8 oktober PERSONUPPGIFTSLAGEN Förvaltningsrätten i Stockholm har nyligen prövat om en kommuns användning

Transkript

1 Nyhetsbrev IP/TMT 2014:4 8 oktober 2014 What s new? Personuppgiftslagen ställer krav på utformningen av avtalet om molntjänster Marknadsdomstolen besvarar frågan vem som är annonsens avsändare Kommissionen föreslår ett nytt direktiv om företagshemligheter PERSONUPPGIFTSLAGEN Förvaltningsrätten i Stockholm har nyligen prövat om en kommuns användning av molntjänster var förenligt med personuppgiftslagen. Rätten gjorde i avgörandet flera intressanta uttalanden kring vilka krav som ställs på utformningen av avtalet mellan den personuppgiftsansvarige och molntjänstleverantören. Salems kommun ( Kommunen ) hade tecknat ett avtal med Google Ireland Limited ( Google ) om användning av molntjänster från Google. Datainspektionen ( DI ) riktade 2011 kritik mot Kommunens användning av molntjänsten och förelade Kommunen att upprätta ett personuppgiftsbiträdesavtal som uppfyllde kraven enligt personuppgiftslagen (1998:204) ( PUL ). Vid den efterföljande granskningen av avtalet fann DI att avtalet inte var förenligt med PUL eftersom (i) det gav Google ett för stort utrymme att behandla personuppgifterna för egna ändamål, (ii) det inte tillräckligt tydligt stadgade när personuppgifterna skulle raderas och (iii) det inte gav Kommunen tillräcklig information om vilka underleverantörer som Google använde sig av. DI förelade Kommunen att rätta till bristerna i avtalet alternativt att upphöra med behandlingen av personuppgifterna i molntjänsten. Kommunen valde då att överklaga avgörandet till förvaltningsrätten i Stockholm. Ändamålet med behandlingen av personuppgifterna Enligt 9 PUL måste den personuppgiftsansvarige se till att personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgiftsbiträde har inget eget skadeståndsansvar

2 utan den personuppgiftsansvarige ansvarar även för den behandling som personuppgiftsbiträdet utför. Mot bakgrund av detta anförde förvaltningsrätten att det var viktigt att instruktionerna till personuppgiftsbiträdet, d.v.s. Google, utformades på ett sådant tydligt sätt så att Kommunen säkerställde att ingen otillåten behandling kunde komma att utföras. Enligt avtalet var ändamålet med behandlingen definierat som the purposes of providing, maintaining and improving the services. Förvaltningsrätten fann detta oförenligt med PUL eftersom villkoret var allt för omfattande och gav Google möjlighet att själv bestämma ändamålet med behandlingen och därigenom använda personuppgiftena i egna syften. Personuppgifternas lagringstid Den personuppgiftsansvarige ska även se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Den s.k. Artikel 29-gruppen, vars uppgift är att bidra till en enhetlig tillämpning av Dataskyddsdirektivet 95/46/EG, har uttalat att ett personuppgiftsbiträdesavtal bör innehålla villkor som säkerställer att radering av data ska ske på ett tillförlitligt sätt vid avtalets upphörande samt när den personuppgiftsansvarige så begär. Google åtog sig att radera personuppgifterna från sina servrar när Kommunen så begärde, dock endast efter en viss tid beroende på kommersiell hänsyn - after commercially reasonable time. Förvaltningsrätten fann att skrivningen inte var tillräckligt preciserad för att kunna godtas. Domstolen menade att en mer exakt lagringstid måste anges och anförde att även en förhållandevis lång lagringstid kunde godtas förutsatt att behandlingen av personuppgifterna då begränsades. och även i vilka länder som de är lokaliserade. Syftet med detta är att den ansvarige ska veta om personuppgifter kan komma att behandlas i tredje land som inte har en adekvat nivå för skydd av personuppgifter. I det aktuella fallet hade Google lämnat en lista till Kommunen över underleverantörer som användes av Google och som behandlade personuppgifter för Googles räkning. Listan till Kommunen omfattade dock inte alla Googles underleverantörer och det framgick inte heller av listan i vilka länder underleverantörerna var lokaliserade. Förvaltningsrätten fann därför att kraven som uppställs enligt PUL inte var uppfyllda. Att Kommunen träffat en muntlig överenskommelse med Google, som gav Kommunen möjlighet att vid varje tidpunkt få information om vilka underleverantörer som behandlar personuppgifter för Googles räkning, påverkade enligt förvaltningsrätten inte bedömningen. Sammanfattning Förvaltningsrättens dom ger vägledning för utformande av avtal om behandling av personuppgifter i molntjänster. Den visar att en relativt lång lagringstid av personuppgifter kan godkännas förutsatt att lagringstiden preciseras och behandlingen av personuppgifter begränsas under lagringstiden. Domen visar också att det inte är tillräckligt att en personuppgiftsansvarig muntligen erhåller information om vilka underleverantörer som personuppgiftsbiträdet anlitar, utan att detta måste följa av avtalet. Slutligen har rätten genom domen gett särskild vikt till Artikel 29-gruppens rekommendationer varför även deras innehåll bör beaktas vid utformande av personuppgiftsbiträdesavtal. Vill ni veta mer, kontakta gärna Bojana Saletic (bojana.saletic@hammarskiold.se) Insyn i vilka underleverantörer som anlitas Artikel 29-gruppen har även uttalat att den personuppgiftsansvarige måste ha kännedom om alla eventuella underleverantörer som behandlar personuppgifter

3 MARKNADSRÄTT Marknadsdomstolen har kommit med ett intressant avgörande där domstolen slagit fast att kärande ska bevisa vem som haft ansvar för marknadsföring som strider mot marknadsföringslagen. Domstolen fann att bolaget som debiterades för annonsering var annonseringens avsändare. Bolaget som var varumärkesinnehavare och hade en relativt stark koppling till det bolag som debiterades ansågs trots detta inte ansvarigt för annonserna. The Absolut Company AB ( Absolut ) stämde Purity Vodka AB ( Purity ) och yrkade att Marknadsdomstolen ( MD ) skulle besluta att vid vite förbjuda Purity att använda påståendet Unlike other vodka producers, Purity has developed a still specifically designed for vodka production, tre diagram som framställde att Purity Vodka hade högst värden i jämförelse med andra vodkamärken och påståendet The World s Most Awarded. Det första påståendet och ett diagram fanns publicerade på Puritys hemsida, medan de övriga två diagrammen och det andra påståendet fanns publicerade i en skrift. Absolut ansåg även att marknadsföringen var vilseledande och misskrediterande. Vad gäller påståendet Unlike other vodka producers, Purity has developed a still specifically designed for vodka production, vitsordade Purity att det var oriktigt. Eftersom påståendet endast fanns publicerat på Puritys hemsida, ansågs Purity vara ansvarig för det. MD fann påståendet vilseledande och otillbörligt och beslutade att förbjuda Purity vid vite om en miljon kronor att använda påståendet. Vad gäller påståendet The World s Most Awarded och diagrammen invände Purity att bolaget inte var avsändare varför Absolut även stämde spritdistributören Symposion International AB ( Symposion ). Varumärke Enligt 9 marknadsföringslagen (2008:486) ( MFL ) måste det tydligt framgå vem som är avsändare till reklam. Detta sker oftast genom att avsändarens namn eller firma anges. MD konstaterade med stöd av förarbetena att ett varumärke i vissa fall kan ge upplysning om marknadsföringens ursprung, särskilt om varumärket är välkänt. Samtidigt hänvisade MD till tidigare praxis, och slog fast att så inte alltid behöver vara fallet eftersom återförsäljare ofta självständigt marknadsför produkter under varumärken som innehas av andra. I det aktuella fallet var det Symposion som hade ansökt om registrering av varumärket Purity och tre år senare överlät registreringen till Purity. Ägarförhållanden och webbadresser Båda annonserna innehöll dels uppgifter om både Puritys och Symposions webbadresser och dels texten Symposion house of taste. Dessa uppgifter kunde enligt domstolen inte läggas till grund för att med säkerhet bestämma vilket bolag som var annonsens avsändare. Därefter tittade MD på kopplingen mellan bolagen. Puritys grundare var ensam styrelseledamot och ordförande i Symposion när en av annonserna publicerades. Utöver det var Purity-grundarens far verksam i Symposion. Bolagen hade samma adress och grundaren och hans familj ägde 10 procent i Purity. MD fann dock att ingen av dessa omständigheter hade någon direkt betydelse för bedömningen av ansvaret för marknadsföringen. Debitering Enligt domstolen hade Absolut inte lyckats bevisa att Purity även var avsändare av annonser som var publicerade i skrift. Puritys invändning att Symposion fungerade som en distributör och i denna ställning beställde och utformade de aktuella annonserna var bestyrkt av det faktum att Symposion debiterades för annonseringen. Därför ansågs Symposion vara ensam ansvarig för påståendet The World s

4 Most Awarded. Domstolen fann att Symposion inte lyckades visa att Purity Vodka var den mest prisbelönta vodkan i världen. Därför beslutade MD att även detta påstående var vilseledande och ovederhäftig och förbjöd Symposion vid vite om en miljon kronor att använda det. Undersökning byggs på en enda persons bedömning Eftersom diagrammen både var publicerade i skrift och på Puritys hemsida, ansågs båda bolagen ansvariga för dem. Absolut åberopade att diagrammen utformats av en ensam journalist som dessutom var en nära vän till Puritys grundare och tidigare marknadschef på Symposion. Trots att Purity och Symposion tyckte att det var en etablerad praxis att enskilda experter uttalar sig om alkoholhaltiga drycker fann MD att diagrammen var vilseledande eftersom det inte framgick att de byggdes på en enda persons bedömning, utan verkade ha sitt ursprung i mer objektiva tester. Båda bolagen förbjöds vid vite om en miljon kronor att använda diagrammen utan att ange vilka tester som ligger till grund för dem. Sammanfattning Domen ställer ganska höga krav på käranden som måste bevisa vem som är avsändare av marknadsföringen. I det aktuella fallet ansågs innehav av varumärke och nära koppling mellan två bolag inte tillräckliga för att visa att innehavaren av varumärket stod bakom marknadsföringen utan MD valde att lägga större vikt vid vem som faktiskt finansierade annonsen. Vill ni veta mer, kontakta gärna Bojana Saletic (bojana.saletic@hammarskiold.se) FÖRETAGSHEMLIGHETER Europeiska kommissionen och ministerrådet har presenterat ett förslag till direktiv om skydd för företagshemligheter. Syftet med direktivförslaget är att harmonisera skyddet för konfidentiell know-how och företagsinformation inom Europeiska unionen. Harmoniserad lagstiftning på området förbättrar villkoren för företagen att utveckla, utbyta och använda innovativ kunskap. Företagshemligheter uppfattas av de flesta marknadsaktörer som strategiskt viktiga för företagens tillväxt, konkurrenskraft och innovationsförmåga. Trots detta är skyddsnivån för företagshemligheter uppsplittrad på den inre marknaden. Lagar i många medlemsstater saknar bl.a. en definition av företagshemligheter, vad anses utgöra angrepp på dessa, regler om beräkning av skadestånd och regler för skydd av företagshemligheter i samband med en rättstvist. Förutom att detta hämmar innovation, kunskapsöverföring och forskningssamverkan, äventyrar det även en väl fungerande inre marknad och undergräver dess tillväxtfrämjande potential. Högre rättsäkerhet och konvergens avseende civilrättsliga rättsmedel minskar risken för angrepp på företagshemligheter och bidrar till ökat värde på innovationer. Syftet med direktivförslaget är att införa jämförbara möjligheter till rättslig prövning på den inre marknaden. Avsikten är att stärka företagens konkurrenskraft och förbättra villkoren för innovativ affärsverksamhet inom EU. Definition av begreppet företagshemlighet Enligt förslaget är en företagshemlighet information som inte är allmänt känd eller lättillgänglig, har kommersiellt värde genom att den är hemlig samt hemlighålls av innehavaren med rimliga åtgärder. Begreppet ska utöver teknisk kunskap täcka bl.a. information om kunder, lever-

5 antörer, affärsplaner och marknadsundersökningar. Olagligt anskaffande, utnyttjande och röjande av företagshemlighet Förutom att det enligt förslaget anses olovligt att anskaffa en företagshemlighet genom stöld, givande av muta, brott mot sekretessavtal eller annat beteende som strider mot god affärssed, ska det dessutom vara olovligt att utan innehavarens samtycke obehörigen kopiera eller bereda sig tillgång till fysiska eller elektroniska dokument i innehavarens besittning. Därutöver ska det även vara olagligt att den person som olovligen anskaffat företagshemligheten utnyttjar eller röjer den utan innehavarens samtycke. I kommissionens direktivförslag krävs att anskaffandet, utnyttjandet eller röjandet sker med uppsåt eller grov oaktsamhet. Ministerrådet har dock i sitt yttrande poängterat att det är tillräckligt att de objektiva förutsättningarna för förbud är uppfyllda, d.v.s. att krav på uppsåt eller grov oaktsamhet inte borde ställas. Civilrättsliga sanktioner och skadestånd Enligt förslaget ska medlemsstaterna se till att det finns adekvata civilrättsliga sanktioner mot den som gjort intrång i en företagshemlighet. Åtgärder, förfaranden och rättsmedel ska vara rättvisa, ändamålsenliga och avskräckande. Bland föreslagna sanktioner nämns ett föreläggande om att utnyttjandet eller röjandet av företagshemligheten ska upphöra. Domstolen ska dessutom kunna förelägga intrångsgöraren att förstöra intrångsgörande varor, återkalla dessa från marknaden samt förstöra handlingar innehållande företagshemligheter. Under pågående intrång kan en domstol enligt förslaget under vissa förutsättningar besluta om interimistiska åtgärder för att sätta stopp i ingreppet genom att exempelvis förelägga den påstådda intrångsgöraren att sluta tillverka, sälja eller marknadsföra intrångsgörande varor eller besluta om beslag av dessa. Ett intermistiskt beslut kan vara villkorad av att sökanden ställer säkerhet. Alternativt kan intrångsgöraren föreläggas att ställa säkerhet för att undgå ett dylikt intermistiskt beslut till dess tvisten avgörs. Domstolen ska beakta samtliga relevanta faktorer vid fastställande av skadeståndsbeloppet inbegripet utebliven vinst för innehavaren av företagshemligheten, den oskäliga vinsten som intrångsgöraren gjort samt den immateriella skadan som vållats. För det fall att beloppet är svårt att fastställa kan skadeståndet istället beräknas utifrån den fiktiva licensavgift som skulle utgått vid lovlig användning. Ansökan om tillämpning av åtgärderna ska enligt kommissionens direktivförslag göras inte senare än två år efter att sökanden blivit medveten om sakförhållandena. Ministerrådet har dock föreslagit en preskriptionsfrist om sex år. Domstolssekretess för företagshemligheter Alla som har deltagit i ett rättsligt förfarande om ett intrång i en företagshemlighet eller har tillgång till handlingar som ingått i det rättsliga förfarandet, ska enligt förslaget förbjudas att utnyttja eller röja företagshemligheten. Medlemsstaterna ska således säkerställa att företagshemligheter som röjts i samband med en rättstvist ska förbli konfidentiella. En domstol ska exempelvis kunna förordna om sekretess i fråga om dokument som innehåller företagshemligheter, begränsa tillträde till domstolsförhandlingar samt tillhandahålla ickekonfidentiella versioner av avgöranden. Vad händer framöver? Europaparlamentets beslut väntas senare under hösten. Efter att direktivförslaget har antagits, har medlemsstaterna en tidsfrist om två år för att genomföra direktivet. Direktivet förväntas öka incitament till gränsöverskridande innovativ verksamhet genom att ge företagen verksamma på den inre marknaden ett bättre skydd för företagshemligheter.

6 För svenskt vidkommande innebär implementering av direktivet ändringar i lagen (1990:409) om skyddet för företagshemligheter. Ändringarna kommer främst beröra utformning av civilrättsliga sanktioner. Direktivförslaget motsvarar i stora drag den svenska skyddsnivån varför ändringarna inte torde innebära några större nyheter. Samtidigt kan den svenska lagrådsremissen, Ett bättre skydd för företagshemligheter, innebära en straffrättslig uppdatering av lagen om skyddet för företagshemligheter. De föreslagna ändringarna är tänkta att stärka skyddet mot att företagshemligheter sprids och används illojalt av anställda och andra personer som deltar i näringsidkarens verksamhet. Vill ni veta mer, kontakta gärna Anna Rzewuska (anna.rzewuska@hammarskiold.se) Advokatfirman Hammarskiöld & Co Besöksadress: Skeppsbron 42 Telefon: +46(0) Box 2278 Fax: +46(0) Stockholm Kontaktpersoner IP/TMT Thomas Lindqvist (delägare) Claes Langenius (Managing Partner) Peter Ahlström thomas. lindqvist@hammarskiold.se claes.langenius@hammarskiold.se peter.ahlstrom@hammarskiold.se Bojana Saletic Emma Lindwall Anna Rzewuska bojana.saletic@hammarskiold.se emma.lindwall@hammarskiold.se anna.rzewuska@hammarskiold.se Denna publikation från Hammarskiöld & Co förmedlar information och kommentarer på den juridiska utvecklingen av intresse för våra klienter. Nyhetsbrevet är inte en heltäckande sammanställning av de behandlade frågorna och är inte avsett att utgöra juridisk rådgivning. Läsare skall därför alltid söka specifik juridisk rådgivning innan de vidtar några åtgärder med anledning av de frågor som behandlas i nyhetsbrevet.