Principerna om laglighet, korrekthet och öppenhet

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. Med laglighet avses att behandlingen av personuppgifter måste vara i full överenstämmelse med hela förordningen.116 Kravet på laglighet kan även sägas vara en hänvisning till artikel 6 och de grunder för laglig behandling som anges där, men även annan nationell speciallagstiftning som tillåter personuppgiftsbehandling.117 Grunderna för laglig behandling i artikel 6 utgörs av a) samtycke, b) fullgörande av avtal, c) fullgörande av rättslig skyldighet, d) skyddande av intresse av grundläggande be-tydelse för den registrerade, e) utförande av uppgift av allmänt intresse eller myn-dighetsutövning, och f) intresseavvägning.118

Principen om korrekthet förstås bättre i dess engelska lydelse: fairly. I skäl 39 till förordningen anges vidare att behandlingen av personuppgifter måste vara laglig och rättvis. I förarbetena till dataskyddslagen angav regeringen att den svenska lydelsen av principen om korrekthet troligtvis ska förstås som att en in-tresseavvägning ska göras vid personuppgiftsbehandling, och att behandling som är oskälig kan strida mot korrekthetsprincipen även i de fall det finns en laglig grund för behandlingen.119

Enligt Frydlinger m.fl. bör principen om korrekthet förstås i ljuset av princi-perna om autenticitet och rätten till självbestämmande, vilka i sin tur utgör en förlängning av principen om människans värdighet. Mer konkret innebär en så-dan tolkning av korrekthetsprincipen att den personuppgiftsansvariga inte får samla in och behandla personuppgifter genom påtryckningar samt att behand-lingen bör ske på ett sätt som är förutsebart för den registrerade och med iaktta-gande av de rättigheter som den registrerade ges i förordningen.120 Den intresse-avvägning som principen om korrekthet förutsätter torde ta sikte även på sådana system för behandling av personuppgifter som den personuppgiftsansvarige an-vänder.121 Den personuppgiftsansvarige måste alltså göra en intresseavvägning både vid själva behandlingen såväl som vid utformningen av behandlingsystem eller andra förberedande åtgärder. En konkret återspegling av detta krav på pro-aktivitet är artikel 25 om inbyggt dataskydd och dataskydd som standard.

116 Sharma, Sanjay, Data Privacy and GDPR Handbook, 1 uppl., John Wiley & Sons, Inc., Hoboken, New Jersey, 27 november 2019, s. 126.

117 GDPR skäl 40. Se även prop. 2017/18:105, s. 47.

118 Frydlinger, Edvardsson, Olstedt Carlström & Beyer, s. 35 f.

119 Prop. 2017/18:105, s. 47.

120 Frydlinger, Edvardsson, Olstedt Carlström & Beyer., s. 32 & 36 f.

121 Bygrave, Lee Andrew, Data Privacy Law: An International Perspective, 1 uppl., Oxford University Press, 16 mars 2014, s. 146 f.

39

Kravet på att personuppgiftsbehandlingen ska vara öppen ger den registrerade bättre möjligheter att utöva kontroll över sina behandlade personuppgifter. Kon-kreta manifesteringar av principen om öppenhet finns i artiklarna 12 till 15 om insyn, men även i artiklarna om rätten till dataportabilitet och rätten till regis-terutdrag.122

I skäl 39 till förordningen anges att det för den registrerade ska vara klart och tydligt hur dess personuppgifter samlas in, används, konsulteras eller på annat sätt behandlas. Det ska även framgå i vilken utsträckning personuppgifter be-handlas eller kommer att bebe-handlas. Vidare förutsätter öppenhetsprincipen att all information och kommunikation i samband med personuppgiftsbehandlingen är tillgänglig och lättbegriplig samt att språket som används är klart och tydligt. Framför allt gäller detta information till den registrerade om den personuppgifts-ansvariges identitet, syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling och för den registrerades rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande hen som be-handlas. Den registrerade ska även göras medveten om vilka risker som är för-knippade med behandlingen av dess personuppgifter samt om vilka regler, skyddsåtgärder och rättigheter som kan göras gällande och åberopas.123

I STOA:s studie anges att principen om öppenhet inte förutsätter att den re-gistrerade ges information avseende den tekniska infrastruktur i vilken person-uppgiftsbehandlingen kommer att ske. Med detta avses att öppenhetsprincipen troligtvis inte medför att den registrerade behöver informeras om att blockked-jeteknik används, men likväl om vilka personuppgifter som behandlas och vilka risker som är förknippade med behandlingen.124 Beroende på hur blockkedjetek-nik avses att användas i det specifika fallet bör det dock inte anses alltför betung-ande för den personuppgiftsansvarige att medvetbetung-andegöra den registrerade om att den sortens teknik används. Med beaktande av vissa av blockkedjeteknikens särdrag, såsom att den information som lagras i en blockkedja som utgångspunkt är oföränderlig, kan det argumenteras för att det kan vara angeläget för en regi-strerad att ta del av sådan information. De konkreta manifesteringarna av princi-pen om öpprinci-penhet ger dessutom stöd för en sådan tolkning av öpprinci-penhetsprinci- öppenhetsprinci-pens förhållande till blockkedjeteknik. Som ett exempel ges den registrerade i artikel 15.1 e) en rätt att, om möjligt, få veta den period för vilken personuppgif-terna kommer att lagras. Om en sådan period inte är möjlig att ange ska den registrerade enligt samma punkt få veta vilka kriterier som används för att fast-ställa denna period. Det faktum att informationen på en blockkedja är oförän-derlig medför att det kan vara svårt att fastställa den period för vilken person-uppgifterna kommer att lagras. Eftersom denna oföränderlighet är ett särdrag för själva blockkedjetekniken bör den registrerade därmed ges en förklaring om

122 Frydlinger, Edvardsson, Olstedt Carlström & Beyer, s. 37.

123 GDPR skäl 39.

40

detta. En sådan öppenhet om att tekniken avses att användas i den specifika si-tuationen skulle dessutom vara i större överensstämmelse med principerna om autenticitet och självbestämmande än om motsvarande information utelämnades. Fullgod information ger den registrerade större möjligheter att utöva sina rättig-heter samt förutse huruvida utövandet av vissa rättigrättig-heter kan försvåras av att den specifika tekniken används. Exempelvis, och som framgår senare i uppsat-sen, finns det en rad svårigheter avseende rätten till radering av personuppgifter i en blockkedja. Ju tidigare och tydligare en individ ges information om sådana svårigheter, desto större kontroll får hen över sina personuppgifter. Här går det även att se en viss överlappning mellan principen om öppenhet och principen om korrekthet. Om den personuppgiftsansvarige är transparent avseende bland annat vilka system som används för behandlingen torde riskerna vara mindre att den registrerade blir överraskad, vilket i sin tur kan få betydelse för intresseav-vägningen.

Öppenhetsprincipens genomslag i en blockkedjekontext möter eventuella hinder av teknikens decentraliserade karaktär. I en privat blockkedja som an-vänds inom exempelvis ett företag, bör öppenhet avseende användningen av blockkedjeteknik inte utgöra några större svårigheter. I sådana fall bör det snarare ingå som ett led i den personuppgiftsansvariges proaktiva åtgärder att förbereda information om hur blockkedjetekniken fungerar och påverkar personuppgifts-behandlingen. I publika blockkedjor blir situationen däremot mer komplicerad. I sådana blockkedjor kan det finnas flera personuppgiftsansvariga som antingen var för sig, eller gemensamt enligt artikel 26, har ansvar för att fullgöra skyldig-heterna enligt förordningen. Vissa av de aktörer som kan kvalificeras som sådana gemensamt personuppgiftsansvariga kan däremot ha begränsade möjligheter att fullgöra dessa skyldigheter. Till exempel kan noderna i en publik blockkedja möj-ligtvis kvalificeras som gemensamt personuppgiftsansvariga, med innebörden att de var för sig enligt artikel 26.3 är ansvariga för att uppfylla den registrerades rättigheter. I praktiken kan det dock vara svårt, eller rentav omöjligt, för den som upprätthåller en nod i en blockkedja att avgöra huruvida informationen i block-kedjan, som ju är krypterad eller ”hashad”, hänför sig till den person som vill göra gällande sin rätt till insyn.125 Vidare kan det i publika blockkedjor vara svårt att, på ett sätt som är i överensstämmelse med öppenhetsprincipen, urskilja vem eller vilka som är personuppgiftsansvariga samt tillse att det finns fullgoda kom-munikationsmöjligheter mellan dem och den registrerade.126

Den franska dataskyddsmyndigheten CNIL har i detta avseende uttalat att den registrerades utövande av sina rättigheter till information är kompatibla med blockkedjeteknikens tekniska särdrag. Myndigheten konstaterar dock att den per-sonuppgiftsansvarige måste förse den registrerade med koncis, lättillgänglig och tydligt formulerad information, innan den registrerades personuppgifter hamnar

125 European Parliamentary Research Service, s. 72.