Genomgång av beaktningsgrunden ”av behandlingens art, omfattning,

Denna beaktningsgrunden är reflekterande av naturen. Det går främst ut på att ha principerna bakom förordningen i åtanke, såsom ändamålsbegränsning och lagringsminimering i åtanke vid utformning och val av säkerhetsåtgärder.

Utformning av behandling av personuppgifter bör ske så att behandlingen tjänar människor. Allmänna dataskyddsförordningen respekterar de grundläggande rättigheterna, inkluderat rätten till skydd av personuppgifter, och iakttar de friheter och principer som erkänns i stadgan såsom de fastställts i fördragen.⁸⁵

Varje behandling av personuppgifter måste vara laglig och rättvis. Det borde vara klart för de fysiska personerna som berörs hur personuppgifter insamlas, används eller på annat sätt behandlas samt i vilken utsträckning uppgifterna behandlas eller kommer att behandlas. De specifika ändamål som personuppgifterna behandlas bör även de vara tydliga och legitima samt ha bestämts redan vid tidpunkten då uppgifterna samlades in. Personuppgifterna bör även vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas

84 Se Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, s. 17.

40 för. Personuppgifter bör behandlas på sådant sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindra obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandling.⁸⁶

Behandling av personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd. Detta med anledning av att sådan behandling kan innebära bytande risker för de grundläggande rättigheterna och friheterna. Sådana personuppgifter bör även ingripa personuppgifter som avslöjar ras eller etniskt ursprung.⁸⁷

Personuppgifter hänförda till barn förtjänar särskilt skydd, med anledning av att barn kan vara mindre medvetna om riskerna, följderna och skyddsåtgärderna samt om sina rättigheter rörande behandling av personuppgifter. Särskilt skydd bör i synnerhet gälla vid användning av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt när tjänster erbjuds direkt till barn.88

Behandling av särskilda kategorier av personuppgifter bör inte ske såvida inte behandlingen medges i särskilda fall fastställda av allmänna dataskyddsförordningen, med beaktande av medlemsstaternas rätt att till i viss utsträckning får införa särskilda bestämmelser om dataskydd rörande fullgöra en rättslig skyldighet, uppgift av allmänt intresse eller myndighetsutövning. Utöver de särskilda kraven för sådan behandling bör de allmänna principerna och övriga bestämmelser i allmänna dataskyddsförordningen tillämpas.⁸⁹

I fall som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter bör den personuppgiftsansvarige före behandlingen sker, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken genomföra en konsekvensbedömning enligt artikel 35 allmänna dataskyddsförordningen. Konsekvensbedömningen bör göras avseende dataskydd med syfte att bedöma sannolikhetsgraden av den höga risken och allvaret samt ursprunget av risken. En sådan konsekvensbedömning bör främst innefatta de planerade åtgärderna, skyddsåtgärderna och

86 Se skäl 39 allmänna dataskyddsförordningen.

87 Se skäl 51 allmänna dataskyddsförordningen.

88 Se skäl 38 allmänna dataskyddsförordningen.

41 mekanismerna som ska minska risken, säkerställa dataskyddet och visa att allmänna dataskyddsförordningen efterlevs.⁹⁰

Det finns anledning att speciellt lägga märke till storskalig uppgiftsbehandling med syfte att behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå när det rör konsekvensbedömningar. Detta då storskalig uppgiftsbehandling kan påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk, till exempel med anledning av uppgifternas känsliga natur. Även där ny teknik används storskaligt eller annan behandling som innebär en hög risk för de registrerades rättigheter och friheter, speciellt om behandlingen är sådan att det gör det svårare för fysiska personer att utöva sina rättigheter bör särskilt läggas märke till i förhållande till konsekvensbedömning. Konsekvensbedömning avseende dataskydd bör också genomföras där syftet med personuppgiftsbehandlingen är att fatta beslut om specifika fysiska personer på grundval av profilering eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder.91

Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan säkerhets- och skyddsåtgärder kommer att innebära en hög risk för fysiska personers rättigheter och friheter och den personuppgiftsansvarige anser att risken inte kan begränsas med åtgärder som är rimliga med avseende på tillgänglig teknik och genomförande kostnader bör samråd ske med tillsynsmyndigheten innan behandling inleds enligt artikel 36 allmänna dataskyddsförordningen. Den typen av hög risk orsakas sannolikt av vissa typer av behandling samt en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en sådan begäran, ett uteblivit svar innebär dock inte att tillsynsmyndigheten inte vid ett senare skede kan ingripa i enlighet med förordningen.⁹²

Artikel 9 i allmänna dataskyddsförordningen är en av de få artiklarna som innehåller en uppräkning av kategorier av personuppgifter. Artikeln innehåller ett förbud av behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Till förbudet hör även en del undantag i andra stycket av samma artikel.

90 Se skäl 90 allmänna dataskyddsförordningen.

91 Se skäl 91 allmänna dataskyddsförordningen.

42 Den andra artikel som definierar en kategori av personuppgifter är artikel 10 rörande personuppgift som rör fällande domar i brottmål samt överträdelser. Artikel utgör dock inte ett förbud med undantag så som artikel 9 utan en begränsning av när behandling av personuppgifterna får ske och vad som krävs avseende myndighetskontroll och liknande för att behandlingen ska vara tillåten.

Ändamålen för behandlingen ska vara specifika, legitima och tydliga för de fysiska personerna som berörs. Personuppgifterna som samlas i hänsyn till de ändamålen ska vara adekvata, relevanta och begränsade till vad som är nödvändigt för att uppnå de specifika ändamålen. Personuppgifter bör också enbart behandlas om syftet inte går att inte rimligen inte kan uppnås genom andra medel.⁹³ Förordningen lägger stor vikt vid särskilda, uttryckligt angivna och berättigade ändamål i principerna som finns i artikel 5 p. 1b och c allmänna dataskyddsförordningen som all personuppgiftsbehandling ska ske enligt. Särskilt markerat är även att behandling vid ett senare skede inte får ske på ett sätt som är oförenligt med ändamålen. Principen benämns som ändamålsbegränsning och innebär som namnet föreslår en begränsning i hur behandlingen ska ske i förhållande till de angivna ändamålen. Ändamålen är också en del av principen om uppgiftminimering då uppgifterna som samlas in ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen för vilka uppgifterna samlades inför.