Underrättelse om misstanke om behandling av uppgifter i strid med lag

Relevanta dokument
Tillsyn över behandling av uppgifter

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Föreläggande att inkomma med uppgifter

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Tillsyn över dokumentation av tillgångar och förbindelser

Tillsynsrapport: Informationskrav vid ändring av avtal

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Överlämnande av nummer vid byte av tjänsteleverantör

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Beslut om ändring av telefoninummerplanen

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Tillsyn över säkerhetsarbete hos underleverantör

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Exponerade fakturor på internet

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Förslag till beslut om ändring av telefoninummerplanen

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Regeringens proposition 2011/12:146

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Beslut om ändring av telefoninummerplanen

Ändring av telefoninummerplanen

Utdrag ur protokoll vid sammanträde Lagring av trafikuppgifter för brottsbekämpande ändamål genomförande av direktiv 2006/24/EG

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Telia överlämnar frågan till PTS prövning.

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Tillsyn avseende viss affärsmetod enligt Europaparlamentets och rådets förordning (EU) 2015/2120.

Svensk författningssamling

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Beslut om förbud enligt 12 radioutrustningslagen

Beslut om förbud enligt 12 radioutrustningslagen

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Avbrott i bredbandstelefonitjänst

Användandet av E-faktura inom verksamheten betalningsföreläggande

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Användandet av E-faktura inom den Summariska processen

Datum Vår referens Aktbilaga Dnr:

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Jakob Rutberg Avdelningen för marknadsfrågor TeliaSonera AB Stab Juridik, Regulatoriska frågor FARSTA

Klicka här för att ändra

att: Malin Hjort

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Post- och telestyrelsens författningssamling

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Europeiska gemenskapernas officiella tidning

Ombud: advokaterna Ingrid Eliasson och Fredrik Gustafsson, Advokatfirma Lindhs DLA Nordic KB, Box 7315, Stockholm.

(EkomL) avseende avgift för övergång från delad till hel ledning.

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

PROTOKOLL Föredragning i Stockholm. RÄTTEN Hovrättslagmannen Christine Lager samt hovrättsråden Ulrika Ihrfelt och Eva Edwardsson, referent

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Saken. PTS underrättelse

Innehåll Dnr: (5)

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Integritetspolicy. Aktiva i Södermalmskyrkan

Konsekvensutredning avseende ändringar i Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2013:3) om innehåll i avtal

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

BESLUT. Ändring av den svenska nummerplanen för telefoni (E.164) avseende flytt av massanropstjänsten från NDC till NDC 963.

Post- och telestyrelsen avvisar Vodafones begäran. Post- och telestyrelsen avvisar Hi3G:s begäran. Post- och telestyrelsen avslår Oranges ansökan.

Transkript:

UNDERRÄTTELSE 1(11) Datum Vår referens Aktbilaga 2018-01-25 Dnr: 15-9830 7 Nätsäkerhetsavdelningen Hi3G Access AB (556593-4899) Underrättelse om misstanke om behandling av uppgifter i strid med lag Saken Underrättelse enligt 7 kap. 4 lagen om (2003:389) om elektronisk kommunikation (LEK); fråga om behandling av uppgifter i elektroniska meddelanden och tillhörande trafikuppgifter sker i enlighet med 6 kap. LEK. Post- och telestyrelsens underrättelse Hi3G Access AB (Hi3G) underrättas härmed om att Post- och telestyrelsen (PTS) finner skäl att misstänka att företaget, genom att analysera och bearbeta datatrafik i syfte att särskilja trafik för strömmande musik över internet, behandlar uppgifter i elektroniska meddelanden och tillhörande trafikuppgifter i strid med reglerna i 6 kap. 17 LEK. För att efterleva skyldigheterna enligt LEK ska Hi3G, senast den 1 juli 2018, inhämta berörda abonnenters eller användares samtycke till den aktuella behandlingen av uppgifter i elektroniska meddelanden, alternativt upphöra med den aktuella behandlingen av uppgifter. Hi3G bereds tillfälle att yttra sig över denna underrättelse senast den 26 februari 2018. I yttrandet bör Hi3G ange vilka åtgärder som företaget vidtagit och avser att vidta med anledning av underrättelsen. PTS kan med stöd av 7 kap. 5 LEK komma att meddela de förelägganden som behövs för att rättelse ska ske inom föreskriven tid. Eventuella förelägganden kan komma att förenas med vite. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(11) Om Hi3G inte inkommer med yttrande kan PTS komma att fatta beslut på det underlag som står till myndighetens förfogande. Bakgrund PTS uppmärksammade i september 2015 att Hi3G lanserat erbjudandet om fri surf på musikstreaming, (3Musiksurf) för samtliga abonnenter. Enligt informationen på företagets webbplats innebar erbjudandet att datatrafik hänförlig till vissa tjänster för strömmande musik på internet inte avräknades mot den ordinarie datamängd som ingår i abonnemangen. PTS efterfrågade den 8 och 16 september 2015 skriftlig information om vilka uppgifter som Hi3G behandlar i syfte att särskilja strömmande musik från annan internettrafik, samt huruvida Hi3G inhämtar abonnenternas samtycke för denna behandling. Hi3G svarade att företaget behandlar trafikuppgifter för faktureringsändamål, vilket i enlighet med 6 kap. 6 första stycket LEK får ske utan abonnentens samtycke och att Hi3G därför inte inhämtar något samtycke. Efter ytterligare skriftväxling i frågan kallade PTS till möte i syfte att ge Hi3G möjlighet att närmare beskriva den tekniska lösning som gör det möjligt för företaget att särskilja musikstreaming från annan internettrafik, inklusive vilka uppgifter som därvid behandlas, samt att ge Hi3G möjlighet att utveckla sin uppfattning om den rättsliga grunden för behandlingen av uppgifter. Vid mötet den 19 oktober 2015 redogjorde Hi3G för den tekniska lösning som företaget använder för att identifiera trafik hänförlig till strömmande musik från vissa tjänster på internet. Hi3G uppgav därvid att de datapaket som överförs analyseras för att kunna identifiera och flagga sådan trafik som utgör strömmande musik, så att den trafiken kan särredovisas på abonnenternas fakturor. Slutligen anförde Hi3G att den behandling av datapaket, som sker för att identifiera viss trafik och för att under vissa förutsättningar omdirigera annan trafik, utgör behandling av trafikuppgifter för faktureringsändamål. Eftersom syftet med behandlingen är att identifiera paketens adressat ska uppgifterna anses utgöra trafikuppgifter. Eftersom behandlingen sker för att genomföra en viss betalningsmodell ska dess ändamål anses vara fakturering. De närmare upplysningar som Hi3G lämnade vid mötet den 19 oktober 2015 framgår av protokoll upprättat den 26 oktober 2015. Inom ramen för tillsynsärende med dnr 16-5477 har PTS och Hi3G haft dialog kring möjligheten för företaget att på frivillig väg inhämta abonnenternas samtycke för den aktuella behandlingen. Hi3G har efter dessa diskussioner den Post- och telestyrelsen 2

3(11) 13 februari 2017 ändrat de tjänstespecifika villkoren för 3Musiksurf. Vid nytecknande eller byte till nytt avtal efter detta datum ges möjlighet att samtycka till att datatrafiken analyseras. Hi3G har dock i ärendet uppgett att företaget inte anser sig lagligen skyldigt att inhämta samtycke, samt att sådant inhämtande inte kommer att ske vad gäller befintliga kunder. PTS har den 16 juni 2017 begärt in ytterligare upplysningar från Hi3G. I yttrande den 8 september 2017 har bolaget uppgett i huvudsak följande. De uppgifter som togs till protokoll från mötet den 26 oktober 2015 stämmer fortfarande. Enligt 6 kap. 1 i LEK anges att trafikuppgifter är uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Behandling av trafikuppgifter är enligt 6 kap. 6 LEK tillåten för att kunna fakturera en kund. De uppgifter PTS fokuserar på och som Hi3G behandlar används till att fakturera kunden för 3Musiksurf. Hi3G vidhåller därför sin tidigare anförda ståndpunkt att behandlingen av datatrafiken som sker inom ramen för 3Musiksurf endast berör trafikuppgifter. Skäl Tillämpliga bestämmelser Med elektroniskt meddelande avses enligt 6 kap. 1 LEK all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av informationen. Med trafikuppgift avses enligt samma bestämmelse uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Med samtycke avses enligt 6 kap. 1 andra stycket LEK jämte 3 personuppgiftslagen (1998:204) (PUL) varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Enligt 6 kap. 5 LEK ska den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 utplåna eller avidentifiera lagrade eller på annat sätt behandlade trafikuppgifter som avser användare som är fysiska personer eller som avser abonnenter, när uppgifterna inte längre behövs för att överföra ett elektroniskt meddelande. Post- och telestyrelsen 3

4(11) Med stöd av 6 kap. 6 första stycket LEK får dock trafikuppgifter som krävs för abonnentfakturering och betalning av avgifter för samtrafik behandlas till dess att fordran är betald eller preskription inträtt och det inte längre lagligen går att göra invändningar mot faktureringen eller avgiften. Enligt 6 kap. 6 andra - tredje stycket LEK får den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst även behandla trafikuppgifter för att bl.a. tillhandahålla andra tjänster där uppgifterna behövs, i den utsträckning och under den tid som är nödvändig för tjänsten under förutsättning att den som uppgifterna rör har samtyckt till det. Tillhandahållaren ska, innan samtycke inhämtas, informera den uppgiften rör om vilken typ av trafikuppgifter som behandlas och hur länge uppgifterna behandlas. Enligt 6 kap. 17 LEK får, utöver vad som anges i 5-7 och 20, inte någon annan än berörda användare ta del av eller på annat sätt behandla uppgifter i ett elektroniskt meddelande som överförs i ett allmänt kommunikationsnät eller med en allmänt tillgänglig elektronisk kommunikationstjänst, eller trafikuppgifter som hör till detta meddelande, om inte en av användarna har samtyckt till behandlingen. Detta utgör dock inte hinder mot sådan lagring som är automatisk, mellanliggande och tillfällig, om den är nödvändig för överföring av ett elektroniskt meddelande, eller i den utsträckning den är nödvändig för driften av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. Enligt 6 kap. 20 LEK får den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till 1. uppgift om abonnemang, 2. innehållet i ett elektroniskt meddelande, eller 3. annan uppgift som angår ett särskilt elektroniskt meddelande, inte obehörigen föra vidare eller utnyttja det han fått del av eller tillgång till. PTS bedömning Trafikuppgifter är uppgifter som typiskt sett är nödvändiga för överföring eller fakturering LEK reglerar endast behandling av vissa kategorier av uppgifter och reglerna skiljer sig åt för de olika uppgiftskategorierna. Vid bedömning av en behandling av uppgifter i samband med tillhandahållande av elektroniska kommunikationstjänster är det därför grundläggande att avgöra hur de uppgifter som behandlas ska kategoriseras. Post- och telestyrelsen 4

5(11) Vad är en trafikuppgift? En trafikuppgift är enligt definitionen i LEK en uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Vid tolkningen av vilka uppgifter som ska anses utgöra trafikuppgifter bör särskild vikt läggas vid att regleringen i 6 kap. LEK utgör en skyddsreglering till förmån för den enskildes personliga integritet, där huvudregeln, att uppgifter som utgångspunkt bara får behandlas av de berörda användarna, framgår av 6 kap. 17. Undantagen från huvudregeln, såsom reglerna om behandling av trafikuppgifter i 6 kap. 5 8 och därmed även omfattningen av begreppet trafikuppgift, ska därför tolkas restriktivt. Denna utgångspunkt för tolkningen vinner stöd av EU-domstolens dom i mål C-119/12 Probst (se punkt 23 i domen). Enligt förarbetena till LEK torde begreppet trafikuppgift i princip omfatta samma slags uppgifter som omfattas av uttrycket annan uppgift som angår ett särskilt elektroniskt meddelande i 6 kap. 20 första stycket LEK (se prop. 2002/03:110 s 389 f. och jfr. även prop. 1992/93:200 s 310 i förening med prop. 1998/99:92 s 40). Begreppet torde således omfatta de uppgifter som inte är uppgifter om abonnemang eller innehåll i elektroniska meddelanden, men som har anknytning till ett särskilt elektroniskt meddelande. 1 När det gäller vilka uppgifter som krävs för att fakturera ett meddelande torde det vara fråga om uppgifter som typiskt sett krävs för detta. Varje uppgift som en tillhandahållare i ett enskilt fall väljer att låta påverka faktureringen är inte en sådan uppgift. Det är inte rimligt att tolka regeln så att kategoriseringen av uppgifter vilar helt på den enskilda tillhandahållarens avsikter med behandlingen. Någon hänsyn fästs då inte till uppgifternas innehåll eller hur känsliga de kan anses vara för den berörda individen ur ett integritetsperspektiv. Detta skulle inte stå i överensstämmelse med lagstiftarens syfte och de principer som återgivits ovan. PTS bedömer därför att kategoriseringen av uppgifter inte kan göras med utgångspunkt i tjänstetillhandahållarens avsikter i varje enskilt fall, utan frågan är istället om uppgiften är sådan att den typiskt sett kan behövas för de syften som anges i 6 kap. 1 LEK. Den bedömningen stärks även av att PTS, enligt 6 kap. 24 1 LEK jämte 35 förordningen (2003:396) om elektronisk kommunikation, kan meddela närmare föreskrifter om vilka uppgifter som får behandlas enligt 6 kap. 6 första och andra styckena LEK. 1 Även en fjärde uppgiftskategori regleras i LEK, lokaliseringsuppgifter som inte utgör trafikuppgifter, men den kategorin torde inte vara aktuell för bedömningen i det nu aktuella ärendet. Post- och telestyrelsen 5

6(11) Det finns skillnader mellan olika kommunikationstekniker vad gäller vilka uppgifter som behöver behandlas för olika ändamål. Det är därför inte möjligt att slå fast någon generell förteckning över vilka uppgifter som ska anses utgöra trafikuppgifter, utan en bedömning måste göras för varje slag av elektroniskt kommunikationsnät och kommunikationstjänst. Viss ledning kan dock hämtas i begreppets ursprung. De nuvarande reglerna om behandling av trafikuppgifter i 6 kap. 5 8 LEK genomför artikel 6 i det s.k. ekomdataskyddsdirektivet. 2 Direktivet har ersatt det tidigare teledataskyddsdirektivet, vars artikel 6 innehåller i princip motsvarande bestämmelser om behandling av trafikuppgifter. 3 Själva begreppet trafikuppgift används inte i teledataskyddsdirektivet men direktivet innehöll en bilaga som närmare specificerar vilka uppgifter som fick behandlas för abonnentfakturering och betalning av samtrafikavgifter vid tillhandahållande av s.k. teletjänster. Bilagan räknade upp följande uppgifter. Data som innehåller abonnentutrustningens nummer eller identifiering av utrustningen, abonnentens adress och typ av utrustning, det totala antalet enheter som skall debiteras för redovisningsperioden, det uppringda abonnentnumret, samtalens art, starttidpunkt och varaktighet och/eller den överförda datamängden, datum för uppringningen/tjänsten, samt annan information om betalningen, såsom förskottsbetalning, avbetalning, avstängning och påminnelser. Med samtalens art (eng. call type ) torde här ha avsetts vilket slags teletjänst som nyttjats, t.ex. röstsamtal, sms eller datatrafik, samt uppgift om samtalet varit regionalt, nationellt eller internationellt. PTS menar att ovanstående förteckning över uppgifter alltjämt bör vara vägledande vid bedömningen enligt nu gällande regler av den närmare innebörden av begreppet trafikuppgift. Vid bedömningen måste hänsyn tas till vilka uppgifter som kan sägas fylla motsvarande syfte för den aktuella elektroniska kommunikationstjänsten. Ytterligare vägledning om vilka slags uppgifter som kan anses utgöra trafikuppgifter ges av ingresspunkt 15 i ekomdataskyddsdirektivet: 2 Europaparlamentets och Rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. 3 Europaparlamentets och Rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet. Post- och telestyrelsen 6

7(11) En kommunikation kan innehålla alla slags uppgifter om namn, nummer eller adress från sändaren av en kommunikation eller användaren av en förbindelse för att genomföra kommunikationen. Trafikuppgifter kan innefatta varje omvandling av denna information via det nät genom vilket kommunikationen överförs i syfte att utföra överföringen. Trafikuppgifter kan bland annat utgöras av uppgifter om en kommunikations sändningsväg, varaktighet, tid eller volym, vilket protokoll som används, terminalutrustningens, sändarens eller mottagarens placering, det nät där kommunikationen börjar eller slutar samt en förbindelses början, slut eller varaktighet. De kan också bestå av det format i vilket kommunikationen överförs via nätet. Även den närmare innebörden av de begrepp som används i ovanstående uppräkning torde vara beroende av vilken elektronisk kommunikationstjänst som är aktuell. PTS menar sammanfattningsvis att utgångspunkten för kategorisering av en uppgift som trafikuppgift ska vara det syfte eller den funktion som den aktuella uppgiften typiskt sett fyller vid tillhandahållandet av den aktuella elektroniska kommunikationstjänsten. Detta kan variera beroende på vilken typ av tjänst det är fråga om. En uppgift som typiskt sett inte behöver behandlas för att befordra ett elektroniskt meddelande i en elektronisk kommunikationstjänst eller för att fakturera detta, kan således inte anses utgöra en trafikuppgift oavsett vad tjänstetillhandahållaren i det enskilda fallet väljer att använda uppgiften till. Endast vissa uppgifter i datapaketen kan anses utgöra trafikuppgifter vid tillhandahållande av internetåtkomst De allmänt tillgängliga elektroniska kommunikationstjänster som är aktuella i ärendet är Hi3Gs tjänster för mobil internetåtkomst. Tillhandahållandet av internetåtkomst innebär förmedling av datatrafik, dvs. överföring av elektroniska meddelanden i form av datapaket, mellan olika terminaler uppkopplade mot internet. Varje sådant datapaket utgörs av två grundläggande beståndsdelar: Datapaketets så kallade header innehåller framförallt adresseringsinformation i form av avsändarens och mottagarens IP-adresser. Den andra delen av datapaketet kallas payload och består av den information som ska överföras från avsändaren till mottagaren. Internet består i grunden av en mängd sammankopplade nätverk och på vägen mellan avsändare och mottagare passerar datapaketen i regel ett antal sådana nätverk. Informationen i IP-paketens header måste analyseras av varje sådant nätverk, för att avgöra om mottagaren finns inom det aktuella nätverket eller om datapaketen ska skickas vidare, och i sådana fall vart. Dessa uppgifter behöver således behandlas för att befordra det elektroniska meddelandet. De Post- och telestyrelsen 7

8(11) uppgifter som finns i IP-paketens header kan även vara nödvändiga att behandla för abonnentfakturering och betalning av samtrafikavgifter, eftersom de bland annat innehåller information om IP-paketens storlek och destination. Uppgifterna i IP-paketens header får därför anses utgöra trafikuppgifter. För såväl överföringen som faktureringen av datatrafiken kan de uppgifter som återfinns i IP-paketens header behöva kombineras med uppgifter i olika register och loggar kopplade till internettjänsten. Det kan till exempel vara uppgifter om möjliga vägar för överföring av trafik till olika destinationer, tidpunkter eller geografiska platser för överföringen. Även sådana kompletterande uppgifter kan därför kategoriseras som trafikuppgifter. Detsamma gäller aggregerade uppgifter om den överförda datatrafiken. Transporten av IP-paket i ett elektroniskt kommunikationsnät innebär förvisso behandling av paketen i sin helhet. Däremot behöver vanligtvis inte informationen i IP-paketens payload analyseras för att kunna leverera datapaketen till rätt mottagare. Informationen i IP-paketens payload kan överföras utan att vare sig analyseras eller förändras, och behöver normalt endast bearbetas av mer förädlade tjänster, som t.ex. tjänster för förmedling av e-post. Den information som återfinns i IP-paketens payload är således inte nödvändig att behandla, vare sig för att möjliggöra överföring eller fakturering av datatrafiken. Uppgifter i IP-paketens payload kan därför inte anses utgöra trafikuppgifter utan ska istället betraktas som innehåll i elektroniska meddelanden. 4 De aktuella behandlingarna omfattar såväl trafikuppgifter som innehåll Hi3G har anfört att samtliga de uppgifter som behandlas för att tillhandahålla och ta betalt för tjänsten 3Musiksurf ska betraktas som trafikuppgifter, eftersom uppgifterna enligt företaget behandlas i syfte att avgöra om datapaketen är adresserade till någon av de aktuella musiktjänsterna på internet. Hi3G har vidare anfört att då uppgifterna används enkom för att fakturera kunden för 3Musiksurf är uppgifterna enligt definitionen i 6 kap 1 LEK att betrakta som trafikuppgifter. Mot bakgrund av de beskrivningar av den teknik som tillämpas som Hi3G har lämnat i ärendet (se protokoll från tillsynsmöte upprättat den 26 oktober 2015) kan PTS konstatera att behandlingen av uppgifter i det nu aktuella fallet förvisso omfattar uppgifter som typiskt sett kan anses utgöra trafikuppgifter, såsom uppgifter i IP-paketens header. Behandlingen omfattar emellertid även 4 Denna bedömning kommer även till uttryck i Europeiska datatillsynsmannens yttrande Opinion of the European Data Protection Supervisor on net neutrality, traffic management and the protection of privacy and personal data (7 October 2011), punkt 48. Post- och telestyrelsen 8

9(11) andra uppgifter i IP-paketen, i payloaden, vilka i enlighet med vad som beskrivits ovan får anses utgöra innehåll i elektroniska meddelanden. Hi3G har anfört att syftet med behandlingen är att identifiera den överförda datatrafikens adressat. Enligt PTS mening är syftet är snarare att avgöra om datatrafiken är hänförlig till en viss tjänst eller kategori av tjänster på internet. Detta är enligt PTS bedömning inte nödvändigt för att trafiken ska kunna förmedlas. PTS gör således bedömningen att de behandlingar av datatrafiken som sker i syfte att identifiera trafik hänförlig till vissa tjänster för strömmande musik och, i förekommande fall, för att omdirigera den trafik som inte är hänförlig till sådana tjänster, ska anses omfatta såväl datatrafikens innehåll, dvs. uppgifter i de överförda elektroniska meddelandena, som trafikuppgifter hänförliga till överföringen. De aktuella behandlingarna av trafikuppgifter sker för faktureringsändamål och kräver inte samtycke Behandling av trafikuppgifter är som huvudregel tillåten endast i den utsträckning och under den tid som är nödvändig för att möjliggöra överföringen. Detta framgår av 6 kap. 5 LEK. Därtill får, enligt 6 kap. 6 första stycket, trafikuppgifter som krävs för abonnentfakturering eller betalning av avgifter för samtrafik behandlas till dess att fordran är betald eller preskription inträtt och det inte längre lagligen går att göra invändningar mot faktureringen eller avgiften. De i ärendet aktuella behandlingarna av trafikuppgifter utförs i syfte att erbjuda betalningsmodellen 3Musiksurf. Ingenting har framkommit i ärendet som talar för att tillhandhållandet av 3Musiksurf påverkar möjligheten att överföra datatrafik till och från de aktuella tjänsterna för strömmande musik. PTS gör därför bedömningen att de aktuella behandlingarna inte kan anses nödvändiga för överföringen av elektroniska meddelanden. Frågan är då om behandlingarna av de trafikuppgifter som rör överföringen, dvs. behandlingen av uppgifter i den s.k. headern, kan anses nödvändiga för abonnentfakturering eller betalning av avgifter för samtrafik. Hi3G har härvid anfört att behandlingarnas ändamål ska anses vara fakturering, eftersom det rör sig om behandlingar i syfte att genomföra en betalningsmodell. Som konstaterats ovan ska den aktuella regleringen tolkas restriktivt eftersom den utgör en skyddsreglering till förmån för den enskildes personliga integritet. Enligt myndigheten måste bedömningen av vilka behandlingar som är tillåtna för faktureringsändamål avgöras på objektiva grunder, mot bakgrund av den aktuella elektroniska kommunikationstjänstens förutsättningar. Post- och telestyrelsen 9

10(11) PTS gör bedömningen att, som utgångspunkt, en behandling kan anses nödvändig för fakturering endast om den typiskt sett är nödvändig för att sammanställa information om vilken elektronisk kommunikationstjänst som har använts, av vilken abonnent och i vilken omfattning (t.ex. avseende tid eller volym). Det aktuella erbjudandet, 3Musiksurf innebär ett sätt att ta olika betalt för data som är hänförlig till någon av de berörda musiktjänsterna på internet. Såtillvida föreligger en koppling mellan erbjudandet och underlaget för fakturering. Till den del behandlingar utförs för att sammanställa underlag för förbrukad datamängd kan ändamålet anses vara fakturering. Däremot kan inte varje behandling som i någon mån kan sägas ge upphov till faktureringsunderlag anses utförd av faktureringsändamål. Av de uppgifter som Hi3G har lämnat i ärendet framgår att tillhandahållandet av 3Musiksurf innefattar behandling av trafikuppgifter i syfte att analysera och kategorisera all överförd datatrafik för att urskilja de berörda tjänsterna för strömmande musik. Enligt PTS bedömning görs behandlingarna för att säkerställa betalning i enlighet med Hi3G:s erbjudande 3Musiksurf. Trafikuppgifterna är därför nödvändiga att behandla för faktureringsändamål, och något samtycke krävs därför inte i denna del. Behandlingen av innehåll i elektroniska meddelanden kräver samtycke Som framgår ovan gör PTS bedömningen att behandlingen av uppgifter i samband med erbjudandet 3Musiksurf omfattar såväl trafikuppgifter som innehåll i elektroniska meddelanden. Behandling av uppgifter i elektroniska meddelanden är som huvudregel tillåten endast i den utsträckning och under den tid som är nödvändig för överföringen eller för driften av det elektroniska kommunikationsnätet eller kommunikationstjänsten. Undantag gäller om minst en av användarna har samtyckt till behandlingen. Detta framgår av 6 kap. 17 LEK. Som tidigare konstaterats har ingenting framkommit i ärendet som talar för att tillhandhållandet av 3Musiksurf påverkar möjligheten att överföra datatrafik till och från de aktuella tjänsterna för strömmande musik. Mot denna bakgrund gör PTS bedömningen att de i ärendet aktuella behandlingarna av innehåll i elektroniska meddelanden inte är tillåtna med mindre än att användaren har lämnat sitt samtycke till behandlingen. Hi3G har Post- och telestyrelsen 10

11(11) uppgett att företaget inte inhämtar vare sig abonnenternas eller användarnas samtycke till behandlingen och PTS gör därför bedömningen att Hi3G inte efterlever bestämmelsen i 6 kap. 17 LEK. Tre ska beredas tillfälle att yttra sig och att vidta rättelse PTS finner sammanfattningsvis att myndigheten enligt 7 kap. 4 LEK ska underrätta Hi3G om sin misstanke att företaget inte efterlever bestämmelserna i 6 kap. 17 LEK om behandling av uppgifter i elektroniska meddelanden och tillhörande trafikuppgifter. Hi3G ska ges skälig tid för att yttra sig. Med hänsyn till omständigheterna ges Hi3G därför tillfälle att senast den 26 februari 2018 yttra sig över denna underrättelse. För att efterleva skyldigheterna enligt LEK ska Hi3G, senast den 1 juli 2018, inhämta berörda abonnenters eller användares samtycke till den aktuella behandlingen av uppgifter i elektroniska meddelanden, alternativt upphöra med den aktuella behandlingen av uppgifter. När det gäller formerna för inhämtande av samtycke vill PTS hänvisa till de slutsatser som myndigheten redovisat i rapporten Inhämta samtycke enligt LEK, PTS-ER-2015:27. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även juristerna Anders Lindell och Anna Montelius (föredragande) deltagit. Beslutet kan inte överklagas. Post- och telestyrelsen 11

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss