Materiellt tillämpningsområde

3.3.1 Utgångspunkter för det materiella tillämpningsområdet

Dataskyddsförordningen är tänkt att tillhandahålla skydd för fysiska personer vid behandling av deras personuppgifter, oavsett deras medborgarskap eller hemvist.126 Förordningens materiella tillämpningsområde framgår av artikel 2, som föreskriver att den är tillämplig på behandling av personuppgifter. Det krävs därmed dels att det är fråga om personuppgifter, dels att det är fråga om behandling av sådana uppgifter. Dessa begrepp preciseras i förordningens artikel 4.1 respektive 4.2.

3.3.2 Personuppgifter

Med personuppgifter menas alla uppgifter som är hänförliga till en identifierad eller identifierbar fysisk person.127 Vad som utgör en personuppgift ska tolkas brett.128 Definitionen omfattar uppgifter rörande levande fysiska personer, oavsett medborgarskap eller hemvist.129

Av definitionen följer även att anonyma uppgifter inte omfattas av tillämpningsområdet.130

Inom ramen för dataskyddsförordningen kallas en sådan fysisk person som omfattas av det materiella tillämpningsområdet för en registrerad.

När det gäller upplysningar som avser en identifierad person kan det konstateras att upplysningar som innehåller personnamn eller personnummer omfattas av definitionen.131

Redan nämnandet av namn på en fysisk person i ett visst sammanhang kan innebära att det är fråga om en personuppgift.132 Kort sagt kan en person anses identifierad när denne är urskiljbar från alla andra medlemmar i en grupp.133

En identifierbar person är en person som direkt eller indirekt kan identifieras med hjälp av en eller flera faktorer som är specifika för denne eller genom en identifierare, som exempelvis lokaliseringsuppgifter.134 En uppgift behöver alltså inte nödvändigtvis avse en redan identifierad person för att vara en personuppgift. Det är istället tillräckligt att uppgiften antingen

126 Skäl 14 till förordningen.

127 Artikel 4.1.

128 Wendleby & Wetterberg, Dataskyddsförordningen GDPR: Förstå och tillämpa i praktiken, s. 38. Se även Artikel 29-gruppens yttrande 4/2007, WP 136, s. 6.

129 Skäl 14 och 27 till förordningen.

130 Ledendal, Larsson & Wernberg, Offentlighet i det digitala samhället: Vidareutnyttjande, sekretess och dataskydd, s. 285.

131 Öman, s. 61.

132 Datainspektionens beslut, dnr 1062-99.

133 Artikel 29-gruppens yttrande 4/2007, WP 136 s. 12.

25

ensam eller i kombination med andra uppgifter kan användas för att identifiera en viss person.135

För att avgöra om en person är identifierbar bör samtliga hjälpmedel som rimligen kan komma att användas för att identifiera denne beaktas. Vid bedömningen av huruvida ett hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera en person bör samtliga objektiva faktorer beaktas, däribland kostnader och tidsåtgång för identifiering.136

Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden rörande vad som krävs för att personuppgifter ska avse en identifierbar fysisk person. I yttrandet uttalas att det krävs att antingen en innehållsmässig faktor, en syftesfaktor eller en resultatmässig faktor föreligger.137

Med innehållsmässig faktor menas att information ges om en viss person. Ändamålet med tillhandahållandet av informationen eller vilken inverkan tillhandahållandet har på den registrerade har ingen betydelse.138 Syftesfaktorn innebär att man istället ska se till om informationen används eller sannolikt kommer att användas i syfte att värdera en individ, för att behandla individen på ett särskilt sätt, eller för att annars påverka dennes beteende eller status.139 Avslutningsvis menas med den resultatmässiga faktorn att uppgifter kan avse en individ för att användningen av dem sannolikt kommer att ha en inverkan på personens rättigheter och intressen.140 Det är tillräckligt att individen kan komma att behandlas annorlunda än andra som resultat av behandlingen av uppgifterna.141

Det följer även av definitionen att varje upplysning som avser en identifierbar fysisk person är en personuppgift, även om upplysningen exempelvis bara avser personen i egenskap av arbetstagare. Upplysningen behöver alltså inte avse en persons privatliv.142 Både EU-domstolen och Artikel 29-gruppen har uttalat att begreppet personuppgift kan innefatta samtliga upplysningar. Det innebär att såväl objektiva upplysningar som subjektiva upplysningar som lämnas i form av åsikter eller bedömningar omfattas av begreppet, förutsatt att upplysningarna

avser den registrerade.143 Det villkoret är enligt domstolen uppfyllt när upplysningen på grund

135 Ledendal, m.fl., s. 285, se även Trzaskowski & Gersvang Sörensen, GDPR Compliance – Understanding the General Data Protection Regulation, s. 68. Ett personnummer är ett exempel på en uppgift som ensam kan användas för att identifiera en viss person, och ett förnamn och en bostadsadress är exempel på uppgifter som när de kombineras kan användas för att identifiera en viss person.

136 Skäl 26 till förordningen.

137 Artikel 29-gruppens yttrande 4/2007, WP 136, s. 10.

138 A. st.

139 A. st.

140 A. a. s. 11.

141 A. st.

142 Öman, s. 59 f.

26

av sitt innehåll, syfte eller verkan är knuten till en bestämd person.144 För att uppgifterna ska anses utgöra personuppgifter i förordningens mening krävs inte att de är sanna eller bevisade.145

Det har inte heller någon betydelse i vilken form uppgifterna tillhandahålls.146 Vidare krävs det inte att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifiering möjligt.147 Krypterade uppgifter omfattas därmed av definitionen, så länge någon kan göra uppgifterna läsbara och på så sätt identifiera individer.148

EU-domstolen har i ett mål om s.k. dynamiska IP-adresser uttalat att det inte är fråga om personuppgifter om identifiering av den aktuella personen är förbjuden i lag eller omöjlig att genomföra i praktiken, exempelvis för att den skulle kräva orimliga resurser i form av tid, kostnader och arbetskraft.149 Domstolen menade dock att en dynamisk IP-adress som en leverantör av elektroniska informations- eller kommunikationstjänster registrerar i samband med att en person besöker en webbplats som leverantören gör tillgänglig för allmänheten utgjorde en personuppgift i förhållande till leverantören. Detta gäller enligt domstolen under förutsättning att leverantören förfogar över lagliga medel som gör det möjligt att identifiera den registrerade med hjälp av de ytterligare upplysningar som leverantören förfogar över.150

Datainspektionen har instämt i domstolens uppfattning att ett IP-nummer utgör en personuppgift i de fall någon kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person.151

Rörande ytterligare några tillämpningssituationer kan följande noteras. Anonyma uppgifter som gör det möjligt med s.k. bakvägsidentifikation av en fysisk person utgör personuppgifter.152

Detsamma gäller bild- och ljudupptagningar på fysiska personer, förutsatt att man av

144 Domstolens dom av den 20 december 2017, Peter Nowak mot Data Protection Commissioner, C-434/16, ECLI:EU:C:2017:994, p. 34-35.

145 Artikel 29-gruppens yttrande 4/2007, WP 136, s. 6.

146 A. a. s. 7.

147 Domstolens dom av den 19 oktober 2016, Patrick Breyer mot Bundesrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779, p. 43, Domstolens dom av den 20 december 2017, Peter Nowak mot Data Protection Commissioner, C-434/16, ECLI:EU:C:2017:994, p. 31. Jfr. SOU 1997:39 s. 338.

148 Öman, s. 62. Se även Datainspektionens beslut, dnr 811-2011.

149 Domstolens dom av den 20 december 2017, Peter Nowak mot Data Protection Commissioner, C-434/16, ECLI:EU:C:2017:994, p. 46.

150 Öman, s. 62.

151 Datainspektionens beslut, dnr 593-2005, beslut, dnr 1019-2005, och beslut, dnr 1625-2006 och 58-2007. Se även Kammarrätten i Stockholms dom 2007-06-08 i mål nr 285-07 där domstolen efter ett överklagande gjorde samma bedömning som Datainspektionen.

27

upptagningen direkt eller indirekt kan identifiera den person upptagningen avser.153 Så är dock troligen inte fallet när det gäller information som avser individer bara i egenskap av medlemmar av en större grupp, som exempelvis information om att svenska medborgare har rösträtt i Sverige.154 Däremot är information om att en viss identifierad fysisk person är svensk medborgare att anse som en personuppgift.155

Frågan om de upplysningar som behandlas kan hänföras till en person är en fråga om fakta som vid tvist är föremål för bevisning. Bevisbördan bör då läggas på den som påstår att informationen kan hänföras till en individ, eftersom det sannolikt är lättare för denne att bevisa sitt påstående.156

3.3.3 Behandling av personuppgifter

Som behandling av personuppgifter räknas enligt artikel 4.2 en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter. Det har i sammanhanget ingen betydelse om de utförs automatiserat eller ej.157 Samtliga åtgärder som räknas upp i artikel 4.2, som exempelvis insamling och lagring, är därmed att anse som behandling. För att förordningen ska bli tillämplig vid manuell behandling krävs dock att uppgifterna ingår eller kommer att ingå i ett register.158 Förordningen kräver inte någon aktiv handling, utan är tillämplig även vid passiv lagring av personuppgifter.159