Googles hantering av känsliga personuppgifter

Dataskyddsdirektivet stadgar ett generellt förbud mot att behandla känsliga personuppgifter (artikel 8.1) (13 § PuL). Huvudregeln är således att känsliga personuppgifter inte får behandlas. Det finns dock undantag i artikel 8.2 (a-e) (14-19 §§ PuL). Det första undantaget, och det som främst är aktuellt i denna uppsats, är det uttryckliga samtycket i artikel 8.1 (a) (15 § PuL). Kravet på att samtycke till känsliga personuppgifter ska ges uttryckligt innebär att personuppgiftsansvariga ska möjliggöra för den registrerade att tydligt visa sin vilja. Det uttryckliga samtyckes kan inte ges för framtida behandling utan det är just den hantering som personuppgiftsansvariga ska genomföra vid det aktuella tillfället. 175 Den registrerade måste ha möjligheten att själv vara aktiv i sitt val och därför kan inte förinställda samtycken anses frivilliga.¹⁷⁶ I svensk rätt har frågan om samtycke kan ges i efterhand till behandling av känsliga personuppgifter prövats då information om anställningsförhållanden och

172 Förvaltningsrätten i Stockholm, mål 15410–13, 1 juli 2014.

173 Förvaltningsrätten i Stockholm, mål 15637–13, 31 okt. 2013.

174 Information Commissioner’s Office, GDPR Consent Guidance, 31 mars 2017. https://ico.org.uk/about-the-ico/consultations/gdpr-consent-guidance/.

175 Se Artikel 29 gruppen, WP187, s. 25.

samarbetssvårigheter hade publicerats på en skolas webbsida (NJA 2005 s. 361). HD bedömde att ett sådant samtycke inte rättfärdigar en tidigare behandling, det är således inte en ansvarsfrihetsgrund.

Google samlar olika typer av information löpande under den registrerades utnyttjande av tjänsten. Det kan vara information om vilka tjänster som används och hur dessa används, exempelvis om individen tittar på ett klipp på YouTube, besöker en webbplats eller skriver ett mail. Information gällande vilken enhet som används och även identifikationsuppgifter kopplade till enheten inhämtas av sökmotorleverantören. Angivet i Googles sekretesspolicy redogörs för den information som samlas in löpande, användarens logginformation.177

• ”Information om hur du använde vår tjänst, till exempel dina sökfrågor.”

• ”Information om telefoni, till exempel ditt telefonnummer, den uppringande partens nummer, vidarekopplingsnummer, samtalslängder, information om SMS-routning och samtalstyper.” • ”Internet Protocol-adress.”

• ”Information om händelser på din enhet såsom krascher, systemaktivitet,

maskinvaruinställningar, webbläsartyp, webbläsarspråk, datum och tid för din begäran och hänvisningsadress.”

• ”Cookies som kan identifiera din webbläsare eller ditt Google-konto.”

Utöver enhetsinformation och logginformation behandlas även platsinformation, var den registrerade befinner sig. Vidare, för att förbättra den registrerades upplevelse av Googles tjänster, använder Google kakor. Google kan använda sig av den registrerades sparade information och på så vis anpassa upplevelsen av tjänsten till just en specifik individ, detta inkluderar anpassad reklam (se kap. 4.3.2). Det är en automatiserad analys av individens uppgifter som sker av bland annat sökresultat för att anpassa exempelvis reklam.178

Informationen som samlas in ska hanteras av Google som personuppgifter (se kap. 4.3.4 om varför Google inte omfattas av undantaget för ostrukturerade personuppgifter enligt svensk rätt). Uppgifterna har den registrerade samtyckt till under förutsättningarna som ges av sökmotorleverantören (se kap. 4.3.2). Det finns dock problematik kopplad till Googles insamling av den stora mängd löpande uppgifter som lagras. Den registrerade ska ha tillgång

177 Googles sekretesspolicy, www.google.com/policies/privacy/.

till information gällande vilka uppgifter som hanteras och även möjligheter att få dessa raderade men uppgifterna som samlas in kan sammantaget eller enskilt utgöra känsliga personuppgifter, uppgifter som är baserade på etnisk tillhörighet, religion, sexuell läggning eller hälsa. Undantagen gällande privat hantering aktualiseras inte, vad som återstår är att känsliga personuppgifter inte får hanteras utan uttryckligt samtycke. Detta är ett samtycke till varje hantering och inte en framtida hantering av ospecificerade uppgifter. Mängden uppgifter som samlas in och lagras kan innebära att det uppstår personuppgifter ur informationen som sedan får status som känsliga sett ur sitt sammanhang. Personuppgifter kan få status som känsliga i relation till platsen den registrerade befinner sig på, informationen sammantaget eller utifrån flera specifika uppgifter som analyseras tillsammans. En viss typ av språkinställningar, kopplat till en specifik plats och ett sökresultat skulle kunna röja religion. Ett fotografi, tillsammans med ett namn och en plats skulle kunna utgöra uppgifter om hälsa eller sexualitet. Har dessa uppgifter samlats in och lagrats har de även hanterats vilket inte är i enlighet med personuppgiftslagen om inte ett uttryckligt samtycke inhämtats inför varje hantering. ¹⁷⁹ I samband med Datainspektionens tillsynsärenden gällande kommuners användning av Googles molntjänster (se kap. 4.3.2) publicerades ett pressuttalande avseende de förändringar som skett. Datainspektionen konstaterade att avtalen förbättrats men att det inte skett en granskning av hanteringen av känsliga personuppgifter i förhållande till molntjänster än vilket innebar att det inte är utrett från deras sida hur Google förhåller sig till känsliga personuppgifter i molntjänstavtalen.¹⁸⁰

Google anger i sekretesspolicyn att just kakor inte är kopplade till känsliga personuppgifter (trots att en placering av kakor ska föranledas av ett samtycke).181 Den registrerade kan således inte få riktad reklam baserad på exempelvis religion.¹⁸² Det finns dock inget angivet om att Google avhåller sig från att hantera känsliga personuppgifter. Google anger att ändamålet med hanteringen av personuppgifterna är att ”tillhandahålla, underhålla, skydda och förbättra tjänsterna, för att utveckla nya tjänster och för att skydda Google och våra användare. Vi använder också informationen för att ge dig anpassat innehåll, till exempel

179 Diskussion har förts bland annat av Karen Lawrence Öqvist, VD för Privasee, i en intervju i GDPR podden från den 26 april 2017.

180 Datainspektionens hemsida, www.datainspektionen.se/press/nyheter/2015/datainspektionens-kritik-ger-battre -molnavtal/.

181 Jfr förslaget till E-privacy förordningen s. 6 ff gällande förenklade regler för samtycke till ofarliga kakor.

sökresultat och annonser som är mer relevanta för dig.”¹⁸³ Ändamålet må vara korrekt utifrån en hantering av personuppgifter men det har ingen betydelse för Google gällande hantering av känsliga personuppgifter.