Tillämpning av EU:s lagstiftningsakter

Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Stadgans 8 artikel kan sägas vara en brygga mellan primärrätten och sekundärrätten. Dessa rättigheter som finns med i Stadgan är nämligen implementerade i sekundärrätten genom GDPR.

3.5.5 Tillämpning av EU:s lagstiftningsakter

3.5.5.1 EU-domstolens praxis

Det finns i dagsläget inga rättsfall som berör dataskydd och dess relation till big data. De rättsfall som här hänvisas till används för att skapa en bild av rättsläget genom analogier och liknelser. Likt det avsnitt som berörde Europadomstolens praxis bör även slutsatserna gällande följande fall av EU-domstolen iakttas med försiktighet.

3.5.5.2 C-141/12 och C-372/12 ”M”

I detta sammanslagna fallet har domstolen att bedöma huruvida protokoll tillhörande ett beslut som fattats på en myndighet är klassas som personuppgifter. I punkt 38 framgår att domstolen slår fast att det är tämligen självklart att vissa uppgifter är personuppgifter, om det i protokollet står namn, adress och andra liknande identifikationsmarkörer så utgör dessa personuppgifter. I de fall som var för handen ville de sökandes ha ut själva protokollet för att utröna huruvida den bedömning som gjorts – att de sökanden nekades uppehållstillstånd – var korrekt. I skäl 39 till 41 resonerar domstolen gällande vad som utgör personuppgifter och detta utmynnar i att domstolen fastslår att det legala resonemang som förs, oberoende av om det även innehåller personuppgifter inte lever upp till personuppgifter enligt definitionen i dataskyddsdirektivet. Vad detta innebar är att den sökandes då enligt denna bedömning hade rätt att se uppgifterna som låg till grunden för det resonemang som fördes, men själva resonemanget i sig utgjorde inte en personuppgift. När domstolen sedan gick vidare till att se huruvida skyddet för personuppgifter i Stadgans artikel 8 kränktes fastslog domstolen att denna rättighet var

34 implementerad genom dataskyddsdirektivet.114 Att den då var implementerad på detta vis innebar att det var upp till den medlemsstaten att besluta vilken form det kommunicerade materialet skulle ta och att så länge materialet var ’läsligt’. Innebörden av läsligt i detta sammanhang innebär att om det gick att bedöma om uppgifterna var korrekta och behandlade i enlighet med dataskyddsdirektivet, så skulle de anses uppnå läslighetskravet.115 Domstolen slog då fast att det varken genom dataskyddsdirektivet eller Stadgan kunde utläsas en rättighet för individen att erhålla en komplett kopia på det protokoll som fanns.116 Individen kunde däremot få en maskerad kopia där personupp-gifterna syntes, men den övriga bedömningen maskerats.117

För att då på något sätt koppla domstolens resonemang till diskussionen gällande information och data utan att domstolen faktiskt tar ställning till denna fråga krävs viss analogisering. Domstolen fastslog klart och tydligt att information var skyddsvärd som den var. Ser vi till metadata som presenterades i avsnitt 2.5.3 är den inte alltid personuppgifter, men den kan utgöra ett bihang till personuppgifter. I detta fall kom domstolen fram till att beslutets resonemang och vissa delar av protokollet inte utgjorde sådana personuppgifter som föll under dataskyddsdirektivets skyddsområde eller Stadgan. De resonemangen och delarna av protokollet kan dock liknas med bihang till metadata. De delar av protokollet som inte ansågs utgöras av personuppgifter har ju sina grund i personuppgifter och utan dessa uppgifter är denna information irrelevant. Likt metadata är då denna information helt beroende av den ursprungliga datan. Med denna liknelse skulle det därmed innebära att EU-domstolen möjligen skulle dra en gräns mellan metadata och personuppgifter – förutsatt att metadatan i sig inte innehåller direkta personuppgifter. En sådan skiljelinje kanske dock inte är så lätt att dra, exempel på detta har problematiserats i avsnitt 2.5.2.3 som behandlar aggregat.

114 C-141/12 och C-372/12, p. 55.

115 C-141/12 och C-372/12, p. 57.

116 C-141/12 och C-372/12, p. 58.

35

3.5.5.3 C-291/12 ”Schwarz”

När det gäller fallet Schwarz grundar det sig i en dispyt mellan en tysk medborgare (Schwarz) och staden Bochum. Schwarz ansökte om ett nytt pass men vägrade att hans fingeravtryck registrerades i enlighet med den då gällande säkerhetsförordningen118. Staden svarade då med att neka hans passansökan vilket ledde till att Schwarz då stämde staden med kravet att utfärda ett pass utan att registrera hans biometriska data i form av fingeravtryck.

Det som främst är av intresse i detta fall är inte sakfrågan i sig utan domstolens koncisa konstateranden om data. Domstolen lyfter i resonemanget först upp att Stadgans artiklar 7 och 8(1) är tillämpliga och att dessa lästa tillsammans att data som behandlas av en utomstående part riskerar att kränka dessa rättigheter.119 Resonemanget går sedan vidare till att domstolen snabbt konstaterar att fingeravtryck utgör personuppgifter, då dessa innehåller objektiv och unik information om en identifierbar individ.120 Det kan uppfattas som en självklarhet att biometrisk data som ett fingeravtryck ska anses utgöra personuppgifter, det blir dock av intresse då detta nyanseras i ljuset av relationen mellan data och information. Som framhölls i avsnitt 2.4 kan det finnas ett problem genom definitionsfrågan av när data ska anses utgöra information. En viss liknelse drogs till att data i sig kan uppfattas abstrakt för det mänskliga ögat men om det genomgår en ”översättning” så att människan kan ta till sig det som förmedlas i datan har datan övergått till stadiet information. Ser vi då till fallet fingeravtryck så är det säkerligen alldeles för abstrakta för det mänskliga ögat för att faktiskt kunna utföra ett korrekt utpekande av en individ av statistisk signifikans. Fingeravtrycket kan därmed inte rimligen anses uppnå nivån ’information’ utan den måste fortfarande betraktas som ’data’. Innebörden av domstolens konstaterande i fallet Schwarz är således att även data kan utgöra sådana uppgifter som faller under Stadgans materiella skyddsområde. Det finns därmed ingen helt klar distinktion mellan data och information men genom fallet Schwarz finns stöd för att det inte bara är faktisk information som aktualiserar skyddet för personuppgifter.

118 Rådets förordning (EG) nr 2252/2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass och resehandlingar som utfärdas av medlemsstaterna.

119 C-291/12, p. 24 - 25.