Särskilt om behandling av personuppgifter

3.4.1 Principer för behandling av personuppgifter

All behandling av personuppgifter måste uppfylla de grundläggande principerna som föreskrivs i artikel 5.1. Det är den personuppgiftsansvarige som ska säkerställa att de uppfylls, och enligt artikel 5.2 måste denne också kunna visa att principerna följs.160 Även om den registrerade skulle ge sitt samtycke till att personuppgifter behandlas i strid med artikel 5.1 befriar inte det den personuppgiftsansvarige från sitt ansvar att följa principerna.161

153 Öman, s. 64.

154 A. a. s. 65.

155 A. st.

156 A. st.

157 Skäl 15 till förordningen.

158 Artikel 2.1, se även artikel 4.6 för definitionen av ett register.

159 Ledendal m.fl., s. 285.

160 Trzaskowski & Gersvang Sörensen, s. 77. Se även Törngren, Dataskyddsförordningen, artikel 5, Lexino lagkommentar (JUNO), 2019-03-11.

28

Principerna i artikel 5.1 stämmer i stort sett överens med de som gällde enligt dataskyddsdirektivet och PuL, men i dataskyddsförordningen finns ett uttryckligt krav på öppenhet i förhållande till den registrerade.162 Principerna i sin helhet är som följer nedan i avsnitt 3.4.2 till avsnitt 3.4.7.

3.4.2 Laglighet, korrekthet och öppenhet

Uppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.163 Kraven på laglighet och korrekthet är relativt vaga, men syftar i stort till att säkerställa att de krav som framgår av EU:s rättighetsstadga, förordningen och nationell rätt uppfylls.164 För att behandling av personuppgifter ska vara laglig måste den uppfylla åtminstone ett av de villkor som ställs upp i artikel 6 i förordningen.165 HFD har i avgörandet HFD 2016 ref. 40 slagit fast att motsvarande krav i PuL bara innebar att behandlingen av personuppgifter skulle vara förenlig med bestämmelserna i just PuL och föreskrifter som meddelats med stöd av PuL. I internationell litteratur har det dock ansetts att kravet i dataskyddsdirektivet, som låg till grund för PuL, innebar att behandlingen av personuppgifter ska följa all lagstiftning och inte bara dataskyddslagstiftningen.166 Kravet på laglighet härrör från ett krav i artikel 5 i Europarådets konvention 108 på att personuppgifter ska samlas in och behandlas på ett lagligt sätt.167 Alla medlemsstater i EU är bundna av konventionen, och även EU ska ansluta sig till den. Den artikeln talar för att behandlingen av personuppgifter måste vara förenlig med konventionsstaternas lagstiftning i stort.

När en personuppgiftsansvarig lämnar ut personuppgifter till en annan personuppgiftsansvarig för att användas av denne för något ändamål får inte det ändamålet vara oförenligt med de ursprungliga ändamålen för behandlingen.168 Om mottagarens ändamål är oförenligt med utlämnarens strider troligen mottagarens behandling av uppgifterna mot kraven på laglighet och korrekthet.169 En personuppgiftsansvarig får inte heller lämna ut

162 Ledendal m.fl., s. 293.

163 Artikel 5.1 a).

164 Trzaskowski & Gersvang Sörensen, s. 78.

165 Åtminstone har regeringen tolkat principen om laglighet så att den utgör en hänvisning till de lagliga grunderna i artikel 6, se prop. 2017/18:105 s. 47. I vissa fall gäller ännu strängare krav på laglighet, se artikel 9–10 i dataskyddsförordningen.

166 Öman, s. 112.

167 Öman, s. 112. Se även laglighetsprincipen i artikel 8.2 i EU:s rättighetsstadga.

168 Öman, s. 113.

29

personuppgifter om det kan antas att denne ska behandla personuppgifterna på ett sätt som inte är tillåtet enligt förordningen. Då strider själva utlämnandet mot artikel 5.1 a).170

Gällande kravet på korrekthet kan det ifrågasättas om den svenska termen verkligen motsvarar avsikten med bestämmelsen. Av skäl 39 till förordningen framgår att behandlingen ska vara rättvis, men inte att den ska vara korrekt. Detta kan tolkas så att en intresseavvägning eller skälighetsbedömning ska göras när det avgörs om en behandling är förenlig med kravet på korrekthet.171

Om den personuppgiftsansvarige har upprättat en policy för sin behandling av personuppgifter strider det mot kravet på korrekthet om den personuppgiftsansvarige inte följer sin egen policy. Så är åtminstone fallet om policyn varit tillgänglig för de registrerade när personuppgifterna samlades in.172 Om den personuppgiftsansvarige vid ett senare tillfälle vill ändra policyn lär det av kravet på korrekthet följa att den denne bör informera redan registrerade om ändringen. Dessa bör även ges tillfälle att motsätta sig ändringen rörande redan insamlade personuppgifter.173

Principen om öppenhet kräver att all information och kommunikation rörande behandling av personuppgifter är lättillgänglig och lättförståelig. Detta gäller särskilt information till registrerade om den personuppgiftsansvariges identitet, syftet med behandlingen och övrig information för att säkerställa en rättvis och öppen behandling för de registrerade och deras rätt att få bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas.174

Enskilda ska också bli medvetna om de risker, regler och rättigheter som rör behandlingen av deras uppgifter och hur de kan utöva sina rättigheter.175 Öppenhet är dock inte bara av intresse i samband med tillämpningen av artikel 5. Inom ramen för dataskyddsförordningen finns nämligen en generell skyldighet för den personuppgiftsansvarige att uppfylla krav på öppenhet på tre olika områden: vid tillhandahållandet av information till registrerade, vid kommunikation

170 Datainspektionens beslut, dnr 1604–2009 och 1606–2009, beslut, dnr 704–2013 och 2148–2014 samt Förvaltningsrätten i Stockholms domar 2015-11-16 i mål nr 25900–14 och 25902–14.

171 Törngren, Dataskyddsförordningen, artikel 5, Lexino lagkommentar (JUNO), 2019-03-11. Jfr. prop. 2017/18:105 s. 47.

172 Öman, s. 114.

173 A. st.

174 Skäl 39 till förordningen.

30

med registrerade rörande deras rättigheter enligt förordningen och vid hantering av registrerades utövande av sina rättigheter.176

3.4.3 Ändamålsbegränsning

Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.177 Det är möjligt för en personuppgiftsansvarig att ange flera ändamål, och ändamålen måste inte vara förenliga med varandra.178

Med särskilda ändamål menas att ändamålen måste vara tillräckligt tydliga för att möjliggöra implementering av nödvändiga skyddsmekanismer.179 Om ändamålet inte är tillräckligt precist är det inte möjligt att bedöma om personuppgifterna är adekvata och relevanta.180 En personuppgift är sannolikt nödvändig för ett visst ändamål om ändamålet inte kan uppnås utan att uppgiften används. Är det inte möjligt att avgöra vilka personuppgifter som behövs för att ändamålet ska kunna uppnås är ändamålet troligen inte tillräckligt specifikt.181

Ett ändamål som exempelvis ”marknadsföring” är generellt sett inte tillräckligt specifikt.182

Datainspektionen har vidare ansett att det inte är tillräckligt att ange kontroller som ändamål för behandling i form av loggning och övervakning, utan att även syftet med kontrollen måste anges.183

Begreppet uttryckligt angivna innebär att ändamålet måste uttryckas på ett klart sätt. Ändamålen ska helst klargöras så att de inte är vaga eller tvetydiga till sin innebörd eller bakomliggande avsikt.184 De ska dessutom vara bestämda vid tidpunkten för insamlingen, vilket har betydelse för exempelvis hur s.k. överskottsinformation ska hanteras.185 Det finns inget generellt krav på att ändamålet ska antecknas skriftligen, men den personuppgiftsansvarige ska kunna visa att ändamålen angetts uttryckligen vid eller inför insamlingen av

176 Artikel 29-gruppen, Guidelines on transparency under Regulation 2016/679, WP 260 rev. 01, s. 4.

177 Se artikel 5.1 b) och skäl 50 till förordningen.

178 Öman, s. 117.

179 Trzaskowski & Gersvang Sörensen, s. 79. Se även Törngren, Dataskyddsförordningen, artikel 5, Lexino lagkommentar (JUNO), 2019-03-11.

180 Öman, s. 116.

181 A. st.

182 Trzaskowski & Gersvang Sörensen, s. 79.

183 Datainspektionens beslut, dnr 1897–2005, och beslut, dnr 1369–2012.

184 Trzaskowski & Gersvang Sörensen, s. 80.

31

personuppgifterna.186 Skriftligen angivna ändamål gör det också lättare att i efterhand bevisa att kravet är uppfyllt.187 Om ändamålen inte uttryckligen har angetts måste de i efterhand bestämmas för att de regler i dataskyddsförordningen som hänvisar till ändamålen för behandlingen ska kunna tillämpas.188

Med berättigade ändamål avses att en laglig grund krävs för behandlingen enligt artikel 6, och enligt Artikel 29-gruppen måste ändamålet med behandlingen dessutom vara förenligt med annan tillämplig lag.189 En personuppgiftsansvarig måste bestämma både ändamål och medel för behandlingen av personuppgifter. Ändamålet är också en central del av både den information som måste ges till den registrerade och principerna som rör uppgiftsminimering, korrekthet och lagringsminimering.190

3.4.4 Uppgiftsminimering

Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.191 Det innebär att den personuppgiftsansvarige bör försöka se till att så få uppgifter som möjligt behandlas, och att ovidkommande personuppgifter inte får behandlas.192 Personuppgifter bör bara behandlas om syftet med behandlingen inte kan uppfyllas på något annat sätt.193 Bestämmelsen kan därmed sägas innehålla ett slags saklighetskrav när det gäller vilka uppgifter som får behandlas.194 Uppgiftsminimeringen har framför allt till syfte att säkerställa att personuppgifter lagras under så kort tid som möjligt, och för att uppfylla det syftet bör tidsgränser för radering fastställas av den personuppgiftsansvarige.195

Det är i första hand den personuppgiftsansvarige som ska bedöma vilka och hur många personuppgifter som är adekvata och relevanta i förhållande till ändamålen för behandlingen.

186 Öman, s. 115.

187 Törngren, Dataskyddsförordningen, artikel 5, Lexino lagkommentar (JUNO), 2019-03-11.

188 Öman, s. 116. Ett exempel på en sådan regel är artikel 14.1 c) i dataskyddsförordningen, som föreskriver att den registrerade ska förses med information om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen i fall då personuppgifterna inte erhållits från den registrerade.

189 Trzaskowski & Gersvang Sörensen, s. 80. Se även Artikel 29-gruppens yttrande 3/2013, WP 203, s. 19 f. i den engelska versionen.

190 Trzaskowski & Gersvang Sörensen, s. 79.

191 Artikel 5.1 c).

192 Trzaskowski & Gersvang Sörensen, s. 81, Öman, s. 126, se även skäl 39 till förordningen.

193 Skäl 39 till förordningen.

194 Öman, s. 126.

32

Den personuppgiftsansvarige måste kunna förklara varför olika uppgifter behövs för att uppfylla ändamålen och ansvarar för att bestämmelsen följs. I allmänhet godtas den personuppgiftsansvariges bedömning av uppgifternas relevans och mängd.196

3.4.5 Korrekthet

Personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Behandlade personuppgifter behöver alltså bara vara uppdaterade om det är nödvändigt. Frågan om det föreligger sådan nödvändighet får troligen avgöras med hänsyn till ändamålen för behandlingen av personuppgifterna.

Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.197 En personuppgift kan sägas vara riktig om den stämmer överens med verkliga förhållanden. Däremot kan det vara svårt att med ledning av ändamålen för behandlingen bestämma vilka de verkliga förhållandena är.198 I förarbeten har det uttalats att utgångspunkten bör vara att en personuppgift, även om den inte återger en riktig bild av ett sakförhållande, inte är oriktig på så sätt att den behöver rättas om uppgiften korrekt återger ett händelseförlopp i verksamheten och dessutom behövs i verksamheten.199 Bedömningen av om en personuppgift ska anses vara oriktig eller inte, och därmed bedömningen av om den ska rättas, måste göras mot bakgrund av vilka krav verksamheten ställer på behandlingen av personuppgifter.200

Den personuppgiftsansvarige måste på eget initiativ säkerställa att kraven på korrekthet uppfylls.201 Detta kan sägas framgå av skyldigheten i artikeln att vidta alla rimliga åtgärder, som förutsätter aktivitet från den personuppgiftsansvariges sida.202 Den ansvarige är dessutom skyldig att på den registrerades begäran genomföra korrigeringar i enlighet med artikel 16 och 17 i förordningen om rättelse och radering. Det är den ansvarige som får avgöra om den felaktiga personuppgiften ska rättas eller raderas, om den registrerade inte har framställt en begäran om rättelse eller radering enligt artikel 16 respektive 17.203 Vilka åtgärder som är

196 Öman, s. 126.

197 Se artikel 5.1 d) samt skäl 39 till förordningen. Vid bedömningen av vad som utgör dröjsmål och inte kan ledning hämtas från artikel 12.3, se Öman s. 134.

198 Öman, s. 131.

199 SOU 1999:105 s. 286.

200 Prop. 2000/01:33 s. 107.

201 Trzaskowski & Gersvang Sörensen, s. 81.

202 Öman, s. 133.

33

rimliga att vidta får bedömas mot bakgrund av omständigheterna i varje enskilt fall. Exempel på omständigheter som kan beaktas är ändamålen för behandlingen, hur många personuppgifter som behandlas och vilka konsekvenser en felaktig uppgift kan få för den registrerade.204 Om den personuppgiftsansvarige självmant rättar eller raderar en uppgift är denne inte skyldig att underrätta mottagare som den felaktiga uppgiften har lämnats ut till.205

Skyldigheten att vidta rimliga åtgärder för korrigering omfattar inte personuppgifter som är ofullständiga utan att vara felaktiga. Enligt artikel 16 finns det dock en skyldighet att på begäran av den registrerade komplettera sådana uppgifter. Det kan också vara så att en personuppgift som är missvisande inte är adekvat och relevant i förhållande till ändamålen för behandlingen av personuppgifter och därför inte får behandlas enligt artikel 5.1 c).206

3.4.6 Lagringsminimering

Personuppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Efter det måste personuppgifterna avidentifieras eller raderas.207 Enligt artikel 13.2 a) och artikel 14.2 a) ska den registrerade i samband med insamlingen av personuppgifter få information om den period under vilken personuppgifterna kommer att lagras. Om det inte är möjligt ska information istället ges om de kriterier som används för att fastställa den perioden. Den personuppgiftsansvarige måste därmed redan vid insamlingen ta ställning till frågan om gallring.208

Enligt artikel 5.1 e) är det alltså ändamålen för behandlingen av personuppgifterna som avgör hur länge personuppgifterna får bevaras i identifierbart skick. När samma personuppgifter behandlas för flera ändamål får personuppgifterna behandlas för respektive ändamål så länge de behövs för just det ändamålet. När uppgifterna inte längre behövs för något av ändamålen ska de avidentifieras eller raderas.209

Den personuppgiftsansvarige ska självmant se till att personuppgifterna avidentifieras eller raderas. Den registrerade har enligt artikel 17.1 a) rätt att få sina personuppgifter raderade på begäran när de inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat

204 Öman, s. 134. 205 A. a. s. 133. 206 A. a. s. 134 f. 207 A. a. s. 135. 208 A. st. 209 A. st.

34

sätt behandlats. När den personuppgiftsansvarige självmant avidentifierar eller raderar personuppgifter enligt artikel 5.1 e) behöver den registrerade inte informeras. Åtgärder behöver inte heller vidtas för att underrätta andra personuppgiftsansvariga som behandlar personuppgifterna eller mottagare till vilka de raderade personuppgifterna tidigare lämnats ut.210

På begäran av den registrerade ska behandlingen av personuppgifter begränsas enligt artikel 18.1 c). Det innebär enligt huvudregeln att personuppgifterna får lagras i befintligt skick om den registrerade behöver personuppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Uppgifterna kan då lagras trots att den personuppgiftsansvarige inte längre behöver dem för ändamålen med behandlingen.

Under vissa i artikel 5.1 e) angivna omständigheter får dock personuppgifterna lagras under längre perioder, förutsatt att lämpliga tekniska och organisatoriska åtgärder vidtas för att säkerställa den registrerades fri- och rättigheter.211

3.4.7 Integritet och konfidentialitet

Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna.212

Det innefattar skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Den här principen är kopplad till kraven på säkerhet enligt artikel 32 i dataskyddsförordningen. Tillämpningen av principen är därmed beroende av personuppgifternas natur och behandlingen i fråga.213

3.4.8 Laglig grund för behandling

Enligt artikel 6 måste åtminstone en laglig grund föreligga för behandlingen av personuppgifter, och exempel på lagliga grunder som regleras i artikel 6 är den registrerades samtycke och att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.214 Uppräkningen av lagliga grunder i artikeln är uttömmande, men det finns ingen rangordning mellan de angivna lagliga grunderna.215 Vidare är artikel 6.1 kumulativ med artikel 5.1.216 Det innebär att åtminstone en

210 Öman, s. 135 f.

211 Se Trzaskowski & Gersvang Sörensen, s. 82.

212 Artikel 5.1 f)

213 Trzaskowski & Gersvang Sörensen, s. 82.

214 Se artikel 6.1 a) och c) i dataskyddsförordningen.

215 Öman s. 147 och Brinnen, Dataskyddsförordningen, artikel 6, Lexino lagkommentar (JUNO), 2020-05-01.