Principen om lagringsminimering - Dataskyddsprinciperna i artikel 5

4.4 Dataskyddsprinciperna i artikel 5

4.4.5 Principen om lagringsminimering

I artikel 5.1 e) uttrycks principen om lagringsminimering. I den anges att person-uppgifterna inte får förvaras i en form som möjliggör identifiering av den regi-strerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

175 Information Commissioner's Office, Principle (d): Accuracy, www.ico.org.uk, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protec-tion-regulation-gdpr/principles/accuracy/.

176 Öman, s. 131.

177 European Parliamentary Research Service, s. 72.

178 Ibid, s. 73. I studien diskuteras inte i detalj hur sådana tekniska lösningar kan se ut; i detta avseende hänvisas istället till Bacon, Michels, Millard & Singh, s. 76.

i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och orga-nisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter. Enligt skäl 39 bör den personuppgifts-ansvarige införa tidsfrister för radering eller kontroll av huruvida en lagring av personuppgifterna fortfarande är nödvändig. Denna skrivelse i skäl 39 ges i viss mån konkreta manifesteringar i artiklarna 13.2 a) och 14.2 a), där det anges att den registrerade ska ges information om den tidsperiod under vilken personupp-gifterna kommer att lagras, och om det inte är möjligt, de kriterier som används för att fastställa denna period. Av detta följer att den personuppgiftsansvarige redan vid lagringens början måste utvärdera när och hur personuppgifterna ska raderas. Det är den personuppgiftsansvarige som självmant ska tillförsäkra att personuppgifterna raderas när lagringsminimeringsprincipens förutsättningar uppfylls.179 Detta är en viktig skillnad mot artikel 17, enligt vilken den registrerade ges en rätt att på begäran få sina personuppgifter raderade.

En annan viktig skillnad i förhållande till artikel 17 är att en personuppgifts-ansvarig som raderar personuppgifter i enlighet med lagringsminimeringsprinci-pen inte behöver underrätta andra personuppgiftsansvariga som behandlar samma uppgifter om raderingen. I artikel 17.2 anges tvärtom att radering av per-sonuppgifter som företas på begäran av den registrerade föranleder en skyldighet för den personuppgiftsansvarige att, om möjligt, underrätta andra som behandlar personuppgifterna att en radering av uppgifterna har begärts. Detta krav disku-teras närmare senare i uppsatsen.

I de enklaste av fall uppfylls principen om lagringsminimering genom att per-sonuppgifterna förstörs eller avidentifieras när de inte längre behövs. Eftersom ändamålen med behandlingen redan bör vara tydligt definierade bör det gå att fastställa när uppgifterna inte längre är nödvändiga för att uppfylla dem. Uppgif-terna torde inte heller vara adekvata eller relevanta om de inte behövs för att uppfylla ändamålen med behandlingen (jfr uppgiftsminimeringsprincipen).180 En situation i vilken det blir tekniskt svårare att uppfylla principen om lagringsmini-mering är då personuppgifterna är krypterade eller lagrade på ett sätt som försvå-rar identifiering av uppgifterna. Det följer av artikel 32 att personuppgiftsbehand-lingen ska omgärdas av erforderlig säkerhet, till exempel med hjälp av kryptering. Av detta torde följa att den personuppgiftsansvariges, som ett led i sina proaktiva åtgärder, måste upprätta rutiner som möjliggör för ett erforderligt skydd av per-sonuppgifterna samtidigt som de kan identifieras och raderas när de inte längre är nödvändiga. Sådana rutiner bör även innefatta att den personuppgiftsansvarige kontinuerligt utvärderar huruvida personuppgifterna som lagras fortfarande är nödvändiga.181

179 Öman, s. 135.

180 IT GOVERNANCE PRIVACY TEAM, EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide, s. 113 f.

Lagringsminimeringsprincipen hänger logiskt samman med de andra princi-perna i artikel 5, vilka alla, enligt Frydlinger m.fl., ger uttryck för en avvägning mellan rättigheter. Mer konkret ger lagringsminimeringsprincipen individen ett skydd genom att uppgifter inte får lagras längre än nödvändigt. Principens ge-nomslagskraft förutsätter alltså att det går att fastställa hur länge lagringen av personuppgifterna är nödvändig, något som kan vara enklare sagt än gjort.182 Ex-empel på när en bedömning av lagringens nödvändighet är enklare att göra är då lagringen grundar sig på en rättslig skyldighet eller som ett led i en avtalsrättslig förpliktelse. I sådana situationer bör lagringen anses nödvändig så länge den lag-liga grunden eller avtalet kvarstår.183 Att det finns en rättslig grund för en längre lagringstid innebär dock inte per automatik att de andra dataskyddsprinciperna är uppfyllda.

EU-domstolen uttalade i mål C-524/06 (”Huber”) att begreppet ”nödvän-digt” i dataskyddsdirektivet skulle ges en EU-gemensam innebörd. I samma mål konstaterade domstolen att kravet på nödvändighet kan uppfyllas om uppgifterna som behandlas behövs och den aktuella behandlingen innebär effektivitetsvins-ter.184 I proposition till dataskyddslagen anförde regeringen att domen fortfarande bör kunna utgöra stöd vid tolkning av GDPR.185 Regeringen uttalade vidare att det ”i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.”186 Uttalandet bör inte förstås som något mer än att tekniska hjälpmedel är tillåtna under förutsättningen att de lever upp till de krav som ställs på behandlingen enligt förordningen.

Av det faktum att den personuppgiftsansvarige redan då personuppgifterna samlas in måste ta ställning till frågan om radering kan det vidare argumenteras för att nyttjandet av viss teknik måste föregå särskild granskning innan den im-plementeras. Även om det rent teoretiskt är möjligt att uppfylla dataskyddsprin-ciperna vid nyttjandet av exempelvis blockkedjeteknik, kan det vid en avvägning mellan den enskildes rättigheter framstå som oproportionerligt att tekniken an-vänds för den specifika behandlingen. Huruvida så är fallet måste avgöras från fall till fall. Även den franska dataskyddsmyndigheten CNIL anför att nyttjande av blockkedjeteknik, särskilt publika blockkedjor, kan ha svårt att leva upp till de krav som i förordningen ställs på exempelvis uppgiftsminimering och lagrings-minimering.187 Såsom CNIL påpekar och som diskuteras närmare senare i upp-satsen finns det dock tekniska lösningar som i teorin gör det möjligt att närma sig kraven på lagringsminimering även för blockkedjetekniken.

182 Frydlinger, Edvardsson, Olstedt Carlström & Beyer, s. 40.

183 Ibid, s. 40 f.

184 EU-domstolens dom i mål C-524/06, Heinz Huber mot Bundesrepublik Deutschland, p. 52 & 62.

185 Prop. 2017/18:105 s. 47.

186 Ibid.

I delrapporten om blockkedjeteknik inom lantmäterimyndighetens verksam-het anförs att privata blockkedjor som förvaltas av en offentlig myndigverksam-het kan uppnå förordningens krav, förutsatt att ändamålen med behandlingen är tydligt fastställda och det tydligt framgår vilken myndighet som är personuppgiftsansva-rig.188 Vidare konstateras det att radering av personuppgifter enligt artikel 17.3 b) kan nekas om personuppgifterna behandlas på grund av allmänt intresse eller som led i myndighetsutövning. Om personuppgifterna som förs in i en myndig-hets blockkedja begränsas till sådana som är nödvändiga för att exempelvis söka lagfart, skulle förenlighet med förordningen möjligtvis kunna uppnås. I doku-mentet understryker författarna emellertid att det sannolikt behövs både regel-och teknikutveckling för att på bästa sätt skapa samhällsnytta med tekniken sam-tidigt som den förblir förenlig med GDPR.189 Samtidigt menar författarna att det krävs aktivt initiativtagande från myndighetshåll för att utreda samhällsnyttan med teknik såsom blockkedjeteknik.190 Detta är viktigt inte minst mot bakgrund av de krav som GDPR ställer på personuppgiftsansvariga. Skulle blockkedjetek-nikens samhällsnytta endast vara begränsad, finns det mindre anledning för myn-digheter och företag att utnyttja tekniken sett till risken för de registrerades in-tegritet samt risken för sanktionsavgifter gentemot den personuppgiftsansvarige.

Exemplet med nyttjande av blockkedjeteknik för den verksamhet Lantmäte-rimyndigheten bedriver är intressant av flera anledningar. Bland annat visar det på betydelsen av ändamålsprincipen och hur den sätter ramarna för den person-uppgiftsansvariges möjligheter att påverka metoderna för personuppgiftsbehand-lingen. Vidare går det att se hur förordningens mer konkreta bestämmelser kan användas som tolkningsunderlag för dataskyddsprinciperna. Såsom anförs i del-rapporten har den registrerade nämligen ingen rätt till radering av personuppgif-ter som behandlas som ett led i myndighetsutövning; eller som ett led i en rättslig förpliktelse som är fastställd i unionsrätten eller nationell rätt; eller när behand-lingen grundar sig på en uppgift av allmänt intresse. Om artikel 17.3 används som tolkningsunderlag för lagringsminimeringsprincipen skulle en möjlig slutsats vara att den i artikeln stipulerade begränsningen av möjligheten till radering sätter ra-marna för bedömningen av vad som nödvändigt för de ändamål för vilka per-sonuppgifterna behandlas. Av detta följer att myndigheter skulle vara friare att utnyttja teknik som i dagsläget inte når upp till förordningens krav på lagringsmi-nimering. Till detta kan det dock förekomma nationella gallringsregler som före-skriver att myndigheterna måste radera uppgifterna efter en viss tid. En aspekt som talar mot att dataskyddsprinciperna i artikel 5 tolkas i ljuset av förordningens mer konkreta bestämmelser är att principernas efterlevnad utgör en absolut för-utsättning för att behandlingen över huvud taget ska vara tillåten. Av denna an-ledning bör exempelvis en myndighet som avser att behandla personuppgifter

188 Snäll, Suomalainen & Kempe, s. 22.

189 Ibid, s. 22.

vid nyttjandet av blockkedjeteknik, oaktat den registrerades begränsade möjlig-heter till radering, utvärdera hur lagringen kan begränsas i omfattning samt vilka möjligheter till radering som faktiskt föreligger. Detta kan ske genom att inrätta policys där den förväntade legala eller kontraktuella lagringsperioden utvärderas och i vilka det framgår hur lagringen på bästa sätt överensstämmer med de legala kraven på personuppgiftsbehandling, inklusive vilka åtgärder som kan vidtas när och om lagringsperioden går ut.191 En sådan tolkning torde dessutom i större utsträckning vara i överrensstämmelse med förordningens syften och systematik. En personuppgiftsansvarig som inte utvärderar möjligheterna att begränsa lag-ringen, med motiveringen att den registrerade inte har rätt till radering, skulle i en sådan situation ändå kunna anses bryta mot uppgiftsminimeringsprincipen, och i ett senare skede kanske även riktighetsprincipen.

In document Blockkedjeteknik och dataskyddsför- ordningens krav på radering (Page 54-58)