Help Print this page 
Title and reference
Skydd av uppgifter inom sektorn för elektronisk kommunikation

Summaries of EU legislation: direct access to the main summaries page.
Languages and formats available
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html ES html CS html DA html DE html EL html EN html FR html IT html HU html NL html PL html PT html RO html FI html SV
Multilingual display
Text

Skydd av uppgifter inom sektorn för elektronisk kommunikation

IT- och kommunikationstekniken (IKT), särskilt Internet och e-post, reser speciella regler när det gäller skydd för privatlivet. Det här direktivet innehåller regler för att ge användarna trygghet i fråga om teknik och tjänster vid elektronisk kommunikation. Mer specifikt ämnar direktivet att säkerställa integritetsskydd och konfidentialitet inom sektorn för elektronisk kommunikation. I detta inkluderas säkerhet gällande behandling av personuppgifter, meddelanden om överträdelse, konfidentialiteten vid kommunikation och förbudet mot icke begärda kommunikationer, vilka omfattas av föregående samtycke av berörda användare.

RÄTTSAKT

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation)[Se ändringsakter].

SAMMANFATTNING

Direktiv 2002/58/EG är en del av det så kallade Telekompaketet, som utgör regelverket inom området för elektronisk kommunikation. Telekompaketet omfattar även fyra andra direktiv, nämligen ramdirektivet, tillträdesdirektivet,auktorisationsdirektivet, och direktivet om samhällsomfattande tjänster.

Telekompaketet modifierades i december 2009 genom de två direktiven Bättre lagstiftning och Unionsmedborgares och deras familjemedlemmars rätt, liksom genom förordningens inrättande av organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec).

Detta direktiv handlar huvudsakligen om behandling av personuppgifter inom ramen för tillhandahållande av kommunikationstjänster.

Säkerhet vid databehandling

Leverantören av en elektronisk kommunikationstjänst skall skydda säkerheten hos sina tjänster genom:

  • att garantera att endast behöriga personer får tillgång till personuppgifter;
  • att skydda personuppgifter från att förstöras, förloras eller oavsiktligt förändras och annan olaglig eller obehörig form av behandling;
  • att upprätta en säkerhetspolicy för behandling av personuppgifter

Vid fall av överträdelse av personuppgiftssäkerheten, så bör leverantören av tjänsten inom 24 timmar meddela den nationella myndigheten. Om överträdelsen sannolikt kan komma att skada personuppgifter, eller en abonnents eller individs integritet ska leverantören även informera den berörda abonnenten eller individen. Detta gäller inte om leverantören har infört tekniska säkerhetsåtgärder som gör uppgifterna obegripliga för alla obehöriga personer (se förordning (EU) nr 611/2013).

Konfidentialitet vid kommunikation

I direktivet erinras om att medlemsländerna ska säkerställa konfidentialitet vid kommunikation via allmänt tillgängliga elektroniska kommunikationstjänster, de ska framförallt förbjuda att andra personer än användarna avlyssnar, uppfångar eller lagrar kommunikationen och trafikuppgifter utan de berörda användarnas samtycke, förutom om personen i fråga har tillåtelse enligt lag. Medlemsstaterna garanterar också att användningen av elektroniska kommunikationsnät för att lagra information eller för att få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast är tillåten om abonnenten eller användaren i fråga har efter tillgång till klar och fullständig information, åtminstone om ändamålen med behandlingen, gett sitt tillstånd.

Behandling av trafik- och lokaliseringsuppgifter

Direktivet fastställer att trafikuppgifter bör raderas eller göras anonyma när de inte längre är nödvändiga för vidarebefordran eller fakturering.

Leverantör av elektroniska kommunikationstjänster ska dock behandla trafikuppgifter i den utsträckning och under den varaktighet som är nödvändig för att tillhandahålla eller distribuera elektroniska kommunikationstjänster av mervärde. Detta gäller så länge den berörda abonnenten eller användaren har gett sitt föregående samtycke.

När det gäller lokaliseringsuppgifter utöver dem som omfattas av trafik kan dessa endast behandlas när de har anonymiserats eller efter att ha fått användarens eller abonnentens samtycke. Detta gäller i den utsträckning och under den varaktighet som är nödvändig för att tillhandahålla eller distribuera en mervärdestjänst.

Användare och abonnenter kan när som helst välja att dra tillbaka sitt samtycke till behandlingen av trafik- eller lokaliseringsuppgifter.

När det gäller den känsliga frågan om lagring av trafikuppgifter anges i direktivet att medlemsländerna endast får åsidosätta skyddet av personuppgifter när det är fråga om brottsutredningar eller för att skydda landets säkerhet, försvaret och allmän säkerhet. Sådana åtgärder får endast vidtas i den mån de är nödvändiga, lämpliga och proportionella i ett demokratiskt samhälle och förenliga med grundläggande rättigheter.

Icke begärd kommunikation (spamming)

I direktivet föreskrivs en opt-in-lösning i fråga om icke begärd kommunikation för direkt marknadsföring. Det innebär att sådan kommunikation bara ska vara tillåten om användarna i förväg har gett sitt samtycke till den. Opt-in-systemet omfattar också SMS och andra elektroniska meddelanden som skickas till en fast eller mobil terminal. Undantag är dock förväntade.

Cookies

I direktivet sägs att användarna ska ge sitt medgivande för att information skall lagras på deras terminalutrustning och för att tillgång till sådan information skall erhållas. För att göra detta, ska användarna få klar och tydlig information om ändamålet med lagring eller tillgång. Dessa åtgärder skyddar användarnas privatliv mot sabotageprogram, som virus eller spionprogramvara, men är också tillämpbara på cookies.

Cookies är dold information som utbyts mellan en Internetanvändare och en webbserver och som sparas i en mapp på användarens hårddisk. Cookies användes ursprungligen för att bibehålla informationen mellan två anslutningar. De är också användbara för att kontrollera användarnas verksamhet på nätet, något som ofta kritiserats.

Abonnentförteckningar

Medborgarna i EU:s medlemsländer ska på förhand godkänna att deras telefonnummer (fast eller mobilt abonnemang), e-postadress och postadress får finnas med i offentliga abonnentförteckningar.

Kontroller

Medlemsstaterna ska sätta upp ett system för påföljder, inklusive rättsliga påföljder, för fall då bestämmelserna i direktivet överträds. De ska även försäkra att behöriga nationella myndigheter har makt och resurser nog att övervaka och kontrollera efterföljandet av de nationella bestämmelser som införlivas i direktivet.

HÄNVISNINGAR

Rättsakt

Dag för ikraftträdande - Datum då rättsakten upphör att gälla

Sista dag för genomförandet i medlemsstaterna

Europeiska unionens officiella tidning

Direktiv 2002/58/EG

30.7.2002

31.10.2003

EGT L 201, 31.7.2002

Ändringsrättsakt(er)

Dag för ikraftträdande

Sista dag för genomförandet i medlemsstaterna

Europeiska unionens officiella tidning

Direktiv 2009/136/EG

19.12.2009

25.5.2011

EUT L 337, 18.12.2009

ANKNYTANDE RÄTTSAKTER

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [Europeiska gemenskapernas officiella tidning L 281 av den 23 november 1995].

Detta direktiv utgör referenstext på EU-nivå när det gäller skydd för personuppgifter. Genom direktivet införs en rättslig ram för balans mellan en hög nivå på skydd för privatlivet och fri rörlighet för personuppgifter inom EU.

Europaparlamentets och rådets förordning (EG) nr 45/2001/EG av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter [Europeiska gemenskapernas officiella tidning L 8 av den 12 januari 2001].

Syftet med den här förordningen är att ge skydd för personuppgifter när dessa hanteras vid EU:s institutioner och organ. I förordningen fastställs i synnerhet inrättandet av en oberoende tillsynsmyndighet med ansvar för att övervaka tillämpningen av dess främsta bestämmelser.

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation [EUT L 173, 26.6.2013].

Domstolens dom av den 8 april 2014 i de förenade målen C-293/12 och C-594/12. Digital Rights Ireland och Seitlinger et al.

I denna dom förklarade domstolen direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG, ogiltigt. Domstolen ansåg särskilt att direktiv 2006/24/EG hade överskridit de begränsningar som fastställts i proportionalitetsprincipen med beaktande av artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna. Domstolen betonade i synnerhet det faktum att direktivet

  • inkluderade storskaligt och synnerligen allvarligt intrång utan att ange tydliga och precisa regler för det som omfattas av intrånget. Dessutom tillät inte direktivet för tillräckliga garantier i enlighet med den säkerhet och det skydd av uppgifter som leverantörerna innehar.

Senast ändrat den 27.05.2014

Top