Advokat Mattias ger god råd!

Kontakta erbjuder sina medlemmar möjlighet att kostnadsfritt ställa generella frågor om juridik och lagstiftning som vidare presenteras tillsammans med generella svar i vår FAQ Juridik på våra medlemssidor. Här ger vi några aktuella exempel. Du är välkommen att kontakta oss med frågor du önskar svar på.

Kontakta samarbetar med advokatbyrån Bird & Bird som uteslutande arbetar med affärsjuridik och har särskild spetskompetens i affärer där juridik möter personuppgiftsintensiva verksamheter. Bird & Birds kunder är främst stora och mellanstora svenska och internationella koncerner.

Mattias Lindberg, advokat Bird & Bird
Partner & Head of Commercial Sweden
Mattias har erfarenhet från att vara affärsadvokat på en internationell advokatbyrå, bolagsjurist i en stor svensk koncern samt på ett ledande internationellt IT-företag. Han är uppskattad för sina praktiska råd till kunder och för sina kurser och seminarier. Mattias har med sin affärsjuridiska bakgrund en omfattande erfarenhet av komplexa, verksamhetskritiska och stora affärer. Mattias har därutöver stor vana av tvistlösning.

Mattias är Kontaktas "husadvokat" och bistår Kontakta i all typ av juridisk rådgivning. Du möter Mattias här som avsändare av svar i vår FAQ (Inlogg medlemssidor) och du möter honom vid Kontaktas populära introduktionsdag! Om du har behov av specialistkunskap eller rådgivning avseende en specifik fråga är du också välkommen att ta kontakt med Mattias - mattias.lindberg@twobirds.com

FAQ Juridik - aktuellt just nu!

Är det tillåtet att lämna felaktiga omdömen och recensioner på ex siter och i appar?

I september 2022 infördes en bestämmelse om konsumentrecensioner i marknadsföringslagen (2008:486). Bestämmelsen syftar till att hindra osanna kundrecensioner genom att ställa krav på kontroll och transparens av näringsidkare. Enligt bestämmelsens ordalydelse är bestämmelsen emellertid begränsad till konsumentrecensioner av produkter, det vill säga den omfattar inte recensioner om ett företag som sådant. Mot bakgrund av detta är vår uppfattning att bestämmelsen inte blir tillämplig på recensioner av telefonsamtal eller telefonförsäljare.

En annan lag som reglerar information som framkommer på internet är lagen om ansvar för elektroniska anslagstavlor (1998:112). Lagen är begränsad till tjänster för elektronisk förmedling av meddelanden. Vad som avses med en sådan tjänst är inte helt självförklarande men praxis har fastställt att tillämpningsområdet är tämligen brett och att exempelvis öppna kommentarsfunktioner omfattas av lagens tillämpningsområde. Enligt vår uppfattning skulle lagen även kunna tillämpas på recensionssidor, t.ex. de som tillhandahålls av hitta.se och Truecaller (vilket även är någonting som bekräftas av bland annat hitta.se). Medan lagen ställer upp ett ansvar på näringsidkare att kontrollera den information som publiceras på deras elektroniska tjänster, är lagen snäv i förhållande till vilket innehåll som ska kontrolleras, varav felaktiga recensioner i generell mening inte kan anses omfattas. Innehåller recensionen däremot meddelanden som är att klassificera som olaga hot, olaga integritetsintrång, uppvigling, hets mot folkgrupp, barnpornografibrott, olaga våldsskildring, offentlig uppmaning till terrorism eller annan brottslighet i terroristbrottslagen eller om det är uppenbart att användaren har gjort intrång i upphovsrätt eller i annan sådan rättighet åligger det näringsidkaren som tillhandahåller tjänsten att ta bort meddelandet.

Vidare kan ett företag inte vara föremål för förtal eller förolämpning enligt brottsbalken (1962:700), vilket innebär att en privatperson som skriver en osann recension inte gör sig skyldig till dessa brott.

Mot bakgrund av ovan ser vi inte att det är i strid mot lag att varken som privatperson lämna felaktiga recensioner eller som näringsidkare att inte aktivt kontrollera om recensionerna är sanningsenliga.

Vilka åtgärder bör en medlem vidta i samband med att medlemmen beslutar att anställda ska kunna använda sig av ”alias” vid kundmöten via telefon och digitala kanaler?

Behov kan föreligga för ett medlemsbolag att besluta att anställda (t.ex. agenter) ska kunna använda sig av ”alias” i samband med de anställdas tjänsteutövning. Skäl att fatta ett sådant beslut kan t.ex. föreligga när det kan förekomma hot eller liknande mot personal men ett beslut kan även vara grundat av kommersiella skäl. För att medlemmen ska kunna besluta att anställda kan använda sig av ”alias” vid telefonförsäljning behöver medlemmen vidta ett antal åtgärder. Nedan anges vilka åtgärder som medlemmen behöver vidta utifrån ett integritetsskyddsperspektiv.

Inledningsvis kan noteras att den anställde (agenten) behöver kunna identifieras. I detta syfte ska en ”nyckel” avseende ”alias” och respektive anställdes (agentens) riktiga namn upprättas. Syftet med ett sådant register är att medlemmen lätt ska kunna identifiera en anställd/agent om så behövs. Mot bakgrund av att registret kommer att innehålla personuppgifter ska medlemmen, under förutsättning att personuppgiftsombud har utsetts, inkludera registret i medlemmens registerförteckning. Eftersom de personuppgifter som behandlas måste vara riktiga och aktuella, behöver arbetsgivaren även ha rutiner för att uppdatera uppgifterna. Medlemmen behöver också t.ex. begränsa åtkomsten till uppgifterna samt gallra uppgifterna. Under förutsättning att ovanstående principer, och även medlemmen i övrigt efterlever vid var tid gällande personuppgiftslagstiftning samt Kontaktas etiska riktlinjer, är det därmed medlemmens affärsmässiga beslut om medlemmen vill att dess anställda (t.ex. agenter) ska använda sig av ”alias” vid telefonförsäljning.

Vilken information behöver framgå på ett företags webbplats?

Vilken information som måste framgå på en webbplats varierar något beroende på webbplats, till vilka den riktar sig och vad den har för syfte. För att göra det tydligare vilka som krav som ställs har vi i denna vägledning gjort en generell sammanställning över vilken information som måste framgå på en webbplats.

Ett företag som bedriver e-handel eller som tillhandahåller olika typer av tjänster på distans (även till kunder i andra länder) och oavsett om man riktar sig till konsumenter eller kommersiella aktörer, måste enligt lagen om elektronisk handel och andra informationssamhällets tjänster (e-handelslagen) lämna följande information till sina kunder;
- sitt namn (företagsnamn),
- sin adress,
- sin e-postadress,
- organisationsnummer (om möjligt),
- momsregistreringsnummer (om möjligt), och
- namn på relevant tillsynsmyndighet

Om företaget dessutom riktar sig till konsumenter blir lagen om distansavtal och avtal utanför affärslokaler (distansavtalslagen) tillämplig. Utöver informationen som ska anges ovan, ska även information om telefonnummer och telefaxnummer anges samt, om näringsidkaren agerar för någon annans räkning, även dennes motsvarande uppgifter. Distansavtalslagen anger därutöver ytterligare ett antal punkter av om hur information måste lämnas till konsumenter. Bland annat information om produktens huvudsakliga egenskaper, pris eller prisberäkning, betalningsvillkor, leveransvillkor samt villkor för reklamation och ångerrätt. Informationen ska även vara ”klar och begriplig”, vilket innebär att konsumenten inte ska ha några svårigheter att ta del av och att förstå informationen.

Av GDPR följer att om personuppgifter behandlas av företaget ska företaget, i egenskap av personuppgiftsansvarig, ge den registrerade information om behandlingen av personuppgifter. Av lagen om elektronisk kommunikation följer dessutom att en webbplatsoperatör ska informera besökaren av webbplatsen om att webbplatsen innehåller cookies och i vilket syfte cookies används. I praktiken görs detta oftast genom att företaget informerar om både personuppgiftsbehandlingen och användningen av cookies direkt på webbplatsen.

Det kan även nämnas att om företaget bedrivs i aktiebolagsform, vilket är absolut vanligast, måste viss information framgå på aktiebolagets webbplats. Däribland uppgifter om företagsnamn (så som det är registrerat i aktiebolagsregistret hos Bolagsverket), den ort där styrelsen har sitt säte och organisationsnummer. Om en webbplats inte innehåller information i enlighet med punkterna ovan kan dina kunder anmäla det till Konsumentverket som kan begära att företaget anger informationen. Om företaget inte kommer överens med Konsumentverket kan Konsumentombudsmannen vända sig till Patent- och marknadsdomstolen som i sin tur kan kräva att företaget anger den information som krävs enligt e-handelslagen och distansavtalslagen. Bolagsverket har även möjlighet att vid vite förelägga en styrelseledamot eller den verkställande direktören att fullgöra aktiebolagets skyldigheter i frågan om information på t.ex. aktiebolagets webbplats.

Detta gäller för leadsinsamling i samband med onlinetävlingar

Leadsinsamling innebär en behandling av personuppgifter och för att det ska vara tillåtet enligt GDPR krävs det att det finns ett laglig grund för behandlingen. Det är den personuppgiftsansvarige som har ansvar för att uppgifterna behandlas med stöd av en laglig grund. Vid leadsinsamling kan både den leadsinsamlande aktören samt förvärvaren av uppgifterna vara personuppgiftsansvarig och den lagliga grund som används är oftast antingen berättigat intresse eller samtycke.

Berättigat intresse och kravet på en intresseavvägning

En intresseavvägning ska genomföras för att avgöra om den lagliga grunden berättigat intresse är tillämplig. Intresseavvägningen förutsätter att:

  • ett berättigat intresse kan identifieras,
  • att behandlingen av personuppgifter är nödvändig för att fullgöra det berättigade intresset, och
  • att den enskildes grundläggande rättigheter samt friheter inte har företräde framför förvärvarens berättigade intresse.

I skäl 47 GDPR anges att behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse. Utöver GDPR bör det däremot även säkerställas att köpta personuppgifter hanteras i enlighet med andra lagar, till exempel lagen (2022:482) om elektronisk kommunikation.

Kravet på giltigt samtycke enligt GDPR

För det fall en aktör köper personuppgifter från en leadsinsamlande aktör med syftet att använda uppgifterna för direktmarknadsföring (såsom e-post och sms), krävs det att samtycke lämnats av de individer som de insamlade personuppgifterna avser när uppgifterna samlas in av den leadsinsamlande aktören. För att det ska föreligga ett giltigt samtycke krävs att det är en frivillig, specifik, informerad och otvetydig viljeyttring från individen. För att ett samtycke ska vara informerat måste den enskilde få information vid insamling av deras uppgifter om identiteten på den aktör eller de aktörer som behandlar uppgifterna, vad samtycke inhämtas för, om andra aktörer kommer att kommunicera med den enskilde samt rätten att återkalla samtycket.

Checklista vid medlems köp av personuppgifter 

  • Säkerställ att aktören som säljer personuppgifterna i fråga har rätt att behandla personuppgifterna och har en rätt att dela personuppgifterna vidare.
  • Säkerställ att de enskilda har fått tillgång till rätt information i enlighet med artikel 13 och 14 GDPR.
  • Säkerställ att det köpavtal som ingås med den säljande aktören innehåller korrekta och nödvändiga klausuler för att exempelvis fastställa krav så att aktören har rätt att vidta de åtgärder som anges enligt punkt 1 ovan och att de enskilda har fått tillgång till den policy som avses i punkt 2 ovan.
  • Säkerställ att intresseavvägningen dokumenteras om berättigat intresse används som laglig grund (se ovan under rubriken Berättigat intresse och kravet på en intresseavvägning).
  • Vidta åtgärder för att uppdatera ROPA/artikel 30-register.
  • Implementera intern process för att säkerställa att nödvändig kontroll utförs innan uppgifterna används, till exempel att kontrollera telefonnummer mot NIX-registret vid marknadsföring via telefonsamtal.
  • Kontrollera löpande om enskilda lämnar klagomål, förfrågningar eller anklagelser. Om så är fallet kan det tyda på de köpta personuppgifterna inte har samlats in eller delats med de enskildas förståelse eller samtycke.

***

Kontakta anser det vara av största vikt att en balans upprätthålls mellan näringslivets aktörer och konsumenter. Det ska både finnas en rätt för näringslivet att ta kontakt med kunder eller potentiella kunder och en rätt för individer att välja vilken information de tar del av genom möjligheten att säga nej till vissa företag. Vi är en bransch- och intresseorganisation som ställer krav på våra medlemmar att bland annat följa och tillämpa vid var tid gällande svensk lagstiftning, att följa och tillämpa branschpraxis och för Kontakta vid var tid gällande etiska regler.

Vi gör det genom att exempelvis ställa krav på att våra medlemmar ska genomgå utbildningar och att vi årligen följer upp att varje medlem fortsätter följa de åtaganden och villkor som medlemskap i Kontakta anger.

Kontakta är därför även positivt inställda till en granskning av vår bransch och våra medlemmar eftersom olagliga hanteringar eller ohederliga förfaranden inte gynnar någon.

Måste företag identifiera personer som ringer till en kundservice?

Det ställs allt högre krav på att konsumenter och kunder ska identifiera sig när de ringer till en kundservice. När företag lagrar och behandlar personuppgifter om sina kunder måste personuppgifterna hanteras i enlighet med den allmänna dataskyddsförordningen (”GDPR”). För att underlätta personers möjligheter att utöva sina rättigheter enligt GDPR och för att skydda personuppgifter från obehörig åtkomst samt otillåten användning, krävs det enligt GDPR att företag bekräftar identiteten på personer som ringer till en kundservice. Detta under förutsättning att en inringade person efterfrågar kundspecifik information. Kravet på identifiering är oberoende av vilken typ av ärende som det aktuella telefonsamtalet avser och aktualiseras för alla samtal som berör personuppgifter.

Det finns inte reglerat när identifiering ska ske, utan det är en bedömning som företag måste göra i varje enskilt fall. Även om det saknas specifika krav på när identifiering ska ske bör identifiering ske i ett tidigt stadie av ett telefonsamtal med en kundservice, exempelvis när det finns indikationer på att ett telefonsamtal gäller annat än rent generella frågor rörande det aktuella företaget. Detta för att säkerställa att den person som ringer faktiskt är den person de utger sig för att vara.

Vidare är det inte reglerat hur identifiering ska genomföras för att vara förenligt med GDPR, utan företag måste även i denna del göra en bedömning i varje enskilt fall. Varje företag ansvarar för att upprätthålla en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför. Företag ska använda sig av en autentiseringsmekanism om företaget behandlar personuppgifter som identifierar enskilda personer. De personuppgifter som kunder anger vid ingående av kundrelationer med företag innebär i regel att kunderna kan identifieras. När en autentiseringsmekanism används får företag endast samla in de personuppgifter som är relevanta och nödvändiga för att identifiera den aktuella personen.

Enligt GDPR finns det inget generellt förbud mot användning av specifika mekanismer för identifiering, så länge de mekanismer som används säkerställer en lämplig säkerhetsnivå och inte går utöver vad som är nödvändigt för att identifiera de inringande personerna.  Europeiska dataskyddstyrelsen har exemplifierat att det vid identifiering av personer per telefon kan vara tillräckligt att ett företag skickar en unik kod till den påstådda kundens telefonnummer som inringaren sedan får läsa upp. Detta anses vara tillräckligt under förutsättning att kunden har angivit dennes telefonnummer när kundkontot upprättades. En av de säkrare metoderna för att identifiera personer som ringer till en kundservice, är tvåfaktorsautentisering med hjälp av e-legitimation, som exempelvis BankID eller Freja eID.

Mot bakgrund av ovan bör en medlem i Kontakta upprätta policys och riktlinjer till stöd för verksamheten, för att säkerställa en korrekt hantering av personuppgifter vid kundservicekontakter. Vidare bör interna utbildningar genomföras för att kundservicemedarbetare ska känna sig trygga i bedömningen av när identifiering av personer krävs och inte. Om ni omfattas av sektorspecifik lagstiftning kan ytterligare krav på kundidentifiering finnas. Det gäller till exempel telekombolag som även omfattas av lagen (2022:482) om elektronisk kommunikation.

Kan personer som ringer till, eller mottar samtal från, en kundservice kräva att en kundservicemedarbetare identifierar sig?

Som redogjorts för i en separat Frågor & Svar finns det en skyldighet för företag enligt den allmänna dataskyddsförordningen (”GDPR”) att identifiera personer som ringer till en kundservice. Utöver GDPR kan företag omfattas av ytterligare krav på kundidentifiering enligt sektorspecifik lagstiftning, till exempel telekombolag som omfattas av lagen (2022:482) om elektronisk kommunikation. Personer som ringer till en kundservice omfattas inte av dessa regler och kan därför inte kräva att en kundservicemedarbetare identifierar sig. Detsamma gäller om en kundservicemedarbetare ringer upp en person för att exempelvis återkoppla i ett ärende. Det finns företag som erbjuder tjänster genom vilka privatpersoner kan identifiera representanter från företag och myndigheter via exempelvis BankID och Freja eID, men dessa representanter har för närvarande ingen skyldighet att identifiera sig.

För att personer som är i kontakt med er kundservice ska känna sig trygga med hur ni hanterar deras personuppgifter bör en medlem i Kontakta upprätta policys och riktlinjer till stöd för verksamheten. Detta för att säkerställa en korrekt hantering av personuppgifter vid kundservicekontakter. Vidare bör interna utbildningar genomföras för att ge stöd till kundservicemedarbetare i bedömningen av när identifiering av inringande personer krävs och inte. 

Ansvar mellan uppdragsgivare och leverantör, när det gäller kundklagomål

Fråga: Vad ska vi tänka på när det gäller ansvar i våra respektive roller, uppdragsgivare och leverantör, när det kommer till kundklagomål?

Svar: Att ha nöjda kunder är väldigt viktigt i all typ av service- och försäljningsverksamhet. Av denna anledning är det viktigt att ha en väl upparbetad rutin för hur eventuella kundklagomål ska hanteras.

Ni bör därför antingen själva eller tillsammans med er leverantör ta fram en rutin för hur kundklagomål ska hanteras när de kommer in. I och med att ni inte kan veta på vilket sätt kunden tänker kontakta er bör ni försöka tänka ut alla tänkbara sätt och sedan skapa en rutin för vart och ett. För att underlätta kan ni tydligt hänvisa kunden till det kontaktsätt som ni föredrar.

I avtalsförhållandet mellan er och leverantören är det viktigt att ni reglerar hur kundklagomål ska hanteras. Har ni tagit fram en rutin för hur det ska göras, kan rutinen med fördel läggas som en bilaga till avtalet. Detta blir då avtalsinnehåll och kan kopplas till eventuella avtalsrättsliga sanktioner.

På samma sätt är det viktigt att ni reglerar hur ni, respektive er leverantör, ska agera vid andra scenarios där leverantören kan komma att få kontakt med utomstående parter.

Marknadsföring till barn

Fråga: Vilka rättsliga aspekter måste Kontaktas medlemmar beakta när de riskerar att kontakta barn?

Svar: Enligt föräldrabalken kan barn under 18 år inte ingå rättsligt bindande avtal utan vårdnadshavares samtycke. Det innebär att ett avtal som ingås med en omyndig person är ogiltigt och eventuell prestation ska därmed återgå. Det är medlems ansvar att i varje enskilt fall försäkra sig om att motparten är myndig eller att samtycke från dess vårdnadshavare har inhämtats. Att enbart tro att så fallet är inte tillräckligt för att avtalet ska anses giltigt. Vid avtalsingående på distans är det många gånger svårt att förvissa sig om att motparten faktiskt är myndig. En medlem bör därför vidta försiktighet och upprätta en intern policy för hur detta ska kontrolleras.

Vidare måste hänsyn tas till gällande marknadsföringslagstiftning. Det ställs nämligen särskilt höga krav på marknadsföring som riktar sig till barn. Särskilt relevant är förbudet att rikta direkta köpuppmaningar till barn. Förbudet omfattar dels att direkt uppmana ett barn att köpa en produkt eller tjänst, dels att uppmana ett barn att övertala sina föräldrar eller någon annan vuxen att köpa en produkt eller tjänst åt dem.

Därutöver måste en medlem ta hänsyn till gällande dataskyddslagstiftning, däribland Dataskyddsförordningen (GDPR), eftersom telefonnummer utgör en personuppgift. Om telefonnumret tillhör barnet måste medlemmarna ta hänsyn till de särskilda kraven som ställs på behandling av barns personuppgifter. Till exempel är det viktigt att medlemmen anpassar informationen om personuppgiftsbehandlingen och barnets rättigheter så att barnet förstår.

I ljuset av vad som nämnts ovan bör medlemmarna upprätta en intern policy för hur de ska hantera situationen att de kommer i kontakt med ett barn. För att undvika att handla i strid med marknadsföringslagstiftningen bör medlemmarna avsluta samtalet om de uppmärksammar att de kommit i kontakt med ett barn. För att minska risken för att situationen över huvud taget uppstår bör medlemmarna vidare vidta försiktighetsåtgärder vid insamlingen av telefonnummer. Till exempel bör medlemmarna uppmana sina kunder att inte ange sitt barns telefonnummer när de registrerar ett medlemskap.

Ny konsumentköplag från maj 2022

Fråga: Det har lämnats ett förslag till regeringen om en ny konsumentköplag som föreslås träda i kraft i maj 2022.  Kommer den att påverka vår verksamhet? 

Svar: Under januari 2022 överlämnade regeringen propositionen 2021:22:85 till regeringen om förslag om ny konsumentköplag. Propositionen har till syfte att stärka konsumentskyddet genom att även omfatta köp av digitala varor och tjänster samt skyldigheter som syftar till att främja en hållbar konsumtion. Lagstiftningsarbetet har dragit på tiden och den nya lagen föreslås träda i kraft den första maj 2022.

Propositionen föreslår bland annat ändringar avseende:

  • införande av regler för hur bedömningen av fel i digitalt innehåll och digitala tjänster ska göras, och vad en konsument har rätt att kräva i sådana fall.
  • införande av krav på att den som tillhandahåller digitalt innehåll är skyldig att göra uppdateringar under en viss tid efter köpet för att säkerställa att innehållet fungerar. Liknande krav införs för digitalt innehåll som säljs integrerat i varor, som t.ex. datorer och smartphones.
  • klargörande om att avtal där en konsument fått tillgång till digitalt innehåll i utbyte mot att företaget får tillgång till konsumentens personuppgifter kan omfattas av lagens skyddsregler
  • ett stärkt konsumentskydd genom att tiden då en säljare har ansvar för att bevisa att ett fel i en vara inte fanns vid köpet förlängs till två år, från sex månader.


I tidigare Frågor & Svar har vi berättat om att det tidigare visats intresse från lagstiftarens att personuppgifter ska kunna anses utgöra betalningsmedel för köp av digitalt innehåll, det kan noteras att detta nu realiseras i det nya förslaget. Detta visar att personuppgifter har ett stort kommersiellt värde i dagens allt mer digitaliserade samhälle.

Vad får införandet av dessa regler för betydelse för er verksamhet? Om ni bedriver försäljning eller kundservice riktat mot konsumenter kan det kommande nya regelverket få betydelse för vilken information ni behöver ge till konsument, vilka krav konsumenter kan ställa på er samt vilka frågor ni kan räkna med att som konsumenterna kommer att ställa.

Om ni riktar er till konsumenter, behöver ni därför se över om och i vilken utsträckning lagändringarna kan komma att påverka er! Vi följer utvecklingen med intresse och återkommer med eventuella nyheter.

Nej till till samtycke för inspelning av anbud i säljsamtal

Fråga: Hur ska vi förhålla oss till kravet på obligatorisk inspelning av anbudsdelen under samtal med konsument enligt de etiska reglerna i det fall konsumenten inte samtycker till inspelning?

Svar: Från och med den 1 juli 2021 anges det i Kontaktas etiska regler Etiska riktlinjer för försäljning och marknadsföring över telefon till konsument att den delen av samtalet som innehåller information om anbudet och att konsumenten tackat ja till att ta emot en skriftlig anbudsbekräftelse ska spelas in. När samtal spelas in är det viktigt att ta hänsyn till gällande integritetslagstiftning, de etiska reglerna och Kontaktas policy för inspelning av samtal. Av samtalsmanuset i bilaga 2 i de etiska reglerna framgår att samtycke till inspelning inhämtas innan inspelning startas samt hur konsumentens samtycke ska inhämtas. Under samtalet med konsumenten är det viktigt att informera konsumenten om syftet med inspelningen. Syftet med att spela in anbudsdelen är bland annat för att kunna använda det inspelade materialet som ett komplement till skriftlighetskravet för att styrka att överenskommelse har träffats, för att utreda eventuella klagomål och skydda konsumenten.

I det fall konsumenten inte skulle ge sitt samtycke till att samtalet spelas in ska konsumenten erbjudas alternativ. Det är i sådant fall särskilt viktigt att dokumentera att konsumenten erbjudits andra alternativ och att dokumentera varför inspelning inte skett, det vill säga orsak till att konsumenten inte har samtyckt till inspelningen. Kom ihåg att hålla era rutiner uppdaterade och att implementera dem i verksamheten.

Kan arbetsgivare övervaka medarbetare som jobbar hemma?

Fråga: Många av våra anställda jobbar numer hemifrån eller på distans. Har vi som arbetsgivare rätt att övervaka deras IT-utrustning?

Svar: Generellt sett finns det vissa situationer där ni har rätt att övervaka era anställdas IT-utrustning. För att övervakningen ska vara tillåten krävs det att ändamålet och metoden för övervakningen är sakligt motiverade med tanke på verksamheten. Det blir således en bedömningsfråga huruvida övervakning är tillåtet eller vilken metod som kan användas för att övervaka personalen. Generellt sätt är det inte tillåtet att använda ett IT-system för att i realtid eller på annat sätt regelbundet övervaka hur de anställda utför sina arbetsuppgifter eller när de tar raster.

Vidare krävs det att ni följer de grundläggande principerna i GDPR vilket bland annat innebär att en arbetsgivare ska ha stöd i en rättslig grund och ha lämnat tillräcklig information till de anställda senast i samband med att uppgifterna ifråga samlades in för att övervakningen ska vara tillåten. Om tillämpligt kommer det sannolikt även krävas fackliga förhandlingar enligt medbestämmandelagen (MBL) för att övervakningen ska vara tillåten ur ett arbetsrättsligt perspektiv.  

Ändring av distansavtalslagen från 2020-05-01. Det har kommit nya lagar som medför tydligare regler vid konsumentavtal. Vad innehåller de nya lagarna?

Lagarna innehåller en rad förändringar som syftar till att förtydliga reglerna på konsumenträttighetsområdet. Bland annat införs en ny paragraf i distansavtalslagen som innebär att näringsidkare ska lämna ett standardformulär för utövande av ångerrätten till konsumenten. Lagändringarna träder i kraft den 1 maj 2020.

Prefix vid telefonförsäljning?

Fråga: Ni har tidigare informerat om att en av nyheterna i ePrivacy-förordningen kan komma att bli att det ska vara obligatoriskt att visa numret och att ha ett särskilt prefix när man ringer samtal i sälj- eller marknadsföringssyfte. Men vad är det som gäller idag?

Svar: I förslaget till ePrivacy-förordningen finns det mycket riktigt en bestämmelse om att det ska vara obligatoriskt att visa identiteten för den förbindelse där man kan kontaktas (det vill säga ett nummer som den uppringde kan kontakta er på). Därtill ska medlemsstaterna bestämma om det dessutom ska krävas att ett särskilt prefix (ungefär som ett riktnummer) ska visas.

Enligt Kontaktas etiska regler (både i förhållande till konsument och företag) måste den uppringde vid påringning kunna avläsa från vilket nummer samtalet kommer. Kravet på att visa numret gäller alltså redan idag.

Skillnaden kommer således endast att bli att även ett prefix måste visas, och detta om Sverige bestämmer att så ska vara fallet. Vi följer förhandlingarna av förordningen med intresse och kommer att återkomma med eventuella nyheter. 


Standardformuläret för ångerrätt, vad ska det innehålla?

Standardformuläret ska åtminstone innehålla följande information:
- Till vem blanketten ska lämnas, det vill säga företagsnamn, geografiska adress och e-postadress.
- En skrivning om att konsumenten meddelar att denne frånträder sitt avtal.
- Ett fält där konsumenten kan ange när avtalet ingicks och när varorna/tjänsten mottogs.
- Ett fält där konsumenten kan ange namn och adress.
- Ett fält för underskrift, inklusive datum och plats.

Vad är Schrems II och vilken påverkan får det på hur vi hanterar personuppgifter?

Fråga: Jag har hört talas om något som kallas för Schrems II, och att det kan få stor påverkan på hur vi behandlar personuppgifter. Vad är det? 

Svar: Schrems II är ett rättsfall (C-311/18) från EU-domstolen, i vilket domstolen bedömer de säkerhetsmekanismer som kan användas när personuppgifter ska behandlas utanför EU/EES. Domstolen kom fram till att den sk. Privacy Shield (som kunde användas för överföring av personuppgifter mellan EU/EES och USA) inte längre är en giltig säkerhetsmekanism. Vidare kom domstolen fram till att, de frekvent använda, standardavtalsklausulerna för överföring av personuppgifter är fortsatt giltiga, åtminstone i vissa fall. Värt att notera är att EU-kommissionen har tagit fram nya standardavtalsklausuler som inom kort kommer att ersätta de nu gällande.

Schrems II har, och kommer att få, stor påverkan på hur både personuppgiftsansvariga och personuppgiftsbiträden behandlar personuppgifter utanför EU/EES, exempelvis när en tjänsteleverantör ska anlitas. Med tanke på hur global marknaden för bland annat IT-tjänster är, innebär Schrems II en stor utmaning för de flesta av Kontaktas medlemmar.

Hur ska vi agera i anledning av Schrems II?
EU-domstolens avgörande i Schrems II har som sagt stor påverkan på hur personuppgiftsansvariga och personuppgiftsbiträden ska agera vid överföring personuppgifter utanför EU/EES. Om ni exempelvis har anlitat en utomeuropeisk IT- eller en molntjänstleverantör som behandlar personuppgifter på ert uppdrag måste ni sannolikt vidta någon typ av åtgärd för att garantera skyddet av de personuppgifter som behandlas. Gör ni inte det finns det en risk att ni inte uppfyller kraven i GDPR.

Tyvärr finns det ingen one-size-fits-all-lösning eftersom behovet av ytterligare säkerhetsåtgärder, och vilka dessa bör vara, är helt beroende på lagstiftningen i mottagarlandet samt vilken typ av behandling mottagaren ska utföra för er räkning. Det krävs alltså att ni gör en enskild bedömning för varje överföring av personuppgifter. Denna bedömning kommer även behöva följas upp, så att säkerhetsåtgärderna vid behov kan korrigeras.

Kontaktas medlemmar måste således avsätta resurser för att hantera dessa frågor på både lång och kort sikt samt se till att överföring av personuppgifter är en del av den årliga uppföljningen och utvärderingen av bolagets integritetsarbete.

Ändring i distansavtalslagen från 1 maj 2020, vad innebär lagändringen som stadgar att näringsidkare ska lämna ett standardformulär för utövande av ångerrätten till konsumenten i praktiken?

De nya reglerna om standardformulär innebär att näringsidkaren ska tillhandahålla ett formulär för utövande av ångerrätten. Det kommer således inte längre räcka att informera konsumenten om ångerrätten.

Nästa fråga blir på vilket sätt näringsidkaren ska tillhandahålla standardformuläret till konsumenten. Enligt huvudregeln ska standardformuläret lämnas på samma sätt som övrig information som, enligt distansavtalslagen, ska lämnas till konsumenten. På samma sätt som gäller för övrig information behöver näringsidkaren således inte tillhandahålla standardformuläret genom det kommunikationsmedel som används, utan det kan göras på annat lämpligt sätt. Ett lämpligt sätt kan vara att näringsidkaren hänvisar konsumenten till någon annan informationskälla, till exempel näringsidkarens hemsida.

Om standardformuläret, eller en hänvisning till var det finns att hämta, inte har lämnats dess för innan ska näringsidkaren lämna standardformuläret till konsumenten samtidigt som avtalsbekräftelsen.