Inga produkter i varukorgen.
Juristen: Då saknas laglig grund för operatörernas utlämning
Juridik PTS:s tillsyn mot Telia, Tele2 och Tre sätter fokus på hur informerat samtycke ska tillämpas i praktiken. Dataskyddsexperten Caroline Olstedt Carlström reder ut vad som gäller.
Caroline Olstedt Carlström. Foto: Adobe stock & Cirio. (Montage).
Post och telestyrelsen (PTS) misstänker att Telia, Tele2 och Tre kan ha lämnat ut abonnentuppgifter i större omfattning än vad kunderna har informerats om. Det handlar dock inte om någon ny tolkning av lagen, utan om hur befintliga krav tillämpas i praktiken.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
– LEK är en så kallad lex specialis, men GDPR gäller generellt. Samtycket måste vara frivilligt, specifikt, informerat och otvetydigt, säger Caroline Olstedt Carlström, advokat på Cirio.
Enligt henne antyder PTS:s formulering – att uppgifter kan ha lämnats ut i för stor utsträckning – att fler kategorier av uppgifter kan ha delats än vad kunderna har informerats om i samband med samtycket.
– Om operatören inte berättar om alla kategorier som lämnas ut kan kunden inte fatta ett informerat beslut. Då brister samtycket och laglig grund saknas för den delen av behandlingen, säger hon.
Räcker inte att skriva ”dina uppgifter”
Det är inte tillräckligt att generellt informera om att uppgifter delas.
– Man måste tala om vilka uppgifter. Informerar man om namn, adress och telefonnummer men även lämnar ut e-postadress, då saknas samtycke för just den delen, säger Caroline Olstedt Carlström.
Hon betonar att uttalandet är generellt, eftersom hon inte tagit del av de konkreta ärendena.
Intern kontroll i fokus
Enligt henne är det sannolikt att eventuella brister snarare rör den praktiska hanteringen än själva regelverket.
– Operatörerna behöver ha en intern process som säkerställer att informationen till kunderna hela tiden motsvarar det faktiska utlämnandet till upplysningsföretagen. I annat fall riskerar samtycke att saknas till en del, säger hon.
Att PTS samtidigt avslutar granskningen av Telenor visar att kraven går att uppfylla inom ramen för nuvarande regelverk.
Operatörerna har till den 20 mars 2026 på sig att yttra sig.
Vad detta betyder i praktiken
För operatörer och andra som delar personuppgifter innebär tillsynen att:
- Samtliga kategorier av uppgifter som lämnas ut måste vara tydligt angivna.
- Integritetsmeddelanden och samtyckestexter måste överensstämma med den faktiska hantering.
- Interna processer behöver också säkerställa att förändringar i dataflöden uppdateras i kundinformationen.
