B EHANDLING AV PERSONUPPGIFTER - DATASKYDDSFÖRORDNINGENS HUVUDDELAR

3. DATASKYDDSFÖRORDNINGENS HUVUDDELAR

3.3 B EHANDLING AV PERSONUPPGIFTER

3.3.1 Definition

Dataskyddsförordningen reglerar såsom tidigare nämnt behandling av personuppgifter, varav begreppet personuppgifter har definierats i avsnitt 3.2. Det är därför nödvändigt att även reda ut vad som avses med behandling av sådana uppgifter. Inledningsvis är dataskyddsförordningen tillämplig både på automatiserad och manuell behandling av personuppgifter, vilket motsvarar den tidigare regleringen i art. 3(1) samt 2(c) i dataskyddsdirektivet. Detta innebär att förordningen även är tillämplig på behandling av personuppgifter som helt eller delvis genomförs med automatiserade medel samt behandling av personuppgifter helt eller delvis i arkiveringssystem.⁷⁰

Kort sagt behandlas personuppgifter när de används på olika sätt. I förordningen definieras behandling närmare som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.⁷¹ Utifrån definitionen av behandling anses en behandling av personuppgifter enligt dataskyddsförordningen ske även då enbart lagring av information på en plattform sker utan annan bearbetning.

Vissa typer av behandlingar av personuppgifter minskar organisationens risker, exempelvis pseudonymisering, dvs. att personuppgifterna behandlas på ett sätt som innebär att de inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter⁷² används.⁷³ Viktigt att notera är att pseudonymisering är en skyddsteknik, dvs. en behandling, för att underlätta bevarandet av den registrerades integritet och medför således inte att

69 Wendleby, s. 29 f.

70 Jay, s. 63.

71 Art. 4.1 dataskyddsförordningen.

72 Detta förutsätter att de kompletterande uppgifterna förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

73 Wendleby, s. 30 samt art. 4.5 i dataskyddsförordningen.

personuppgifterna faller utanför dataskyddsförordningens tillämpningsområde. Förevarande eftersom organisationen fortfarande förvarar de kompletterande uppgifterna, även om det är separat, och således har möjlighet att identifiera individen genom dessa kompletterande uppgifter.⁷⁴ Skyddstekniken pseudonymisering utgör sammanfattningsvis en behandling av personuppgifter men är önskvärt för att stärka skyddet för individens integritet.⁷⁵ Andra behandlingar, såsom profilering och automatiserade beslut, ökar istället organisationens risker eftersom en sådan behandling kopplar en mängd personuppgifter till en identifierad eller identifierbar fysisk person vilket genererar en ökad mängd information som därmed måste behandlas i enlighet med dataskyddsförordningen.⁷⁶

3.3.2 Principer för behandling av personuppgifter

När man behandlar personuppgifter föreligger det en rad principer som ska följas, bryter man mot dessa kan sanktioner i form av administrativa sanktionsavgifter uppgå till 20 miljoner EUR eller 4 % av organisationens totala årsomsättning.⁷⁷ Principerna för behandling av personuppgifter är följande: Laglighet, korrekthet och öppenhet, vilken innebär ett ansvar att förse de registrerade med information om vem som är personuppgiftsansvarig, ändamålet för insamlingen av personuppgifter, de registrerades rättigheter samt eventuella risker.⁷⁸ Ändamålsbegränsning innebär att uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt därefter enbart behandlas i förenlighet med dessa ändamål.

Ändamålet med behandlingen utgör en central roll för lagligheten i den personuppgiftsansvariges verksamhet eftersom ändamålet avgör huruvida de grundläggande principerna om lagringsminimering, korrekthet och uppgiftsminimering respekteras.⁷⁹ Uppgiftsminimering, som innebär att personuppgifterna ska vara adekvata, relevanta och begränsade i omfattning, främst innebär principen en skyldighet att minimera datainsamlingen till en tillräcklig nivå i förhållande till ändamålet. Korrekthet innebär att personuppgifterna ska vara korrekta och uppdaterade. Lagringsminimering innebär att personuppgifter inte ska förvaras längre än vad som är nödvändigt för ändamålen. Integritet och konfidentialitet innebär i sin tur uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet.⁸⁰ En ytterligare

74 Jay, s. 323 samt skäl 28 i dataskyddsförordningen.

75 Jfr. skäl 9 i dataskyddsförordningen.

76 Wendleby, s. 30

77 Voigt och von dem Bussche, s. 87.

78 A.a.s. 88.

79 A.a.s. 88 f.

80 Art. 5.1 (a-f) dataskyddsförordningen samt Öman, s. 109 ff. samt Voigt och von dem Bussche, s. 90 ff.

princip anges i art. 5 vilken ålägger den personuppgiftsansvige dess skyldighet att ansvara för och kunna visa att dessa principer efterlevs, en s.k. ansvarsskyldighet.⁸¹

3.3.3 Ändamål och laglig grund för behandling

Enligt art. 8 i EU-stadgan anges att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den personens samtycke eller någon annan legitim och lagenlig grund. Den bestämmelsen samt principen om ändamålsbegränsning är centrala för lagligheten i behandlingen av personuppgifter eftersom de utgör utgångspunkten för hur de övriga kraven ska uppnås. Om det exempelvis föreligger en fråga rörande vilka personuppgifter som ska samlas in vid en kundundersökning så ska man utgå från ändamålet och därifrån bedöma vilka personuppgiftskategorier som är nödvändiga. Principen öppnar upp en valfrihet för aktörer att samla in och behandla personuppgifter för olika typer av ändamål med förbehållet att ändamålet är berättigat. Här avses att det inte får vara ändamål som kränker personens eller andras rättigheter och friheter.⁸² Bakgrunden till kravet på att ett ändamål för behandlingen ska föreligga innan personuppgifterna samlas in är att den registrerade ska kunna erhålla informationen i syftet att själv kunna ta ställning till framtida konsekvenser av behandlingen.

Alternativet skulle vara att aktörer samlar in en mängd uppgifter för att sedan behandla dessa vid olika tillfällen för varierande ändamål vilket omöjliggör en förhandsbedömning av konsekvenserna.⁸³ Det förekommer emellertid undantag till ändamålsbegräsningen, behandling av personuppgifter för andra ändamål än för vilka de initialt samlades in för får nämligen ske om det är förenligt med de ursprungliga ändamålet.⁸⁴ Enligt min mening urholkar undantaget inte syftet med kravet på ändamålsbegränsning utan tyder på en vilja att skapa ett regelverk som fungerar smidigt i praktiken.

Av principen laglighet följer även ett krav att stöd för behandlingen föreligger i minst ett av de villkor som uppställs i art. 6.1, dvs. en rättslig/laglig grund för behandling måste föreligga.

Inledningsvis anges att behandling får ske om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.⁸⁵ För att ett samtycke ska vara giltigt som grund för behandling av personuppgifter måste kraven i skäl 32 samt art. 7 i förordningen uppfyllas, vilka anger att det ska säkerställas att samtycket är klart och tydligt,

81 Art. 5.2 dataskyddsförordningen.

82 Frydlinger m.fl., s. 37.

83 A.a.s. 38.

84 Skäl 50 i dataskyddsförordningen.

85 Art. 6.1(a) dataskyddsförordningen.

att den registrerade har rätt att när som helst återkalla sitt samtycke samt att samtycket ska vara frivilligt. Dessa krav är högt ställda och kräver samtycke för varje individuell åtgärd som ska ske med personuppgifterna, generellt sett är således tystnad eller inaktivitet inte ett giltigt samtycke.⁸⁶ Det är inte ovanligt att sociala plattformar använder sig av formulär där samtycke ges genom att enbart kryssa i en ruta, här har emellertid EU-domstolen angett att det krävs att den registrerade själv kryssar i rutan samt att informationen som föregår samtycket är tydliga och enkla.⁸⁷ Enligt min mening är denna begränsning nödvändning i syfte att uppmärksamma användaren om att denne, innan den kryssar i rutan, ska fatta ett beslut avseende sina personuppgifter. Än viktigare är kravet vid användandet av onlineplattformar eftersom användaren annars enkelt kan missa vad denne faktiskt har samtyckt till. Det framgår vidare av lagtexten i förordningen att onlinetjänster just betraktas som särskilda riskmoment avseende huruvida användaren faktiskt fattar ett medvetet och informerat beslut vid samtycke till personuppgiftsbehandling, bl.a. genom att ett ytterligare krav uppställs vad gäller informationssamhällets tjänster i art. 8.1. I nämnda bestämmelse anges ett särskilt krav rörande erbjudanden av informationssamhällets tjänster riktat direkt till barn. Om barnet är under 16 år måste den som har föräldraansvar över barnet samtycka till behandlingen, annars är samtycket ogiltigt. Det förefaller enligt min mening tydligt att tjänsteleverantörer av informationssamhällets tjänster utgör en grupp av personuppgiftsbehandlare som måste iaktta särskild försiktighet med anledning av distansverksamheten och svårigheterna med att säkerställa samtycke som följer med det. Med anledning av svårigheterna kring samtycke vid erbjudande av informationssamhällets tjänster kan det vara lämpligt att inneha ytterligare grund för laglig behandling för att säkerställa att behandlingen är förenlig med dataskyddsförordningen.

Vidare är behandlingen laglig om den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller på begäran av den registrerade innan ett avtal ingås alternativt om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.⁸⁸ Personuppgiftsbehandlingen är även laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intressen, förutsatt att den registrerades intressen eller grundläggande rättigheter eller friheter inte väger tyngre vid

86 Calder, kap 4, rubrik ”Lawful processing”.

87 Dom av den 1 oktober 2019, Planet49, mål C-673/17, EU:C:2019:801, i målet konstaterade EU-domstolen att det inte föreligger ett giltigt samtycke om det är inhämtat genom användning av en på förhand ikryssad ruta på en webbplats med hänvisning till kravet på att samtycket ska lämnas genom en ”otvetydig viljeyttring”.

88 Art. 6.1 (b-c) dataskyddsförordningen.

en intresseavvägning.⁸⁹ Även kommersiella intressen kan utgöra berättigade intressen, exempelvis om behandlingen vidtas i inom ramen för en kundrelation och personuppgifterna behandlas i direktmarknadsföringssyfte eller för att förebygga bedrägeri.⁹⁰ Organisationer som grundar sin behandling på att de har ett berättigat intresse måste göra en grundlig bedömning där intresseavvägningen genomförs och dokumenteras.⁹¹ Denna grund kan exempelvis vara aktuell när organisationer samlar in och behandlar personuppgifter i syfte att kunna utföra direkt marknadsföring på onlineplattformar då det där föreligger ett kommersiellt förhållande.

Avslutningsvis får en behandling genomföras om den är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller annan person samt om den där nödvändig för att utföra en uppgift av allmänt intresse.⁹²

3.3.4 Profilering och automatiserad behandling

Profilering definieras som en form av automatiserad behandling av personuppgifter som består av användning av personuppgifter i syfte att utvärdera personliga aspekter som är relaterade till en fysisk person, särskilt för att analysera eller förutsäga aspekter som rör den registrerade personens prestationer på jobbet, ekonomiska situation, hälsa, personliga preferenser, intressen, tillförlitlighet, beteende, position eller rörelser. Sammanfattat kräver profilering tre komponenter; den ska utgöra en form av automatiserad bearbetning, den ska utföras på personuppgifter samt ska ha syftet att utvärdera personliga attribut för en eller flera individer.⁹³ Personuppgiftsansvariga som utför profilering måste säkerställa att de uppfyller de särskilda kraven i dataskyddsförordningen gällande alla steg i profileringsbehandlingen. Några av de många kraven som föreligger är dels att det särskilt måste anges i informationsmeddelandet vid insamling av personuppgifterna från den registrerade att profilering kommer ske samt dels att behandlingen ska vara rättvis och öppen.⁹⁴ Profileringsprocessen syns vanligen inte för den registrerade och resultaten kan vara orättvis på så sätt att den ger upphov till diskriminering, t.ex. då vissa mer förmånliga erbjudanden riktas i reklammeddelanden till vissa konsumenter som uppvisar ett visst köpbeteende.⁹⁵

89 Art. 6.1 (f) dataskyddsförordningen.

90 ec.europa.eu, EU kommissionen, Vad betyder ”grundat på berättigat intresse”?.

91 Calder, kap 4, rubrik ”consent”.

92 Art. 6.1 (d-e) dataskyddsförordningen.

93 Jay s. 56 och 265 samt Artikel 29-gruppen, WP 251 rev. 01, s. 6 ff.

94 Jay s. 56 f samt Artikel 29-gruppen, WP 251 rev. 01, s. 9 f.

95 Artikel 29-gruppen, WP 251 rev. 01, s. 10.

Profilering utnyttjas i stor utsträckning av tjänsteleverantörer på internet i syfte att öka sin omsättning genom riktade tjänster samt genom vidareförsäljning av sina insamlade personuppgifter i syfte att andra ska kunna använda sig av informationen för sina syften. Ett tydligt exempel på detta är Facebook, som har tillgång till dess användares personuppgifter i hög utsträckning, bl.a. kön, ålder, adress, familjerelationer etc. samt även använder sig av platsinformation som ger tillgång till information om användarnas position och förflyttning när tjänsten används. Till följd av denna omfattande informationsinsamling har Facebook ett högre värde än vad som bokförs och en betydande del av Facebooks intäkter kommer från vidareförsäljning av personuppgifter i marknadsundersökningar för tredje part.⁹⁶ Profilering kan emellertid också leda till, i ett demokratiskt samhälle, oönskade effekter såsom bevarandet av stereotyper vilket i sin tur kan föranleda social segregation där exempelvis vissa produkter eller tjänster erbjuds en viss grupp med särskilda egenskaper där andra personer utsätts för en omotiverad diskriminering.⁹⁷

Som nyss nämnt kan profilering ske genom automatiserad behandling och automatiserat beslutsfattande. Sådana förfaranden är förenliga med dataskyddsförordningen men får generellt sett inte genomföras om den registrerade motsätter sig detta. Rätten att motsätta sig automatiserad behandling gäller emellertid endast om beslut som enbart grundas på sådan behandling har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar denne.⁹⁸ Sammanfattningsvis kan vi således se både fördelar och nackdelar med profilering varpå den registrerades möjlighet att motsätta sig sådan behandling av dennes personuppgifter kan vara avgörande för att i vissa fall undgå negativa sociala eller ekonomiska konsekvenser. Tillsammans med rätten att motsätta sig automatiserad behandling av sina personuppgifter har den registrerade en mängd ytterligare rättigheter som på motsvarande sätt kan skydda individen mot oönskade följder av personuppgiftsbehandling, dessa rättigheter kommer nu behandlas i det följande avsnittet.

In document Tjänsteleverantörers personuppgiftsansvar: Tjänsteleverantörers ansvar för personuppgifter utifrån dataskyddsförordningen respektive e-handelsdirektivet (Page 28-33)