Dataskydd inom sektorn för elektronisk kommunikation

Information delas via allmänna kommunikationstjänster som Internet och mobila och fasta telefonlinjer, samt via deras tillhörande nätverk. Det krävs särskilda bestämmelser och skyddsmekanismer för dessa tjänster och nätverk så att användarnas rättighet till integritet och sekretess garanteras.

RÄTTSAKT

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).

SAMMANFATTNING

Information delas via allmänna kommunikationstjänster som Internet och mobila och fasta telefonlinjer, samt via deras tillhörande nätverk. Det krävs särskilda bestämmelser och skyddsmekanismer för dessa tjänster och nätverk så att användarnas rättighet till integritet och sekretess garanteras.

VILKET SYFTE HAR DIREKTIVET?

I direktivet fastställs bestämmelser som ska säkerställa att personuppgifter behandlas på ett säkert sätt, att personuppgiftsbrott meddelas och att kommunikationen är konfidentiell. Dessutom införs ett förbud mot icke begärd kommunikation, i fall där användaren inte har givit sitt samtycke.

VIKTIGA PUNKTER

Leverantörer av elektroniska kommunikationstjänster ska göra sina tjänster säkra genom att

• säkerställa att endast behöriga personer kan få tillgång till personuppgifter,
• skydda personuppgifter så att de inte förstörs, går förlorade eller ändras av misstag, eller att de inte behandlas på något annat olagligt eller obehörigt sätt,
• säkerställa att en säkerhetspolicy för behandling av personuppgifter införs.

Tjänsteleverantören ska informera de nationella myndigheterna om personuppgiftsbrott inom 24 timmar. Om personuppgifterna eller användarens integritet kan skadas ska användaren meddelas, såvida inte särskilt identifierade tekniska åtgärder har vidtagits för att skydda uppgifterna.

EU-länderna ska garantera att kommunikationen över offentliga nätverk är konfidentiell, och i synnerhet ska de

• förbjuda avlyssning, uppfångande, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta enligt gällande krav,
• garantera att lagring av information eller tillgång till information som sparats på en användares personliga utrustning endast är tillåten om användaren tydligt och fullständigt har informerats, bl.a. om syftet, och har fått rätt att neka att detta görs.

När trafikuppgifter inte längre krävs för kommunikation eller fakturering ska de tas bort eller göras anonyma. Tjänsteleverantörerna får dock behandla dessa data för marknadsföringssyften så länge användaren i fråga godkänner det. Användaren kan när som helst ta tillbaka sitt samtycke.

Samtycke från användaren krävs också i flertalet andra situationer, bl.a.

• innan icke begärd kommunikation (spam) kan skickas till honom eller henne; detta gäller även för SMS och andra elektroniska meddelandesystem,
• innan information (cookies) sparas på användarens datorer eller enheter, eller innan man får tillgång till sådan information; användaren måste få tydlig och fullständig information, bl.a. om syftet med lagringen eller tillgången,
• innan telefonnummer, e-postadresser eller postadresser kan visas i offentliga förteckningar.

EU-länderna måste ha ett system för påföljder som innehåller rättsliga påföljder när direktivet inte har följts.

Rättigheternas och skyldigheternas tillämpningsområde kan endast begränsas med nationella rättsliga åtgärder när sådana begränsningar är nödvändiga och proportionerliga för att skydda särskilda allmänna intressen, som t.ex. att möjliggöra brottsutredningar eller att skydda den nationella säkerheten, försvaret eller den allmänna säkerheten.

VILKEN PERIOD GÄLLER DIREKTIVET FÖR?

Från och med den 31 juli 2002.

BAKGRUND

Detta direktiv är ett av de fem direktiv som tillsammans bildar telekompaketet, en rättslig ram för att kontrollera sektorn för elektronisk kommunikation. De andra direktiven omfattar den allmänna ramen, tillgång och samtrafik, godkännande och licensiering och samhällsomfattande tjänster,

År 2009 ändrades paketet genom två direktiv om bättre lagstiftning och medborgarnas rättigheter, samt genom en förordning i vilken organet för europeiska regleringsmyndigheter för elektronisk kommunikation inrättas.

Se mer information på Europeiska kommissionens webbplats om e-integritet

Efter utbrottet av covid-19 och införandet av åtgärder för att hantera krisens följdverkningar antog Europeiska kommissionen följande: Kommissionens rekommendation (EU) 2020/518 av den 8 april 2020 om en unionsgemensam verktygslåda för användningen av teknik och data för att bekämpa och komma ut ur covid-19-krisen, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata

ANKNYTANDE RÄTTSAKTER

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31-50).

Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1-22).

Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 13.4.2006, s. 54-63) (ogiltigförklarat enligt EU-domstolens dom; se nedan).

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation (EUT L 173, 26.6.2013, s. 2-8).

Förenade målen C-293/12 och C-594/12: Domstolens dom (stora avdelningen) av den 8 april 2014 (begäran om förhandsavgörande från High Court of Ireland, Verfassungsgerichtshof - Irland, Österrike) - Digital Rights Ireland Ltd (C-293/12), Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl m.fl. (C-594/12)/Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Ireland och the Attorney General (Elektronisk kommunikation - Direktiv 2006/24/EG - Allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät - Lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av sådana tjänster - Giltighet - Artiklarna 7, 8 och 11 i Europeiska unionens stadga om de grundläggande rättigheterna) (EUT C 175, 10.6.2014, s. 6-7).

Senast ändrat 25.05.2020