Personuppgiftsansvarets faktiska gränser

Sällan är verkligheten okomplicerad och bara för att förordningen i sin definition av personuppgiftsansvaret kan te sig tämligen simpel så är det inte nödvändigtvis något som behöver återspeglas i praktiken.

Enligt gällande rätt är den som bestämmer ändamål och medel för behandlingen att ses som personuppgiftsansvarig för denna. Det handlar alltså om att bestämma vad det är som ska samlas in, varför det ska samlas in och de väsentliga elementen av hur det ska göras. Finns det endast en aktör som gör detta så har den aktören därmed ett ensamt personuppgiftsansvar över den behandling som sker. Här kan det poängteras att det med största sannolikhet i slutändan kommer att bli organisationen, företaget, myndigheten eller liknande som blir ansvarig över den behandling som görs även om den görs av anställda eller enskilda individer inom en sådan organisation. Personuppgiftsansvaret sträcker sig därmed sällan till enskilda individer. I praktiken torde det också vara medlen som är svårast att avgöra, då det inte finns någon tydlig praxis eller vägledning för vad det egentligen är som utgör väsentliga element av medlen.

Finns det fler än en person som är med och bestämmer ändamålen och medlen eller något av dessa så föreligger det ett gemensamt personuppgiftsansvar. Ett gemensamt

177 _{Se kap 4.3.}

personuppgiftsansvar kan uppstå genom att parterna på förhand bestämt ändamålen och medlen för behandlingen och upprättat ett inbördes arrangemang sinsemellan, men det kan även uppstå utan att parterna avtalat om det eller ens vet om att ett gemensamt ansvar föreligger. I förordningen fastställs att ett personuppgiftsbiträde kan övergå från biträde till ansvarig om det agerar som en ansvarig snarare än ett biträde. Det handlar då om att biträdet inte följer det avtal som finns eller att instruktionerna från den ansvariga tillåter biträdet att agera utöver vad som kan anses lämpligt för ett biträde. Det har i praxis också förekommit att gemensamt ansvar uppstått fastän parterna inte varit medvetna om det och där parten själv tyckt att man inte har sådan kontroll eller tillgång till uppgifterna som kan föranleda ett ansvar.179 _{Tillgången till uppgifterna är inte avgörande för personuppgiftsansvar.}

Fastställandet av personuppgiftsansvaret är oberoende av om behandlingen av uppgifter sker på en laglig grund eller ej. Det är inte heller avgörande vad som fastställts på förhand eller vad som avtalats fram. Ansvarsfördelningen avgörs istället i komplexa situationer av de faktiska omständigheterna. Därmed kan inte heller avtal i efterhand förändra

personuppgiftsansvaret, utan det är återigen de faktiska omständigheterna som är av

betydelse. I enlighet med detta skulle man kunna konstatera att det inte går att frånsäga sig ett personuppgiftsansvar man en gång haft om inte behandlingen av uppgifter upphör. Det som med säkerhet kan sägas om personuppgiftsansvaret är att bedömningen av det måste göras i det enskilda fallet.

6.4 Konsekvenserna

Förordningens utformning och den rättstillämpning som växt fram i praxis och vägledning från tillsynsorgan innebär att dataskyddsförordningen kan, och bör tillämpas extensivt i frågor om personuppgiftsansvar. En konsekvens av detta är att personuppgiftsansvaret kan täcka fler och större områden, omfatta svårare och mer komplexa konstellationer av parter, och

utvecklas i takt med den digitala förändring som sker. Det innebär för inblandade parter att ansvarsfördelningen kan sägas vara mer ”rättvist” anpassad. Den som verkligen bestämmer är också den som ska ha ansvaret för att behandlingen sker enligt förordningens bestämmelser. En extensiv tolkning av personuppgiftsansvaret kan även öka skyddet för enskilda individers rätt att få sina personuppgifter skyddade, vilket är en grundläggande mänsklig rättighet. Det krävs däremot att förordningen kan tillämpas effektivt. Det krävs att den som ska tillämpa förordningen förstår hur den ska användas. En extensiv tolkning där mycket ryms inom ramen för personuppgiftsansvaret, som inte uttryckligen framgår av förordningen, bidrar dock till att den kan anses vara mer svårbegriplig.

Att det av både praxis och vägledning framgår att en extensiv tolkning av

personuppgiftsansvaret ska göras behöver inte nödvändigtvis hjälpa den som ska följa

förordningen i sin verksamhet så mycket som rättstillämparen i en dömande situation. Det kan fortfarande vara svårt att begripa hur extensivt, eller var gränsen ska gå för att ansvar ska uppstå. Förvisso har domstolen och datainspektionen konstaterat att personuppgiftsansvaret

inte nödvändigtvis inbegriper en direkt åtkomst till uppgifterna, eller att ett gemensamt ansvar måste vara delat lika. Det ger däremot lite vägledning i hur företag, myndigheter och andra organ ska veta när sådana situationer föreligger eller kan uppkomma, mer än att de kan göra det. I och med att personuppgiftsansvaret i princip kan innefatta hur många aktörer som helst och omfatta ett stort antal behandlingsåtgärder som måste bedömas gällande vem som bär ansvaret för varje åtgärd, så finns det också en överhängande risk att situationer som inte prövats i domstol kan uppkomma och skapa problem för de inblandade parterna. Det är inte rimligt eller möjligt att förordningen ska kunna leva upp till dessa krav att förutse alla tänkbara scenarier som kan föranleda ett ansvar. Däremot är det onekligen så att en bred ändamålstolkning innebär svårigheter för parterna att utröna sitt personuppgiftsansvar om det är många inblandade. Personuppgiftsansvaret blir därmed oförutsägbart.

Om inte de som är personuppgiftsansvariga vet om, eller förstår när det finns ett ansvar och hur det är fördelat kan det vara svårt att leva upp till de skyldigheter som förordningen i övrigt fastställer. Det riskerar att i förlängningen leda till att tillämpningen av bestämmelserna i förordningen påverkas negativt eller inte efterlevs. Förutom det faktum att den ansvariga riskerar skadestånd och sanktionsavgifter så finns det en risk för att personers uppgifter inte skyddas på det sätt som krävs och att de principer som förordningen vilar på fallerar. En personuppgiftsansvarig som inte vet om att det föreligger ett ansvar har inte nödvändigtvis tagit hänsyn till att behandlingen ska vara proportionerlig i jämförelse mellan syftet för behandlingen och skyddet för de registrerade. Möjligheten för registrerade att få ta del av information om behandlingen försvåras om den registrerade inte vet vem som är ansvarig för uppgifterna. Principen om öppenhet riskerar därmed att kränkas.

Personuppgiftsansvaret måste alltså avgöras i varje enskilt fall och det har i praktiken visat sig kunna uppstå under förutsättningar som för parterna varit okända. Det innebär att det är först när det prövas rättsligt som det kan fastställas huruvida ett ansvar föreligger eller ej och huruvida den eller de ansvariga lever upp till förordningen. Det är alltså inte omöjligt att företag, myndigheter och andra organ skulle kunna behandla personuppgifter felaktigt utan att ens vara medvetna om det, endast för att situationen aldrig prövats tidigare. Det kan dock inte vara rimligt att ställa sådana höga krav på förordningen att den ska kunna förutse alla tänkbara scenarier och samtidigt erbjuda ett effektivt skydd för de registrerades uppgifter.

Konsekvenserna av att personuppgiftsansvaret är utformat på det sätt som arbetet beskriver innebär att ett stort ansvar läggs på de parter som är inblandade att tolka den situation som föreligger, för att utröna vem eller vilka som kan tänkas bära ansvaret för den behandling som sker. Parterna måste även ha detta i åtanke när åtgärder vidtas, då ansvaret kan komma att skifta mellan exempelvis en ansvarig och ett biträde, vilket kan innebära nya krav och skyldigheter för samtliga.

6.5 Slutsats

Först och främst kan det konstateras att en behandling av personuppgifter, såsom definierat i förordningen, automatiskt innebär att någon bär ansvaret för den. Enklast för aktörerna vore det naturligtvis om personuppgiftsansvaret alltid fastställdes enligt lag. Det skulle dock vara

kostsamt, ineffektivt och omöjligt att genom lagstiftningsprocess fastställa

personuppgiftsansvar för alla möjliga behandlingar. Förordningen å sin sida strävar snarare efter en effektivitet och för att uppnå de syften som personuppgiftsansvaret fastställer krävs att det finns ett tydligt personuppgiftsansvar, både för parternas och de registrerades skull. Att enbart läsa personuppgiftsansvaret enligt förordningens ordalydelse kan bli problematiskt för parterna, då den lämnar mycket osagt om hur ansvaret ska fördelas och tolkas i praktiken, särskilt i komplexa organisationer eller verksamheter. Det kan innebära en osäkerhet för de som är inblandade i en behandling att veta sina roller och därmed en osäkerhet för de registrerade att veta hur deras personuppgifter skyddas och av vem eller vilka. Det effektiva skydd förordningen ämnar ge leder istället till att registrerades grundläggande rättighet att få sina personuppgifter skyddade faller på att parterna på förhand inte kunnat utläsa vem som bär ansvaret för vad. Därmed har de kanske inte heller behandlat uppgifter enligt förordningen på det sätt som erfordras av dem, och inte heller levt upp till de krav som ställs för ett

effektivt skydd. För att inte tala om att parterna själva riskerar häftiga skadestånd och

sanktionsavgifter om det uppdagas att de inte följt förordningen för att de inte burit det ansvar som i praktiken åvilat dem.

Att utröna personuppgiftsansvarets gränser är därför till stor del beroende av andra rättskällor än själva förordningen. Kanske är det dataskyddsförordningens ringa ålder på två år som är orsaken till varför vi ännu inte kunnat se fler domstolsavgörande kring sådana här frågor, men den praxis som diskuterats i arbetet har visat att personuppgiftsansvaret ska tolkas extensivt, till fördel för ett effektivt skydd. Det stämmer förvisso överens med den teleologiska

tolkningen som EU-domstolen ofta använder sig av, men det kan i förlängningen få negativa konsekvenser för parterna, då det blir svårt göra en ansvarsfördelning då så mycket kan

rymmas inom personuppgiftsansvaret, som saknar en tydlig gränsdragning. Hjälp kan dock tas av vägledande riktlinjer som ges från bl.a. Artikel 29-gruppen och EDPS, samt från den svenska tillsynsmyndigheten. Datainspektionens vägledning har dock varit aningen oklar gällande personuppgiftsansvaret, särskilt vid web-baserade tjänster och hemsidor. Personuppgiftsansvarets aningen luddiga gränser lämnar det öppet för utveckling, men potentiellt på bekostnad av de registrerades rätt till skydd. Det verkar som det finns en stark vilja från rättstillämparen att inte begränsa sig i ansvarsfrågan för att kunna behålla det effektiva skyddet som förordningen hela tiden tycks eftersträva. Det kanske inte är möjligt att tydliggöra ansvaret så mycket och samtidigt bibehålla flexibiliteten i att lagstiftningen ska kunna åldras tillsammans med den tekniska utvecklingen. Frågan är dock om det är eftersträvansvärt med ett sådant förhållningssätt, eller om det skulle underlätta

ansvarsfördelningen om det fanns tydligare riktlinjer gällande personuppgiftsansvaret. Att det i viss mån skulle kunna få ske på bekostnad av den registrerades rätt till ett effektivt skydd, som inte är en absolut rättighet, och som dessutom ändå riskerar att kränkas om

ansvarsfördelningen blir för svår att fastställa för parterna. Oavsett vilken väg man tycker att rättsutvecklingen gällande personuppgiftsansvaret ska ta så är det min uppfattning att

personuppgiftsansvarets gränser såsom det ser ut idag i slutändan blir en fråga om de faktiska omständigheterna i varje enskilt fall och det klassiska juridiska uttrycket ”det beror på”.