Ny lag om elektronisk kommunikation implementerar kodexen i Sverige

Den 3 juni trädde en ny lag (2022:482) om elektronisk kommunikation (”LEK”) ikraft. Lagen bygger på EU:s direktiv 2018/1972 om inrättande av en europeisk kodex för elektronisk kommunikation (”Kodexen”) och ersatte den tidigare lagen om elektronisk kommunikation. Sverige har varit försenat med att implementera Kodexen i svensk rätt och det har gjort att riksdagen beslutade att LEK skulle träda ikraft redan den 3 juni istället för den 1 augusti (vilket var det datum regeringen föreslog i propositionen). Nya LEK innebär en viss utökning av tillämpningsområdet, ett antal nya krav på tillhandahållare av elektroniska kommunikationsnät och -tjänster, samt att sanktionsavgifter på upp till 10 miljoner kronor införs för olika överträdelser av nya LEK. I denna artikel tittar vi närmare på ett urval av nyheterna i LEK.

Definitionen av elektronisk kommunikationstjänst utvidgas

Definitionen av elektronisk kommunikationstjänst har ändrats genom nya LEK. Detta innebär att tillämpningsområdet för lagen utökas. Utöver tjänster som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät, omfattar definitionen även andra kategorier av tjänster som möjliggör kommunikation såsom internetanslutningstjänster och så kallade interpersonella kommunikationstjänster (exempelvis e-post och meddelandetjänster).

De kategorier av tjänster som faller inom ramen för definitionen av en elektronisk kommunikationstjänst överlappar varandra till viss del. Tidigare har fokus varit på om tjänsten helt eller huvudsakligen utgörs av överföring av signaler (dvs. en teknikorienterad definition). Under nya LEK har man tagit ett mer funktionellt synsätt genom att uttryckligen inkludera interpersonella kommunikationstjänster. Dessa tjänster omfattas nu av LEK, även om det inte innebär någon överföring av signaler.

Liksom tidigare undantas från definitionen tjänster i form av tillhandahållande av innehåll som överförs med hjälp av elektroniska kommunikationsnät och kommunikationstjänster eller utövande av redaktionellt ansvar över sådant innehåll. Som utgångspunkt är därmed innehållet i radio- och tv-program eller i strömningstjänster undantaget från tillämpningsområdet. Innehållstjänster som sampaketeras med en internetanslutningstjänst eller en allmänt tillgänglig nummerbaserad interpersonell kommunikationstjänst kan dock omfattas av LEKs regler om paket (vilka vi beskriver närmare nedan).

Stärkt skydd för konsumenter och andra slutanvändare av elektroniska kommunikationstjänster

Sjunde kapitlet i LEK innehåller regler om tjänster till så kallade slutanvändare (definierat som en användare som inte tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst). Här finns flera nyheter som behöver beaktas av de som ingår avtal om tillhandahållande av elektroniska kommunikationstjänster till konsumenter (och, i viss utsträckning, även till andra typer av slutanvändare såsom företag).

Notera att vissa av reglerna inte gäller för nummeroberoende interpersonella kommunikationstjänster eller överföringstjänster som används för tillhandahållande av maskin-till-maskin-tjänster. PTS (Post- och telestyrelsen) kommer komplettera med föreskrifter kring flera av bestämmelserna i LEK. Nedan följer ett urval av nyheterna:

1. Avtalssammanfattning: Krav på att en avtalssammanfattning tillhandahålls innan avtal ingås (utformad enligt en mall som beslutats på EU-nivå). Dokumentet ska ge en kortfattad och lättläst sammanfattning av avtalet (beskrivning av tjänsten, pris, löptid, m.m.). Om det inte är tekniskt möjligt att tillhandahålla sammanfattningen innan avtalet ingås, ska den lämnas så snart som möjligt därefter (LEK 7:1).
2. Övrig information inför avtalsingåendet: Det införs krav på att viss annan information tillhandahålls innan avtalet ingås, utöver avtalssammanfattningen (LEK 7:1).
3. Offentliggörande av information: Den som tillhandahåller en internetanslutningstjänst eller en allmänt tillgänglig interpersonell kommunikationstjänst får krav på sig att offentliggöra tydlig, heltäckande och aktuell information om tjänsterna. Detta gäller inte bara i förhållande till de slutanvändare som avser ingå avtal med tillhandahållaren ifråga utan ska vara tillgängligt för alla (LEK 7:5).
4. Bindningstid, uppsägningstid, operatörslås och subventionerad terminalutrustning: Avtal om elektroniska kommunikationstjänster får – som huvudregel – inte ha en längre bindningstid än 24 månader enligt nya LEK. Nummeroberoende interpersonella kommunikationstjänster är dock undantagna från denna regel.

Det är den totala bindningstiden som avses. Det innebär att ett avtal med 24 månaders bindningstid inte kan förlängas med ytterligare bindningstid, dock är 12+12 månaders bindning tillåten (eftersom den totala bindningstiden inte blir längre än 24 månader). En automatisk avtalsförlängning kommer dock leda till att avtalet kan sägas upp av slutanvändaren med en månads uppsägningstid (LEK 7:8 och 7:14). Tillhandahållare får inte tillämpa en längre uppsägningstid än en månad (LEK 7:13).

När bindningstiden löper ut ska operatören meddela konsumenten om dennes rätt att få operatörslåst terminalutrustning upplåst (LEK 7:15). Dessutom införs vissa begränsningar kring vilken ersättning operatören får ta ut om slutanvändaren vill behålla subventionerad terminalutrustning i samband med att slutanvändaren sagt upp eller hävt ett avtal i förtid (LEK 7:16).

5. Information inför ändring eller förlängning av avtal: Nya krav på hur ändring av avtal ska kommuniceras till slutanvändaren införs. Ändringen ska kommuniceras till slutanvändaren minst en månad innan ändringen träder ikraft. Vissa formkrav på underrättelsen uppställs. Inom tre månader från underrättelsen har slutanvändaren rätt att säga upp avtalet. Detta kan i praktiken innebära att slutanvändaren hinner testa på de nya villkoren en period utan att ha förlorat sin uppsägningsrätt. PTS föreslår även i sina föreskrifter att tillhandahållaren inför avtalsförlängning samt årligen ska lämna viss information om dess ”förmånligaste prisvillkor” till kunden ifråga.
6. Paketerbjudanden: Det är vanligt förekommande att elektroniska kommunikationstjänster såsom bredbandstjänster och mobilabonnemangstjänster bundlas/sampaketeras med andra tjänster (exempelvis TV- och streamingtjänster, andra typer av digitala tjänster och dylikt) samt terminalutrustning (exempelvis mobiltelefon eller en router för WiFi).

Försäljningen av varor och vissa digitala tjänster omfattas av nya konsumentköplagen (till skillnad från tillhandahållandet av elektroniska kommunikationstjänster som konsumentköplagen alltså inte gäller för, med undantag för nummeroberoende interpersonella kommunikationstjänster som är den enda typen av elektronisk kommunikationstjänst som omfattas av konsumentköplagen). Från lagstiftarens sida har man sett ett behov av att stärka konsumentskyddet för denna typ av paketerbjudanden. Av denna anledning har nya regler införts för paket.

Om en tillhandahållare av en internetanslutningstjänst eller en allmänt tillgänglig nummerbaserad interpersonell kommunikationstjänst tillhandahåller tjänsten till en konsument tillsammans med andra tjänster eller terminalutrustning (ett paket) så gäller vissa regler i sjunde kapitlet LEK för alla delar av paketet (bland annat reglerna om (i) avtalssammanfattning; (ii) offentliggörande av information; (iii) bindningstid; och (iv) information inför ändring eller förlängning av avtal). Dessutom ges konsumenten rätt att säga upp/häva hela paketet om en viss del i paketet inte överensstämmer med avtalet. Dvs. om det är fel i en mobiltelefon enligt konsumentköplagen och konsumenten har rätt att häva på grund av felet så gäller den hävningen alla andra tjänster och terminalutrustning som ingår i paketet.

Detta var några av nyheterna vad gäller skyddet för slutanvändare i nya LEK. Nedan tittar vi närmare på ändringar i LEK avseende säkerhet, behandling av trafikuppgifter och integritetsskydd.

Säkerhet, behandling av trafikuppgifter och integritetsskydd

Vad gäller reglerna kring säkerhet, behandling av trafikuppgifter samt integritetsskydd är reglerna i nya LEK i huvudsak desamma som under den gamla lagen om elektronisk kommunikation. Dock så innebär den ändrade definitionen av elektroniska kommunikationstjänster att även nummeroberoende interpersonella kommunikationstjänster omfattas av reglerna (dock med några undantag).

Med anledning av det utökade tillämpningsområdet passar vi dock på att i denna artikel lyfta upp några viktiga regler på detta område (även om flera av bestämmelser i nya LEK har haft en motsvarighet även under den gamla lagen).

1. Ändamålsenliga och proportionella åtgärder för säkerhet och skydd av uppgifter: Den som tillhandahåller ett allmänt elektroniskt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att på ett lämpligt sätt hantera risker som hotar säkerheten i nät och tjänster samt för att skydda uppgifter som behandlas inom ramen för tjänsten. Åtgärderna ska vara lämpliga i förhållande till riskerna (LEK 8:1).
2. Säkerhetsgranskning: I nya LEK ges tillsynsmyndigheten mandat att ålägga en tillhandahållare en skyldighet att låta ett oberoende kvalificerat organ utföra en säkerhetsgranskning av hela eller delar av verksamheten och att redovisa resultatet av granskningen för myndigheten. Denna regel saknar motsvarighet i den gamla lagen (LEK 8:2).
3. Rapport av säkerhetsincidenter till tillsynsmyndighet och till användare: Vissa säkerhetsincidenter eller hot om säkerhetsincidenter ska rapporteras till tillsynsmyndighet och till användare. Skyldigheten att rapportera hot om säkerhetsincident till användare är ny i förhållande till den gamla lagen (LEK 8:3-4).
4. Skyldighet att rapportera och informera om integritetsincidenter: Utöver skyldigheten att rapportera integritetsincidenter till tillsynsmyndigheten åläggs även tillhandahållare att i vissa fall informera användare/abonnenter om incidenten kan antas inverka negativt på användarna/abonnenterna ifråga eller om tillsynsmyndigheten begär det (LEK 8:8).

5. Förteckning över integritetsincidenter: Tillhandahållare ska föra en förteckning över integritetsincidenter (LEK 8:9).
6. Begränsat med ändringar avseende hur trafikuppgifter m.m. får behandlas i väntan på den nya ePrivacy-förordningen: Än så länge gäller direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (e-dataskyddsdirektivet) och därför sker inga större ändringar avseende behandling av trafikuppgifter m.m. samt regler om integritetsskydd med anledningen av implementeringen av Kodexen. Europeiska kommissionen har dock lämnat ett förslag till en förordning om integritet och elektronisk kommunikation (ePrivacy-förordningen). Förslaget gäller behandling av uppgifter från elektronisk kommunikation som utförs i samband med tillhandahållandet och användningen av elektroniska kommunikationstjänster samt information som rör slutanvändares terminalutrustning. Förordningen ska ersätta e-dataskyddsdirektivet och utgöra en specialreglering i förhållande till GDPR. I dagsläget är det dock oklart hur ePrivacy-förordningen slutligen kommer lyda och när den kan träda ikraft.

Anpassa verksamheten efter de nya reglerna

Samtliga näringsidkare som erbjuder elektroniska kommunikationstjänster, till såväl konsumenter som företag, bör analysera hur de nya reglerna kommer påverka verksamheten. I synnerhet de som tillhandahåller nummeroberoende interpersonella kommunikationstjänster – såsom meddelandetjänster och e-posttjänster – bör analysera hur de påverkas av reglerna, eftersom dessa tjänster inte nödvändigtvis träffades av den gamla lagen om elektronisk kommunikation.

Villkor och kommunikation gentemot slutanvändare kommer i många fall behöva anpassas för att uppfylla de nya kraven, samt för att minska risken för att drabbas av sanktioner. Det kan noteras att en överträdelse av någon av reglerna avseende avtalssammanfattning, bindningstid, och uppsägningstid, samt ett flertal av bestämmelserna avseende säkerhet och integritetsskydd ska leda till att sanktionsavgift utdöms.