Hoppa till innehåll på sidan

Genomsökning av kommunikationstjänster – CSAM-förordningen

En leverantör av en nummeroberoende interpersonell kommunikationstjänst, så kallad NOIK, som vill använda särskild teknik för att kunna spåra sexuella övergrepp mot barn på sin tjänst måste följa särskilda regler. På den här sidan förklarar vi vad som gäller.

En NOIK är en tjänst som exempelvis WhatsApp och Messenger som inte kommunicerar på traditionellt sätt via nummer till skillnad från exempelvis sms som skickas från ett mobiltelefonnummer till ett annat. NOIK:ar kan till exempel röra sig om e-posttjänster, kommunikationsappar och gruppchattar.

Sedan juni 2022 omfattas leverantörer av en NOIK av lagen (2022:482) om elektronisk kommunikation, LEK. Det innebär bland annat att de elektroniska meddelanden som överförs eller på annat sätt behandlas i en NOIK skyddas av LEK:s regler om konfidentialitet. Leverantörerna är även skyldiga att radera eller avidentifiera trafikuppgifter enligt LEK, om inte något undantag gäller. För att kunna kontrollera att det i tjänsten inte begås sexuella övergrepp mot barn får leverantören göra avsteg från bestämmelserna i LEK. Leverantören måste då följa både den så kallade CSAM-förordningen och dataskyddsförordningen.

CSAM är en förkortning av begreppet ”child sexual abuse material” och den CSAM-förordning som gäller nu är tillfällig och upphör i augusti 2024. Den nuvarande förordningen innebär inget tvång för leverantörer av en NOIK att söka igenom sin tjänst efter sexuella övergrepp mot barn, men om de väljer att göra det så måste de också följa de krav som ställs i förordningen. Den nuvarande CSAM-förordningen kallas ibland också för Chat Control 1.0.

Krav på behandlingen

CSAM-förordningen tillåter, under vissa förutsättningar, att leverantörer av en NOIK får använda teknik för att spåra sin tjänst efter sexuellt övergreppsmaterial men även för att spåra grooming, alltså att en vuxen tar kontakt med barn i sexuellt syfte.

För att få söka igenom en tjänst med hjälp av spårningsteknik måste behandlingen bland annat vara

  • begränsad till innehållsdata och tillhörande trafikuppgifter som är strikt nödvändiga för att kunna spåra, avlägsna och rapportera sexuella övergrepp mot barn
  • proportionerlig, det vill säga behandlingen får inte gå längre än nödvändigt och fördelarna med behandlingen ska väga tyngre än dess nackdelar.

Enligt förordningen ska den teknik som används vara förenlig med den senaste tekniken inom branschen och vara den minst integritetskränkande. I den mån teknik används för att genomsöka text i kommunikationer, ska den endast kunna upptäcka mönster som pekar på att sexuella övergrepp mot barn kan ha begåtts.

CSAM-förordningen är inte tillämplig på genomsökning av ljudkommunikation. Användning av sådan teknik för att spåra potentiella sexuella övergrepp mot barn är alltså inte tillåten.

Rättslig grund och känsliga personuppgifter

CSAM-förordningen i sig ger ingen rättslig grund för att få behandla personuppgifter i syfte att spåra sexuella övergrepp mot barn på nätet. Det innebär att leverantören av en NOIK måste hitta stöd i någon av de rättsliga grunderna som finns i artikel 6.1 i dataskyddsförordningen. Det är leverantörens ansvar, i egenskap av personuppgiftsansvarig, att hitta en lämplig rättslig grund och att kunna motivera sitt val.

Att genomsöka sin tjänst efter sexuella övergrepp mot barn kan i många fall medföra behandling av så kallade känsliga personuppgifter. En leverantör kan därför också behöva säkerställa att behandlingen har ett undantag från förbudet mot att behandla känsliga personuppgifter i enlighet med artikel 9 i dataskyddsförordningen.

Konsekvensbedömning och förhandssamråd

En leverantör av en NOIK som vill använda särskild teknik för att spåra sexuella övergrepp mot barn ska först ha genomfört en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och ett förhandssamråd med IMY enligt artikel 36 i dataskyddsförordningen. Både konsekvensbedömning och förhandsamråd är alltså obligatoriska.

Skyldighet att rapportera misstänka övergrepp

Enligt CSAM-förordningen måste leverantören rapportera varje motiverad och bekräftad misstanke om sexuellt övergrepp mot barn till brottsbekämpande myndigheter eller till organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn. Innan rapportering sker till sådana myndigheter eller organisationer måste en människa ha bekräftat att det rör sig om ett misstänkt sexuellt övergrepp. Beslutet att rapportera får med andra ord inte fattas av en algoritm eller annan programvara utan det måste göras av en människa.

Rapportering till IMY

En leverantör av en NOIK ska senast den 31 januari varje år offentliggöra och lämna in en rapport till IMY och till EU-kommissionen. Rapporten ska minst innehålla följande information

  • de behandlade personuppgifternas typ och volym
  • den åberopade specifika grunden (det vill säga den rättsliga grunden) för behandling enligt dataskyddsförordningen
  • den åberopade grunden för överföring av personuppgifter till tredje land, om tillämpligt
  • antal fall av sexuella övergrepp mot barn som identifierats, uppdelat på sexuellt övergreppsmaterial och grooming
  • antal fall där en användare har lämnat in ett klagomål med hjälp av leverantörens interna prövningsmekanism eller till en rättslig myndighet och utfallet av sådana klagomål
  • antal och andel fel (falska positiva resultat) för de olika tekniker som används
  • de åtgärder som vidtagits för att begränsa felfrekvensen och den felprocent som uppnåtts
  • policyn för lagring och de dataskyddsåtgärder som tillämpas enligt dataskyddsförordningen
  • namn på de organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och vilka uppgifter som har delats med dessa, om tillämpligt.

Ytterligare krav

CSAM-förordningen innehåller ytterligare krav än de som nämns ovan. Exempelvis måste leverantören på ett tydligt sätt informera sina användare om att deras kommunikation kan komma att genomsökas. Utöver reglerna i CSAM-förordningen, måste leverantören också följa dataskyddsförordningen, bland annat kravet på att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för de personuppgifter som behandlas.

Konsekvensen av att inte leva upp till CSAM-förordningen

Det är viktigt att leverantören följer CSAM-förordningens regler. Om leverantören skulle bryta mot en eller flera av dem, har den inte rätt att genomsöka sin tjänst efter sexuella övergrepp mot barn eftersom undantaget från LEK:s regler om konfidentialitet då inte längre gäller.

Senast uppdaterad: 28 april 2023
Sidans etiketter Om IMY