Regler om integritet

Bestämmelser som rör integritet i lagen om elektronisk kommunikation.

Regler om integritetsskydd och behandling av trafikuppgifter finns i kapitel 6 i lagen om elektronisk kommunikation. Reglerna handlar bland annat om vad operatörerna får göra med uppgifter om sina kunder och uppgifter som är nödvändiga för kommunikationen ska kunna förmedlas.

Dessa regler har sitt ursprung i det bakomliggande EU-direktivet om integritet och elektronisk kommunikation.

arrow Krav på säkerhetsåtgärder

Det här säger lagen (9 kap. 1 – 4 §§)

Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikations­tjänst är skyldig att vidta tekniska och organisatoriska åtgärder för att skydda uppgifter som behandlas i samband med tillhandahållande av tjänsten. Hur hög skyddsnivå som ska uppnås beror på risken för integritetsincidenter, vilken teknik som finns tillgänglig och vad det kostar att genomföra åtgärderna.

PTS föreskrifter

PTS har utfärdat föreskrifter som innehåller mer detaljerade krav på säkerhetsåtgärder.

  • PTSFS 2014:1 gäller för alla elektroniska kommunikationstjänster.
  • I PTSFS 2012:4 finns särskilda krav som gäller vid lagring av uppgifter för brottsbekämpande ändamål.

arrow Rapportering av incidenter

Så här säger lagen (6 kap. 4 a §)

En integritetsincident är en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst. När en sådan incident inträffar ska tjänstetillhandahållaren utan onödigt dröjsmål underrätta PTS. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör ska även dessa underrättas utan onödigt dröjsmål.

Hur och när rapportering ska ske regleras av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Läs mer om rapportering av integritetsincidenter.

Allmänt om behandling av uppgifter och innehåll

Den som tillhandahåller nät och tjänster får därigenom tillgång till stora mängder information om enskilda som kan hota rätten till respekt för privatliv och rätten till konfidentiell kommunikation om uppgifterna skulle röjas eller användas på ett oönskat sätt. För att skydda enskildas integritet och kommunikationens konfidentialitet finns det bestämmelser om hur trafikuppgifter, lokaliseringsuppgifter som inte utgör trafikuppgifter och innehållet i de meddelanden som överförs genom elektroniska kommunikationstjänster får behandlas.

arrow Behandling av trafikuppgifter

Så här säger lagen (6 kap. 5 – 8 §§)

Trafikuppgifter är uppgifter som behandlas för att kunna överföra information i ett elektroniskt kommunikationsnät eller för att fakturera sådan överföring. Här avses alltså inte själva innehållet som överförs, utan uppgifter som beskriver överföringen, t.ex. uppgift om vilka telefonnummer eller adresser (t.ex. ip-adresser) som har kommunicerat med varandra och när det skett.

Trafikuppgifter är nödvändiga för att kommunikationen ska fungera men ska som huvudregel raderas eller avidentifieras när de inte längre behövs för att överföra information. Ett undantag från detta är om uppgifterna behövs för fakturering och betalning av samtrafikavgifter. Ett annat undantag är om uppgifterna behandlas för att marknadsföra eller tillhandahålla andra tjänster men i detta fall krävs det att abonnenten eller användaren har informerats om behandlingen och lämnat sitt samtycke till den. Ett samtycke kan när som helst dras tillbaka.

Se även Behandling av uppgifter

arrow Behandling av lokaliseringsuppgifter och viktigt meddelande till allmänheten (VMA)

Så här säger lagen

 

(6 kap. 9 – 10 a §§)

Lokaliseringsuppgifter kallas uppgifter som visar den geografiska positionen för en användares terminalutrustning (t.ex. en mobiltelefon). I mobilnäten är behandling av lokaliseringsuppgifter ofta nödvändig för att kommunikationen ska fungera och i sådana fall räknas lokaliseringsuppgifterna som trafikuppgifter och omfattas av dessa regler (se ovan).

Om lokaliseringsuppgifter som inte utgör trafikuppgifter ska behandlas, krävs normalt att abonnenten har lämnat sitt samtycke till detta.

6 kap. 10 b §

Mobiloperatörer får också behandla uppgifter som behövs för utsändning av viktigt meddelande till allmänheten (VMA) till mobiltelefoner, ifall det skett en olycka eller en allvarlig händelse i samhället. Meddelandet, som ska förmedlas kostnadsfritt, ska förmedlas till telefoner som används i ett specifikt område som berörs av olyckan eller händelsen.

arrow Ospecificerade räkningar och skydd mot nummerpresentation

Så här säger lagen (6 kap. 11 – 13 §§)

Abonnenter ska ha möjlighet att få en specificerad räkning över alla samtal som ringts från ett visst abonnemang. Vanligen finns också möjlighet att se vem som ringer, genom s.k. nummerpresentation. Men av integritetsskäl kan abonnenter i vissa fall föredra att det inte framgår på räkningen vilka telefonnummer som har ringts upp eller att funktionen nummerpresentation förhindras för utgående eller inkommande samtal.

Operatören är därför skyldig att ge abonnenten möjlighet till ospecificerad räkning och att förhindra nummerpresentation. Oavsett en sådan spärr mot nummerpresentation får numret ändå visas för Polisen eller alarmerings­centraler vid nödsamtal. På begäran av en abonnent som har problem med störande samtal får en operatör också tillfälligt åsidosätta skydd mot nummerpresentation, för att sådana samtal ska kunna spåras.

arrow Abonnentförteckningar och hemliga nummer

Så här säger lagen (6 kap. 15 – 16, 20 §§)

I Sverige finns ett flertal abonnentförteckningar (abonnentupplysnings­tjänster eller nummerupplysning genom tjänster i 118-serien). Abonnenter som är fysiska personer har rätt att få information om ändamålen med en abonnentförteckning och informeras om de sökfunktioner som en sådan tjänst möjliggör. Operatörerna är skyldiga att lämna ut uppgifter om abonnenter till de företag som bedriver abonnent­upplysning, om inte uppgifterna skyddas av tystnadsplikt.

Tystnadsplikt gäller som huvudregel för alla abonnentuppgifter hos operatörerna. För att uppgifter ska kunna lämnas ut och förekomma i en abonnentupplysningstjänst krävs att abonnenten har lämnat sitt samtycke. Vanligen lämnas samtycke när abonnenten undertecknar villkoren för abonnemanget. Men samtycket kan när som helst återkallas, vilket är vad som sker när en abonnent begär ett så kallat hemligt nummer hos operatören.

arrow Behandling av innehåll

Så här säger lagen (6 kap. 17§)

För att kunna överföra information och trafikuppgifter som hör till informationen i ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst krävs att informationen med automatik behandlas och tillfälligt lagras i de system som sköter kommunikationen. Utöver sådan nödvändig behandling får ingen annan än de användare som deltar i kommunikationen ta del av innehållet i denna, om inte minst en av användarna har lämnat sitt samtycke till detta.

Ett undantag från detta förbud gäller för avlyssning i en radiomottagare av information som överförs via radio och som inte är avsedd för den som avlyssnar eller för allmänheten. Men den som avlyssnar sådan kommunikation har tystnadsplikt för den information som avlyssnas (se avsnittet nedan om tystnadsplikt).

arrow Avlyssning av överförd information

Så är säger lagen (6 kap. 19 - 19 a §§)

I rättegångsbalken finns också regler om så kallad hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation. Dessa regler gör det möjligt att, efter beslut av domstol, i samband med utredning av grova brott, ta del av information som annars är skyddad.  

Operatörer är skyldiga att bedriva sin verksamhet så att beslut om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan verkställas och så att verkställandet inte avslöjas. PTS roll i sammanhanget är att utöva tillsyn över denna skyldighet.

Enligt lagen om signalspaning i försvarsunderrättelseverksamhet så har en signalspaningsmyndighet rätt att inhämta information som via elektroniska kommunikationsnät förs över Sveriges gräns. För att myndigheten ska kunna hämta in sådan information så är berörda operatörer skyldiga att överföra informationen till så kallade samverkanspunkter. PTS kan utöva tillsyn över att operatörerna uppfyller denna skyldighet och har även möjligt att utfärda föreskrifter om samverkanspunkterna.

Läs mer om signalspaning på Försvarets radioanstalts (FRA) webbplats.

arrow Tystnadsplikt och utlämnande av uppgifter om abonnenter eller överförd information

Så här säger lagen (6 kap. 20 – 23 §§)

I samband med att elektroniska kommunikationsnät och kommunikations­tjänster tillhandahålls är det nödvändigt för operatören att behandla uppgifter om abonnenter och kommunikationen i nätet. Får en operatör del av uppgifter om abonnemang, innehållet i överförd information eller andra uppgifter om kommunikationen (t.ex. trafikuppgifter) gäller tystnadsplikt. Denna tystnadsplikt omfattar även andra än operatörer som tagit del av uppgifter i samband med att elektroniska kommunikationsnät och kommunikationstjänster tillhandahålls.

Tystnadsplikten innebär att uppgifterna inte obehörigen får föras vidare till någon annan. Det är inte ett brott mot tystnadsplikten att föra uppgifterna vidare om det finns stöd för det i lagen om elektronisk kommunikation eller i annan lag.

Tystnadsplikten gäller aldrig gentemot de användare som deltagit i en kommunikation. När det gäller vissa uppgifter så gäller inte heller tystnadsplikten mot berörda abonnenter.

I vissa fall har operatörer inte bara rätt, utan även en skyldighet, att lämna ut uppgifter som annars omfattas av tystnadsplikt. Det gäller bland annat vid utredning av brott. 
 
Detaljerad information om reglerna för utlämnande av uppgifter.

arrow Användning av kakor (cookies) med mera

Så här säger lagen (6 kap. 18 §)

En kaka (cookie) är en liten textfil som lagras i en dator som besöker en webbplats. Kakor används på många webbplatser för att ge en besökare tillgång till olika funktioner. Det går bl.a. att använda informationen i kakan för att följa hur användare surfar. På liknande sätt som kakor kan även olika former av skadlig kod (till exempel virus och trojaner) lagras i en användares dator.

Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Det innebär bland annat att alla som innehar en webbplats som använder kakor, är skyldiga att lämna viss information om detta samt se till att webbplatsens besökare samtycker till användningen innan kakor lagras eller hämtas.

Mer information om kakor.