Rättsliga grunder för behandling av personuppgifter

av personuppgifter

4.6.1 Inledning

Behandling av personuppgifter är endast tillåten om den stöder sig på minst en av de rättsliga grunder som räknas upp i artikel 6.1 i dataskyddsförordningen. Bestämmelsen räknar uttömmande upp de rättsliga grunder som finns för att det över huvud taget ska vara tillåtet att behandla personuppgifter.

• Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål (led a). • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den

registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (led b).

• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c).

• Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (led d).

• Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning (led e).

• Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (led f).

Led f gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

4.6.2 Arbetsuppgift av allmänt intresse

Vad som är ett allmänt intresse10 _{definieras inte i dataskyddsförord-}

ningen. Innebörden av begreppet allmänt intresse i dataskyddsför- ordningens mening har ännu inte närmare utvecklats av EU-dom- stolen i mål om behandling av personuppgifter. Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskydds- direktivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EU-rättslig betydelse genom dataskyddsförordningen än det hittills har haft.11

Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i arti- kel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten.12

Rent språkligt torde begreppet allmänt intresse avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folk- hälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det framgår också att arkivändamål kan vara av allmänt intresse (t.ex. artikel 5.1 b).

10 _{I detta sammanhang avses det EU-rättsliga begreppet allmänt intresse enligt dataskydds-}

förordningen, inte begreppet allmänt intresse enligt kommunallagen.

11 _{SOU 2017:39 s. 123.} 12 _{Prop. 2017/18:105 s. 57.}

Arbetsuppgiften av allmänt intresse respektive myndighetsutöv- ningen ska ha stöd i tillämplig rättsordning, i praktiken i EU-rätten eller den nationella rätten. Svenska myndigheters uppdrag och ålig- ganden följer av författningar, regeringsbeslut och kommunala regle- menten. Dessa är i sin tur antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. Regeringen anförde i förarbetena till dataskyddslagen att uppgift av allmänt intresse måste ges en vid betydelse för att myndigheternas verksamhet ska kunna fungera.13 _{Uttalanden i förarbeten, bestäm-}

melsens syfte och den rättsliga kontexten i övrigt kan beaktas för att avgöra om en arbetsuppgift eller myndighetsutövning följer av lag. Det är alltså inte bara lagtextens ordalydelse som är av relevans för att avgöra om något följer av lag.

Dataskyddsutredningen har bedömt att det med hänsyn till svensk

förvaltningstradition är rimligt att alla arbetsuppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även obligatoriska arbets- uppgifter som utförs av kommuner och regioner, till följd av deras åligganden enligt lag eller förordning, bedöms av Dataskyddsutred-

ningen vara av allmänt intresse i dataskyddsförordningens mening.14 Socialdataskyddsutredningen har konstaterat att det krävs en om-

fattande administration för att vidta åtgärder i syfte att tillhandahålla de rättigheter som föreskrivs i de internationella rättighetsstad- gorna. Att de ansvariga institutionerna kan administrera sin verk- samhet på ett ändamålsenligt sätt är en förutsättning bl.a. för att det ska gå att tillhandahålla en säker och trygg hälso- och sjukvård och för att de sociala trygghetssystemen ska kunna fungera. Även den administration som krävs för att tillhandahålla förmåner, vård och andra rättigheter, får därmed anses ligga inom ramen både för vad som är ett allmänt intresse och ett viktigt allmänt intresse15_{. Social-}

dataskyddsutredningen har också bedömt att det är ett allmänt

intresse att bedriva sådan verksamhet som ska finnas i enlighet med internationella rättighetsstadgor, som omfattar alla medlemsstater i EU, bl.a. hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten.16

13 _{Prop. 2017/18:105 s. 56.} 14 _{SOU 2017:39 s. 124.}

15 _{Se nedan i avsnitt 4.8.3 om viktigt allmänt intresse, som ger stöd för att behandla känsliga}

personuppgifter enligt artikel 9.2 g.

Den kommunala kompetensen slås fast i kommunallagen (2017:725) och anger de yttre ramarna för vad kommuner och regio- ner får ägna sig åt. De kommunala myndigheternas obligatoriska arbetsuppgifter följer av lag. Åtgärder som myndigheterna vidtar i syfte att utföra dessa arbetsuppgifter har därmed i sig en laglig grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Den kommunala kompetensen som ges i kommunallagen syftar just till att angelägenheter av allmänt intresse kan utföras. Kommuner och regioner har – utöver sina obligatoriska arbetsuppgifter – en långt- gående möjlighet att göra frivilliga åtaganden så länge principen om allmänt intresse följs. Kommuner och regioner får driva t.ex. närings- verksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt invånarna. Även sådana arbetsuppgifter torde ha ett allmänt intresse i data- skyddsförordningens mening.

Även privata aktörer kan utföra arbetsuppgifter av allmänt in- tresse på uppdrag av en myndighet eller på eget initiativ. Bedöm- ningen av om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan.17 _{Som exempel på verksam-}

heter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funktionsned- sättningar, kommunikation och energiförsörjning. Flera av dessa verksamheter har sina arbetsuppgifter fastställda i lag, t.ex. hälso- och sjukvården och skolan.

4.6.3 Nödvändighetskravet

Behandling av personuppgifter måste vara nödvändig för att fullgöra en rättslig förpliktelse, utföra arbetsuppgiften av allmänt intresse eller myndighetsutövningen (artikel 6.1c och e). Det måste därmed finnas ett samband mellan behandlingen och arbetsuppgiften eller myndighetsutövningen. Begreppet nödvändig ska inte tolkas så att arbetsuppgiften eller myndighetsutövningen bara kan fullgöras på just det valda sättet. Den metod som den personuppgiftsansvarige väljer måste dock vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. 17 _{Jfr prop. 2017/18:105 s. 58.}

I verksamheter med arbetsuppgifter av allmänt intresse eller myn- dighetsutövning, som har stöd i rättsordningen kan en mängd olika sorters administrativa åtgärder behöva vidtas för att verksamheten ska fungera. Det kan handla om åtgärder av varierande slag och som inte i sig omfattas av någon särskild reglering i den nationella rättsord- ningen. Dessa åtgärder bör enligt förarbetena till dataskyddslagen ses som arbetsuppgifter av allmänt intresse. Regeringen har för dessa fall uttalat följande.18

Den specifika behandlingen måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt upp- drag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i så- dana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt […]. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste vara fastställda i enlighet med gällande rätt, vilket de som framgår ovan redan är.

4.6.4 Grunden måste vara fastställd i nationell rätt

Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3).

Det innebär att det inte är möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behand- ling. Dataskyddsutredningen har analyserat om det med anledning av detta krav behöver införas generella nationella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personupp- gifter. Enligt Dataskyddsutredningens bedömning krävdes det inte någon särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Däremot är förekomsten av reglering avgörande för i vilken utsträckning personuppgiftsansvariga kan behandla person- uppgifter på den grunden att det är nödvändigt för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse 18 _{Prop. 2017/18:105 s. 61.}

eller som ett led i myndighetsutövning. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att de lagliga grunderna för behandling av personuppgifter i arti- kel 6.1 c och e ska vara tillämpliga.19