Tech Blog

Ny lag om elektronisk kommunikation

I skuggan av det rådande omvärldsläget har den svenska lagstiftaren uppdaterat lagstiftningen på telekommunikationsområdet. Uppdateringen är ett led i införandet av EU:s direktiv om inrättande av en europeisk kodex för elektronisk kommunikation ([EU] 2018/1972) (”Koden”). Den nya lagen om elektronisk kommunikation (SFS 2022:482) (”nya LEK”) trädde i kraft den 3 juni 2022 och innebär ett flertal förändringar och nyheter för aktörer som omfattas av lagstiftningen.

Initialt var nya LEK föreslagen att träda i kraft 1 augusti 2022, men ikraftträdandet tidigarelades. Gissningsvis kan orsaken till att nya LEK trädde i kraft tidigare än vad som först föreslagits vara att Sverige redan var flera år sen med implementeringen av Koden, som skulle ha genomförts i svensk lagstiftning senast den 21 december 2020. Ytterligare uppdateringar av den svenska lagstiftningen på området är dock på gång (igen). Vissa delar av nya LEK kommer därför ha nya lydelser från den 1 augusti 2022, bl.a. beträffande lagring av uppgifter.

Den som sedan tidigare känner till den gamla lagen om elektronisk kommunikation från 2003 (”gamla LEK”) kan sannolikt orientera sig i nya LEK, då nya LEK:s systematik i stora delar liknar gamla LEK. Vissa delar har också överförts oförändrande eller med mindre språkliga justeringar till nya LEK, medan andra delar av lagen är helt nya. I det här blogginlägget sammanfattar vi översiktligt de olika nya delarna av nya LEK.

Tydliggörande om särskilda intressen att beakta vid tillämpningen

Redan i portalparagrafen av nya LEK (1 kap. 1 §) har det tydliggjorts att vid all tillämpning av lagen ska Sveriges säkerhet och elektroniska kommunikationers betydelse för yttrandefrihet och informationsfrihet särskilt beaktas. I gamla LEK lyftes inte Sveriges säkerhet fram som ett särskilt intresse att beakta, även om Sveriges säkerhet fanns med som ett väsentligt intresse att beakta vid prövning av tillstånd till att använda radiosändare, och villkor för sådan användning. Nu ska således Sveriges säkerhet beaktas vid tillämpning av samtliga delar av lagen.

Begreppet ”Sveriges säkerhet” ska enligt förarbetena ha samma betydelse som begreppet har i säkerhetsskyddslagen. I motiven till lagstiftningen anges att all elektronisk kommunikation är kritisk infrastruktur för samhället och att det därför finns ett stort behov av att ta särskild hänsyn till Sveriges säkerhet vid intresseavvägningar enligt lagen. Det bör dock noteras att någon dubbelreglering av säkerhetsskyddet inte är avsedd, då nya LEK har ett annat tillämpningsområde än säkerhetsskyddslagen.

Utvidgning av lagens tillämpningsområde

En nyhet är att den som tillhandahåller nummeroberoende interpersonella kommunikationstjänster, dvs. kommunikationstjänster som sker på annat sätt än genom nummer, alltså e-mail och applikationer för chattar och meddelanden, omfattas av nya LEK. Nya LEK innehåller en del undantag för leverantörer av nummeroberoende interpersonella kommunikationstjänster, som innebär att dessa inte behöver iaktta vissa av de krav som ställs på leverantörer av andra elektroniska kommunikationstjänster. För leverantörerna – som tidigare stått utanför gamla LEK – innebär dock utvidgningen av tillämpningsområdet tillkommande krav, framförallt vad gäller säkerhet i nät och tjänster.

Säkerhet i nät och tjänster

Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster har ett långtgående ansvar att hantera risker som hotar säkerheten i nät och tjänster. Även om en del av regleringarna beträffande säkerhet fanns med i gamla LEK, har en del nyheter tillkommit.

  • Nytt säkerhetsbegrepp: Med säkerhet i nät och tjänster avses nät och tjänsters förmåga att vid en viss tillförlitlighetsnivå motstå händelser som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos nätet eller tjänsterna, eller däri lagrade, överförda och behandlade uppgifter. Säkerhetsbegreppet utvidgar den nya lagens tillämpningsområde jämfört med gamla LEK.
  • Extern granskning av säkerhet: En leverantör kan åläggas en skyldighet att låta ett oberoende kvalificerat organ genomföra en granskning av aktörens säkerhet i hela eller delar av verksamheten. Granskningen ska därefter redovisas för regleringsmyndigheten (dvs. Post- och Telestyrelsen, ”PTS”).
  • Rapportering av säkerhetsincidenter: En leverantör är skyldig att rapportera säkerhetsincidenter eller hot om sådana till PTS och till sina slutanvändare. En säkerhetsincident är en händelse som har en faktiskt negativ inverkan på tillgänglighet, autenticitet, riktighet eller konfidentialiteten hos nät, tjänster eller uppgifter.

En särskild notering är att en incident kan vara anmälningspliktig enligt flera regelverk och/eller enligt flera olika delar av nya LEK. Rent teoretiskt skulle en rapportering av en säkerhetsincident enligt nya LEK även vara rapporteringspliktig enligt säkerhetsskyddslagen, lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (NIS-lagen) och/eller GDPR. Utöver skyldigheten att rapportera säkerhetsincidenter finns också den gamla skyldigheten att rapportera integritetsincidenter kvar. Enligt motiven är det ett medvetet val att låta incidenter rapporteras enligt flera olika lagstiftningar, mot bakgrund av att lagstiftningarna har olika syften. För berörda leverantörer kan detta dock leda till en administrativ börda när anmälningar ska ske enligt flera olika lagstiftningar.

PTS tillhörande föreskrifter kommer att tydliggöra säkerhetskraven något, då en del av Koden genomförs genom PTS föreskrifter som trädde i kraft samtidigt som nya LEK. Föreskrifterna om säkerhet i nät och tjänster planeras träda i kraft 1 augusti 2022.

Stärkt skydd för slutanvändare

Nya LEK innehåller ett antal bestämmelser som innebär stärkt skydd för slutanvändare av elektroniska kommunikationstjänster, särskilt för slutanvändare som är konsumenter. Noteras bör att Koden i detta avseende har en harmoniseringsnivå som innebär att varken strängare eller mindre stränga regler får införas, såvida inte annat anges särskilt i Koden.

Bland uppdateringarna som ingår i det stärkta skyddet för slutanvändare finns bl.a. regleringar om att aktörer som omfattas av nya LEK är skyldiga att lämna detaljerad information till konsumenter och andra slutanvändare innan avtal ingås. Tillämpningsområdet och vilka skyldigheter som gäller varierar i viss mån beroende på dels typ av kommunikationstjänst, dels om slutanvändaren är ett företag eller en konsument. Exempelvis ska en konsument erhålla tydlig och begriplig information om avtalet samt en sammanfattning av avtalet. Om det inte är möjligt att tillhandahålla sammanfattningen innan avtalet ingås, får avtalet inte träda i kraft förrän efter konsumenten erhållit sammanfattningen och bekräftat sin vilja att ingå avtalet. Utöver de sektorsspecifika regleringarna i nya LEK gäller fortsatt de allmänna regleringarna om informationsgivning innan avtal ingås, exempelvis i lagen om distansavtal och marknadsföringslagen. Förändringarna som införs i och med nya LEK ligger i linje med det förstärkta konsumentskydd som finns på många andra liknande områden. Det bör dock noteras att viss informationsgivning innan avtal ingås inte är begränsad till slutanvändare som är konsumenter, utan att viss informationen ska ges till samtliga slutanvändare.

För slutanvändare som inte kan få tillgång till exempelvis internetanslutning på rimliga kommersiella villkor finns en möjlighet för ansvarig regleringsmyndighet att ålägga en aktör att tillhandahålla tjänsterna. Skyldigheten att tillhandahålla tjänsterna (s.k. samhällsomfattande tjänster) ska åläggas olika företag i olika delar av landet, vilket enligt motiven ska medföra att den ekonomiska bördan för företagen inte ska bli oskälig.

Sanktionsavgifter införs

Precis som i många andra lagstiftningar som införts den senaste tiden både i Sverige och på EU-nivå, finns i nya LEK en möjlighet att besluta om sanktionsavgifter. Sanktionsavgifterna kan tas ut i vissa fall vid brott mot lagstiftningen, exempelvis vid brister i informationsgivning till slutanvändare, vid bristande hantering av risker som hotar säkerheten i nät eller tjänster och vid bristande rapportering av säkerhets- och integritetsincidenter. Sanktionsavgiften kan uppgå till lägst 5 000 kronor och högst 10 000 000 kr, vilket är lägre än sanktionsavgifterna i många andra liknande lagstiftningar (exempelvis säkerhetsskyddslagen och GDPR). Det finns också en möjlighet för regleringsmyndigheten att meddela förelägganden vid vite.

Kakor då?

Gamla LEK har även innefattat en del av den svenska regleringen om trafikuppgifter i form av kakor och andra spårningstekniker som placeras i användarens terminalutrustning (såsom dator, mobiltelefon, m.m.). I flera års tid har vi här på bloggen flaggat för att ePrivacyförordningen – som initialt var avsedd att träda i kraft samtidigt som GDPR – varit på gång, och att det kan få betydelse för den svenska lagstiftningen om kakor och spårningstekniker, bland annat. Förordningen är avsedd att ersätta e-dataskyddsdirektivet, vilket i sin tur kommer innebära att väsentliga regleringar om trafikuppgifter och spårningstekniker istället kommer att framgå direkt av förordningstexten (och inte i nya LEK). Eftersom ePrivacyförordningen ännu inte trätt i kraft, får vi hålla till godo med de regleringar om kakor och spårningstekniker som följer av nya LEK och bl.a. GDPR tills vidare.

Nya LEK innehåller begränsat med uppdateringar beträffande av kakor jämfört gamla LEK, eftersom e-dataskyddsdirektivet inte uppdaterats. Den paragraf som av vissa kallats för ”kaklagen”, 6 kap. 18 § gamla LEK, återfinns nu i 9 kap. 28 § nya LEK. I den senare har vissa språkliga förändringar gjorts, men inga förändringar är avsedda i sak.

Om du är mer intresserad av kakor eller kanske bara vill ha receptet på hur goda kakor ska bakas (hanteras) – läs gärna vår artikelserie om kakor här på bloggen.

Övrigt

I övrigt har ett flertal ändringar skett i nya LEK beträffande konkurrensfrämjande åtgärder. Vissa företag kan – efter att ha bedömts ha ett betydande inflytande på marknaden – åläggas särskilda skyldigheter. Sådana skyldigheter kan bestå i att ge andra leverantörer tillträde till nät eller att ta emot eller förmedla trafik mellan nät. Det har också införts en möjlighet att hänskjuta tvister till prövning hos PTS, om tvisten har ett samband med nya LEK eller beslut, föreskrifter och rättsakter som meddelats med stöd därav eller avser tvister om tillträde till elektroniska kommunikationer och/eller samtrafik.