Det ska alltså inte ses som ett hinder att datan inte är läsbar eller förståelig för vissa mottagare utan viss behandling. Används samma principiella förhållandesätt som för biometriska data är det därför inte orimligt att anse att det finns stöd för att dark data åtnjuter samma teoretiska dataskydd som data i form av information.
3.6 Allmänna dataskyddsförordningen (GDPR)
3.6.1 Introduktion till allmänna dataskyddsförordningen
Som nämndes i avsnitt 3.4.2 är den allmänna dataskyddsförordningen i stort en utveckling av Europarådets dataskyddskonvention. Till utseendet kan det uppfattas som att EU-lagstiftaren vid utvecklandet av GDPR anammat de värderingar och principer som ligger till grund för konventionen och anpassar den till det moderna samhället.
En av de kanske viktigaste skillnaderna gentemot det dataskyddsdirektiv126 som allmänna dataskyddsförordningen kom att ersätta framgår av namnet på de olika bestämmelserna. Nämligen formen av lagstiftningsakt som lagstiftaren använt. I formen av förordning istället för direktiv krävs det inte en implementering i nationell lagstiftning utan GDPR blir tillämpligt som om den var nationell lag.127 Det har ibland lyfts vissa åsikter att GDPR inte utgör en nyhet, utan det är samma regler som fanns i dataskyddsdirektivet som medlemsländerna skulle implementera.128 Reaktionen då GDPR kom var dock kraftig och inte bara i den juridiska sfären.129 Anledningen för denna reaktion tillskrivs ofta det incitament som skapats för att efterleva förordningen – ett väl tilltaget sanktionssystem.130
126 Direktiv (EG) 95/46/EG.
127 Reichel, s. 115.
128 Frydlinger m.fl., GDPR, s. 15.
129 Stanek, Is GDPR The Next Y2K.
38 3.6.2 Databehandling och de grundläggande principerna
För att skyddet i GDPR ska aktualiseras krävs det att det finns en faktisk behandling av personuppgifter.131 Vad som utgör behandling framgår av förordningens fjärde artikel där följande beskrivning ges: 132
behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter
eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
Det framgår här att behandling är ett vitt begrepp där i stort sätt alla åtgärder som kan utföras på data räknas som behandling. Med denna definition i grunden blir det därmed inte svårt att se att de åtgärder som sker med dark data och big data får anses uppfylla kraven för behandling och att detta rekvisit inte uppställer problem för huruvida dataskydd enligt GDPR blir aktuellt eller inte.
Vad som ytterligare är en av de viktiga punkterna inom förordningen är principerna för laglig behandling.133 Till skillnad från behandling utgör detta inte ett krav för huruvida dataskydd blir aktuellt utan principerna är tvingande för aktören att följa. Kort beskrivet kan principerna som stadgas förordningens artikel 5 förklaras som att behandling av personuppgifter alltid ska vara laglig, korrekt, öppen och ändamålsspecifik. Uppgifterna i sig ska vara korrekta, inte sparas längre än nödvändigt och de ska inte vara mer omfattande än vad som krävs för det syfte de behandlas för. Det framkommer alltså redan av förordningen att behandlingen av uppgifter och uppgifterna i sig ska uppfylla krav på bland annat proportionalitet.
131 Förordning 2016/679, art. 2. p.1.
132 Förordning 2016/679, art. 4 p. 2.
39 3.6.3 Det materiella tillämpningsområdet
Med det materiella tillämpningsområdet syftas det likt avsnitt 3.5.1 på definitionen av personuppgifter, på engelska ’personal data’ för att utröna huruvida information och data faller under tillämpningsområdet. Begreppet ’personal data’ definieras i den svenska ordalydelsen av den allmänna dataskyddsförordningen som:134
[V]arje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet[.]
Skulle denna definition användas rakt av så skulle det kunna uppstå en viss problematik gällande skillnaden mellan data och information som belystes i avsnitt 2.4. Begreppet
upplysning skulle nämligen troligtvis tolkas som information på svenska då det är den
tolkning rent språkligt är närmst,135 samt att den engelska ordalydelsen av denna definition innebär samma problematik.136 Med denna tolkning av ordet upplysning skulle det materiella tillämpningsområdet eventuellt bli så pass snävt att endast information och inte data faller under förordningens skyddsområde.
För att förstå vad definitionen data faktiskt är inom EU-rätten får vi återgå till de analyser som skedde av EU-domstolens bedömningar i fallen gällande Stadgan och dataskyddsdirektivet i avsnitt 3.5.
När det gäller metadata och dark data är deras förhållande till GDPR av särskilt intresse, vilket kommer behandlas här nedan.
134 Förordning 2016/679, art. 4 p. 1.
135 Nationalencyklopedin, Upplysning.
136 Den engelska definitionen av ’personal data’ artikel 4 i EU 2016/679 är ’[i]nformation relating to an identified or identifiable natural person[…]’.
40 3.6.4 GDPR och metadata
Relationen mellan metadata och GDPR får anses vara otroligt intressant ur ett dataskyddsperspektiv. Metadata kan nämligen sägas utgöra ett tveeggat svärd inom för efterlevnaden av förordningen. Metadata är i realiteten en nödvändighet för att efterleva de krav som uppställs. Ett av dessa krav som GDPR uppställer på en personuppgiftsansvarig är i praktiken att denna ska känna till vilken information som finns om en individ. Explicit framkommer det inte av ordalydelsen i förordningen. Men för ett en personuppgiftsansvarig ska kunna garantera individen vissa möjligheter att tillvarata sina rättigheter enligt förordningen.137 För att i realiteten uppnå dessa krav krävs då metadata som gör att stora mängder data på ett effektivt sätt kan kategoriseras och sållas bort genom de påståenden som metadatan innehåller.
Den andra eggen av svärdet är att det ställer krav på personuppgiftsansvarige att ha kännedom om vad för påståenden metadatan innehåller. Det kan nämligen vara så att huvuddatan i sig inte är känslig men att de påståenden som finns i metadatan kan antingen i sig själv utgöra information som är känsliga personuppgifter eller att den vid korsanalys med annan information utgör personuppgifter.138
Att metadata kan utgöra känsliga uppgifter är tämligen välkänt, det finns allt för många exempel på detta då bland annat maskerade handlingar som blivit ivägskickade visat sig innehålla alla ändringar i metadatan och det då varit möjligt att återskapa originalhandlingen, eller likt de exempel på metadata i bilder som nämndes i avsnitt 2.5.3.1.
I en åsikt gällande bedömningen av dataskyddsdirektivets tillämpande framkommer ett uttalande att metadata självklart står under direktivets skyddsområde för det fall metadatan går att koppla till en identifierbar person.139 Gruppen konstaterar dessutom att metadata tycks ha ett stort skydd inom EU-rätten bland annat genom det inflytande som
137 Dessa rättigheter är bland annat: begränsning av behandling, radering, rättelse och rätten till att utfå information om de upplysningar som finns om en själv.
138 För ytterligare aspekter gällande korsanalyser se vidare under avsnitt 3.6.5 om aggregerade data.
139 Article 29 Data Protection Working Party, Opinion 04/2014 on surveillance of electronic
41 Europarådets dataskyddskonvention haft – och fortfarande har.140 Skyddet för metadata under GDPR för därmed anses vara tämligen stort i teorin, med visst stöd även i praxis.
3.6.5 GDPR och dark data
Dark data, som alltså är data som med svårighet kategoriseras eller struktureras på ett sätt som skapar en överblick utgör ett stort bekymmer inom GDPR-efterföljsamhet. Likt problemet som uppstod gällande metadata – att det är svårt att få en överskådlig vy över den data som finns – blir de krav som ställs på en personuppgiftsansvarig nästintill omöjliga att uppnå. Blotta definitionen att dark data innebär att det inte går att säga vad det är för data det rör sig om, vill då en individ använda de rättigheter som denne åtnjuter genom GDPR kan då den personuppgiftsansvarige inte ge ett klart besked utan att all dark data ska bli synlig. Denna identifiering kan antingen ske genom en betydande mänsklig insats eller avancerad och kostsam artificiell intelligens (AI).141
Ett problem som kan tänkas aktualiseras då AI används är att den med högsta sannolikhet inte kommer att kunna identifiera den rättsliga grund som behandlingen personuppgiftsbehandlingen grundar sig på. Efter att datan då identifierats och gjorts synlig torde då all data som innehåller personuppgifter raderas. Frågan blir då hur bristen på compliance skulle behandlas, kan den bristen anses läkt genom raderande av datan även om detta inte sker skyndsamt utan först ett till två år efter insamlande.
3.6.6 GDPR och aggregerade data
Aggregerade data kan sägas ha en viss juxtaposition i GDPR-regleringen. Aggregerade data är data som i sig inte ska kunna utgöra personuppgifter,142 utan det rör sig om en sammanslagning av mängder av data som inte har några identifikationsmöjligheter. Ett exempel kan vara användningen av data på sjukhus. Sjukhus kan genom att ta data från flera olika patienter, och sedan men denna data är borttagen sådana personuppgifter som kan leda till identifikation och är sammanslagen med kanske tusentals andra patienters.
140 Article 29 Data Protection Working Party, Opinion 04/2014, s. 5.
141 Se exempelvis den tjänst som tillhandahålls av Docugami: www.docugami.com. (11/10 2019).
42 Den aggregerade data kan då användas för statistiska ändamål, något som då inte faller under GDPR:s täckningsområde.143 Det finns dock som belysts tidigare ett potentiellt problem här. Aggregerade data liknas ofta anonym information. Enligt dataskyddsförordningen innebär anonym information sådan data inte går att härleda till en individ igen – individen är alltså inte identifierbar när det gäller anonyma uppgifter. Problemet med ett synsätt som detta har belysts i avsnitt 2.5.2.3. Det innebär att två stycken databaser innehållande aggregerade data som enligt GDPR är att likställa med anonymiserade data kan användas för att återidentifiera individerna det rör sig om.
Det kanske dock inte är så enkelt som att säga att det är synsättet i GDPR som är fel. Problemet som uppkommer är sedan att det inte rör sig om en de-anonymisering – med andra ord kanske det inte är en återidentifiering i ordets rätta bemärkelse – utan snarare ett nyskapande av detta band. Det kan därmed ifrågasättas vad som egentligen kan räknas som anonymiserad data och om GDPR:s teoretiska skyddsområde är större än tidigare trott.144 Då anonymiserade data är problematiskt – vilket även uttrycktes av Artikel 29-gruppen är nästa fråga vad det finns för alternativ som kan tänkas istället. Ett alternativ är att istället för anonymiserade data utvidga benämningen pseudonymiserad data.
3.6.7 Pseudonymiserad data
Skulle vad som tidigare benämnts anonymiserade data istället klassificeras om till pseudonymiserad sådan skulle detta innebära att datan fortfarande intar en skyddsvärd ställning enligt beaktandeskäl 26:
Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person.
Vad som även framgår av detta beaktandeskäl är att det är möjligt att komplettera uppgifter med andra uppgifter och på så vis få uppgifter som rör en identifierbar fysisk person. Ser man till innebörden av detta borde det även kunna innebära att de aggregat
143 Förordning 2016/679, beaktandeskäl 28.
43 som avhandlades i avsnitt 2.5.2.3 ska tolkas i en striktare lydelse än vad som sker i dagsläget. Aggregat borde nämligen då behandlas som uppgifter om en identifierbar fysisk person då det faktiskt går att återidentifiera individer med dessa eller skapa kopplingar genom tillförandet av fler dataset.145
3.6.8 Avslutande kommentarer GDPR
Detta avsnitt gällande GDPR har behandlat grundläggande aspekter av förordningen som definitioner av vissa begrepp för att bedöma hur stort tillämpningsområdet är. Det speciella förhållandet mellan GDPR och metadata såväl som förhållandet med dark data har även det behandlats. De avsnitten har sedan utmynnat i bedömningar gällande vissa teoretiska risker som kan komma att aktualiseras i framtiden. Men även vissa konkreta risker som torde vara aktuella redan nu behandlas.
När det gäller metadata är skyddsområdet explicit lite större genom de uttalanden som finns från Artikel 29-gruppen där det nämns att det inom EU-rätten är självklart att de uppgifter som utgör personuppgifter i metadata är att klassas som metadata. När det sedan gäller möjligheten att metadata adderas med annan metadata likt fallet med aggregat är skyddsområdet just nu lite oklart. Aggregat är ett problematiskt fenomen, men ännu har ingen lösning på detta problem presenterats, annat än att artikel 29-gruppen menar att personuppgiftsansvarige kontinuerligt ska riskbedöma aggregat.146
Dark data och GDPR har inte riktigt samma relation som metadata och GDPR har, där metadata implicit blir ett krav för att kunna efterleva förordningen. Dark data och GDPR har snarare en motsatt relation, dark data borde inte få finnas hos företag då det öppnar upp för att ett företag inte kan tillhandahålla möjligheter för individen att tillvarata sina lagstadgade rättigheter.
Big data är en väl inkorporerat i vår vardag numera och används i vissa fall i tjänster utan att vi ägnar det en tanke. Det faktum att big data är så stort kan innebära en utmaning för tillämpandet av GDPR. Som visat i avsnitt 3.6 är det rimligt att göra tolkningen att både dark data samt metadata faller under skyddsområdet för förordningen. Men att det faller under skyddsområdet innebär inte att den vid tillämpningen av förordningen
145 Article 29 Data Protection Working Party, Opinion 05/2014, s. 4.
44 faktiskt beaktas till den grad det kanske borde. I avsnitt 4.4 kommer frågan gällande hur skyddet de facto ser ut nu. För även om det kan anses föreligga ett skydd, innebär det kanske inte alltid att skyddet respekteras.
3.7 Avslutande kommentarer till personlig integritet i informationssamhället