Ändamålsprincipen

på blockkedjan.127 Mot bakgrund av diskussionen ovan framstår den franska data-skyddsmyndighetens vägledning som väsentligen mer tillämpbar i privata än pub-lika blockkedjor.

4.4.2 Ändamålsprincipen

Enligt artikel 5.1 b) ska personuppgifter samlas in för särskilda, uttryckligt an-givna och berättigade ändamål och inte senare behandlas på ett sätt som är oför-enligt med dessa. Vidare anges att ytterligare behandling för arkivändamål av all-mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprung-liga ändamålen. Artikeln 5.1 b) ger uttryck för principen om ändamålsbegräns-ning.128 Att ändamålen med personuppgiftsbehandlingen måste vara berättigade innebär att det inte får vara ändamål som kränker den registrerades friheter och rättigheter.129 Frydlinger m.fl. menar att kravet på att ändamålen måste vara sär-skilda och uttryckligt angivna medför att en avvägning mellan olika rättigheter och intressen görs. Det är endast om individen får ta del av de särskilda och uttryckligt angivna ändamålen med behandlingen som hen ges möjlighet att ta ställning till och förstå konsekvenserna av behandlingen av sina personuppgif-ter.130 Av detta följer att den personuppgiftsansvarige måste kommunicera ända-målen med behandlingen till den registrerade. Här går det att se en koppling mel-lan principen om ändamålsbegränsning och principen om öppenhet. Detta är symptomatiskt för dataskyddsprincipernas funktion och roll i GDPR, och det finns flera exempel i förordningen på hur principerna knyter an till varandra och manifesteras i förordningens mer konkreta bestämmelser.131

Innehållet i den personuppgiftsansvariges kommunikation till den registrerade avseende ändamålen med behandlingen går inte att bestämma på förhand. Fak-torer som kan påverka kommunikationens utformning är kontexten i vilken per-sonuppgifterna behandlas, den registrerades rimliga förväntningar samt den ge-mensamma förståelsen parterna emellan.132

Artikel 29-gruppen har utvecklat innebörden av ändamålsprincipen i ett ytt-rande avseende principen såsom den kom till uttryck i det numera ersatta direk-tivet.133 Yttrandet har ännu inte antagits av den nya dataskyddsstyrelsen, men torde fortfarande vara vägledande för en närmare förståelse av

127 Commission Nationale Informatique et Libertés, s. 8.

128 Frydlinger, Edvardsson, Olstedt Carlström & Beyer, s. 37.

129 Ibid.

130 Ibid, s. 37 f.

131 Se t.ex. GDPR artikel 13.1 c) om den personuppgiftsansvariges kommunikationsplikt avseende ändamålen med behandlingen.

132Sharma, s. 127.

42

pen. Enligt yttrandet kan ändamålsprincipen brytas ner i tre centrala delar: per-sonuppgifter får bara behandlas om ändamålen är särskilda, uttryckligt angivna, och legitima/berättigade.134

4.4.2.1 Särskilda ändamål

Att ändamålen måste vara särskilda innebär att det måste gå att avgöra vilken typ av behandling som inkluderas respektive faller utanför ändamålen. Vidare har kravet på särskildhet betydelse för att avgöra huruvida personuppgiftsbehand-lingen är laglig. Särskilda ändamål gör det dessutom enklare att avgöra vilka skyddsmekanismer som kan behövas för den aktuella behandlingen. Ändamålen bör vara särskilt angivna innan behandlingen påbörjas och absolut senast då den faktiskt har påbörjats. Detta bör också rent systematiskt följa av en jämförelse med artiklarna 13 och 14. Otydliga eller alltför generella ändamål torde sällan möta kravet på särskildhet. Samtidigt kan för komplicerade och invecklade ända-mål vara kontraproduktiva.135

Av kravet på att ändamålen ska vara särskilda följer att det måste vara möjligt att bedöma huruvida vissa personuppgifter behöver behandlas för att ändamålen med behandlingen ska förverkligas. Om det inte framgår varför en personuppgift behöver behandlas kan ändamålet anses alltför generellt. Som exempel lär en per-sonuppgift vara nödvändig att behandla om ändamålet med behandlingen inte kan uppnås i avsaknad av personuppgiften.136 Öman anför att ledning för tolk-ningen av begreppet särskilda kan hämtas från nästa princip i artikel 5.1 c) om uppgiftsminimering, i vilken det anges att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.137 Med en sådan tolkning ges ändamålen en slags yttre ram där alltför opreciserade ändamål gör att det inte går att avgöra huruvida personupp-gifterna som behandlas är adekvata och relevanta.138 Detta betyder att ospecifika ändamål kan strida mot både ändamålsprincipen och uppgiftsminimeringsprinci-pen.

I propositionen till fastighetsregisterlagen (FRL) konstaterades att kravet på precisering av ändamålen med behandlingen skulle gå förlorade om personupp-gifter som ingår i fastighetsregistret gjordes tillgängliga på internet för en obe-stämd krets personer. Propositionens författare anförde vidare att ett sådant till-gängliggörande på internet skulle riskera att möta hinder av de i dataskyddsdirek-tivet uppställda begränsningarna avseende överföring av personuppgifter till tredje land.139

134 På engelska: specified, explicit and legitimate purposes. Se Artikel 29-gruppen, WP 203, s. 15.

135Artikel 29-gruppen, WP 203, s. 15 f.

136 Öman, s. 116.

137 Ibid. Se ävenl SOU 1998:80, s. 221 f. och SOU 1999:109, s. 156.

138 SOU 1998:80 s. 221.

43

Förordningen som idag har ersatt direktivet innehåller motsvarande regler om tredjelandsöverföringar, vilka av EU generellt betraktas som riskabla ur ett in-tegritetsskyddsperspektiv.140 Sedan propositionen till fastighetsregisterlagen skrevs har rättsläget inom EU avseende tredjelandsöverföringar dessutom för-ändrats i skärpande riktning. EU-domstolen fann i mål Schrems/Safe Harbor att ett av EU-kommissionen beviljat beslut om adekvat skyddsnivå gentemot USA (Safe Harbor) inte nådde upp till direktivets krav på skyddet av personuppgifter, varför domstolen förklarade kommissionens beslut ogiltigt. I målet uttalade dom-stolen bland annat att direktivet, utöver att säkerställa ett effektivt och fullständigt skydd för fysiska personers grundläggande fri-och rättigheter i samband med per-sonuppgiftsbehandlingen, särskilt rätten till respekt för privatlivet, även syftade till att säkerställa en hög skyddsnivå när det gäller dessa grundläggande fri-och rättigheter.141 Domstolen belyste den stora betydelse som skyddet för personupp-gifter har för den grundläggande rätten till respekt för privatlivet samt konstate-rade att tredjelandsöverföringar kan medföra att ett stort antal personer riskerar att få sina grundläggande rättigheter kränkta vid en överföring av personuppgif-terna till tredje länder som inte säkerställer en adekvat skyddsnivå.142

De överväganden som författarna av propositionen till FRL gjorde avseende riskerna med att göra personuppgifterna tillgängliga på internet vinner stöd av EU-domstolens rättspraxis. Sedan propositionen skrevs för tjugo år sedan har internetanvändningen dessutom ökat explosionsartat. Det finns således innebo-ende risker för den personliga integriteten när personuppgifter publiceras på in-ternet. Detta är en omständighet som EU-domstolen behandlade i mål C-507/17 (”Google v CNIL”), från september 2019. I målet konstaterade domstolen att internet är ett världsomspännande nätverk utan gränser och att sökmotorer på internet gör att information om en fysisk person kan göras tillgänglig för inter-netanvändare överallt på samma gång. I detta sammanhang konstaterade dom-stolen vidare att det faktum att vi lever i en globaliserad värld gör att information som görs tillgänglig för användare utanför unionen kan få omedelbara och vä-sentliga verkningar för personer inom unionen. Tredjeländer kan nämligen ha lägre uppställda krav på skyddet av personuppgifter än inom EU, vilket tydligt framgick av domstolens resonemang i målet Schrems/Safe Harbor. Däremot fann domstolen att en sökmotorleverantör (Google i detta fall) inte är skyldig att ta bort information på versioner av sökmotorn som inte motsvarar någon av medlemsstaternas landsdomäner.143 Trots att målet primärt avsåg frågan om den territoriala aspekten av rätten till radering är målet även intressant från ett mer generellt perspektiv. Målet visar nämligen på den konflikt som, med internet som

140 Magnusson Sjöberg, s. 193 f.

141 EU-domstolens dom i mål C-362/14, p. 39. Se även domstolens hänvisningar till de tidigare domarna i mål C-553/07 College van burgemeester en wethouders van Rotterdam mot M. E. E. Rijkeboer och mål C-293/12.

142 EU-domstolens dom i mål C-362/14, p. 78.

143 EU-domstolens dom i mål C-507/17, Google LLC mot Commission nationale de l'informatique et des libertés (CNIL), p. 56, 57 & 73.

44

katalysator, kan uppstå mellan EU:s högt uppställda krav på dataskydd och tred-jeländers lägre motsvarande krav. Författarna av propositionen till FRL fram-förde mot denna bakgrund argument som alltjämt torde anses gällande för han-tering av personuppgifter på internet. Genom att från första början begränsa spridningen av personuppgifterna begränsas riskerna för att uppgifterna hamnar utanför unionen. Givetvis kan riskerna variera beroende på vilka personuppgifter det rör sig som, men i förhållande till exempelvis en myndighets verksamhet torde en rimlig utgångspunkt vara att i största möjliga grad undvika att tillgäng-liggöra personuppgifterna för en obestämd krets människor på internet. Avse-ende just myndigheters personuppgiftsbehandling torde detta ställningstagande få särskilt stöd av det faktum att myndigheter får behandla personuppgifter utan den registrerades samtycke, som ett led i sin myndighetsutövning. Av denna an-ledning måste kraven på behandlingen i övrigt vara högt ställda för såväl myn-digheter som andra aktörer som behandlar personuppgifter utan den registrera-des samtycke.

Redogörelsen ovan blir intressant vid en analys av hur blockkedjetekniken förhåller sig till de ställningstaganden som diskuterades i förarbetena och EU-domstolens domar. I en publik blockkedja blir personuppgifterna tillgängliga för en obestämd krets människor eftersom vem som helst kan ansluta till nätverket och få tillgång till en komplett historik av hela blockkedjan. Vid användningen av en privat blockkedja går sådana risker däremot i högre utsträckning att begränsa. Publika blockkedjor skulle mot denna bakgrund inte nå upp till ändamålsprinci-pens krav på precision. När det gäller privata blockkedjor är möjligheten större att utforma behandlingen så att spridningen av personuppgifterna begränsas. På grund av blockkedjeteknikens oföränderlighetsaspekt finns det dock anledning att vara försiktig även avseende privata blockkedjors efterlevnad av kravet på specificitet. Utan praktiska möjligheter att komma åt personuppgifterna genom ändring eller radering, kvarstår risken att personuppgifterna blir föremål för spridning utanför unionen utan möjlighet att påverka eller förhindra sådan sprid-ning. Denna möjlighet visar på den koppling som finns mellan att noggrant be-stämma ändamålen med behandlingen för att undvika att behöva vidta exempel-vis raderingsåtgärder. Utan praktiska möjligheter att faktiskt radera uppgifterna skulle den personuppgiftsansvariges proaktiva ansvar att utforma felfria ändamål behöva ställas högre än om radering faktiskt är möjlig. Det kan visserligen anföras att den personuppgiftsansvarige bör utforma ändamålen med behandlingen med noggrannhet alldeles oavsett möjligheterna att senare radera uppgifter som stri-der mot ändamålen. Däremot finns det en poäng i att faktiskt kunna åtgärda de fel som eventuellt uppkommer, oavsett hur högt kraven ställs. Detta kan även ha betydelse för främjandet av den fria rörligheten av personuppgifter inom un-ionen. Med för högt ställda krav på det proaktiva ansvaret och ett felfritt utfor-mande av ändamålen finns en risk för att vissa aktörer blir avskräckta från att behandla personuppgifter. Med anledning av att allt mer information, med stor sannolikhet, i framtiden kommer att betraktas som personuppgifter, skulle ett

45

sådant avståndstagande från personuppgiftsbehandling riskera att hämma före-tagandet inom unionen och på sikt få negativa konsekvenser för såväl unionens ekonomiska tillväxt som för utvecklingen av innovation.

4.4.2.2 Uttryckligt angivna ändamål

Med uttryckligt angivna ändamål förstås ändamål som är tydligt och begripligt uttryckta eller förklarade för den registrerade samt förståeliga för tredje parter och den relevanta dataskyddsmyndigheten. Det får inte finnas några vagheter el-ler tvetydigheter avseende innebörden elel-ler avsikten med behandlingen. Kravet på uttryckligt angivna ändamål medför transparens och förutsebarhet samt gör det möjligt att identifiera var gränserna för tillåten personuppgiftsbehandling bör dras. Artikel 29-gruppen har i sin vägledning uppmärksammat att personupp-giftsbehandling som sker på exempelvis internet kan uppfattas som komplex, svårtillgänglig och tvetydig. När så är fallet blir kravet på uttryckligt angivna än-damål särskilt angelägna.144

För att uppfylla ändamålsprincipen på ett ändamålsenligt sätt bör en person-uppgiftsansvarig som avser att nyttja blockkedjeteknik agera för att, så långt som möjligt, ge information till den registrerade om vilka implikationer behandlingen kan få till följd av att tekniken används. Det bör exempelvis framgå att tekniken, såsom den ser ut i dagsläget, bara fungerar som den är avsedd om personuppgif-terna i princip lagras permanent.145 Det går dessutom att argumentera för att en person som samtyckt till att dennes personuppgifter behandlas i en blockkedja inte har lämnat ett giltigt samtycke om hen inte förstår konsekvenserna av att blockkedjeteknik används för behandlingen.

4.4.2.3 Berättigade ändamål

Den tredje och sista beståndsdelen av ändamålsprincipen består i att personupp-giftsbehandlingen måste vara berättigad/legitim. Med detta förstås att ändamålen med personuppgiftsbehandlingen dels måste vara förenliga med en laglig grund i förordningen, men även med andra lagar eller bestämmelser samt konstitution-ella och rättsliga principer.146

4.4.3 Vidarebehandling av personuppgifter

Den registrerades personuppgifter får inte vidarebehandlas på ett sätt som är oförenligt med de ändamål som initialt angavs och kommunicerades med den registrerade (finalitetsprincipen). Syftet med denna begränsning är att personupp-gifter inte ska kunna vidarebehandlas på sätt som är överraskande, olämpliga eller

144 Artikel 29-gruppen, WP 203, s. 17 ff.

145 Jfr European Parliamentary Research Service, s 66.

46

annars stötande för den registrerade.147 Detta betyder att vidarebehandling som sker för andra ändamål än det ursprungliga inte per automatik är förbjuden; en prövning får istället göras från fall till fall. För att avgöra huruvida en vidarebe-handling av personuppgifterna är förenlig med de krav som uppställs i ändamåls-principen förordas av artikel 29-gruppen att en slags materiell bedömning görs.148 Bedömningen består av följande fyra huvudsakliga punkter:149 a) förhållandet mellan de ursprungliga ändamålen och ändamålen för fortsatt behandling; det måste finnas en länk mellan det ursprungliga ändamålet och den fortsatta be-handlingen,150 b) sammanhanget i vilket personuppgifterna har inhämtats och den registrerades rimliga förväntningar avseende personuppgifternas fortsatta an-vändning, c) personuppgifternas natur151 och effekterna av vidarebehandling för de registrerade samt d) de säkerhetsåtgärder som den personuppgiftsansvarige vidtagit för att säkerställa en korrekt152 behandling och för att förhindra otillbörlig inverkan på de registrerade.

Det finns en inneboende problematik avseende förhållandet mellan finalitets-principen och blockkedjeteknik. Frågan som måste besvaras är huruvida person-uppgifter som replikeras i ett nytt block i blockkedjan ska anses behandlas för samma ändamål som de ursprungliga, eller om den fortsatta behandlingen i det nya blocket kan anses förenlig med finalitetsprincipen. För att enklare förstå pro-blematiken följer en illustration.153

När en transaktion genomförs i en blockkedja kommer vissa personuppgifter, an-tingen i form av en publik nyckel eller som transaktionsdata, att lagras i blocket. I de fall det rör sig om en enstaka transaktion skulle ändamålen med behandlingen av dessa personuppgifter i normalfall endast avse den enstaka transaktionen. I en blockkedja blir situation emellertid annorlunda eftersom informationen på ett block kommer att replikeras och fortsätta att lagras i takt med att blockkedjan växer. Detta är en förut-sättning för blockkedjans funktionalitet.

Bedömningen av huruvida vidarebehandlingen är förenlig med finalitetsprin-cipen bör göras utifrån de punkter som artikel 29-gruppen uppställt. Enligt STOA:s studie är det dock inte möjligt att generellt ange huruvida blockkedjetek-nik kan leva upp till finalitetsprincipen. Vad gäller exempelvis tillämpningen av den första punkten i bedömningen är det inte helt klart huruvida det kan anses finnas en länk mellan den initiala behandlingen och vidarebehandlingen. I detta avseende kan det dock argumenteras för att blockkedjetekniken i sin utformning

147 Artikel 29-gruppen, WP 203, s. 11.

148 Ibid, s. 21 f.

149 Ibid, s. 23 ff.

150 Sharma, s. 128 f.

151 På engelska: the nature of the data. Med detta förstås indelningen av olika kategorier av data i exempelvis känsliga personuppgifter m.m. Se Artikel 29-gruppen, WP 203, s. 25.

152 På engelska: fair. Jämför diskussionen avseende begreppet korrekthet i avsnitt 4.4.1.

47

faktiskt rent tekniskt skapar en länk mellan den ursprungliga behandlingen och vidarebehandlingen. Denna omständighet isolerad kan dock svårligen leva upp till förordningens krav, särskilt inte om personen vars personuppgifter vidarebe-handlas inte genomför några fler transaktioner eller i övrigt nyttjar tekniken efter den initiala transaktionen. Möjligtvis skulle tolkningen bli annorlunda om indivi-den vars personuppgifter lagras har användning för blockkedjan vid ett senare tillfälle. Detsamma skulle eventuellt kunna gälla för myndigheter som lagrar per-sonuppgifter som ett led i en verksamhet som förutsätter långvarig lagring. I så-dana situationer stämmer den tekniska vidarebehandlingen i form av replikering och replikering av personuppgifterna bättre överens med behandlingens faktiska ändamål. För den individ som inte har för avsikt att nyttja blockkedjan utöver den initiala transaktionen kan det framstå som angeläget att dennes personupp-gifter raderas. Denna problematik hade eventuellt kunnat kringgås genom att tyd-ligt förmedla förutsättningarna för ett deltagande i blockkedjan. Härvidlag bör det dock uppmärksammas att ett samtycke alltid kan dras tillbaka i enlighet med artikel 7.3, och att ett återkallat samtycke enligt artikel 17.1 b) kan föranleda en skyldighet att radera personuppgifterna. Att grunda personuppgiftsbehandlingen på en blockkedja på samtycke är således vanskligt. Av det anförda följer att en personuppgiftsansvarig bör utforma och förmedla personuppgiftsbehandlingen och ändamålen på ett sätt där det tydligt framgår för samtliga registrerade att deras personuppgifter kommer att bli föremål för fortsatt behandling efter den initiala transaktionen. Av naturliga skäl är detta enklare att uppnå i en privat blockkedja, eftersom det i sådana går att identifiera de registrerade till vilka en sådan kommunikation skulle behöva ske. Som framgår nedan kan det dock finnas andra anledningar som föranleder ett behov av att kunna radera personuppgif-terna, oavsett hur ändamålen med behandlingen utformas och förmedlas.

I enlighet med den andra punkten ska en bedömning göras av sammanhanget i vilket personuppgifterna inhämtades samt den registrerades rimliga förvänt-ningar avseende den fortsatta behandlingen. Avseende den registrerades rimliga förväntningar hänvisas till diskussionen ovan avseende information som den per-sonuppgiftsansvarige bör lämna den registrerade. Se även diskussionen nedan angående den personuppgiftsansvariges kommunikationsplikt enligt artiklarna 13 och 14 vid vidarebehandlingen. Angående sammanhanget i vilket personuppgif-terna inhämtades torde samma bedömning som gjordes ovan vara aktuell även i detta avseende. Om personuppgifterna inhämtades för att genomföra en enstaka transaktion kan sammanhanget knappast sägas vara detsamma om personupp-gifterna vidarebehandlas utan att individen vidtar någon ytterligare transaktion.154 Däremot bör den registrerade ha mottagit information i enlighet med diskuss-ionen ovan, varför det knappast kan anses som en överraskning att en vidarebe-handling sker. Utöver sådan information har artikel 29-gruppen även anfört att förhållandet mellan den personuppgiftsansvarige och den registrerade, inklusive eventuella maktmissförhållanden mellan parterna, kan ge ledning för vad som

48

kan anses som överraskande för den registrerade. Andra aspekter som kan på-verka bedömningen är förekomsten av ett avtalsförhållande mellan parterna och en analys av vad som är normalt i den specifika kontexten.155 Mot denna bakgrund kan en användare av kryptovalutan Bitcoin eventuellt anses mindre överraskad av att dennes personuppgifter vidarebehandlas än om ett företag som inte är kända för att använda blockkedjeteknik plötsligt börjar nyttja tekniken i sin per-sonuppgiftsbehandling. I takt med att tekniken blir allt vanligare och de legala förutsättningarna i förhållande till GDPR klargörs kan denna bedömning komma att förändras. I framtiden kanske ingen blir förvånad över att exempelvis myn-digheter nyttjar blockkedjeteknik som ett led i sin verksamhet.

Den tredje punkten avser personuppgifternas natur och vilka konsekvenser en vidarebehandling kan ha för den registrerade. Eftersom personuppgifterna i en blockkedja replikeras varje gång blockkedjan växer resulterar en ordagrann tolkning av denna punkt i bedömningen att vidarebehandlingen avser samma personuppgifter som de initiala. Av särskild betydelse för att bedöma vilka kon-sekvenser en vidarebehandling kan ha för den registrerade är att avgöra känslig-heten av de behandlade personuppgifterna.156 Det kan ifrågasättas huruvida blockkedjeteknik över huvud taget bör tillåtas i förhållande till vissa personupp-gifter. Om exempelvis känsliga personuppgifter av någon anledning skulle hamna på blockkedjan skulle det vara angeläget att så fort som möjligt begränsa sprid-ningen av sådana uppgifter.

Med beaktande av den snabba tekniska utvecklingen framstår det som inte alltför osannolikt att framtida tekniska lösningar kan göra att även förhållandevis