Samtycke enligt förslaget till dataskyddsförordning
Av Christine Storr (Kirchberger)
De kommande veckorna kommer vi att diskutera några utvalda delar av förslaget till dataskyddsförordning som vi anser har större relevans för er läsare av bloggen. Mycket nöje!
Samtycke
I dagens blogginlägg ska vi titta närmare på kapitel 2:s Artikel 6 som ersätter Artikel 7 i dataskyddsdirektivet. Artikeln handlar om när personuppgifter får behandlas, dvs bestämmelsen motsvarar 10 § i personuppgiftslagen (SFS 1998:204).
Utgångspunkten är fortfarande samtycke från den registrerade, även om det fortfarande ges möjlighet till behandling om den är nödvändig. Samtycke definieras i Artikel 4 punkt 8 enligt följande:
varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.
Kommissionens och Europaparlamentets förslag är i nuläget samstämmiga när det gäller definitionen av samtycke. Det som är nytt jämfört med direktivet är ordet “uttryckligt” som har lagts till i definitionen. Ordet uttryckligt används i personuppgiftslagen endast i relation till känsliga personuppgifter idag, se 15 §.
Rådet har i ett av sina senaste dokument (mars 2015) ersatt ordet uttrycklig mot “unambiguous” i skäl 25, vilket skulle motsvara “otvetydig” i dagens personuppgiftslag. Enligt ett annat Rådsdokument från april 2015 finns dock varken ordet “otvetydig” eller “uttrycklig” med i definitionen av samtycke i Artikel 4, utan endast i Artikel 7. Flera medlemstater har i dagsläget reservationer mot denna lydelse.
Det återstår därför att se hur mycket samtyckeskraven kommer att ökas och hur/om Rådet, Europaparlamentet och Kommissionen kan enas.
Entydig affirmativ handling
Uttrycket “godtar” i den äldre definitionen i direktivet ersattes med “genom ett uttalande eller en entydig affirmativ handling” vilket antyder att man ökar kraven på agerandet som krävs av den registrerade för att denne ska anses ha givit samtycke till behandlingen. Detta synsätt stämmer också överens med Skäl 25 av förslaget som understryker att det ska finnas en medvetenhet hos den registrerade. Kommissionen och Europaparlamentet är eniga om definitionen, även Rådet har uttrycket med i ett av sina dokument från april 2015.
Där ståndpunkterna går isär just nu är hur “entydig affirmativ handling” ska tolkas.
Kommissionen och Europaparlamentet nämner som exempel för en entydig affirmativ handling (i Skäl 25) ”en ruta som klickas i vid besök på en internetsida”. Europaparlamentet påpekar även att “[t]ystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke.”
Just uttrycket ”användning av en tjänst” kan utmana allmänna villkor och privacy policies av flera webbtjänster, som använder sig av s.k. browse-wrap avtal, dvs avtalet anses accepterat genom användning av tjänsten.
Enligt ett av de senaste dokumenten från Rådet i mars – som bygger på en tillfällig partiell överenskommelse – har Rådet dock lagt till i Skäl 25: “Where it is technically feasible and effective, the data subject’s consent to processing may be given by using the appropriate settings of a browser or other application. In such cases it is sufficient that the data subject receives the information needed to give freely specific and informed consent when starting to use the service.”
Detta synsätt liknar den tidigare cookie-bestämmelsen i direktivet om integritet och elektronisk kommunikation (genomfört genom 6 kapitel 18 § i lag (2003:389) om elektronisk kommunikation [LEK]), där endast information krävdes och webbläsarinställningar ansågs tillräckliga för ett samtycke. Vid den senaste ändringen av direktivet och LEK år 2011 infördes dock även där ett samtyckeskrav.
Här går alltså Kommissionens, Europaparlamentets och Rådets ståndpunkt väldigt mycket isär. Rådet anser att webbläsarinställningar kan anses vara samtycke, i så fall antagligen för flera webbtjänster samtidigt, medan Europaparlamentet tycker att surfandet på en webbplats inte alls kan anses vara ett samtycke.
Frivilligt samtycke & ändring av ändamål
I skäl 33 understryks även att samtycke ska utgöra en fri valmöjlighet. Europaparlamentet har där även lagt till “Användning av standardalternativ som den registrerade måste ändra för att vägra behandling, såsom förkryssade rutor, utgör inte frivilligt samtycke.”
Även om Rådet understryker vikten av en medvetenhet, verkar skäl 33 har tagits bort i Rådsdokumentet från april 2015.
Intressant nog har Kommissionens förslag: “(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. “ tagits bort i Europaparlamentet.
Kommissionens förslag i Artikel 7 punkt 4 att “samtycke [inte] ska utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning” har ändrats i Europaparlamentet version:
Samtycke ska vara bundet till ändamålet och förlora sin giltighet om ändamålet inte längre föreligger eller så snart behandlingen av personuppgifter inte längre är nödvändig för det ändamål för vilket de ursprungligen samlades in.
Även denna lydelse tolkar jag som en utvidgning av samtyckeskravet, åtminstone från Europaparlamentets sida. Företag och organisationer kan, m.a.o. inte nöja sig när de väl har fått ett samtycke utan förslaget kräver än mer att ändamålen med behandlingen styr.
Intressant nog har Rådet reviderat Kommissionens ursprungliga förslag i det avseendet att det hänvisar till andra skäl för behandlingen ifall ändamålet ändras och inte står i relation till samtycket längre: “Where the purpose of further processing is incompatible with the one for which the personal data have been collected by the same controller, the further processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1.” Flera länder reserverar sig just nu till denna lydelse.
Just obalansen understryks av Rådet (och även Kommissionen) i Skäl 34: ”In order to safeguard that consent has been freely-given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller and this imbalance makes it unlikely that consent was given freely in all the circumstances of that specific situation.”
De tre institutionerna reglerar olika krav i Artikel 7. Vissa verkar vilja avse frivilligheten, vissa kopplingen mellan samtycke och ändamålen och vissa öppnar upp möjligheten – när samtycke inte längre räcker – att falla tillbaka på nödvändighet. Även här är det väldigt oklart just nu hur en slutgiltig text kan komma att se ut.
Avslutande ord
Som förhoppningsvis framgår av inlägget är utgången när det gäller samtycke väldigt oklar just nu. Ståndpunkterna av Kommissionen, Europaparlamentet och Rådet går isär på flera punkter. Just kravet på hur ett samtycke ska se ut definieras väldigt olika. Europaparlamentet lägger mycket mer vikt på tydlighet och ett aktivt agerande, dvs inte ens förkryssade rutor uppfyller kraven på ett giltig samtycke eftersom de saknar frivillighet.
Å andra sidan anser Rådet att webbläsarinställningar i vissa fall uppfyller kraven på en ”entydig affirmativ handling”, dvs konkludent handlande, när det är teknisk effektivt. I dessa fall behöver endast information lämnas.
I alla versioner av förslaget (Kommissionens, Europaparlamentets och Rådets) finns dock möjligheten till personuppgiftsbehandling på grund av nödvändighet kvar i Artikel 6. Detta ska vi diskutera i kommande inlägg, särskilt vad avser sambandet med en intresseavvägning.