeley School of
Information, 2009.
Lum, K. & Williams, I., To predict and serve?, Significance 2016, volym 13, häfte 5, sida
14-19.
Mörk, M. & Hermansson, M., Enskildas rättskydd vid lagstiftarens försummelse – om
estoppel-argumentet i svensk rätt, SvJT 2008 sida 229.
Mörk, M. & Hermansson, M., En enhetlig skadeståndsordning vid överträdelser av
grundläggande rättigheter?, SvJT 2014 sida 507.
Ohm, P., Broken Promises of Privacy: Responding to the Surprising Failure of
Anonymization, UCLA Law Review Vol. 57, Issue 1, sidor 1701–1778, 2010.
63
Rubinstein, I., Lee, R. & Schwartz, P., Data Mining and Internet Profiling: Emerging
Regulatory and Technological Approaches, University of Chicago Law Review Vol. 75
No. 1, sidor 261–285, 2008.
Tene, O. & Polotsky, J., Privacy in the Age of Big Data: A Time for Big Decisions,
Stanford Law Review.
Warren, S. D. & Brandeis, L. D., The Right to Privacy, Harvard Law Review Vol. IV No.
5, sidor 194–220, 1890.
Övrigt
Dagens Nyheter. ”Svenska myndigheter lämnar ut dina surfvanor,” publicerad 2015-09-
02. Hämtad från http://www.dn.se/ekonomi/teknik/svenska-myndigheter-lamnar-ut-
dina-surfvanor/, kontrollerad 2016-11-18.
Googles sekretesspolicy, hämtad från https://www.google.com/policies/privacy/ och
kontrollerad den 13 januari 2017.
Kommittédirektiv 2016:15 – Dataskyddsförordningen. Hämtad från
http://www.regeringen.se/contentassets/b16563d102144523a1af80fb44321c43/dir.-
201615-dataskyddsforordningen, kontrollerad den 11 januari 2017.
Special Eurobarometer 431, Data Protection – Summary. EU-kommissionen, juni 2015.
Post- och Telestyrelsens tillsyn avseende användningen av kakor, avskrivningsbeslut,
dnr: 14–1371.
Post- och Telestyrelsens rapport PTS-ER-2012:28, Effekter av reglerna om kakor –
Förändringen i 6 kap 18 lagen om elektronisk kommunikation.
Post- och Telestyrelsen tar fram vägledning för användning av kakor – hämtad från
https://www.pts.se/sv/Nyheter/Internet/2016/PTS-tar-fram-vagledning-for-anvandning-
av-kakor/ den 15 november 2016.
Post- och Telestyrelsen, Frågor och svar om kakor för webbplatsinnehavare – hämtad
från http://www.pts.se/sv/Bransch/Regler/Lagar/Lag-om-elektronisk-
kommunikation/Cookies-kakor/Fragor-och-svar-om-kakor-for-webbplatsinnehavare/
den 29 november 2016.