Begreppet ”lämpliga” enligt 31 § PUL

innefatta de planerade åtgärderna, skyddsåtgärder och mekanismer som ska minska risken samt säkerställa personuppgiftskyddet.⁹⁸

Åsikterna om denna typ av riskbaserat tillvägagångssätt utgör en av de nyheter som kommer av allmänna dataskyddsförordningen går isär. Enligt Böröcz utgör det en nyhet på det sättet att det inte tidigare har genomförts på en stor skala.⁹⁹ Däremot enligt A29WP är detta tillvägagångssätt inte ett nytt koncept utan har varit välkänt redan under gällande dataskyddsdirektivet. Detta speciellt när det rör reglering av säkerhet i artikel 17.¹⁰⁰

4. Analys av begreppet ”lämpliga” enligt båda regleringarna

Detta kapitel innehåller en analys utifrån vad som tidigare presenterats i framställningen kring begreppet ”lämpliga” enligt båda regleringarna. Inledningsvis kommer den nuvarande regleringen att analyseras för att sedan genomföra en jämförelse mellan de båda användningarna av begreppet för att avslutningsvis analysera begreppet ”lämpliga” enligt den kommande regleringen.

4.1 Begreppet ”lämpliga” enligt 31 § PUL

Regleringen av säkerhet vid personuppgiftsbehandlingen i PUL innehåller högst relevanta beaktningsgrunder och bedömningen som paragrafen kräver borde ha fungerat för att skydda fysiska personers friheter och rättigheter. Trots detta upplevdes PUL och bakomliggande dataskyddsdirektivet som tillräckligt tandlöst för att det skulle krävas en hårdare reglering med högre ekonomiska sanktionsmöjligheter för att säkerställa att hela unionen har en säkerhetsnivå som ger tillfredställande skydd för fysiska personers friheter och rättigheter.¹⁰¹ Vad som är att anses som lämpliga tekniska och organisatoriska säkerhetsåtgärder samt vad som utgör en lämplig säkerhetsnivå enligt PUL innebär en bedömning av hur beaktningsgrunderna är i den specifika situation som den personuppgiftsansvarige ska besluta om säkerhetsåtgärder i. Myndighetspublikationerna, allmänna råden eller övriga hjälpmedel som myndigheterna

98 Se skäl 90 allmänna dataskyddsförordningen.

99 Se Böröcz, István, Risk to the Right to the Protection of Personal Data: An analysis through the lenses of

Hermagoras, European Data Protection Law Review (EDPL) 4/2016, s. 467.

100 Se Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and

determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, s. 2.

45 publicerat utifrån PUL har inte kunnat ge ett enda konkret svar på frågan av vad som är att anse som lämpliga tekniska och organisatoriska åtgärder.¹⁰² De har däremot kunnat ge härledning och hjälp med hur bedömningen bör gå till för att leva upp till lämplighetsrekvisitet i regleringen. Främst är det praktiska verktyg som MSB innebär ett hjälpmedel i hur personuppgiftsansvarige kan säkerställa att organisationen lever upp till säkerhetskraven som regleringen i PUL ställer. Detta trots att verktyget från MSB inte är specifikt skrivna utifrån regleringen i PUL utan är en del av det svenska arbetet för ledningssystem för informationssäkerhet enligt ISO 27000-standarderna.¹⁰³

En av riskerna med att arbeta direkt utifrån de internationella standarderna är som ovannämnt att det inte innebär i sig att arbetet kommer leva upp till kraven om säkerhetsnivå som ställs regleringen i PUL. Men då MSB: s verktyg utgör en del av det svenska arbetet för ISO 27000-standarderna och myndigheten fortfarande har ett ansvar gentemot den nationella lagstiftningen som PUL utgör verktygen en kombination mellan de båda. Detta gör verktygen till ett effektivt hjälpmedel för den personuppgiftsansvarige att inte enbart leva upp till säkerhetskraven i PUL utan även inrätta ett system med underhållet som krävs enligt ISO 27000-standarderna.104

Specifikt riskanalysverktyget från MSB kan härledas till båda ISO 27000-standarderna och PUL då sårbarhet- och riskanalyser är en kritisk del av båda. Vilka risker som finns för behandlingen utgör en av beaktningsgrunderna för bedömningen som krävs enligt PUL¹⁰⁵ och en väsentlig del av arbetet för att inrätta ledningssystem för informationssäkerhet.¹⁰⁶ Verktygets innehåll kräver av verksamheten att all information som krävs för att säkerställa skyddet för personuppgifterna samlas in och att informationen faktiskt arbetas vidare med. Riskanalysverktygets steg för genomförande av riskanalysen presenterar en metod som är enkel att följa för den personuppgiftsansvarige och som ger den personuppgiftsansvarige sätt att använda informationen som organisationen redan innehar för att kunna göra bedömningen som regleringen i PUL kräver och ta ett informerat beslut kring hur säkerhetsarbetet ska fortgå. Identifikationen och kartläggningen av riskerna mot informationstillgångarna är väsentligt i all informationssäkerhet och kritiskt i säkerheten vid behandling av personuppgifter vilket är

102 Se kap. 2.2. 103 Se kap. 2.2.3 och 2.2.5. 104 Se kap. 2.2.3, 2.2.5 och 2.3. 105 Se kap. 2.1. 106 Se kap. 2.3.

46 varför det är en av beaktningsgrunderna i bedömningen som krävs enligt regleringen i PUL. Vikten av riskanalysen blir mer tydligt när man ser på det faktum att riskanalysverktyget är ett verktyg i en rad av verktyg, där inkluderat ovannämnda verktyget för att välja säkerhetsåtgärder.¹⁰⁷ Verktyget för att välja säkerhetsåtgärder bygger på att det finns en riskanalys. Antingen att riskanalysverktyget har använts eller åtminstone att en riskanalys som berör lika mycket information som det verktyget arbetar med har genomförts. Valet av säkerhetsåtgärder måste grunda sig på de risker som behandlingen innebär och för att kunna ta ett sådant beslut måste riskerna identifieras, kartläggas och analyseras. Vidare kräver valet av säkerhetsåtgärder, som presenterat i verktyget, information om vad det finns för valmöjligheter bland säkerhetsåtgärder. Verktyget presenterar en kombinerad metod som det bäst lämpade i majoriteten av fallen där säkerhetsåtgärder ska välja. Kombinationen är bestående av informationen som kommit fram i riskanalysen och som kommer från internt i organisationen samt en samlad kunskapsbank av vilka valmöjligheter som finns kring säkerhetsåtgärder. Det räcker dock inte enbart att välja säkerhetsåtgärder med hjälp av denna kombinerade metod utan det krävs att valet är väldokumenterat och förankrat inom organisationen samt inom säkerhetsarbetet.¹⁰⁸

Myndighetspublikationerna och hjälpmedlen som publicerats av myndigheterna under den nuvarande regleringen har haft relativt lite fokus på den faktiska lagregleringen och mer fokus kring hur lagregleringen ska fungera i praktiken. Som till exempel utgör både ovannämnda presenterade verktygen för riskanalys och val av säkerhetsåtgärder hjälpmedel som är publicerade av MSB för att ta regleringen i PUL in i praktiken. Riskanalysen är ett verktyg för att kunna leva upp till beaktningsgrunden av riskerna som behandlingen innebär som är preciserat i lagtexten. Verktygen i fråga är inte utformade som traditionell lagtextkommentar eller liknande utan är skrivet och presenterat som en genomgång av hur det praktiska arbetet som krävs i en riskanalys ska ske. Liknande är hjälpmedlet med vilket man ska välja säkerhetsåtgärder inte utformat som ett besvarande på vilka åtgärder som är lagtext enliga eller så. Vissa åtgärder presenteras men främst utgör det ett praktiskt verktyg till hur frågorna som lagtextens olika beaktningsgrunder bäst besvaras, utifrån bland annat vad verktyget för riskanalys presenterat.¹⁰⁹

107 Se kap. 2.2.3.

108 Se kap. 2.2.5.