Den kontinuerligt växande mängden och behandlingen av personuppgifter påverkar huvudsakligen enskilda individer och datainnehavare, men även samhället i stort. I takt med att individer delar större mängder personuppgifter riskerar deras integritet att exponeras i motsvarande utsträckning. Datainnehavare kan naturligtvis profitera på en större tillgång till personuppgifter, men behandlingen av stora mängder personuppgifter bör även medföra att det uppställs höga krav på datainnehavare. Det finns därutöver betydande samhälleliga intressen i att tjänster och teknik utvecklas samt att förtroendet för den digitala marknaden upprätthålls. Samtliga av intressena tangerar de frågeställningar som behandlats i denna framställning.
Utredningen av den första frågeställningen i denna uppsats visar att de kriterier som uppställs för att information ska utgöra personuppgifter, anonyma uppgifter eller pseudonymiserade uppgifter är i behov av klargörande. Vad avser personuppgiftsbegreppet kan definitionens lydelse täcka in avsevärda mängder information. Tidigare prövningar som genomförts och den vägledning som utgivits vad avser kraven i dataskyddsdirektivets definition har lämnat ett flertal frågor obesvarade och har i viss utsträckning varit inkonsekventa.
Personuppgiftsbegreppets omfattning är naturligtvis av relevans i bestäm-mandet av vilken effekt anonymiserings- och pseudonymiseringstekniker ska ha i
56
enskilda situationer. Till följd av den risk för identifiering som alltid följer en anonymisering bör kraven som uppställs på tillfredställande anonymiserings-tekniker inte vara att en irreversibel eller permanent effekt måste uppnås. För att upprätthålla incitamenten till att nyttja effektiva anonymiseringstekniker bör bedömningen av anonymiserad information istället utgå ifrån att den reella risken för identifiering i varje situation ska vara under en given nivå för att information ska betraktas som anonym. Vad avser den i GDPR intagna pseudonymiserings-definitionen kan den potentiellt omfatta sådana tekniker som inte omfattades av tidigare etablerade definitioner av pseudonymisering. I nuläget betraktas pseudonymisering särskilt som en säkerhetsåtgärd för personuppgifter i den nuvarande utformningen av GDPR, vilket sannolikt följer av de identifierings-risker som är förknippade med pseudonymiseringstekniker.
De allmänt hållna formuleringarna i definitionerna och avsaknaden av utförlig vägledning resulterar i att kategoriseringen av information i enskilda situationer kan vara problematisk. Enligt min mening är det följaktligen av vikt att definitionerna av förutsebarhetsskäl klargörs, men att definitionerna samtidigt bibehåller en viss flexibilitet för att regleringen och definitionerna ska kunna anpassas efter nya tekniska förutsättningar.
Vad avser den andra frågeställningen som rör förhållandet mellan begreppen personuppgifter och anonyma uppgifter kan det konstateras att varken en allomfattande personuppgiftsreglering eller ett alltför brett personuppgiftsbegrepp bör anses ändamålsenligt. En välutformad gränsdragning mellan begreppen personuppgifter och anonyma uppgifter medför utmaningar vad avser förutsebarhet, men är likväl nödvändig för att ändamålen med regleringen ska upprätthållas på ett tillfredställande sätt. En dynamisk bedömning av identifieringsrisk i vilken samtliga omständigheter i varje enskilt fall vägs in kan därtill effektivt separera personuppgifter från anonym information.
För att en dynamisk bedömning ska nyttjas är det en förutsättning att ett relativt förhållningssätt till identifieringsrisk intas i dataskyddsregleringen. Utredningen
57
av den tredje frågeställningen visar att det innan ikraftträdandet av GDPR har funnits stöd för såväl ett relativt som ett absolut förhållningssätt till identifieringsrisken. Med dagens teknologiska förutsättningar hade ett absolut förhållningssätt sannolikt medfört att personuppgiftsbegreppet hade blivit nära obegränsat. Ett relativt förhållningssätt möjliggör dock en välavvägd bedömning av identifieringsrisk som tar relevanta intressen och faktorer i beaktande.
Den nuvarande definitionen av pseudonymisering i GDPR implicerar att en pseudonymisering genererar personuppgifter som resultat. Beaktandeskäl 26 i GDPR introducerar, till skillnad från pseudonymiseringsdefinitionen, bedömningskriterier för kategoriseringen av personuppgifter respektive anonym information. I beaktandeskälet utesluts inte att identifieringsrisken avseende pseudonymiserad information ska bedömas i enskilda situationer. Som framgår av diskussionen av den fjärde frågeställningen bör pseudonymiserad information, av systematiska skäl, likt anonymiseringstekniker bedömas vad avser identifierings-risk. Särskilt i situationer där pseudonymiserad information överförs till en tredje part och där åtgärder vidtagits för att förhindra identifiering kan det ifrågasättas om informationen ska vara att betrakta som personuppgifter.
Tidigare incidenter såsom Cambridge Analytica och AOL har å ena sidan visat att avidentifierad information i vissa situationer bör omfattas av ett starkt skydd samt att personuppgiftsdefinitionen på ett rimligt sätt är vidsträckt. Å andra sidan bör inte de tidigare incidenterna föranleda en allomfattande dataskyddsregleringen som riskerar göra ett presumtivt starkt personuppgiftsskydd till en chimär.
Avgränsningen av personuppgiftsbegreppets omfattning är en balansakt. Såväl de fördelar som kan följa av att information om individer behandlas fritt, som de integritetskostnader som kan följa därav påverkar enskilda individer, data-innehavare och samhället i stort. Härnäst är det kommissionens uppgift att, i enlighet med art. 8.3 i förordning 2018/1807 om en ram för det fria flödet av andra data än personuppgifter, publicera en välavvägd och flexibel vägledning som kan förtydliga förhållandena mellan de för denna framställning relevanta begreppen.
58
Käll- och litteraturförteckning
Offentligt tryck
Amended proposal for a council directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, COM(92) 422 final (cit: COM(92) 422 final)
Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final (cit: COM(2012) 11 final)
Commission Staff Working Paper: Impact Assessment, SEC/2012/0072 final (cit:
SEC/2012/0072 final)
LIBE:s betänkande om förslaget till Europaparlamentets och rådets för ordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, A7-0402/2013 (cit: LIBE betänkande)
Europaparlamentets resolution av den 25 oktober 2018 om Cambridge Analyticas utnyttjande av Facebooks användaruppgifter och dess inverkan på uppgiftsskyddet, 2018/2855(RSP) (cit: Europaparlementet: Resolution om Cambridge Analytica)
SOU 1997:39 Innehållet i den nya persondatalagen (cit: SOU 1997:39)
SOU 2016:41 Hur står det till med den personliga integriteten? (cit: SOU 2016:41)
59
Utlåtanden och beslut
Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques WP216, 2014 (cit: WP216)
Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data WP136, 2007 (cit: WP136)
Datainspektionen dnr 2011, Göteborgs universitet, 2012-04-18 (cit: dnr 811-2011)
Datainspektionen dnr 2014, Novartis Sverige AB, 2015-07-03 (cit: dnr 558-2014)
Datainspektionen dnr 580-2014, Bristol-Myers Squibb AB, 2015-07-03 (cit: dnr 580-2014)
Litteratur
Bernal, P, Internet Privacy Rights: Rights to Protect Autonomy, 2014, Cambridge University Press (cit: Bernal)
Bottis, M, Bouchagiar, G, Personal Data v. Big Data in the EU: Control Lost, Discrimination Found, 2018, Open Journal of Philosophy 8, s. 192-205 (cit: Bottis
& Bouchigiar)
Brouwer, E, Zuiderveen Borgesius, F, Access to Personal Data and the Right to Good Governance during Asylum Procedures after the CJEU’s YS. and M. and S.
judgment (C-141/12 and C-372/12), 2015, European Journal of Migration and Law 17 häfte 2-3, s. 259-272 (cit: Brouwer & Zuiderveen Borgesius)
60
De Hert, P, Papakonstantinou, V, The new General Data Protection Regulation:
Still a sound system for the protection of individuals, 2016, Computer Law &
Security Review Vol. 32 Issue 2, s. 179-194 (cit: de Hert & Papakonstantinou)
Elliot, M, O’Hara, K, Raab, C, O’Keefe, C, M, Mackey, E, Dibben, C, Gowans, H, Purdam, K, McCullagh, K, Functional anonymisation: Personal data and the data environment, 2018, Computer Law & Security Review Vol. 34 Issue 2, s.
204-221 (cit: Elliot m.fl.)
Esayas, S, The Role of Anonymisation and Pseudonymisation Under the EU Data Privacy Rules: Beyond the ‘All or Nothing’ Approach, 2015, European Journal of Law and Technology Vol. 6 No. 2, s. 1-23 (cit: Esayas)
Esteve, A, The business of personal data: Google, Facebook, and privacy issues in the EU and the USA, 2017, International Data Privacy Law Vol. 7 No. 1, s. 36-47 (cit: Esteve)
Gräns, M, Allmänt om användningen av andra vetenskaper inom juridiken, i Nääv, M, Zamboni, M (red.), Juridisk Metodlära, 2018, Studentlitteratur, Uppl. 2 (cit:
Gräns i Nääv & Zamboni)
Hettne, J, Otken Eriksson, I, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, 2011, Norstedts Juridik, Uppl. 2 (cit: Hettne & Otken Eriksson)
Hildén, J, Am I my IP address's keeper? Revisiting the boundaries of information privacy, 2017, The Information Society Vol. 33 No. 3, s. 159-171 (cit: Hildén)
61
Hintze, M, Viewing the GDPR through a de-identification lens, 2018, International Data Privacy Law Vol. 8 No. 1, s. 86-101 (cit: Hintze)
Jay, R, Interpretation and Main Definitions, i Jay, R (red.), Guide to the General Data Protection Regulation, 2017, Sweet & Maxwell (cit: Jay, Interpretation and Main Definitions)
Jay, R, Research, i Jay, R (red.), Guide to the General Data Protection Regulation, 2017, Sweet & Maxwell (cit: Jay, Research)
Kleineman, J, Rättsdogmatisk metod, i Nääv, M, Zamboni, M (red.), Juridisk Metodlära, 2018, Studentlitteratur, Uppl. 2 (cit: Kleineman i Nääv & Zamboni)
Kokott, J, Sobotta, C, The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR, 2013, International Data Privacy Law Vol. 3 No. 4, s. 222-228 (cit: Kokott & Sobotta)
Köndgen, J, The sources of European Private Law, i Riesenhuber, K (red.), European Legal Methodology (Ius Communitatis), 2017, Intersentia Publishing nv (cit: Köndgen i Riesenhuber)
Leenes, R, Do They Know Me? Deconstructing Identifiability, 2007, University of Ottawa Law & Technology Journal Vol. 4 häfte 1, s. 135-161 (cit: Leenes)
Lundevall-Unger, P, Tranvik, T, IP Addresses – Just a Number?, 2010, International Journal of Law and Information Technology Vol. 19 Issue 1, s. 53-73 (cit: Lundevall-Unger & Tranvik)
62
Millard, C, Hon, W, K, (2012) Defining ‘Personal Data’ in e-Social Science, 2012, Information, Communication & Society, Vol. 15 Issue 1, 66-84 (cit: Millard &
Hon)
Mourby, M, Mackey, E, Elliot, M, Gowans, H, Wallace, S, Bell, J, Smith, H, Aidinlis, S, Kaye, J, Are ‘pseudonymised’ data always personal data? Implications of the GDPR for administrative data research in the UK, 2018, Computer Law &
Security Review, Vol. 34 Issue 2, s. 222-233 (cit: Mourby m.fl.)
Narayanan, A, Schmatikov, V, Robust De-anonymization of Large Sparse Datasets, 2008, 2008 IEEE Symposium on Security and Privacy (sp 2008), s. 111-125 (cit: Narayanan & Schmatikov)
Ohm, P, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 2010, UCLA Law Review Vol. 57, s. 1701-1777 (cit: Ohm)
Purtova, N, The law of everything. Broad concept of personal data and future of EU data protection law, 2018, Law, Innovation and Technology Vol. 10 Issue 1, s. 40-81 (cit: Purtova)
Reding, V, The European data protection framework for the twenty-first century, 2012, International Data Privacy Law Vol. 2 No. 3, s. 119-129 (cit: Reding)
Reichel, J, EU-rättslig metod, i Nääv, M, Zamboni, M (red.), Juridisk Metodlära, 2018, Studentlitteratur, Uppl. 2 (cit: Reichel i Nääv & Zamboni)
Rosenkranz, F, Temporal Effects of CJEU judgements, i Riesenhuber, K (red.), European Legal Methodology (Ius Communitatis), 2017, Intersentia Publishing nv (cit: Rosenkranz i Riesenhuber)
63
Rubinstein, I, Hartzog, W, Anonymisation and Risk, 2016, Washington Law Review, Vol. 91 No. 2, s. 703-760 (cit: Rubinstein & Hartzog)
Schwartz, P, Property, Privacy, and Personal Data, 2004, Harvard Law Review Vol. 117 No. 7, s. 2056-2128 (cit: Schwartz)
Spindler, G, Schmechel, R, Personal Data and Encryption in the European General Data Protection Regulation, 2016, Journal of Intellectual Property, Information Technology and Electronic Commerce Law (JIPITEC), Issue 7 (2), s.
163-177 (cit: Spindler & Schmechel)
Strömholm, S, Right of Privacy and Rights of the Personality: A Comparative Survey, 1967, P. A. Norstedt & Söners förlag (cit: Strömholm)
Sweeney, L, Simple Demographics Often Identify People Uniquely, 2000, Carnegie Mellon University, Data Privacy Working Paper 3 (cit: Sweeney)
Tene, O, Polonetsky, J, Big Data for All: Privacy and User Control in the Age of Analytics, 2013, Northwestern Journal of Technology and Intellectual Property Vol. 11 Issue 5, s. 239-273 (cit: Tene & Polonetsky)
Tracol, X, Back to basics: The European Court of Justice further defined the concept of personal data and the scope of the right of data subjects to access it, 2015, Computer Law & Security Review Vol. 31 Issue 1, s. 112-119 (cit: Tracol)
Witzleb, N, Wagner, J, When is Personal Data “About” or “Relating to” an Individual? A Comparison of Australian, Canadian, and EU Data Protection and Privacy Laws, 2018, CJCCL Vol. 4 Issue 1, s. 293-329 (cit: Witzleb & Wagner)
64
Zuiderveen Borgesius, F, Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation, 2016, Computer Law & Security Review Vol. 32 Issue 2, s. 256-271 (cit: Zuiderveen Borgesius (2016))
Zuiderveen Borgesius, F, The Breyer Case of the Court of Justice of the European Union: IP Addresses and the Personal Data Definition, 2017, European Data Protection Law Review Vol. 3 Issue 1, s. 130-137 (cit: Zuiderveen Borgesius (2017))
Rättsfall
Förenade målen C-465/00, C-138/01 och C-139/01, Rechnungshof (C-465/00) mot Österreichischer Rundfunk m.fl. och Christa Neukomm (C-138/01) och Joseph Lauermann (C-139/01) mot Österreichischer Rundfunk, EU:C:2003:294
Mål C-101/01, Lindqvist, EU:C:2003:596
Förenade målen C-402/05 P and C-415/05 P, Yassin Abdullah Kadi och Al Barakaat International Foundation mot Europeiska unionens råd och Europeiska kommissionen, EU:C:2008:461
Mål C-524/06, Heinz Huber mot Bundesrepublik Deutschland, EU:C:2008:724
Mål C-73/07, Tietosuojavaltuutettu mot Satakunnan Markkinapörssi Oy och Satamedia Oy, EU:C:2008:727
Mål C-553/07, College van burgemeester en wethouders van Rotterdam mot M.E.E. Rijkeboer, EU:C:2009:293
65
Förenade målen C-92/09 och C-93/09, Volker und Markus Schecke GbR (C-92/09) och Hartmut Eifert (C-93/09) mot Land Hessen, EU:C:2010:662
Mål C-70/10, Scarlet Extended SA mot Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), EU:C:2011:771 (Scarlet Extended SA)
Förenade målen C-468/10 och C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) (C-468/10), Federación de Comercio Electrónico y Marketing Directo (FECEMD) (C-469/10) mot Administración del Estado, EU:C:2011:777
Förslag till avgörande av generaladvokat Jääskinen i mål C-131/12, Google Spain SL och Google Inc. mot Agencia Española de Protección de Datos (AEPD) och Mario Costeja González, EU:C:2013:424
Förslag till avgörande av generaladvokat Sharpston i förenade målen C-141/12 och C-372/12, YS (C–141/12) mot Minister voor Immigratie, Integratie en Asiel och Minister voor Immigratie, Integratie en Asiel (C–372/12) mot M och S, EU:C:2013:838 (YS)
Mål C-131/12, Google Spain SL och Google Inc. mot Agencia Española de Protección de Datos (AEPD) och Mario Costeja González, EU:C:2014:317
Förenade målen C-141/12 och C-372/12, YS (C–141/12) mot Minister voor Immigratie, Integratie en Asiel och Minister voor Immigratie, Integratie en Asiel (C–372/12) mot M och S, EU:C:2014:2081
66
Mål C-582/14, Patrick Breyer mot Bundesrepublik Deutschland, EU:C:2016:779 (Breyer)
Förslag till avgörande av generaladvokat Sanchéz-Bordona i mål C-582/14, Patrick Breyer mot Bundesrepublik Deutschland, EU:C:2016:339
Mål C-434/16, Peter Nowak mot Data Protection Commissioner, EU:C:2017:994 (Nowak)
Förslag till avgörande av generaladvokat Kokott i mål C-434/16, Peter Nowak mot Data Protection Commissioner, EU:C:2017:582
Förslag till avgörande av generaladvokat Bobek i mål C-40/17, Fashion ID GmbH & Co.KG mot Verbraucherzentrale NRW e.V, EU:C:2018:1039 (prel.
utgåva)
Internetkällor
Barbaro, M, Zeller, T, A Face Is Exposed for AOL Searcher No. 4417749, The New York Times (2006), hämtad 2018-12-13
https://www.nytimes.com/2006/08/09/technology/09aol.html (cit: Se Barbaro &
Zeller, A Face Is Exposed for AOL Searcher No. 4417749)
Bundesdatenschutzgesetz (BGBl. I s. 2954) med ändringar fram till 14 augusti 2009, hämtad 2018-12-17
https://wipolex.wipo.int/en/text/328200 (cit: Bundesdatenschutzgesetz (BGBl. I s.
2954) med ändringar fram till 14 augusti 2009)
Europaparlamentet, Fritt flöde av data: Förverkligandet av den digitala inre marknaden (2018), hämtad 2018-11-14
67
http://www.europarl.europa.eu/news/sv/headlines/economy/20180601STO04817 /fritt-flode-av-data-forverkligandet-av-den-digitala-inre-marknaden (cit:
Europaparlamentet: Fritt flöde av data: Förverkligandet av den digitala inre marknaden)
Europeiska kommissionen, The Article 29 Working Party Ceased to Exist as of 25 May 2018 (2018), hämtad 2019-01-01
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=629492 (cit:
Europeiska kommissionen: Nyhet om artikel 29-gruppens upphörande)
Europeiska kommissionen, Progress on EU data protection reform now irreversible following European Parliament vote (MEMO/14/186) (2014), hämtad 2018-11-05
http://europa.eu/rapid/press-release_MEMO-14-186_en.htm (cit: Europeiska kommissionen: Progress on EU data protection reform now irreversible following European Parliament vote)
Information Commissioner’s Office, Anonymisation: Managing Data Protection Risk Code of Practice (2012), hämtad 2018-12-23
https://ico.org.uk/media/1061/anonymisation-code.pdf (cit: ICO)
Information Commissioner’s Office, ICO analysis of the Council of the European Union text of the General Data Protection Regulation, hämtad 2018-12-12
https://ico.org.uk/media/1432420/ico-analysis-of-the-council-of-the-european-union-text.pdf (cit: ICO: Analys av förslag till GDPR)
Reding, V, The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age (SPEECH/12/26) (2012), hämtad 2018-11-23
68
http://europa.eu/rapid/press-release_SPEECH-12-26_en.htm (cit: Reding SPEECH/12/26)
The Business Software Alliance, Online Security, Traffic Data and IP addresses (2008), hämtad 2018-12-01
www.statewatch.org/news/2008/oct/eu-datret-bas.pdf (cit: The Business Software Alliance)
Whitten, A, Are IP addresses personal? (2008), hämtad 2018-12-01 http://googlepublicpolicy.blogspot.com/2008/02/are-ip-addresses-personal.html (cit: Whitten, Are IP adresses personal?)
World Economic Forum, Personal Data: The Emergence of a New Asset Class (2011), hämtad 2018-11-05
http://www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_20 11.pdf (cit: World Economic Forum, Personal Data: The Emergence of a New Asset Class)