Integritet och behandling av uppgifter

Så här säger lagen (9 kap. 1 – 4 §§)

Trafikuppgifter är uppgifter som behandlas för att kunna överföra information i ett elektroniskt kommunikationsnät eller för att fakturera sådan överföring. Här avses alltså inte själva innehållet som överförs, utan uppgifter som beskriver överföringen, till exempel uppgift om vilka telefonnummer eller adresser (till exempel ip-adresser) som har kommunicerat med varandra och när det skett.

Trafikuppgifter är nödvändiga för att kommunikationen ska fungera men ska som huvudregel raderas eller avidentifieras när de inte längre behövs för att överföra information. Ett undantag från detta är om uppgifterna behövs för fakturering och betalning av samtrafikavgifter. Ett annat undantag är om uppgifterna behandlas för att marknadsföra eller tillhandahålla andra tjänster men i detta fall krävs det att abonnenten eller användaren har informerats om behandlingen och lämnat sitt samtycke till den. Ett samtycke kan när som helst dras tillbaka.

Så här säger lagen

(9 kap. 7 §)

Lokaliseringsuppgifter kallas uppgifter som visar den geografiska positionen för en användares terminalutrustning (t.ex. en mobiltelefon). I mobilnäten är behandling av lokaliseringsuppgifter ofta nödvändig för att kommunikationen ska fungera och i sådana fall räknas lokaliseringsuppgifterna som trafikuppgifter och omfattas av dessa regler (se ovan).

Om lokaliseringsuppgifter som inte utgör trafikuppgifter ska behandlas, krävs normalt att abonnenten har lämnat sitt samtycke till detta.

9 kap. 11 §

Mobiloperatörer får också behandla uppgifter som behövs för utsändning av viktigt meddelande till allmänheten (VMA) till mobiltelefoner, ifall det skett en olycka eller en allvarlig händelse i samhället. Meddelandet, som ska förmedlas kostnadsfritt, ska förmedlas till telefoner som används i ett specifikt område som berörs av olyckan eller händelsen.

Så här säger lagen (7 kap. 29 §, 9 kap. 12 – 15 §§)

Abonnenter ska ha möjlighet att få en på vissa sätt specificerad räkning (7 kap. 29 §, PTS föreskrifter om vad en specificerad faktura ska innehålla, PTSFS 2022:9). Vanligen finns också möjlighet att se vem som ringer, genom så kallad nummerpresentation. Men av integritetsskäl kan abonnenter i vissa fall föredra att det inte framgår på räkningen vilka telefonnummer som har ringts upp eller att funktionen nummerpresentation förhindras för utgående eller inkommande samtal.

Operatören är därför skyldig att ge abonnenten möjlighet till ospecificerad räkning och att förhindra nummerpresentation. Oavsett en sådan spärr mot nummerpresentation får numret ändå visas för Polisen eller alarmerings­centraler vid nödkommunikation till nödnummer 112. På begäran av en abonnent som har problem med störande samtal får en operatör också tillfälligt åsidosätta skydd mot nummerpresentation, för att sådana samtal ska kunna spåras.

Så här säger lagen lagen (7 kap. 38 §, 9 kap. 17 – 18 och 31 §§)

I Sverige finns ett flertal abonnentförteckningar (abonnentupplysnings­tjänster eller nummerupplysning genom tjänster i 118-serien). Abonnenter som är fysiska personer har rätt att få information om ändamålen med en abonnentförteckning och informeras om de sökfunktioner som en sådan tjänst möjliggör (9 kap 17§).

För behandling av personuppgifter om en abonnent, som är en fysisk person, i en förteckning som avses i 17 §, krävs samtycke från personen. Abonnenten ska ha möjlighet att utan kostnad kontrollera uppgifterna och så snart det är möjligt, få

• Felaktiga uppgifter rättade, och
• Få uppgifter borttagna ur förteckningen.

För att uppgifter ska kunna lämnas ut och förekomma i en abonnentupplysningstjänst krävs att abonnenten har lämnat sitt samtycke. Vanligen lämnas samtycke när abonnenten undertecknar villkoren för abonnemanget. Men samtycket kan när som helst återkallas, vilket är vad som sker när en abonnent begär ett så kallat hemligt nummer hos operatören.

Tystnadsplikt gäller som huvudregel för alla abonnentuppgifter hos tillhandahållarna, utom hos de företag som tillhandahåller nummeroberoende elektroniska kommunikationstjänster (9 kap. 31 §).

Operatörerna är skyldiga att lämna ut uppgifter om abonnenter till de företag som bedriver abonnent­upplysning, om inte uppgifterna skyddas av tystnadsplikt (7 kap. 38 §, föreskrift xxxx).

Så här säger lagen (9 kap. 27 §, 9 kap. 34 §)

För att kunna överföra information och trafikuppgifter som hör till informationen i ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst krävs att informationen med automatik behandlas och tillfälligt lagras i de system som sköter kommunikationen. Utöver sådan nödvändig behandling får ingen annan än de användare som deltar i kommunikationen ta del av innehållet i denna, om inte minst en av användarna har lämnat sitt samtycke till detta.

Ett undantag från detta förbud gäller för avlyssning i en radiomottagare av information som överförs via radio och som inte är avsedd för den som avlyssnar eller för allmänheten. Men den som avlyssnar sådan kommunikation har tystnadsplikt för den information som avlyssnas (se avsnittet nedan om tystnadsplikt).

Så är säger lagen (6 kap. 19 – 19 a §§)

I rättegångsbalken finns också regler om så kallad hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation. Dessa regler gör det möjligt att, efter beslut av domstol, i samband med utredning av grova brott, ta del av information som annars är skyddad.  

Operatörer är skyldiga att bedriva sin verksamhet så att beslut om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan verkställas och så att verkställandet inte avslöjas. PTS roll i sammanhanget är att utöva tillsyn över denna skyldighet.

Enligt lagen om signalspaning i försvarsunderrättelseverksamhet så har en signalspaningsmyndighet rätt att inhämta information som via elektroniska kommunikationsnät förs över Sveriges gräns. För att myndigheten ska kunna hämta in sådan information så är berörda operatörer skyldiga att överföra informationen till så kallade samverkanspunkter. PTS kan utöva tillsyn över att operatörerna uppfyller denna skyldighet och har även möjligt att utfärda föreskrifter om samverkanspunkterna.

Läs mer om signalspaning på Försvarets radioanstalts (FRA) webbplats.

Så här säger lagen (9 kap. 31 §)

I samband med att elektroniska kommunikationsnät och kommunikations­tjänster tillhandahålls är det nödvändigt för operatören att behandla uppgifter om abonnenter och kommunikationen i nätet. Får en operatör del av uppgifter om abonnemang, innehållet i överförd information eller andra uppgifter om kommunikationen (t.ex. trafikuppgifter) gäller tystnadsplikt. Denna tystnadsplikt omfattar även andra än operatörer som tagit del av uppgifter i samband med att elektroniska kommunikationsnät och kommunikationstjänster tillhandahålls.

Tystnadsplikten innebär att uppgifterna inte obehörigen får föras vidare till någon annan. Det är inte ett brott mot tystnadsplikten att föra uppgifterna vidare om det finns stöd för det i lagen om elektronisk kommunikation eller i annan lag.

Tystnadsplikten gäller aldrig gentemot de användare som deltagit i en kommunikation. När det gäller vissa uppgifter så gäller inte heller tystnadsplikten mot innehavaren av abonnemanget, som kan vara någon annan än den som deltagit i kommunikationen. I fallet då abonnenten inte deltagit i kommunikationen gäller dock tystnadsplikt för innehållet, gentemot abonnenten.  

I vissa fall har operatörer inte bara rätt, utan även en skyldighet, att lämna ut uppgifter som annars omfattas av tystnadsplikt. Det gäller bland annat vid utredning av brott. 
 
Detaljerad information om reglerna för utlämnande av uppgifter.

Du kan kontakta din operatör för att få reda på vilka uppgifter som lagras eller behandlas där. Följande uppgifter hör till dem som operatörerna vanligen behandlar:

• Uppgifter om abonnemang, till exempel vem som är abonnent och uppgifter om abonnentens nummer och adresser.
• Uppgifter som beskriver en viss kommunikation, till exempel uppgifter som rör ett telefonsamtal som ringts eller kommunikation mellan datorer/telefoner på internet. Det kan röra sig om uppgifter om avsändarens och mottagarens telefonnummer eller IP-adresser, samt tidpunkt och plats för samtalet eller kommunikationen.
• Uppgifter som visar den geografiska positionen för en användares utrustning, till exempel mobiltelefon.

Hur länge uppgifter får sparas beror på vilken typ av uppgifter det rör sig om.

Lagkrav styr vilka uppgifter som får sparas eller behandlas

I lagen om elektronisk kommunikation finns kriterier som måste vara uppfyllda för att en operatör ska få spara eller behandla trafikuppgifter, det vill säga uppgifter som beskriver när, var och vilka abonnenter som har kommunicerat. Varje operatör ansvarar för att bara spara uppgifter som det finns behov av i den egna verksamheten och på det sätt som det är tillåtet att göra det enligt gällande regler. Du kan kontakta din operatör för att få vet vad som gäller just din situation.

Utgångspunkten i lagen om elektronisk kommunikation är att trafikuppgifter ska tas bort när de inte längre behövs för att överföra ett elektroniskt meddelande. Operatörerna får fortsätta att behandla uppgifterna om de avidentifieras, det vill säga att all information som kan koppla uppgifterna till en viss person tas bort.

Trafikuppgifter som får behandlas under en viss tid

Trafikuppgifter som kan kopplas till en användare eller abonnent får fortsätta att behandlas under viss tid. Detta gäller i följande fall:

• När uppgifterna behövs för abonnentfakturering.
• När uppgifterna behövs för betalning av avgifter för samtrafik.
• När operatören vill använda uppgifterna för att marknadsföra elektroniska kommunikationstjänster eller tillhandahålla andra tjänster som har samband med den elektroniska kommunikationstjänsten. I dessa fall får operatören bara behandla uppgifterna i den utsträckning och under den tid som det är nödvändigt för ändamålet. Dessutom måste operatören inhämta samtycke från den abonnent eller användare som uppgifterna rör. Innan samtycke inhämtas ska operatören lämna information om vilken typ av uppgifter som kommer att behandlas och under hur lång tid.

Det finns även några ytterligare situationer när en operatör får behandla trafikuppgifter. Det är i följande situationer:

• När en myndighet eller domstol behöver uppgifterna för att lösa tvister.
• När en domstol har beslutat att uppgifterna får hämtas in genom så kallad hemlig avlyssning eller hemlig övervakning av elektronisk kommunikation, eller när polisen har fattat beslut om att hämta in uppgifter för att använda dem i underrättelseverksamheten.
• När uppgifterna är nödvändiga för att förhindra och avslöja obehörig användning av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst.

Av förarbetena till lagen framgår att uppgifterna inte får sparas längre än vad som är nödvändigt för syftet.

Tystnadsplikt är huvudregeln

Många av de uppgifter som behandlas kan vara av känslig natur och i lagen om elektronisk kommunikation finns det därför regler om tystnadsplikt, för att skydda abonnenternas och användarnas personliga integritet.

Operatörernas tystnadsplikt innebär att de inte får lämna ut följande:

• Uppgifter om abonnemanget (till exempel innehavararens namn, adress och telefonnummer).
• Det faktiska innehållet i meddelandet.
• Trafikuppgifter (exempelvis hur meddelandet har transporterats, när och mellan vilka telefonnummer eller ip-nummer).

Ett ”elektroniskt meddelande” är all information som överförs i elektroniska kommunikationsnät, till exempel telefonsamtal, sms, e-postmeddelanden och webbsidor.

Undantag från tystnadsplikten

Det finns flera undantag från tystnadsplikten. Operatörer har vanligen rätt att lämna ut abonnemangsuppgifter till abonnentupplysnings­företag (nummerupplysning), enligt abonnemangsvillkoren. Abonnenten ska dock alltid ha möjligheten att välja hemligt telefonnummer. Då får inte uppgifterna lämnas ut till abonnentupplysningsföretagen.

Andra undantag från tystnadsplikten

Tystnadsplikten gäller inte gentemot dem som skickar ett meddelande mellan sig, exempelvis två personer som pratar med varandra i telefon.

Tystnadsplikten gäller heller inte gentemot abonnenten vad gäller uppgifter om abonnemanget (till exempel innehavarens namn, adress och telefonnummer) – uppgifter som ju redan är kända av abonnenten. Den gäller heller inte gentemot abonnenten avseende trafikuppgifter (exempelvis hur meddelandet har transporterats, när och mellan vilka telefonnummer eller ip-nummer).

Observera att operatören inte har någon skyldighet att lämna ut dessa uppgifter. Det är upp till den enskilde operatören att avgöra om de ska lämnas ut eller inte. Operatören måste däremot tillhandahålla en specificerad telefonräkning (flera av uppgifterna i en telefonräkning utgörs av trafikuppgifter). Räkningen ska vara ospecificerad endast om abonnenten har begärt det.

Lämna ut uppgifter vid kontantkort

Många operatörer är restriktiva med att lämna ut uppgifter som hör till oregistrerade kontantkort. Eftersom ett sådant kort är identitetslöst är det svårt för operatören att med säkerhet avgöra vem som är abonnent och verkligen använder kortet och därmed vem man kan lämna ut uppgifter till. Det problemet är mindre med ett registrerat kontantkort, eftersom det i dessa fall finns en registrerad abonnent.

Oavsett vilket kontantkort som används, är det operatören som avgör om några uppgifter ska lämnas ut eller inte. Detta är ett förhållande man bör vara medveten om ifall man använder sig av kontantkort – det är till exempel inte självklart att ägaren av ett identitetslöst kontantkort kan få ut uppgifter om vilka nummer som har ringts upp med kortet.

Undantag kopplat till brottsbekämpning

Det finns också undantag där polisen och andra brottsbekämpande myndigheter har rätt att begära ut uppgifter i samband med utredning av brott. Läs mer undantag. 

I lagen om elektronisk kommunikation finns också regler om att uppgifter i vissa fall ska lämnas ut till andra myndigheter, till exempel Skatteverket och Kronofogdemyndigheten.

Enligt lagen om elektronisk kommunikation har operatören rätt att behandla uppgifter om abonnenter och användare av operatörens nät och tjänster för vissa ändamål. Så länge något av dessa ändamål är uppfyllda har operatören rätt att behandla uppgifterna utan samtycke från kunden.

Operatören kan även ha rätt att behandla vissa uppgifter med stöd av dataskyddsförordningen (GDPR), för att kunna fullgöra avtalet med dig. Det innebär också att operatören inte är skyldig att omedelbart ta bort sådana uppgifter på din begäran.

Behandling av uppgifter som kräver samtycke

Vissa uppgifter får operatören bara behandla om du har samtyckt till det. Många gånger inhämtas samtycke genom abonnemangsvillkoren som gäller för ett abonnemang. Oavsett hur samtycke inhämtas har du alltid möjlighet att återkalla ett samtycke i efterhand. Men tänk på att om du återkallar ditt samtycke så kan det medföra att operatören inte längre kan tillhandahålla dig den tjänst du avtalat om. Hör efter vad som gäller för just din operatör.

Läs mer om samtycke.

Information om dataskyddsförordningen

Mer information om reglerna för behandling av uppgifter enligt dataskyddsförordningen (GDPR) finns att läsa på Integritetsskyddsmyndighetens webbplats.

PTS kan inte uttala sig närmare i frågor som rör dataskyddsförordningen (GDPR).