Författare: Ida Söderström

Uppsala tingsrätt meddelade häromveckan dom i mål T 9451-20. Målet rörde en spelare som på grund av dennes miljonförluster på onlinespel krävde de anordnande spelbolagen på ersättning med hänvisning till att spelbolagen utnyttjat dennes spelberoende. Tingsrätten ansåg dock att det inte var visat att spelbolagen varken känt till eller borde ha känt till spelarens spelberoende, och därför kunde inte avtalen om spel ogiltigförklaras. Dessutom fann tingsrätten att det inte hade förekommit något skadeståndsgrundande handlande från spelbolagens sida vid erbjudande av spel eller marknadsföring gentemot spelaren. Spelaren nekades därför ersättning för förlusterna.

Häromveckan meddelade Uppsala tingsrätt dom i mål T 9451-20. Målet rörde en spelare som satsat pengar via onlinespel och förlorat ca. 4,7 miljoner kronor under perioden 2016 – 2019. Spelaren yrkade i första hand att spelavtalen som ingåtts mellan parterna skulle ogiltigförklaras enligt avtalslagen på grund av att spelbolagen hade utnyttjat dennes spelberoende. Spelaren menade att dessa avtal hade ingåtts i strid mot tro och heder med hänvisning till att spelbolagen kände till eller borde ha känt till dennes spelberoende. I andra hand yrkade spelaren att spelbolagen skulle förpliktigas att betala skadestånd motsvarande spelförlusterna för den rena förmögenhetsskada spelaren åsamkats genom spelbolagens överträdelse av bestämmelserna i lotterilagen, spellagen och marknadsföringslagen.

Enligt tingsrättens bedömning hade spelaren, som var VIP-kund hos spelbolagen, spelat på ett sätt som indikerade att denne hade spelproblem, men detta ansågs emellertid inte som tillräckligt för att förklara spelavtalen som ogiltiga eller att dessa skulle lämnas utan avseende.

Därutöver bedömde tingsrätten att spelaren inte hade visat att ett av spelbolagen hade anordnat spel i Sverige i strid mot den dåvarande lotterilagen. Det var inte heller visat att spellagens bestämmelser kunde tillämpas på de kampanjer och erbjudanden som bedrivits av det andra spelbolaget, eftersom dessa inte kunde anknytas till någon förlust som spelaren hade drabbats av. Slutligen var det inte visat att marknadsföringen skedde med kännedom om att spelaren var spelberoende eller med kännedom om att hans förluster var sådana att han inte kunde bära dem. Därmed bedömde tingsrätten att marknadsföringen inte kunde anses stå i strid mot marknadsföringslagens bestämmelser om aggressiv marknadsföring. Eftersom spelaren inte hade visat att spelbolagen agerat i strid mot någon av de ovannämnda lagarna, ogillade tingsrätten spelarens begäran om ersättning. Du kan beställa domen i sin helhet här.

I mars beslutade Integritetsskyddsmyndigheten att ge en reprimand till Apotea AB för att ha behandlat personuppgifter i strid med art. 13 i dataskyddsförordningen. IMY konstaterade att Apotea hade rättslig grund för bolagets kamerabevakning. Däremot ansågs Apotea ha brustit i sin informationsskyldighet i samband med bevakningen.

Integritetsskyddsmyndigheten (IMY) konstaterade vid tillsyn att Apotea AB överträtt artikel 13 i dataskyddsförordningen och beslutade därför att ge bolaget en reprimand. Tillsynsärendet inleddes efter att uppgifter i media gjorde gällande att Apotea AB bedrev kamerabevakning vid sitt logistikcenter. Bland annat uppgavs att det användes bevakningskameror för att kontrollera hur arbetstagare utförde sina uppgifter och för att arbetsleda.

Apotea AB framhöll att kamerorna användes i syfte att bland annat hantera incidenter och spåra läkemedel. Rättslig grund för kameraövervakningen var den så kallade intresseavvägningen i artikel 6.1.f dataskyddsförordningen. IMY ansåg att Apotea AB hade rättslig grund för all kamerabevakning och inte använde kamerorna för att arbetsleda eller kontrollera personalen.

IMY upptäckte dock brister i Apoteas informationsskyldighet enligt dataskyddsförordningen. Den personuppgiftsansvarige ska vid all behandling, inklusive kamerabevakning, lämna information till den registrerade avseende behandlingen. Den information som ska lämnas framgår av artikel 13 dataskyddsförordningen.

Informationen ska i princip lämnas till den registrerade innan behandlingen av personuppgifterna påbörjas. Emellertid är det en stor mängd information som ska lämnas, varför den personuppgiftsansvarige kan lämna informationen i olika steg. Den information som är av störst vikt för den registrerade ska därmed lämnas först och redan innan den registrerade kliver in i det bevakade området.

Apotea AB hade satt upp skyltar med information om bevakningen i lokalerna. Skyltarna ska tydligt ange informationen av störst vikt, samt hänvisa den registrerade till var ytterligare information hittas. I förevarande fall hänvisade skyltarna till bolagets integritetspolicy, vilken kunde nås via anslag eller genom närmsta chef. IMY ansåg att det inte var relevant i förhållande till externa besökare att hänvisa till närmsta chef och att uttrycket ”nås via anslag” var för vagt. Vidare återfanns inte kontaktuppgifter i form av en postadress till den personuppgiftsansvarige på skyltarna. Den e-postadress som uppgetts kunde inte likställas med en kontaktuppgift. IMY konstaterade även att Apotea AB:s integritetspolicy saknade viss information om de registrerades rättigheter.

Sammanfattningsvis bedömde IMY att de brister som konstaterats innebar att Apotea AB hade överträtt artikel 13 i dataskyddsförordningen. Läs beslutet här.

I slutet av mars meddelade Högsta domstolen dom i mål Ö 2318–22, ”Trisskrapningarna”. Målet rörde en uppmaning från Konsumentombudsmannen till Svenska Spel att enligt 42 § marknadsföringslagen lämna uppgift om förekomsten av ett samarbetsavtal med TV4. Domstolen fastslog att åtgärden hade stöd i lag och därmed inte var i strid med yttrandefrihetsgrundlagen.

Målet rörde KO:s möjlighet att uppmana Svenska Spel att lämna uppgift om förekomsten av ett samarbetsavtal avseende Trissinslagen i TV4 Nyhetsmorgon med TV4. Framför allt aktualiserades frågan om under vilka förutsättningar en sådan uppmaning kunde anses strida mot yttrandefrihetsgrundlagen (YGL), särskilt med hänsyn till exklusivitetsprincipen och efterforskningsförbudet.

Exklusivitetsprincipen anger att en myndighet endast med YGL:s stöd får ingripa mot någon för att denne i till exempel ett radio- eller TV-program har missbrukat yttrandefriheten eller medverkat till sådant förbud. Efterforskningsförbudet innebär ett förbud för det allmänna att efterforska vissa kategorier av personer, exempelvis upphovsmän till radio- och TV-program i den utsträckning de vill vara anonyma.

Högsta domstolen (HD) fastslog att den åtgärd som Konsumentombudsmannen (KO) beslutat om hade stöd i 42 § marknadsföringslagen (MFL) och därmed inte stred mot YGL.

HD ansåg att även om graden av samverkan mellan Svenska Spel och TV4 var oklar och det inte kunde fastslås att det var fråga om marknadsföring, var KO:s bedömning att det kunde vara fråga om marknadsföring befogad. KO hade därför rätt att efterfråga handlingar enligt 42 § MFL. Det material som KO efterfrågade avsåg relevant information för tillsynsärendet. En sådan åtgärd bedömdes inte utgöra något ingripande i den mening som avses gällande exklusivitetsprincipen.

Vidare ansåg HD att det var uppenbart att det förelåg någon typ av samverkan mellan Svenska Spel och TV4. KO:s syfte var att få information kring de affärsmässiga villkoren mellan parterna, inte att få kännedom om personer vars anonymitet skyddas av YGL. Åtgärder med ett sådant syfte kunde enligt HD inte anses strida mot efterforskningsförbudet.

Omständigheterna gav inte anledning att anta att avtalet skulle innehålla uppgifter om personer som omfattas av efterforskningsförbudet. För det fall att ett utelämnande skulle kunna röja identiteten hos personer vilkas anonymitet YGL skyddar, fanns dessutom möjlighet för Svenska Spel att inte utelämna just dessa uppgifter med hänvisning till YGL:s bestämmelser om tystnadsplikt. Läs domen i sin helhet här.

Nyligen meddelade Patent- och marknadsöverdomstolen dom i mål PMT 13691-21. Målet rörde ett kreditföretags avtalsvillkor i ett konsumentkreditavtal. Villkoret innebar att en förseningsavgift togs ut av låntagare om de inte betalat i rätt tid. Domstolen bedömde att det aktuella avtalsvillkoret stred mot lag och skulle förbjudas.

Efter överklagan fastställde Patent- och marknadsöverdomstolen (PMÖD) Patent- och marknadsdomstolens (PMD) dom i alla delar. Frågan i målet var om det aktuella villkoret om förseningsavgift var oskäligt, i första hand på grunden att det strider mot tvingande bestämmelser i lagen (1981:739) om ersättning för inkassokostnader m.m. (inkassokostnadslagen). I andra hand för att det, till konsumentens nackdel, rubbar balansen mellan parternas rättigheter och skyldigheter enligt avtalet.

Domstolen fastslog att förseningsavgiften inte kunde förstås på annat sätt än som en påtryckning på gäldenären att betala sin skuld då åtgärderna vidtogs först när fordringen förfallit till betalning. Enligt Inkassokostnadslagen är gäldenären inte skyldig att ersätta andra åtgärder än avtalade betalningspåminnelser och inkassokrav som borgenären vidtar för att få gäldenären att betala den förfallna fordran. Gäldenären är därmed inte skyldig att ersätta borgenärens kostnader för administrativa åtgärder som vidtas med anledning av dröjsmålet. Villkoret ansågs ogiltigt och i strid med tvingande bestämmelser i Inkassokostnadslagen och var därför också oskäligt enligt avtalsvillkorslagen.

Vidare framhöll PMÖD att inkassokostnadslagens utformande talar för att lagen uttömmande reglerar vilka kostnader som normalt ingår vid indrivning av förfallen fordran samt att det finns stöd för att förseningsavgifter i andra förhållanden än handelsförhållanden ska antas vara ogrundade eller obefogade. Läs domen i sin helhet här.

Häromveckan meddelade Patent- och marknadsöverdomstolen dom i mål PMT 14821–21. Målet rör en mobiloperatörs marknadsföring och har bland annat innehållit påståenden som ”Sveriges bästa mobilnät” och ”Sveriges bästa mobilnät enligt svenska folket”. Påståendena har kommunicerats baserat på tekniska kvalitetstester och en konsumentundersökning.  Efter att en konkurrent väckt talan har nu två domstolsinstanser bedömt om marknadsföringen varit vilseledande.

Efter överklagande har Patent- och marknadsöverdomstolen (PMÖD) kommit till en annan slutsats än underinstansen (Patent- och marknadsdomstolen). Domstolarnas prövningar har bland annat omfattat påståenden om att mobiloperatören har ”Sveriges bästa mobilnät” och att mobilnätet utnämnts till ”bäst i test”. Det har också prövats om påståendet ”Sveriges bästa mobilnät enligt svenska folket” och liknande påståenden med hänvisning till konsumentundersökningar är vilseledande. PMÖD konstaterade att det är tillåtet att använda resultat från tester och undersökningar i marknadsföring, så länge dessa uppfyller krav på tillförlitlighet och inte används på ett missvisande sätt. De tekniska kvalitetstesten i målet bedömdes uppfylla kraven för användning i marknadsföring. Marknadsföringen måste dock tydligt hänvisa till nämnda test och utan tillräckligt tydlig hänvisning kan marknadsföringen vara vilseledande. PMÖD fann också att hänvisning till mobiloperatörens konsumentundersökningar i marknadsföring var missvisande och därför vilseledande.

Eftersom mobiloperatören efter överklagandet till större del ansågs vara vinnande part fördelade PMÖD om rättegångskostnaderna. PMÖD frångick huvudregeln om tvåinstansprövning och öppnade upp för överklagande till Högsta domstolen. Läs domen här.

Advokaterna Daniel Tornberg och Martin Zeitlin har skrivit en rapport om marknadsföringsåret som gått. Syftet med denna rapport är att på ett överblickbart sätt summera vår syn på marknadsföringsrättsåret 2022 eftersom det är svårt att hitta sammanhållen information på detta ständigt dynamiska rättsområde. Advokatfirman MarLaw har sedan starten år 1969 haft marknadsföringsrätten som en orubblig del av sin kärnverksamhet och kommer fortsätta ha det i framtiden. Denna summering redogör för årets lagstiftningsnyheter, domstolsprövningar samt tillsynen i Sverige.

Läs rapporten här.

Den 12 januari 2023 bjuder Advokatfirman MarLaw in till lunchseminarium – med fokus på prismarknadsföring. Under seminariet ges en överblick över regelverket och praktiska tips på åtgärder vid utformningen av prismarknadsföring. Särskilt fokus under utbildningstillfället är den nya regleringen på området och Konsumentverkets nya vägledning om prisinformation.

Detta seminarium genomförs som en hybrid – där du kan välja att delta på plats eller digitalt.

Ur innehållet:

• Överblick över regelverket
• Nytt krav på att ange tidigare lägsta pris
• Konsumentverkets uppdaterade vägledning om prisinformation
• Konsekvenser vid överträdelser
• Praktiska tips på åtgärder

Föreläsare är: Daniel Tornberg och Ottilia Lagergren.

Datum: 12 januari 2023
Tid: 12:00 – 13:00
För deltagare på plats så serveras lättare lunch från 11:30. Antal platser på plats är begränsade.
Plats: Advokatfirman MarLaw, Nybrogatan 11 alt. digitalt via Teams
Pris: 1 295 kr ex moms.
Avgiften faktureras. Notera att anmälan är bindande. 

Anmälan

DEBATT – av Advokat Martin Zeitlin, Advokatfirman MarLaw
För Dagens Juridik 31 maj 2022

Konsumentskyddet står inför en av de största ändringarna någonsin. Inte för att den materiella rätten är på väg att genomgå ändringar som aldrig förr utan istället för att nya sanktioner är på gång. Från och med den 1 september 2022 kommer den nya marknadsstörningsavgiften enligt marknadsföringslagen kunna uppgå till högst fyra procent av näringsidkarens omsättning. Detta till följd av implementeringen av det nya konsumentskyddsdirektivet (också känt som ”omnibus-direktivet”).

Läs artikeln i sin helhet här

EU-domstolen kom i somras med en dom som underkände kommissionens beslut om att det finns adekvat skyddsnivå vid överföring av personuppgifter till USA ”Privacy Shield” (dom den 16 juli 2020 i mål C-311/18). Det innebär att det inte längre finns någon giltig generell överenskommelse att luta sig mot vid överföring av personuppgifter mellan EU och USA och därmed är det inte heller lagligt att överföra personuppgifter dit om överföringen inte kan stödjas på någon annan grund i dataskyddsförordningen (GDPR).

Över 100 organisationer är anmälda till olika tillsynsmyndigheter inom Europa för att de fortsätter med överföringar av personuppgifter i stor skala genom bland annat användning av Google Analytics och Facebook Connect. Av de anmälda finns ett antal svenska företag representerade som nu riskerar tillsyn och tuffa sanktioner. Det är med andra ord hög tid för organisationer att se över sin personuppgiftsbehandling och vidta åtgärder.

Frågan är dock vad som gäller för de organisationer som vill fortsätta kommunicera via sociala medier. Kan organisationen fortsätta posta bilder från verksamheten på sociala medier eller är den tiden passé? Vi ska i denna artikel försöka reda ut vad som gäller idag och ge några praktiska råd som vi brottas med i vårt dagliga arbete tillsammans med våra klienter.

Bakgrund

Bakgrunden till målet är den österrikiska juristen och aktivisten Max Schrems som återigen lyckats få till en prövning i EU-domstolen rörande rätten för Facebook Ireland Ltd att hantera personuppgifter som överförs till dess moderföretag i USA. Sådana överföringar till tredje land, exempelvis USA, är som huvudregel förbjudna om inte ett undantag i GDPR kan tillämpas (se artiklarna 45–50 i GDPR). Ett sådant undantag ger kommissionen rätt enligt artikel 45 att besluta om att visst tredje land har en adekvat skyddsnivå. Sådana beslut fattas efter att EU-kommissionen kommit överens med ett tredje land om villkoren för överföringar. Ett sådant beslut var det mellanstatliga avtalet Privacy Shield- mellan EU och USA som sålunda upphävdes av EU-domstolen i juli. EU-domstolen menade bland annat att amerikanska myndigheters möjligheter att i stor skala övervaka och samla in personuppgifter om EU-medborgare gör att det reella skyddet för personuppgifter i USA inte lever upp till en adekvat skyddsnivå varken enligt GDPR eller EU-stadgan om de grundläggande rättigheterna, däribland rätten till privatliv och till personuppgifter.

Vidare innehåller GDPR undantag enligt vilka personuppgiftsöverföring får ske till tredje land om de förenas med lämpliga skyddsåtgärder enligt artikel 46. En sådan skyddsåtgärd är att stödja sin personuppgiftsöverföring på standardavtalsklausuler som har godkänts av kommissionen.

Prövningen i målet Schrems II omfattade förutom Privacy Shield också just personuppgiftsbehandling med stöd av sådana godkända standardavtalsklausuler. Domstolen konstaterade att standardavtalsklausulerna fortfarande kan användas. Klausulerna måste dock ge en skyddsnivå som ger en ”väsentligen likvärdig skyddsnivå” för registrerade som den som finns under GDPR. De krav som ställs på organisationer som vill överföra personuppgifter till tredje land blir således mycket långtgående även om man använder standardavtalsklausuler eftersom man har en undersökningsplikt både att ta reda på vilket skydd personuppgifterna i praktiken har i tredjelandet, hur lagstiftningen där ser ut och dessutom ett ansvar att informera de registrerade om skydd och risker.

Av domen i Schrems II följer dessutom att tillsynsmyndigheterna i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som överför personuppgifter till tredje land utan rättsligt stöd. Vi kan alltså förvänta oss en mer aktiv tillsyn än vad som skedde då EU-domstolen genom domen i målet Schrems I ogiltigförklarade den tidigare lösningen för personuppgiftsöverföringar mellan EU och USA -kallad Safe Harbour.

Organisationens ansvar

Svenska Datainspektionen har kommit med en vägledning som betonar organisationernas ansvar under den rådande situationen:

”Organisationen måste kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör organisationen försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte. I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.”

Undantagsbestämmelserna i GDPR om fall där tredjelandsöverföringar är tillåtna innehåller också en bestämmelse i artikel 47 om bindande företagsbestämmelser där en bolagskoncern får godkännande av en tillsynsmyndighet för en intern uppförandekod för tredjelandsöverföringar för personuppgifter. Idag finns sådana godkända bindande företagsbestämmelser endast för koncernen Tetra Pak men vi har anledning att anta att dessa nu kommer öka i antal.

Under vissa omständigheter kan överföring till tredje land därutöver stödjas på artikel 49 i GDPR som är ett undantag när beslut om adekvat skyddsnivå saknas. Artikel 49.1 a anger att personuppgifter får överföras till ett tredjeland eller en internationell organisation när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder enligt artikel 45.3, eller lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, på villkor att ”den registrerade uttryckligen har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder”. Samtycket måste vara uttryckligt, specifikt och informerat. Det ställs med andra ord särskilt höga krav på utformningen i likhet med hur samtycken i övrigt ska utformas enligt GDPR och tillsynsmyndigheternas vägledning. I artikel 49.1 b finns därtill ett undantag som omfattar avtal, där ”överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant”. För att överföring av uppgifter på grundval av detta undantag ska kunna ske krävs att överföringen är tillfällig och nödvändig.

De båda nämnda undantagen i artikel 49 får emellertid inte tillämpas på åtgärder som vidtas av offentliga myndigheter som ett led i utövandet av deras offentliga befogenheter. Vår tolkning av vad som avses med denna formulering är att undantagen inte är tillämpliga vid myndighetsutövning som innefattar handläggning av ärenden, däremot kan de möjligen tillämpas när myndigheter utför andra typer av uppgifter som inte innebär att beslut fattas gentemot enskild.

Såsom nämns ovan måste information dessutom ges om eventuella risker för den registrerade som uppkommer på grund av att adekvat skydd saknas i tredjelandet och att lämpliga skyddsåtgärder saknas. Datainspektionen anger att ett sådant meddelande bör innefatta exempelvis information om

att det eventuellt inte finns någon tillsynsmyndighet och/eller några databehandlingsprinciper och/eller rättigheter för den registrerade i tredjelandet. För att stödja överföring av personuppgifter i sociala medier krävs sålunda en analys av undantagen utifrån den överföring som planeras.

Rekommendation i dagsläget till organisationer som överväger att använda sociala medier

Vår rekommendation till er som vill fortsätta kommunicera med personuppgifter i form av exempelvis bilder via sociala medier är att i ett första steg kontrollera om användningen innebär överföring av personuppgifter till tredje land. Sker överföring av personuppgifter till tredje land – vilket merparten av alla sociala medieplattformar gör i dagsläget – bör en kontroll ske om det sociala mediet tillämpar godkända standardavtalsklausuler vid överföringen.

Oavsett standardavtalsklausuler behöver organisationen genomföra en konsekvensanalys i enlighet med regelverket i GDPR och tydligt dokumentera personuppgiftsbehandlingen och de överväganden som gjorts, vilka rättsliga grunder som organisationen stödjer behandlingen på, om tillräckligt tydlig information ges till de registrerade, vilka skyddsåtgärder organisationen vidtar för behandlingen etc.

Ni kan därutöver undersöka om den behandling som övervägs kan hitta stöd i något undantag i GDPR t.ex. avtal eller samtycke. Tänk dock på att undantagen är just undantag för tillfällig överföring och observera att de samtycken, avtal med registrerade och dessutom personuppgiftsbiträdesavtal och underbiträdesavtal som användes innan 16 juli 2020 sannolikt inte uppfyller informationskraven och behöver uppdateras.

EU och USA har båda signalerat att man är intresserade av att diskutera en lösning för dataflödena mellan regionerna men det är svårt att se att en generell lösning liknande en ny Privacy Shield går att uppnå med annat än mer långtgående politiska beslut än man hittills visat vilja på. Europeiska Dataskyddsstyrelsen har tillsatt en arbetsgrupp som ska komma med vägledning med anledning av Schrems II, bland annat med förslag på andra skyddsåtgärder som organisationer kan förena med standardavtalsklausuler så som kryptering och begränsning av tillgång till uppgifterna genom tekniska och organisatoriska åtgärder. Men det finns alltså, i väntan på dessa, flera åtgärder som organisationer som överför personuppgifter till tredjeländer som USA genom exempelvis sociala medier, lagring eller molntjänster kan börja vidta redan idag.