44
förordningen, liksom de delar av dataskyddslagen som har stöd i de aktuella bestämmelserna.
8 Rättslig grund för behandling av personuppgifter
8.1 Laglig behandling
Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes person-uppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den regist-rerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets-utövning.
f) Behandlingen är nödvändig för ändamål som rör den person-uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Bestämmelsen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skill-naden är att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (artikel 6.1 f). I detta sammanhang kan nämnas att flera remissinstanser efterfrågar en definition av begreppet myndighet. Artikel 29-arbets-gruppen för skydd av personuppgifter anser att detta begrepp bör definieras i nationell lagstiftning (Riktlinjer om dataskyddsombud, WP 243 rev.01). Regeringen bedömer mot den bakgrunden att det är regeringsformens terminologi som i Sverige bör vara utgångspunkten vid tolkningen av begreppet myndighet i dataskyddsförordningen. Enligt denna terminologi är samtliga statliga och kommunala organ myndig-heter, med undantag av riksdagen, kommun- och landstingsfullmäktige.
45 Organ som är organiserade i privaträttsliga former, t.ex. kommunala och
statliga bolag, är inte myndigheter, även om de utövar offentlig makt.
Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte utföras. Detta gäller all behandling av personuppgifter, även sådan ostrukturerad behandling som i dag kan ske utan stöd av rättslig grund enligt missbruksregeln i 5 a § PUL. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig i förhållande till den rättsliga grunden, t.ex. nödvändig för att utföra en uppgift av allmänt intresse.
Enligt Svenska Akademiens Ordbok betyder det svenska ordet nöd-vändig att någonting absolut fordras eller inte kan underlåtas. Det unions-rättsliga begreppet har dock inte denna strikta innebörd. Nödvändig-hetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.
Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är tillämplig, omgärdas varje behandling av personuppgifter också av andra krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförord-ningen. Den bestämmelsen motsvarar i stora drag artikel 6 i dataskydds-direktivet, som har genomförts i svensk rätt genom 9 § PUL.
Den första principen som läggs fast i artikel 5.1 är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (led a). Principen om laglighet kan sägas utgöra en hän-visning till de rättsliga grunderna i artikel 6.1. Såvitt avser principen om korrekthet kan det vid en jämförelse med andra språkversioner ifråga-sättas om den svenska termen korrekt motsvarar avsikten med bestäm-melsen. I den danska språkversionen anges i stället att uppgifterna ska behandlas rimeligt. På motsvarande sätt används i den engelska språk-versionen termen fairly, vilket betyder rättvist, skäligt eller rimligt. I den franska språkversionen används termen loyale, vilken har motsvarande betydelse som engelskans fairly. I den tyska språkversionen används uttrycket Treu und Glauben, vilket brukar översättas med god tro eller tro och heder. Alla dessa termer indikerar enligt regeringens mening, tydligare än den svenska termen korrekt, att en intresseavvägning ska
46
göras. I det enskilda fallet kan det således t.ex. vara oförenligt med principen om korrekthet att vidta en viss behandlingsåtgärd, även om denna i och för sig skulle kunna anses vara rättsligt grundad enligt artikel 6, nämligen om behandlingen är oskälig i förhållande till den registrerade.
I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Ett tydligt angivet ändamål är för övrigt som regel en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f.
Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom dataskydds-förordningen, där det av artikel 6.3 andra stycket framgår att syftet med behandlingen, i fråga om behandling som grundar sig på en rättslig förpliktelse, ska framgå av förpliktelsen. Vad gäller behandling som sker i myndighetsutövning och för att utföra uppgifter av allmänt intresse anges i stället att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.
Vidare ska uppgifterna enligt artikel 5.1 bl.a. vara adekvata och korrekta (accurate) och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).
Förordningen ställer inte något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (artikel 5.2).
Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas.
47