Definitioner

4.4.1 Personuppgifter

Med personuppgifter avses varje upplysning som avser en identi- fierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”).

Exempel på personuppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller online-identifi- kator (t.ex. ip-adress). Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Dataskyddsförordningen är tillämplig på pseudonymiserade upp-

gifter. Med pseudonymisering avses åtgärder som innebär att person-

uppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgif- terna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter.

Av skäl 26 framgår följande.

För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgifts- ansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fast- ställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objek- tiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen.

Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör identifieringen möjlig. Krypterade uppgifter om- fattas också av definitionen, så länge någon har tillgång till en kryp- teringsnyckel som kan göra uppgifterna läsbara och därmed identi- fiera individer.

När det däremot gäller anonymiserade uppgifter är principerna i dataskyddsförordningen inte tillämpliga. Med anonymiserade upp- gifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av anonymiserad information inom t.ex. forskning eller för statistiska ändamål (skäl 26).

Uppgifter om avlidna fysiska personer utgör inte personuppgif- ter enligt dataskyddsförordningen. Definitionen omfattar alltså bara levande fysiska personer, oavsett medborgarskap och hemvist (skäl 14 och 27).

4.4.2 Behandling av personuppgifter

Begreppet behandling (av personuppgifter) omfattar alla åtgärder som vidtas beträffande personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av tek- nik – är det fråga om behandling i dataskyddsförordningens mening. Begreppet ska således tolkas extensivt. Följande åtgärder utgör exempel på behandling av personuppgifter.

• Insamling • Registrering • Lagring • Bearbetning • Läsning • Användning

• Utlämning genom överföring • Spridning

• Radering • Arkivering • Förstöring

4.4.3 Register

Med register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Genom att det räcker att manuellt behandlade personuppgifter är avsedda att ingå i ett register är dataskyddsförordningen tillämplig redan när personuppgifterna samlas in.

EU-domstolen har i ett mål som gällde tolkningen av register enligt dataskyddsdirektivet ansett att det räckte att information om en viss person med lätthet i praktiken kunde sökas fram i samlingen (dom av den 10 juli 2018, Jehovas vittnen, C-25/17, EU:C:2018:551, punkt 61). Motsvarande får antas gälla enligt dataskyddsförordningen.

4.4.4 Den personuppgiftsansvarige

Dataskyddsförordningen definierar den personuppgiftsansvarige enligt följande (artikel 4.7 d).

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas natio- nella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Det avgörande rekvisitet är den som bestämmer ändamålen och med-

len med behandlingen. Den som är personuppgiftsansvarig bestäm-

mer för vilka ändamål uppgifterna ska behandlas och hur behand- lingen ska gå till. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter till någon annan, men personuppgiftsansvaret i sig kan aldrig överlåtas En personuppgifts- ansvarig har per definition alltid bestämmanderätt över ändamålen och medlen för behandlingen.

Datainspektionen1 _{har i fråga om motsvarande definition i person-}

uppgiftslagen uttryckt sig så här (beslut 2010-07-02, dnr 686-2010, se också t.ex. beslut 2012-04-18, dnr 811-2011).

Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initia- tivtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. ”hur” behandlingen ska gå till, t.ex. vilka person- uppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgifter ska raderas.

Förvaltningsrätten i Stockholm har godtagit Datainspektionens be- dömning (dom 2013-10-14 i mål nr 9987-12).

Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i dataskyddsförordningen (artikel 82) och de even- tuella kompletterande svenska dataskyddsbestämmelser som kan gälla (7 kap. 1 § dataskyddslagen). Som huvudregel kan därför bara fysiska personer, juridiska personer, utländska filialer och myndig- heter betraktas som personuppgiftsansvariga. När en juridisk person eller en myndighet bedriver en viss behandling av personuppgifter, bör således den juridiska personen som sådan eller myndigheten som sådan anses som personuppgiftsansvarig även om verksamheten i Sverige bedrivs i filialer eller andra organisatoriska enheter.2

En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig, t.ex. i en registerförfattning. Ett exempel där personuppgiftsansvaret pekas ut i lag är patientdatalagen (2008:355), förkortad PDL. Lagen, som tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, preciserar att en vårdgi- vare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen, dvs. regionen eller kommunen, som är vårdgivare. Det är dock inte den juridiska personen i sig som är personuppgiftsansvarig. Lagen anger att i region och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personupp- gifter som myndigheten utför (2 kap. 6 § PDL). Det innebär att det är den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården (dvs. den myndighet som de facto behandlar personuppgifterna) som pekas ut som person- 2 _{Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till}

uppgiftsansvarig i patientdatalagen. Härmed avses exempelvis s.k. beställar- och utförarnämnder i en region eller en kommun.3

När det gäller behandling av personuppgifter inom socialtjänsten finns särskilda bestämmelser om personuppgiftsansvar i förord- ningen (2001:637) om behandling av personuppgifter inom social- tjänsten, förkortad SoLPUF. Där anges att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför (11 § SoLPUF).

Gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde

Den som behandlar personuppgifter ansvarar antingen för behand- lingen (personuppgiftsansvarig), eller utför behandlingen för den per- sonuppgiftsansvariges räkning (personuppgiftsbiträde).

Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett s.k. personuppgiftsbiträdesavtal sinsemellan. Avtalet ska bl.a. innehålla tydliga instruktioner som föreskriver hur biträdet får behandla personuppgifterna (jfr artikel 28).

I en del fall kan det vara svårt att bedöma på förhand vem som är personuppgiftsansvarig för en viss behandling och vem som är bi- träde. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har bestämt över behandlingen av personuppgifterna. Olika överenskommelser eller avtalskonstruktioner kan visserligen beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Vem som är personuppgiftsansvarig för en viss behandling av per- sonuppgifter är en fråga om fakta som alltid kan bli föremål för bedömning, i sista hand av domstol.

Gemensamt personuppgiftsansvar

Av definitionen av den personuppgiftsansvarige framgår att flera aktö- rer kan vara personuppgiftsansvariga, jfr skrivningen […] som ensamt eller tillsammans med andra bestämmer ändamålen och medlen (jfr artikel 4.7 d). Om flera aktörer är inblandade i samma eller närliggande behandlingar av personuppgifter, måste det utredas vem eller vilka av 3 _{Prop. 2007/08:122 s. 50 och s. 230.}

dessa aktörer som är personuppgiftsansvarig för behandlingen. Det kan då hända att flera aktörer anses gemensamt personuppgiftsansvariga.

Det finns en särskild bestämmelse i dataskyddsförordningen som definierar vad som kännetecknar ett gemensamt personuppgifts- ansvar (artikel 26).

1. Om två eller fler personuppgiftsansvariga gemensamt fastställer ända- målen med och medlen för behandlingen ska de vara gemensamt person- uppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den infor- mation som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de person- uppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2. Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhål- landen gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3. Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avse- ende på och emot var och en av de personuppgiftsansvariga.

Avgörande är om de faktiska omständigheterna är sådana att det i praktiken är två eller fler personuppgiftsansvariga som gemensamt fastställer ändamålen. Även i denna situation kan det uppstå svårig- heter att avgöra om en aktör är exempelvis biträde eller ansvarig för behandlingen. Den s.k. Artikel 29-gruppen har uttalat att graden av självbestämmande och manöverutrymme i beslutsfattandet utgör viktiga parametrar för att avgöra bestämmanderätten. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot bestämmelserna är tydligt fördelade. Detta gäller även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av personuppgifter minskar.4

4 _{Artikel 29-gruppens yttrande 1/2010 om begreppen registeransvarig och registerförare}

(WP 169), s. 13 och s. 22. Artikel 29-gruppen (på engelska Article 29 data protection working party) är ett avvecklat rådgivande EU-organ som skulle se till att dataskyddsförordningen respektive dataskyddsdirektivet tillämpades likformigt i hela EU. Den har ersatts av Euro- peiska dataskyddsstyrelsen men dessa yttranden kan fortfarande tjäna till vägledning.

Vid gemensamt personuppgiftsansvar behöver de inblandade inte skriva ett avtal, däremot ska de ”under öppna former fastställa sitt respektive ansvar”. Det är något oklart vad som avses med detta. Förmodligen ska den fastställda inbördes fördelningen av skyldig- heterna göras tillgänglig för de registrerade, jämför andra punkten. Det finns inget formkrav för hur parterna ska fastställa ansvaret, men det är att rekommendera att det sker skriftligen.5 _{De gemensamt per-}

sonuppgiftsansvariga är skyldiga att fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen. Om de gemensamt personuppgiftsansvarigas respektive skyldigheter fastställs genom EU-rätten eller en medlemsstats nationella rätt, behöver de inte fastställa formerna.

En behandling som sker hos flera aktörer kan ibland utgöra ett ut- lämnande från en personuppgiftsansvarig till en annan (mottagande) personuppgiftsansvarig. Den mottagande aktören är då ansvarig för de behandlingar som denne utför efter överföringen. Man kan fråga sig vem som är ansvarig för själva överföringen, som ju i sig är en behand- ling av personuppgifter. Det finns inget generellt svar att ge. I vissa fall kan man tänka sig att utlämnande och mottagande aktör är gemensamt personuppgiftsansvariga för den tekniska överföringen.

Ett praktiskt vanligt förekommenade exempel kan vara utläm- nanden inom ramen för gemensamma databaser eller it-system inom hälso- och sjukvården. Gränsdragningen är inte helt tydlig och i vissa fall kan man ändå landa i bedömningen att endast en av aktörerna utövar ansvar för överföringen som sådan. Så kan t.ex. vara fallet när en myndighet bestämmer att ett bolag ska lämna ut vissa person- uppgifter.

4.4.5 Samtycke

Ett samtycke är varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behand- ling av personuppgifter som rör honom eller henne (artikel 4.11).

Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registre- 5 _{Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till arti-}

rade i praktiken inte kan avstå, kan samtycket inte gärna vara ”fri- villigt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäl- ler särskilt om den personuppgiftsansvarige är en offentlig myndig- het och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43). Datainspektionen har uttalat att bedömningen om ett sam- tycke har lämnats frivilligt inte bara ska ske utifrån vilken valfrihet som råder, utan även vilket förhållande som föreligger mellan den registrerade och den personuppgiftsansvarige. Utrymmet för ett fri- villigt samtycke inom det offentliga området är därför begränsat.6

För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse. Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke hämtas in.7

Datainspektionen har på personuppgiftslagens tid ansett att det inte var tillräckligt att den registrerade generellt medgav att hälso- uppgifter fick behandlas för att utveckla nya vårdbehandlingsformer för vilka sjukdomar som helst8 _{eller att registrerade generellt sam-}

tyckte till “framtida forskning”9_.

Om en behandling av personuppgifter grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7).

6 _{Datainspektionens beslut 2019-08-20, dnr DI-2019-2221.}

7 _{Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till}

artikel 4, JUNO version:1A.

8 _{Datainspektionens beslut 2008-06-19, dnr 164-2008.}

9 _{Datainspektionens beslut 2011-12-16, dnr 766-2011, jämför också beslut 2015-10-15,}

4.4.6 Andra definitioner av intresse i dataskyddsförordningen

Artikel 4 i dataskyddsförordningen innehåller en rad definitioner av olika begrepp. Utöver de grundläggande begreppen personuppgifter, behandling och personuppgiftsansvar respektive personuppgifts- biträde (se ovan) anges här några av definitionerna.

Profilering är varje form av automatisk behandling av person-

uppgifter som består i att dessa personuppgifter används för att be- döma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetspres- tationer, ekonomiska situation, hälsa, personliga preferenser, intres- sen, pålitlighet, beteende, vistelseort eller förflyttningar.

Mottagare är en fysisk eller juridisk person, offentlig myndighet,

institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är till tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas natio- nella rätt ska dock inte betraktas som mottagare; offentliga myndig- heters behandling av dessa uppgifter ska vara förenlig med tillämp- liga bestämmelser om dataskydd beroende på behandlingens syfte.

Personuppgiftsincident är en säkerhetsincident som leder till oav-

siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som över- förts, lagrats eller på annat sätt behandlats.

Genetiska uppgifter är alla personuppgifter som rör nedärvda eller

förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

Biometriska uppgifter är personuppgifter som erhållits genom en

särskild teknisk behandling som rör en fysisk persons fysiska, fysio- logiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansikts- bilder eller fingeravtrycksuppgifter.

Uppgifter om hälsa är personuppgifter som rör en fysisk persons

fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

4.5

Grundläggande principer vid behandling