4 Informationsutlämning och personuppgiftsbehandling 30
4.4 Behandling av personuppgifter enligt dataskyddsförordningen 33
Eftersom GDPR syftar till att skydda den personliga integriteten, betyder det att personuppgifter inte får behandlas hur som helst. Enligt GDPR är en eller flera åtgärder, enskilt eller i kombination, beträffande personuppgifter att se som behandling. Det har ingen betydelse om behandlingen utförs automatiserat eller ej. Behandlingen kan bl.a. bestå av insamling, registrering, lagring, bearbetning, ändring, användning, spridning eller tillhandahållande på något annat sätt, samt radering och förstöring av information.171 Det kan därmed tyckas att allting som berör personuppgifter innefattas av begreppet behandling, men det föreligger en del situationer som faller utanför begreppet. Att enbart läsa eller ta del av någon annans behandling av personuppgifter omfattas exempelvis inte av begreppet behandling. Med beaktande av att behandling definieras väldigt brett i GDPR är det en mängd handlingar som omfattas av begreppet behandling. Det kan bl.a. handla om att samla in
167 Prop. 2017/18:77, s. 297.
168 Personliga säkerhetsbehörighetsuppgifter är definierat i avsnitt 3.3.1.
169 Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 4.32 och Lagrådsremiss, Nya regler om
betaltjänster, s. 110.
170 Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 66.3 e och art. 67.2 e. 171 Europaparlamentets och rådets förordning (EU) 2016/679, art. 4.2.
uppgifter för att senare göra ett riktat utskick eller att spara kontaktuppgifter för att vid ett senare tillfälle ha möjlighet att kontakta personen i fråga.172 I de fall behandling av personuppgifter är nödvändig i samband med ett avtal och i de fall det finns en avsikt, parterna emellan, att ingå ett avtal är behandlingen av personuppgifter att se som laglig.173
Samtliga personuppgifter som behandlas i enlighet med GDPR måste uppfylla de grundläggande principer som anges i förordningen. De grundläggande principerna är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet. Det är den personuppgiftsansvarige på varje företag som har ansvaret för att behandlingen av personuppgifter sker i enlighet med principerna.174 De grundläggande kraven i PuL motsvarar de grundläggande principerna i GDPR, vilket tyder på att det inte kommer bli någon större förändring för svenska företagare efter det att GDPR träder i kraft. En viktig nyhet i förordningen är att det uttryckligen stadgas att den personuppgiftsansvarige ska kunna visa att principerna efterlevs i organisationen.175
På samma sätt som betaltjänstleverantörer och ansvariga för betalningssystem behöver föra ett register över personuppgifter enligt betaltjänstlagen, ska personuppgiftsansvariga föra ett register över de uppgifter som behandlas under dennes ansvar enligt GDPR.176 Att föra ett register över personuppgifter blir därmed ett sätt för företagen att visa att reglerna i GDPR följs.177
4.4.2 Personuppgifter enligt dataskyddsförordningen
Personuppgifter definieras i GDPR som upplysningar om en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras med en hänvisning till en identifierare som ett namn, identifikationsnummer eller annan identifikator som är specifik för den fysiska personen.178 Personuppgifter är därmed samtliga uppgifter som är specifika för individen och som kan knytas till en levande person, antingen direkt eller indirekt. Utöver de klassiska
172 Wainikka & Brånby, Företagen och dataskyddsförordningen: nya regler för hantering av personuppgifter, s.
23.
173 Europaparlamentets och rådets förordning (EU) 2016/679, skäl 44. 174 Europaparlamentets och rådets förordning (EU) 2016/679, art. 5. 175 Datainspektionen, Principer för behandling av personuppgifter, 2017. 176 Europaparlamentets och rådets förordning (EU) 2016/679, art. 2.1 och art. 30. 177 Europaparlamentets och rådets förordning (EU) 2016/679, skäl 82.
personuppgifterna namn, adress och personnummer hör även fotografier och datorns IP- nummer till begreppet personuppgifter.179 Utöver de ”vanliga” personuppgifterna finns det uppgifter som till sin natur är av känsligare art med hänsyn till de grundläggande rättigheterna och friheterna. Känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, hälsa samt genetiska och biometriska uppgifter för identifiering och bör erhålla ett särskilt skydd. De känsliga uppgifterna är i huvudsak förbjudna att behandla, men är under vissa omständigheter tillåtna att behandla.180 Ett av de fall där känsliga personuppgifter får behandlas är när den registrerade uttryckligen har lämnat samtycke till behandling för ett eller flera specifika ändamål.181 Det är därmed tydligt att reglerna kring samtycke enligt GDPR spelar en viktig roll för regelefterlevnaden på marknaden.
Biometriska uppgifter är uppgifter som identifierar en fysisk person genom teknisk behandling av individens fysiska, fysiologiska eller beteendemässiga kännetecken, t.ex. fingeravtryck och ansiktsbilder.182 Studier visar att ungefär två av tre personer kan tänka sig att betala med någon form av biometriska betalningsmetoder, men även att vilken variant av biometriska uppgifter som ska användas vid en betalning har betydelse. 183
Ansiktsigenkänning har visat sig vara den typ av biometriska uppgifter som, i dagens läge, framstår vara minst välkommet av betaltjänstanvändarna.184 Fingeravtryck har däremot under
lång tid använts som en metod för identifikation, framförallt som ett medel för lösenkod till mobiltelefoner och datorer.185 I framtiden kan tekniken även komma att tillämpas vid betalningar över internet och inte enbart som identifikation vid inloggning, vilket är varför tekniken kräver ett starkt skydd för att skydda den personliga integriteten.
4.4.3 Betydelsen av samtycke vid personuppgiftsbehandling
Kravet på samtycke har utvidgats i GDPR och innehåller ytterligare förtydliganden och specifikationer av kraven för att erhålla giltigt samtycke från den registrerade.186 Med samtycke avses en frivillig, specifik, informerad och otvetydig viljeyttring där den
179 Wainikka & Brånby, Företagen och dataskyddsförordningen: nya regler för hantering av personuppgifter, s.
19.
180 Europaparlamentets och rådets förordning (EU) 2016/679, art. 9.1 och skäl 51. 181 Europaparlamentets och rådets förordning (EU) 2016/679, art. 9.2 a.
182 Europaparlamentets och rådets förordning (EU) 2016/679, art. 4.14. 183 Enligt en undersökning utförd av Insight Intelligence.
184 Insight Intelligence, Sverige betalar 2017: Svenska folkets attityder till betalmetoder och betaltjänster, s. 26. 185 Metoden har främst utvecklats och slagit igenom på marknaden genom fingerprint cards. Fingerprint cards,
About Fingerprint Cards.
registrerade godtar behandling av dennes personuppgifter. Samtycket kan ges genom ett uttalande eller en bekräftande handling från den registrerade som är skriftlig, elektronisk eller en muntlig förklaring.187
Givande av samtycke är endast att se som frivilligt om den registrerade har en genuin eller fri möjlighet till att vägra eller återkalla ett redan givet samtycke. Samtycke är inte att se som frivilligt i de situationer där det råder betydande ojämlikheter mellan den registrerade och den personuppgiftsansvarige. Ytterligare en indikation på att samtycke inte givits frivilligt är när genomförandet av ett avtal är beroende av samtycket, trots att samtycket inte är nödvändigt för själva genomförandet.188 Att ett samtycke är specifikt menas att det har lämnats för ett eller flera specifika ändamål, vilket betyder att flera samtycken behöver samlas in när det rör sig om flera ändamål för personuppgiftsbehandlingen.189 Kravet angående ett specifikt samtycke syftar till att den registrerade ska ha kontroll och transparens till behandlingen av sina personuppgifter.190 För att samtycket ska anses vara informerat bör den registrerade känna till den personuppgiftsansvariges identitet och syftet med behandlingen för vilka personuppgifterna samlas in.191 I GDPR stadgas det att samtycke kräver ett uttalande eller en
bekräftande handling från den registrerade, vilket betyder att samtycket måste ges via en aktiv handling för att samtycke ska anses vara otvetydigt.192 Samtycke kräver därmed kunskap och
aktivt godkännande om att personuppgifter används och kan inte samlas in eller behandlas genom passivitet. Samtycke får inte godkännas genom obegripliga eller komplicerade klausuler.193 Förändringarna i samtyckesregleringen bedöms innebära att ett flertal företag blir tvungna att utvärdera deras hemsidor och rutiner för hur inhämtande och godkännande av samtycke hanteras från de registrerade, för att sedan presentera lämpliga klausuler som överensstämmer med GDPR:s strängare krav.194
Vid insamling av personuppgifter och annan data via betaltjänstapplikationer, som ofta utvecklats och hanteras av TPP, är det av stor vikt för utvecklarna när samtycke till behandlingen av personuppgifter inhämtas. En stor del av informationen inhämtas redan
187 Europaparlamentets och rådets förordning (EU) 2016/679, art. 4.11 och skäl 32. 188 Europaparlamentets och rådets förordning (EU) 2016/679, skäl 42 och 43. 189 Europaparlamentets och rådets förordning (EU) 2016/679, art. 6.1 a och art. 7. 190 Art. 29-gruppen, Guidlines on Consent under Regulation 2016/679, s. 12. 191 Europaparlamentets och rådets förordning (EU) 2016/679, skäl 42. 192 Art. 29-gruppen, Guidlines on Consent under Regulation 2016/679, s. 16.
193 Jay, Guide to the General Data Protection Regulation: a companion to Data Protection Law and Practice
(4th edition), s. 89.
första gången applikationen används, medan andra uppgifter kan inhämtas vid ett senare tillfälle. Det blir i dessa fall avgörande när samtycke från användaren ges och att den information som givits samtycke till endast används för de ändamål de är ämnade för.195
På samma sätt som den registrerade har rätt att ge samtycke till de uppgifter som får behandlas, har den registrerade rätt att få sina personuppgifter raderade och därmed bli bortglömd. Den personuppgiftsansvarige är skyldig att, utan dröjsmål, radera personuppgifter när den registrerade begär det. När den registrerade återkallar sitt samtycke till behandling av personuppgifter, får uppgifterna inte längre vara nödvändiga för det ändamål de samlades in eller behandlades för. Om hanteringen och lagringen av personuppgifterna skett på ett olagligt sätt har den registrerade alltid rätt att få sina uppgifter raderade.196
4.4.4 Dataportabilitet
Kopplat till samtyckesregleringen finns bestämmelser rörande dataportabilitet, vilket är en nyhet i GDPR i jämförelse med dataskyddsdirektivet. Med rätten till dataportabilitet menas att den som lämnat ut sina personuppgifter har rätt att få ut och använda personuppgifterna på ett annat håll genom att uppgifterna överförs från en personuppgiftsansvarig till en annan. Personuppgifterna ska från början ha tillhandahållits en personuppgiftsansvarig på ett strukturerat, allmänt använt och maskinläsbart format.197 Rätten till dataportabilitet ger
användare av betaltjänsten större valmöjligheter, mer kontroll och större inflytande över sina personuppgifter, eftersom det blir enklare att flytta, kopiera och överföra personuppgifter från en IT-miljö till en annan. Överföringen av personuppgifter innebär att den registrerade har möjlighet att överföra personuppgifterna till en annan betaltjänstleverantör, t.ex. TPP, inom samma eller en annan sektor på marknaden. Rätten till dataportabilitet förväntas främja innovationsmöjligheter på marknaden för att skapa bättre tjänster och kundupplevelser. Delning av personuppgifter mellan personuppgiftsansvariga ska ske på ett tryggt och säkert sätt under den registrerades kontroll.198
195 Carey, Data protection: a practical guide to UK and EU law, s. 318-319. 196 Europaparlamentets och rådets förordning (EU) 2016/679, art. 17 och skäl 65. 197 Europaparlamentets och rådets förordning (EU) 2016/679, art. 20.