Personuppgiftsansvar – Ett vara eller icke vara : En rättslig undersökning av personuppgiftsansvarets gränser

(1)

J U R I D I C U M

Personuppgiftsansvar – Ett vara eller icke vara

En rättslig undersökning av personuppgiftsansvarets gränser

Johanna Mellberg

HT 2020

JU101A Examensarbete inom juristprogrammet, 30 högskolepoäng Examinator: Erika Lunell

(2)

Sammanfattning

I takt med en ökad digitalisering och användandet av digitala tjänster så infördes 2018

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), mer känd under namnet GDPR (General Data Protection Regulation).

Syftet var att stärka skyddet för enskildas rätt till skydd för sina personuppgifter och harmonisera datalagstiftningen inom unionen. Ett viktigt arbete med tanke på den ökade användning av digitala tjänster och antalet uppgifter som nu finns tillgängliga via internet. Dataskyddsförordningen är dock ett omfattande regelverk som ska kunna tillämpas av många olika typer och konstellationer av företag, myndigheter och andra organ.

Centralt för allt detta är personuppgiftsansvaret, som aktualiseras så fort det enligt förordningens mening sker en behandling av personuppgifter. Att fastställa vem som är personuppgiftsansvaret är därför av yttersta vikt innan en fortsatt hantering av förordningen kan ske. Det är dock inte ett helt oproblematiskt att avgöra vem som är ansvarig för vad och förordningen i sig lämnar mycket osagt om hur personuppgiftsansvaret ska tolkas eller fastställas. Detta visar sig vara särskilt svårt desto fler parter som är inblandade. Uppsatsen avser därför att försöka klargöra hur gällande rätt avseende personuppgiftsansvaret faktiskt är utformat och därefter se vilka konsekvenser det kan medföra. Det visar sig att det finns en gränsdragningsproblematik gällande personuppgiftsansvaret och att det kan vara svårtolkat för parter att veta när ett personuppgiftsansvar föreligger eller inte. Det kan konstateras att

personuppgiftsansvaret är av föränderlig natur där ansvarsförhållandet mellan parterna kan skifta under tiden för själva behandlingen. En egenskap som både kan medföra positiva såväl som negativa konsekvenser där ett effektiviserat skydd för enskildas uppgifter balanserar mot risken att göra förordningen svår att använda för de som faktiskt ska tillämpa den och i förlängningen leda till höga sanktionsavgifter för företag och organisationer samt ett undermåligt skydd för den registrerade.

(3)

Innehållsförteckning

Förkortningar: 5

1. Inledning 6

1.1 Bakgrund 6

1.2 Syfte 7

1.3 Metod och material 7

1.4 Avgränsningar 8

1.5 Disposition 9

2. Om dataskyddsförordningen 10

2.1 Införandet av en förordning 10

2.1.1 Från Datalag till Dataskyddsdirektiv 10

2.1.2 Den digitala inre marknaden 10

2.1.3 Från direktiv till förordning 11

2.2 Personuppgifter 12

2.3 Dataskyddsförordningens principer 14

2.4 Proportionaliteten som verktyg 16

2.5 Tillämpningsområde 17 2.5.1 Materiellt tillämpningsområde 17 2.5.2 Territoriellt tillämpningsområde 17 2.6 Sammanfattning 18 3. Personuppgiftsansvarig 20 3.1 Vem är personuppgiftsansvarig? 20 3.2 Bestämmanderätt 21 3.2.1 Explicit bestämmanderätt 21 3.2.2 Implicit bestämmanderätt 21 3.2.3 Faktiskt inflytande 22

3.3 Ändamål och medel med behandling 24

3.4 Sammanfattning 26 4. Personuppgiftsbiträdet 27 4.1 Definitionen av personuppgiftsbiträde 27 4.2 Biträdesavtal 28 4.3 Molntjänster 30 4.4 Sammanfattning 31 5. Gemensamt personuppgiftsansvar 33

5.1 Flera aktörer med gemensamt ansvar 33

5.1.1 Varför ett gemensamt ansvar? 33

5.1.2 Att bestämma tillsammans 33

5.1.3 Inbördes arrangemang 34

5.2 Gemensamt personuppgiftsansvar i praktiken 35

5.2.1 Begränsad tillgång till uppgifterna 35

(4)

5.2.1.2 Wirtschaftsakademie Schleswig-Holstein 36

5.2.1.3 Fashion ID 37

5.2.2 Från biträde till ansvarig 38

5.3 Sammanfattning 40

6. Avslutande diskussion 41

6.1 Personuppgiftsansvarets gränser enligt dataskyddsförordningen 41

6.2 Vägledning och praxis 42

6.3 Personuppgiftsansvarets faktiska gränser 44

6.4 Konsekvenserna 45

6.5 Slutsats 46

(5)

Förkortningar:

CNIL – Commission Nationale Informatique & Libertés EDPB – European Data Protection Board

EDPS – European Data Protection Supervisor GDPR – General Data Protection Regulation

OECD – The Organisation för Economic Co-operation and Development PUL – Personuppgiftslagen

(6)

1. Inledning

1.1 Bakgrund

Den tekniska utvecklingen är under ständig framfart och alltmer information delas, sprids och inhämtas via internet. Både myndigheter och företag digitaliserar stora delar av sina

verksamheter. Denna digitalisering kan tänkas innebära en ökad effektivitet, ekonomiska fördelar och nya smartare lösningar. Faktum är att Sverige 2018 inrättade en ny myndighet, myndigheten för digital förvaltning (DIGG), som har i uppdrag att stötta digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig.1 Men med

digitaliseringen följer även risker och juridiken måste hela tiden försöka anpassa sig därefter. När myndigheter och företag i större utsträckning börjar sköta sina verksamheter digitalt innebär det att information som verksamheten hanterar också kommer att hanteras digitalt och möjliggöra för aktörer att behandla stora mängder av sådan elektronisk information, vilken kan innehålla uppgifter om allt från personnummer och namn till privatpersoners

hälsotillstånd eller kreditvärdighet. Detta kan komma i konflikt med människors integritet och lagstadgade rättigheter. I Europeiska unionens stadga om de grundläggande rättigheterna2_så

fastställs i artikel 8 att var och en har rätt att få uppgifter om sig själv skyddade. Således kan problematik uppstå kring hur uppgifter ska behandlas och av vem för att dessa rättigheter ska kunna upprätthållas.

Arbetet kring att försöka reglera behandlingen av personuppgifter har genom åren tagit sig form i olika lagar och regelverk, men den 25 maj 2018 trädde den nya

dataskyddsförordningen3, eller GDPR (The General Data Protection Regulation) som den också kallas, i kraft. Detta är ett omfattande regelverk med 99 artiklar och 173 skäl därtill som gäller för hela unionen och vars syfte i enlighet med förordningens skäl 3 är att harmonisera skyddet för personuppgifter men också att säkerställa ett fritt flöde av personuppgifter mellan medlemsstaterna, vilket även anges i förordningens artikel 1.

Vidare, enligt förordningens artikel 3 punkt 1 så ska den tillämpas på ”…behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde”. Förordningen ska alltså tillämpas och följas av den eller dem som är personuppgiftsansvarig och personuppgiftsbiträde. Följaktligen kan frågan ställas vem som kan anses vara ansvarig när personuppgifter samlas in och behandlas och hur man

särskiljer mellan en personuppgiftsansvarig och ett personuppgiftsbiträde samt när två aktörer kan vara gemensamt personuppgiftsansvariga. Frågan blir central vid all hantering av

personuppgifter. Dels riskerar syftet att skydda individers integritet att urholkas om det råder oklarheter kring vem som ska anses bära ansvaret vid hantering av individernas uppgifter, dels så riskerar även aktörerna som sedan visar sig ansvariga för hanteringen att bli föremål för sanktionsavgifter om förordningen inte följs. Det är därför viktigt att förstå när

personuppgiftsansvar föreligger. Utan den förståelsen så riskerar förordningen att bli endast

1_{Myndigheten för digital förvaltning,}_{https://www.digg.se/}_. 2_{Härefter EU-stadgan.}

(7)

ett medel för sanktioner och när sanktioner blir aktuella finns det då en risk för att individers rätt till skydd för sina uppgifter redan kränkts.

1.2 Syfte

Förordningens bestämmelser som behandlar personuppgiftsansvar är tämligen diffusa när det kommer till personuppgiftsansvarets gränser och kanske främst hur ansvarsfördelningen ser ur när det är flera parter inblandade. Det är i praktiken inte självklart när s.k. gemensamt

personuppgiftsansvar kan uppstå eller om ett personuppgiftsbiträde kanske egentligen är att anse som personuppgiftsansvarig. Uppsatsens syfte är därmed att försöka utröna

personuppgiftsansvaret såsom det anges i förordningen och redogöra för de olika

ansvarsförhållanden som kan uppkomma när behandling av personuppgifter sker. Uppsatsen kommer även att diskutera eventuella konsekvenser som personuppgiftsansvarets utformning kan leda till. Detta kommer att göras genom att besvara följande frågeställning:

- Hur ser ansvarsfördelningen ut mellan parter vid behandling av personuppgifter enligt dataskyddsförordningen och vilka konsekvenser kan gällande rätt såsom den ser ut idag få?

1.3 Metod och material

Arbetet avser att utröna personuppgiftsansvarets gränser och förhållanden till

personuppgiftsbiträden samt gemensamt personuppgiftsansvar, varför arbetet också till stor del kommer att bygga på den rättsdogmatiska metoden som kan sägas gå ut på att beskriva, systematisera och tolka gällande rätt,4 i detta fall angående personuppgiftsansvar inom ramen för dataskyddsförordningen. För att kunna fastställa vad gällande rätt är så tar rättsdogmatiken avstamp i allmänt accepterade rättskällor. De utgörs av lagar och föreskrifter, förarbeten, rättspraxis och doktrin.5

Då dataskyddsförordningen är en av EU stiftad lag så är det också rimligt att en EU-rättslig metod används vid tolkningen av de EU-rättsliga källorna. Förordningar antagna av EU har samma funktion som nationella lagar och gäller enligt sin ordalydelse i Sverige.6 Däremot så följs ofta den svenska lagstiftningen av förarbeten som kan vara behjälpliga vid tolkandet av lagen, något som inte sällan saknas inom EU-rätten med undantag för vissa förklarande skrifter från t.ex. kommissionen som ofta är relativt kortfattade.7 I detta fall finns som ovan nämns ett stort antal skäl till förordningen som kan användas för att utröna dess syfte. Även om förordningen i sig är gällande svensk rätt kan det finnas anledning att tolka denna och övriga EU-rättsliga källor i ljuset av den metod som framarbetats av EU-domstolen, för att resultatet av användningen av källorna ska bli så riktigt som möjligt.8 EU-domstolen använder sig av olika tolkningsmetoder, men är särskilt känd för att använda sig av en ändamålsenlig

4_{Olsen, L, Rättsvetenskapliga perspektiv, SvJT 2004 s. 111.}

5_{Lehrberg, Bert, Praktisk Juridisk Metod, 12 u, Iusté, Uppsala, 2020, s. 38, 203.}

6_{Hettne, J, Otken Eriksson, I (red), EU-rättslig metod – Teori och genomslag i svensk rättstillämpning, 2 u,}

Norstedts Juridik, 2011, s. 177.

7_{Lehrberg, s. 147.}

(8)

tolkning, s.k. teleologisk tolkningsmetod. Anledningen till detta är de förhållandevis vaga och diffusa bestämmelser som ofta präglar EU-rätten.9 Dataskyddsförordningen kan sägas tillhöra denna kategori.

Materialet som kommer att användas är de ovan angivna rättskällorna i form av förordningens bestämmelser, skäl, litteratur och praxis. Då dataskyddsförordningen är relativt ny finns det begränsad domstolspraxis, både från nationell domstol och EU-domstolen. Däremot så skiljer sig inte definitionen av personuppgiftsansvar i förordningen nämnvärt från det tidigare dataskyddsdirektivet10, varför även vissa äldre rättsfall från tiden när direktivet tillämpades kan beaktas.

EDPS (The European Data Protection Supervisor eller europeiska datatillsynsmannen) är ett oberoende organ vars uppgift är att säkerställa att behandlingen av personuppgifter inom unionen görs lagenligt.11 Utöver EDPS så fanns under direktivets tid och framtill införandet av dataskyddsförordningen den s.k. Artikel 29-gruppen som hade en rådgivande roll och såg till att direktivet tillämpades lagenligt. I och med införlivandet av dataskyddsförordningen ersattes Artikel 29-gruppen på sätt och vis av EDPB (European Data Protecion Board eller europeiska dataskyddsstyrelsen).12 Samtliga av dessa har rådgivande och övervakande roller och arbetet kommer i viss mån använda sig av riktlinjer uppställda av organen, för att tolka och fastställa gällande rätt.

1.4 Avgränsningar

Vid behandling av personuppgiftsansvar skulle det kunna vara aktuellt att avhandla hur hanteringen av personuppgifter ska ske, dvs vilka åtgärder en personuppgiftsansvarig måste vidta för att leva upp till förordningens bestämmelser. Detta kommer dock inte behandlas i arbetet, p.g.a. dess omfattning och storlek samt det faktum att det inte kan anses vara nödvändigt med hänsyn till syftet. Undantagsvis kommer förordningens grundläggande principer och uppbyggnad att kort redogöras för, i syfte att ge en övergripande bild av

förordningen och vad den bygger på. Vidare kommer arbetet inte att ta upp ramen för vad som utgör en s.k. uppgiftsincident, dvs någon form av säkerhetsincident som leder till att

personuppgifter oavsiktligt eller olagligt förstörs, förloras eller förändras. Sanktioner och skadestånd till följd av en sådan incident eller att förordningen på annat sätt inte efterlevs kommer inte heller att behandlas då det skulle riskera att göra arbetet alldeles för brett. Dataskyddsförordningen omgärdas av en dataskyddsorganisation med olika

tillsynsmyndigheter och ombud som aktörer kan behöva svara inför. Denna struktur kommer inte att beröras då det inte kan anses vara nödvändigt för uppsatsens syfte. Däremot kommer vissa organ att tas med i arbetet då de bidragit med vägledande riktlinjer för hur

9_{Ibid, s. 158, 168.}

10_{Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med}

avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

11_{European Data Protection Supervisor,}_{https://edps.europa.eu/about-edps_en}_{, hämtad 6 oktober 2020.} 12_{Datainspektionens hemsida, Så här är dataskyddet organiserat i EU, hämtad 6 oktober 2020.}

(9)

personuppgiftsansvaret ska tolkas. Vad gäller territoriella avgränsningar så används mycket material från utländska källor, främst EU-rättsliga sådana, men uppsatsen avser ändå att utröna personuppgiftsansvaret i Sverige.

1.5 Disposition

Uppsatsens andra kapitel redogör för bakgrunden till införandet av dataskyddsförordningen, vad det är förordningen skyddar, de grundläggande principer som förordningen grundar sig på och tillämpningen av förordningen. Avsnittet har i syfte att ge en övergripande förståelse för regelverket och hur det fungerar och vad det bygger på. Uppsatsens tredje kapitel avhandlar grunderna för personuppgiftsansvar, definitionen därav och vad som är avgörande för fastställande av personuppgiftsansvar. Vidare behandlar det fjärde kapitlet

personuppgiftsbiträden i syfte att klargöra vad som utgör ett biträde. Här tas särskilt användningen av s.k. molntjänster upp, i syfte att exemplifiera hur en inte oproblematisk biträdesrelation kan se ut i praktiken. Gemensamt personuppgiftsansvar tas upp i arbetets kapitel fem och hur ansvarsfördelningen sett ut i praxis. Här blir relationen mellan

personuppgiftsansvariga som behandlas i det tredje kapitlet och biträden som tas upp i kapitel fyra av intresse. I arbetets sjätte kapitel förs en avslutande diskussion om ämnet.

(10)

2. Om dataskyddsförordningen

2.1 Införandet av en förordning

2.1.1 Från Datalag till Dataskyddsdirektiv

Redan under 1970-talet, i förstadiet till det digitala samhälle vi lever i idag, uppstod debatt om integritet i samband med behandling av personuppgifter. I den svenska debatten talade man om individens skydd mot framförallt marknaden och staten.13 Som det första land i världen antog sedan Sverige år 1973 en nationell lagstiftning som berörde personuppgiftsbehandling, nämligen datalagen (1973:289). Denna behandlade dataregister och kravet på tillstånd från datainspektionen för att få föra ett sådant digitalt personregister. De materiella reglerna saknades till stor del i datalagen och ställdes snarare upp av datainspektionen genom villkor vid beviljandet av tillstånd. Under resterande del av 1970-talet följde sedan många andra europeiska länder Sverige och inrättade egna nationella lagar gällande behandling av

personuppgifter, vilka ofta innehöll förbud mot överföring av uppgifter till andra länder, något som inte gynnade en gränsöverskridande handel och tillväxt.14

Detta medförde att OECD 1980 antog ett par riktlinjer i syfte att skydda privatliv och internationella överföringar av personuppgifter,15 men också minska skillnaderna i länders nationella lagstiftning för att främja tillväxt och världshandel. Riktlinjerna var en

rekommendation för hur länder kunde utforma sina nationella lagar.16 Vid ungefär samma tid, 1981, så antog Europarådet konvention 108 om skydd för enskilda vid automatisk

databehandling av personuppgifter. Dennas syfte var att tillvarata enskildas rätt till skydd för sina personuppgifter och kan sägas vara en precisering av rätten till privatliv som återfinns i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna (EKMR). Sverige var ett av de länder som skrev under konventionen redan 28 januari 1981.17 Utvecklingen ledde sedan fram till 1995 och Europeiska Unionens antagande av det s.k. dataskyddsdirektivet.18

2.1.2 Den digitala inre marknaden

Den digitala inre marknaden bygger på rörelsefrihet för personer, tjänster, varor och kapital. Detta sätt för personer och företag att oberoende av nationalitet använda sig av nättjänster under rättvis konkurrens och med ett starkt konsument- och personuppgiftsskydd är en strategi skapad av EU-kommissionen för att tackla problem och tillvarata möjligheter som digitaliseringen av den globala ekonomin innebär. Strategin bygger på att förbättra tillgång för

13_{Frydlinger, David, Edvardsson, Tobias, Olstedt Carlström, Caroline m.fl., GDPR – Juridik, organisation och}

säkerhet enligt dataskyddsförordningen, Norstedts Juridik, Stockholm, 2018, s. 21

14_{Öman, Sören, Dataskyddsförordningen (GDPR) m.m. En Kommentar, Norstedts Juridik, Stockholm, 2019, s.}

15.

15_{Se, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 23 September}

1980.

16 Frydlinger m.fl., s. 23.

17_{Datainspektionens hemsida, Idag firas den internationella dataskyddsdagen, 2019, hämtad 17 september}

2020.

(11)

privatpersoner och företag till tjänster och varor som är digitala, att skapa förutsättning för att digitala tjänster och nät ska bli framgångsrika samt att öka potentialen för tillväxt inom den europeiska digitala ekonomin. Detta utgör den inre digitala marknadens tre grundpelare. 19 Den digitala inre marknaden är tänkt att ge möjlighet för entreprenörer och företag att etablera sig och breda ut sig i Europa. Reglerna för e-handel kan vara komplicerade och skilja sig åt mellan medlemsstaterna. I stället menar kommissionen att förenklade regler vid digital handel ökar gränsöverskridande e-handel, men den digitala inre marknaden måste också vara stabil och tillförlitlig och tillvarata rätten till personlig integritet samt skydd för personuppgifter.20

2.1.3 Från direktiv till förordning

Datalagen, som med åren blev föråldrad och tvungen att kompletteras med andra bestämmelser och författningar, ersattes i och med dataskyddsdirektivet av

personuppgiftslagen (”PUL”, 1998:204) som trädde i kraft den 24 oktober 1998 i Sverige.21 EU-direktiv såsom dataskyddsdirektivet sätter en minsta standard men överlämnar till medlemsstaterna att införa nationell lagstiftning som möter den standard vilken anges i direktivet. Det är alltså varje medlemsstats ansvar att själva avgöra hur direktivet ska

implementeras. En större differens mellan medlemsstater gör dock att det blir svårare för dels medborgare att veta hur rätten till skydd för deras personuppgifter tillvaratas på olika platser, dels för företag och myndigheter att veta vilka regler som ska tillämpas när man handlar eller behandlar uppgifter i unionen.22 Principerna som dataskyddsdirektivet tog fasta på var samma principer som fastslogs i både OECD:s riktlinjer samt Europarådets Konvention 108. Vidare återkommer ett flertal av dataskyddsdirektivets bestämmelser i oförändrad form i

dataskyddsförordningen.23

Det hela kulminerade i att Kommissionen 2012 lade fram ett förslag som skulle ersätta dataskyddsdirektivet, men vilket som ovan nämns i mångt och mycket bygger på samma principer och bestämmelser som kan härledas ända till Europarådets dataskyddskonvention, om än något mer utvecklade och utbyggda.24 Dataskyddförordningen är till skillnad från dataskyddsdirektivet en EU-förordning, vilket gör att medlemsstaterna inte kan välja hur förordningen ska implementeras eller förändra den för att anpassas till nationell lagstiftning. Dataskyddsförordningen är som andra EU-förordningar direkt tillämplig i samtliga

medlemsländer och kan därmed inte omkullkastas av nationella regler. Det är ett sätt att

19_{COM(2015) 192 final, Meddelande från Kommissionen till Europaparlamentet, Rådet, Europeiska}

ekonomiska och sociala kommittén samt Regionkommittén, En strategi för en inre digital marknad, Bryssel den 6.5.2015, s. 3f.

20_{Ibid, s. 4 och 9.} 21_{Öman (2019), s. 17f.}

22_{IT Governance, EU General Data Protection Regulation (GDPR) An Implementation and Compliance guide,}

2u, IT Governance Publishing, Cambridgeshire, 2017, s. 12f.

23_{Frydlinger m.fl., s. 24f.} 24_{Öman (2019), s. 19.}

(12)

harmonisera EU och nå en balans mellan ett stärkt skydd för individen och främjandet av den inre marknaden.25

Skyddet av personuppgifter och behovet av dataskydd är med andra ord inte något nytt fenomen som dök upp i och med införandet av dataskyddsförordningen, utan snarare ett resultat av ungefär femtio års utveckling på området. Med tiden har dataskydd och skyddet av personuppgifter däremot kommit att ses alltmer som en mänsklig rättighet. I

Lissabonfördraget som antogs 2009 finns bestämmelser om rätten till skydd för den enskildes personuppgifter. Vid samma tid infördes även EU-stadgan, där artikel 7 om rätten till privatliv blir central för personuppgiftsfrågan, liksom artikel 8 om skydd mot behandling av

personuppgifter.26 I praxis har även EU-domstolen uttalat att bestämmelserna i direktivet ska tolkas i ljuset av de rättigheter som anges i EU-stadgan.27

2.2 Personuppgifter

För att få klarhet i vem som är personuppgiftsansvarig kan det med fördel först fastställas vad som utgör en personuppgift. Det är viktigt dels för den enskilde att ha vetskap om vilka uppgifter som förordningen skyddar, dels för företag och myndigheter att veta när behandling av uppgifter måste ske i enlighet med förordningen.

I förordningens artikel 4.1 anges att begreppet personuppgifter avser alla upplysningar som handlar om en identifierad eller identifierbar fysisk person. Vidare anger förordningen att en identifierbar person är en person som direkt eller indirekt kan identifieras med hänsyn till en s.k. identifierare, som enligt artikel 4.1 kan vara ett identifikationsnummer,

lokaliseringsnummer eller faktorer som är speciella för hans eller hennes fysiska,

fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. Att notera är alltså att personen i fråga inte redan måste vara identifierad, utan redan möjligheten att personen kan bli identifierad ger uppgiften skydd under förordningen. Identifieringen möjliggörs genom att kombinera informationer som tillsammans kan härledas till en person. Uppgifter kan alltså vara personuppgifter även om de inte ensamma kan identifiera en person. Däremot så har det under tiden för dataskyddsdirektivets införande diskuterats hur man ska se på sannolikheten att någon kan identifieras. EU-domstolen har konstaterat att risken för att bli identifierad är betydelselös om det innebär för stora kostnader, tid och ansträngning att ta fram ytterligare uppgifter som kan leda till identifiering. En person är alltså identifierbar endast om den information som krävs för identifiering är någorlunda lättåtkomlig.28 Alla hjälpmedel ska alltså beaktas som rimligen skulle kunna leda till att en person identifieras av antingen den uppgiftsansvarige eller av någon annan.29_{Detta medför att huruvida någon är identifierbar}

25_{IT Governance, s. 12-15}

26_{Frydlinger m.fl., s. 26.}

27_{Se Dom av den 6 oktober 2015, Schrems, C-362/14, EU:C:2015:650, p. 38 och Dom av den 9 mars 2017,}

Salvatore Manni, C-398/15, EU:C:2017:197, p. 39.

28_{Voigt, Paul, Von dem Bussche, Axel, The EU General Data Protection Regulation (GDPR) A Practical Guide,}

Springer International Publishing, 2017, s. 12.

29_{Wendleby, Monica, Wetterberg, Dag, GDPR – Förstå och tillämpa i praktiken, 2a u, Sanoma Utbildning,}

(13)

måste beaktas i varje enskilt fall. Samma synsätt torde även tillämpas i fråga om dataskyddsförordningen.30

Det är med andra ord en hel del som ryms inom begreppet personuppgift, och vad som inryms utgör också grunden för vad som skyddas. Vad det är som skyddas och vad vi har rätt att få skyddat har i sin tur betydelse för vad andra vet om oss och skapar förutsättningar och möjligheter för människor. Vi kan sägas vara i allra högsta grad beroende av vad

myndigheter, allmänhet och företag har för information om oss.31 I EU-domstolens mål C-131/12 (Google Spain), som förvisso grundar sig på direktivet men ändock visar vilken påverkan tillgång till personuppgifter har för människor, så menade en spansk medborgare att Googles länkning till två stycken tidningsartiklar om hans tidigare ekonomiska situation påverkade hans möjlighet att bedriva ekonomisk verksamhet och därmed utgjorde en kränkning av hans personliga integritet. Han fick framgång i EU-domstolen.

Den personliga integritet som förordningen avser att skydda är trots omfattande

integritetsskyddslagstiftning ett relativt odefinierat begrepp av lagstiftaren och vad som är personlig integritet kan också skifta mellan olika kulturer, genom olika tider och

rättstraditioner. Det svenska samhället ser ganska öppet på personuppgifter genom t.ex. diverse allmänna handlingar som kan lämnas ut till vem som helst innehållandes någon annans personuppgifter.32_{Vad det är för typ av personuppgift kan också ha betydelse för hur}

integritetskänsliga uppgifterna betraktas som. När man talar om personuppgifter brukar man kategorisera dessa som objektiva och subjektiva sådana där objektiva uppgifter skulle kunna vara personnummer, telefonnummer eller namn. En subjektiv personuppgift däremot skulle kunna vara en diagnos ställd av läkare eller en kreditvärdesbedömning av en person. En subjektiv personuppgift är med andra ord beskrivande för eller bedömningar av en person.33

Sådana subjektiva uppgifter kan i vissa fall betraktas som mer integritetskänsliga än t.ex. någons namn eller adress. Många uppgifter kan dessutom betraktas som nära knutna till människors identitet, såsom religiös övertygelse, politisk åsikt, etniska ursprung eller

sexualitet. Skyddet av dessa typer av uppgifter är också viktiga ur ett integritetsperspektiv då de skulle kunna utnyttjas och genom exempelvis maktutövning kränka personers värdighet.34 Anonyma uppgifter omfattas inte av skyddet i förordningen. Med anonyma uppgifter avses information som inte kan härledas till en identifierad eller identifierbar fysisk person eller inte längre kan göra det. En personuppgift kan alltså gå från att vara en personuppgift enligt förordningen till att inte vara det. Däremot omfattas krypterade uppgifter då uppgiften för någon kan göras läsbar. Att notera är också att uppgifter inte endast måste vara i textformat

30_{Voigt, s. 13.}

31_{Frydlinger m.fl., s. 33f.}

32_{Magnusson Sjöberg, C (red.), Rättsinformatik – Juridiken i det digitala informationssamhället, 3e u,}

Studentlitteratur, Lund, 2018, s. 146f.

33_{Wendleby & Wetterberg, s. 40.} 34_{Ibid, s. 34.}

(14)

utan kan vara en bild, video eller ljudfil så länge denna direkt eller indirekt kan knytas till en fysisk person.35

Det kan alltså konstateras att vad som kan innefattas i begreppet personuppgift är ganska brett och att det inte endast är objektiva uppgifter som ensamma kan identifiera en person som faller inom förordningens ramar, utan också sådana uppgifter som tillsammans med andra kan utgöra identifiering av personen. Detta innebär att uppgifter som kanske till synes inte verkar vara personuppgifter kan medföra personuppgiftsansvar.

2.3 Dataskyddsförordningens principer

Artikel 5.1 a i förordningen anger att behandlingen av uppgifter ska följas av laglighet, korrekthet och öppenhet gentemot den som uppgifterna behandlar. Normalt sett brukar man betrakta något som lagligt om det inte uttryckligen är förbjudet, men dataskyddsförordningen fungerar på motsatt sätt, dvs för att behandla personuppgifter måste detta vara uttryckligen tillåtet enligt lag.36_{Behandlingens laglighet i artikel 5.1 a är också nära besläktad med artikel}

6.1 i förordningen, som utgör en uttömmande lista över rättsliga grunder. För att behandlingen ska kunna anses vara laglig måste den uppfylla åtminstone ett av de villkor som räknas upp i artikel 6.1.37 Som exempel kan en laglig grund vara samtycke från den registrerade att behandling sker, eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.38 Första punkten i artikel 5 och de rättsliga grunderna i artikel 6 kan sägas vara kumulativa, dvs dels måste behandlingen följa samtliga principer i artikel 5.1 a, dels måste någon av de rättsliga grunderna i artikel 6.1 kunna tillämpas.39

Öppenhetsprincipen som artikel 5.1 a nämner förklaras i skäl 39 till förordningen som anger att information som förmedlas i samband med behandlingen ska vara lätt att förstå och att det ska användas ett klart och tydligt språk vid kommunikation.40 Det handlar om att den

registrerade känner till vilka personuppgiftsbehandlingar som sker gällande den personen41 och på förhand kan avgöra omfattningen och vilka konsekvenser en sådan behandling kan få.42_{Öppenheten är viktig då den möjliggör för de registrerade att förstå behandlingen men}

också utöva de rättigheter de kan ha gentemot personuppgiftsansvariga och ställa ansvariga till svars för en viss behandling av sina personuppgifter.43 Det är därför också viktigt att kunna fastställa personuppgiftsansvaret, så att registrerade har den möjligheten. Principen om öppenhet tar form i andra bestämmelser i förordningen såsom artikel 12 och 13 som behandlar den registrerades rätt att få information om behandlingen av personuppgifter.

35_{Wendleby & Wetterberg, s. 44, 47 och 56.} 36_{Frydlinger m.fl., s. 35.} 37_{Prop. 2017/18:105, s. 45 f.} 38_{Artikel 6.1 a och e GDPR.} 39_{Öman, s. 109.} 40_{Prop. 2017/18:105, s. 47.} 41_{Frydlinger m.fl., s. 35.}

42_{Artikel 29-gruppen, WP 260, Guidelines on transparency under Regulation 2016/679, 2017, s. 8.} 43_{Ibid, s. 5f.}

(15)

Principen om korrekthet heter i den danska versionen ”rimeligt”. I den tyska används ”Treu und Glauben”, som kan översättas till tro och heder, och i den engelska versionen är det översatt från ”fairly”. Alla dessa indikerar, snarare än begreppet ”korrekt”, att en avvägning ska göras i det enskilda fallet.44 I skäl 39 i förordningen anges att en behandling ska vara rättvis. Det kan med andra ord vara så att en behandlingsåtgärd strider mot principen om korrekthet trots att den är lagligt grundad enligt artikel 6.1. Det handlar då istället om

huruvida behandlingen kan vara oskälig i förhållande till den registrerade. Det kan exempelvis handla om att den personuppgiftsansvarige informerar den registrerade om att behandling ska företas på ett visst sätt men sedan inte gör såsom man informerat om och inte heller

informerar den registrerade på nytt.45

Vidare så återfinns principen om ändamålsbegränsning i artikel 5.1 b i förordningen, som innebär att behandlingen av personuppgifter ska ske enligt särskilt uttryckta och berättigade ändamål. Den registrerade har inte bara rätt att få reda på att personuppgifter ska behandlas (principen om öppenhet) utan också varför dessa uppgifter ska behandlas.46 Det är den personuppgiftsansvarige som anger ändamålet, vilket dock inte får vara för allmänt angivet. Detta korrelerar med artikel 5.1. c om principen om uppgiftsminimering, som anger att uppgifterna ska vara adekvata och relevanta. De ska heller inte vara för omfattande i

förhållande till det angivna ändamålet. Ett för allmänt angivet ändamål kan således göra det svårt att veta om uppgifterna är relevanta eller om det är för många uppgifter i förhållande till ändamålet. Ändamålet avgör således vilka uppgifter som får samlas in.47

Behandlingen av uppgifter följs sedan av principer om korrekthet (artikel 5.1 d), som säkerställer att de uppgifter som behandlas ska vara korrekta och uppdaterade,

lagringsminimering (artikel 5.1 e), som innebär att uppgifterna inte ska förvaras så att identifiering kan ske längre än vad som är nödvändigt, samt integritet och konfidentialitet (artikel 5.1 f), som betyder att behandlingen och förvaringen säkerställer att uppgifterna inte förstörs eller förloras genom olycka eller skada och att de skyddas mot otillåten och obehörig behandling.

Det är alltså ovan nämnda principer som hela förordningen vilar på och de kan i stort sett kännas igen från dataskyddsdirektivets dagar. En skillnad mellan det tidigare

dataskyddsdirektivet och den nu gällande dataskyddsförordningen är principen om

ansvarsskyldighet som återfinns i artikel 5.2. I dataskyddsdirektivet var endast angivet att den personuppgiftsansvarige hade ansvaret att se till att direktivets bestämmelser efterlevdes. Sedan förordningen trädde i kraft måste emellertid den personuppgiftsansvarige kunna visa att förordningen efterlevs.48 Ett större krav ställs alltså numera på den personuppgiftsansvarige.

44_{Prop. 2017/18:105, s. 47.} 45_{Öman, s. 113f.}

46_{Frydlinger m.fl., s. 37.} 47_{Öman, s. 115f.}

(16)

2.4 Proportionaliteten som verktyg

Proportionalitet är en grundläggande princip inom EU-rätten och fungerar som ett verktyg för att skapa en balans mellan de medel som används och syftet för vilket de används. Till

exempel vid begränsning av rättigheter så måste begränsningen vara motiverad och

proportionaliteten används då som ett avvägningsverktyg för att säkerställa att fördelarna med en begränsning av någons rättigheter överväger nackdelarna som den kan innebära.49

Proportionalitetsprincipen blir därmed även en viktig del av dataskyddsförordningen, som bygger på skyddet för fysiska personer samt ett fritt flöde av personuppgifter. Det är alltså fråga om att uppnå en balans mellan en grundläggande rättighet att få sin integritet skyddad och tillgången till uppgifter som erhålls genom att inskränka denna individuella rättighet. Individens rätt till skydd för sina personuppgifter är inte en absolut rättighet, då ett sådant system inte skulle tjäna samhället såsom förordningen har i syfte att göra. Detta innebär att rätten att få sina uppgifter skyddade inte alltid är vad som kan anses vara bäst. En dömd brottsling kan till exempel inte få alla uppgifter om tidigare begångna brott borttagna med stöd av förordningen.50

Förordningen anger i skäl fyra att rätten till skydd för personuppgifter måste vägas mot andra fri- och rättigheter i enlighet med proportionalitetsprincipen. I målet Google Spain så vägde domstolen den enskildes rätt att inte få information om sig offentliggjord tyngre än företagets ekonomiska intresse och allmänhetens rätt att få tillgång till informationen. Domstolen påpekar dock att det i vissa fall kan vara allmänhetens intresse som väger tyngre med hänsyn till den ställning som individen, vars rättigheter begränsas, har i samhället.51

Proportionalitetsprincipen tar sig uttryck i förordningen på flertalet ställen och den

personuppgiftsansvariges skyldigheter kan sägas stå i proportion till hur många personer vars uppgifter behandlas, mängden uppgifter som behandlas och för vilka ändamål de behandlas. Särskilt tydlig är kanske proportionalitetsprincipen i just artikel 6.1 f, som anger att

personuppgiftsansvarigs eller tredje mans berättigade intresse ska ha företräde under förutsättning att den registrerades intressen eller rättigheter inte väger tyngre.52 Huruvida behandlingen av personuppgifter är proportionell med hänsyn till syftet med behandlingen och begränsningen av rättigheter är en kontextuell fråga och enligt EU-domstolen något som måste avgöras i varje enskilt fall.53 Det är ändock den personuppgiftsansvarige som måste göra avvägningen mellan olika rättigheter innan behandlingen företas.

49_{European Data Protection Supervisor (EDPS) hemsida, Necessity & Proportionality, hämtad 16 oktober 2020.} 50_{Frydlinger m.fl., s. 29f.}

51_{Dom av den 13 maj 2014, Google Spain, C-131/12, EU:C:2014:317.} 52_{Frydlinger m.fl., s. 43.}

53_{EDPS, EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to}

(17)

2.5 Tillämpningsområde

2.5.1 Materiellt tillämpningsområde

Artikel 2 i Förordningen fastställer dess materiella tillämpningsområde. Artikel 2.1 anger att Förordningens bestämmelser ”…ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.” Det materiella

tillämpningsområdet kan följaktligen tolkas ganska brett för att säkerställa ett starkt skydd för människors integritet vid behandlingen av personuppgifter.54 Det omfattar all behandling som är helt eller delvis automatiserad, men även viss manuell behandling om den ingår eller avser att ingå i ett register.55_{Förordningen har en teknikneutral utformning, i syfte att det inte ska}

vara möjligt att undvika att omfattas av förordningens bestämmelser genom att välja en viss typ av teknik eller plattform. All form av elektronisk behandling inryms i regleringen.56 Artikel 2.2 räknar sedan upp vad som inte rent materiellt omfattas av förordningen. Detta gäller personuppgiftsbehandling vilken ingår i verksamhet som inte omfattas av EU-rätten samt behandling som medlemsstaterna utför om den ingår i EU:s gemensamma utrikes och säkerhetspolitik (Avdelning V kapitel 2 i EU-fördraget). Behandling som är kopplad till nationell säkerhet är sådan som kan undantas från förordningen, även om detta bör tolkas restriktivt.57 Vidare undantas även sådan behandling som sker av en fysisk person i privat syfte, av behöriga myndigheter i deras brottsbekämpande och straffverkställande verksamhet samt av EU:s institutioner och organ.58 Bortsett från dessa undantag kommer det för många personuppgiftsansvariga att innebära att förordningens räckvidd omfattar nästan all aktivitet, och inte begränsar sig endast till personuppgifter om kunder eller liknande, utan omfattar även anställd personal och andra eventuellt inhyrda entreprenörer.59

2.5.2 Territoriellt tillämpningsområde

Artikel 3 i Förordningen fastställer dess territoriella tillämpningsområde. Förordningen blir enligt artikel 3.1 relevant för en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad inom unionen. Det spelar ingen roll om själva behandlingen av personuppgifterna sker inom unionen eller inte. Enligt artikel 3.2 sträcker sig även det territoriella området till behandling av uppgifter där personuppgiftsansvarig eller biträde inte är etablerade inom unionen, förutsatt att behandlingen uppfyller vissa krav. Förordningen ska även tillämpas av en personuppgiftsansvarig om denne inte är etablerad inom unionen men där en medlemsstats nationella rätt gäller enligt folkrätten, detta enligt artikel 3.3.

Artikel 3.1 omfattar alltså personuppgiftsansvariga eller personuppgiftsbiträden med

verksamhet i EU. Förordningen tillämpas inte på behandling av personuppgifter inom ramen 54_{Voigt, s. 9.} 55_{Öman, s. 34.} 56_{Frydlinger m.fl., s. 63f.} 57_{Öman, s. 41f.} 58_{Prop. 2017/18:105, s 19.} 59_{IT Governance, s. 28.}

(18)

för all verksamhet som den ansvarige eller biträdet bedriver, utan tillämpningen sträcker sig till behandlingen av uppgifter som sker inom ramen för den verksamhet som bedrivs inom Unionen.60 EU-domstolen har däremot tolkat bestämmelsen ganska brett i fråga om vad som utgör behandling av personuppgifter inom ramen för en verksamhet som är etablerad inom unionen. Det är dock en fråga som måste besvaras i det enskilda fallet beroende på fakta.61 Här kan sägas att kopplingen till unionen för att anse att en personuppgiftsansvarig eller ett biträde är etablerad även kan vara virtuell och ske genom t.ex. en hemsida på internet. Återigen så läses bestämmelsen med fördel extensivt i syfte att inte göra integritetsskyddet kraftlöst.62_{Det tycks alltså vara så att det antingen kan vara den personuppgiftsansvarige själv}

som har etablerad verksamhet inom unionen, eller så kan det räcka med att det

personuppgiftsbiträde som hanterar behandlingen har en sådan etablerad verksamhet inom unionen som omnämns i artikel 3.1.

Angående artikel 3.2 så syftas här på registrerade personer som befinner sig inom unionen även om den personuppgiftsansvarige eller personuppgiftsbiträdet inte är etablerade där. Uppgifterna skyddas i detta fall under förordningen om ett av två kriterier är uppfyllt. Behandlingen av uppgifter ska antingen röra ett utbjudande av varor eller tjänster till

registrerade utan någon vikt vid om det sker mot betalning eller inte, eller så ska behandlingen av uppgifter handla om övervakning av de registrerades beteende förutsatt, att de agerar inom unionen.63_{Den registrerade personen eller personen vars uppgifter behandlas måste inte vara}

invånare i någon medlemsstat, utan förordningen ställer endast kravet att personen rent fysiskt måste befinna sig inom unionen för att vara berättigad till skydd under bestämmelsen.64

2.6 Sammanfattning

Dataskyddsförordningen är ett omfattande regelverk som vid sitt antagande skulle stärka skyddet för personuppgifter och harmonisera medlemsländernas nationella lagstiftning. Idén är på intet sätt en ny, utan ett resultat av tidigare direktiv och konventioner som följt den tekniska utvecklingen genom åren. Den bygger på ungefär samma grundvalar som det tidigare dataskyddsdirektivet, med undantag för att det nu faller ett större ansvar på den

personuppgiftsansvarige att kunna redovisa hur förordningen följs. Begreppet personuppgift ska förstås brett och innefattar inte nödvändigtvis endast sådana uppgifter som tydligt

identifierar en person, utan även sådana uppgifter som tillsammans med andra kan göra att en person blir identifierbar. Även detta faller på den personuppgiftsansvariga att veta för att kunna förhålla sig till förordningens bestämmelser. Mycket av innehållet i förordningen ska tolkas extensivt för att inte riskera att begränsa dess tillämplighet.

60_{Öman, s. 49.}

61_{Jay, R, Guide to The General Data Protection Regulation: A Companion to Data Protection Law and}

Practice, Sweet & Maxwell, 2017, s. 418f, se även C-131/12 (Google Spain), och Dom av den 1 oktober 2015,

Weltimmo, C-230/14, EU:C:2015:639.

62_{Frydlinger m.fl., s. 65.} 63_{Frydlinger m.fl., s. 64f.} 64_{Jay, s. 74.}

(19)

Förordningens tillämpningsområde indikerar en sådan vilja hos lagstiftaren att inte begränsa bestämmelserna till vissa typer av digitala plattformar eller endast fysiska platser. Att utforma förordningen på ett sådant sätt skulle kunna minska risken för att förordningen i takt med den tekniska utvecklingen ska bli svårare att tillämpa och därmed förlora det skydd för

människors integritet som den är avsedd att upprätthålla. Den generella och breda hållningen innebär däremot också att förordningen kan anses vara svårbegriplig och generell i sin reglering, vilket kan styrkas av att EU-domstolen mer än en gång påtalat att bedömningen av bestämmelser och begrepp måste avgöras från fall till fall. Så frågan är om förordningens vilja att vara tillämpbar i så stor utsträckning som möjligt ändå gör den svårtillämpad med hänsyn till dess generella utformning.

(20)

3. Personuppgiftsansvarig

3.1 Vem är personuppgiftsansvarig?

Ordet personuppgiftsansvarig återkommer upprepade gånger i förordningen och kan sägas vara ett av dess mest centrala begrepp. De skyldigheter som förordningen ställer upp vilar till största delen på den personuppgiftsansvariga. Vid en analys eller vid användandet av

förordningen måste utgångspunkten därför i de flesta fall vara en bedömning av vem eller vilka som är personuppgiftsansvariga.65 Enligt artikel 4.7 så definieras en

personuppgiftsansvarig som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter…”. Definitionen är densamma som i det tidigare

dataskyddsdirektivet, med undantag för benämningen av personuppgiftsansvarig som i dataskyddsdirektivet benämns som registeransvarig.66 I ett förslag till avgörande har generaladvokat Michal Bobek också påpekat att förordningen behållit samma centrala

begrepp som det tidigare direktivet och han är av uppfattningen att tolkningen av begreppen i förordningen inte utan mycket goda skäl bör avvika från den rättspraxis som etablerats.67 Det tycks alltså inte finnas någon större skillnad mellan det tidigare begreppet registeransvarig och det nuvarande personuppgiftsansvarig, varför även äldre material kan användas för att utröna begreppet och undersöka vem som kan anses vara ansvarig under förordningen. I övrigt så säger inte bestämmelsen något om definitionen av personuppgiftsansvarig, vilket i princip gör det möjligt för vem som helst att betraktas som ansvarig så länge personen eller personerna bestämmer ändamålen och medlen för behandlingen. Det tycks med andra ord inte finnas någon begränsning när det kommer till fysiska personers möjlighet att anses vara personuppgiftsansvariga. Inga begränsningar i ålder, yrkesroll, befattning eller liknande finns angivna. Artikel 29-gruppen har dock uttalat sig om att det bör vara företaget, myndigheten eller organet som ska anses vara ytterst ansvarig för de personuppgifter som behandlas inom verksamheten och inte enskilda fysiska personer med olika befattningar inom organisationen. Även i de fall då den juridiska personen utsett en fysisk person att genomföra behandlingen och efterleva bestämmelserna för dataskyddet så agerar den fysiska personen å den juridiska personens vägnar och det är i slutändan ändå företaget, myndigheten eller organet som är ansvarig om förordningen inte efterlevs.68 Det finns därmed ett principalansvar över de anställda. EU-domstolen har också uttryckt sig likartat och menat att ett religiöst samfund kan vara ansvarigt för behandlingen av personuppgifter som medlemmarna samlar in utan att det krävs att samfundet faktiskt har tillgång till uppgifterna.69 Som tidigare nämnt så faller inte en fysisk person som behandlar personuppgifter som ett led i verksamhet av rent privat natur in under det materiella tillämpningsområdet i förordningen70_{. Behandling av sådan natur behöver}

därför inte tas i beaktning vid utrönandet av personuppgiftsansvaret.

66_{Se Artikel 2 d i direktiv 95/46/EG.}

67_{Dom av den 29 juli 2019, Fashion ID, C-40/17, EU:C:2019:629, p. 87.}

68_{Artikel 29-gruppen, WP 169, Yttrande 1/2010 om begreppen registeransvarig och registerförare, s. 15f.} 69_{Dom av den 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551), p. 75}_.

(21)

3.2 Bestämmanderätt

3.2.1 Explicit bestämmanderätt

Den andra delen i definitionen av personuppgiftsansvaret är kravet på bestämmande som artikel 4.7 ställer upp. Den eller de som är ansvariga måste alltså bestämma ändamålen och medlen för behandlingen av uppgifter för att kunna betraktas som personuppgiftsansvarig. När den ovan nämnda konvention 108 som Europarådet antog 198171_{var aktuell så talade}

konventionen om den registeransvariges behörighet att besluta. Behörigheten fastställdes vidare genom nationell lagstiftning. I och med dataskyddsdirektivet och den fortsatta utvecklingen så har man istället för ”behörighet att besluta” övergått till begreppet

”bestämma”, som innebär att det inte krävs att den personuppgiftsansvarige har en uttrycklig behörighet genom lag, utan det kan vara de faktiska omständigheterna som kan bli avgörande för om ansvar föreligger eller inte.72 Detta utesluter dock inte att ansvar kan fastställas genom lag eller förordning,73 något som kanske inte är helt ovanligt när det kommer till den

offentliga sektorn där exempelvis myndigheter genom författning kan vara ansvariga för viss behandling av personuppgifter.74 Detta är s.k. explicit behörighet och EDPS rekommenderar att identifiera ansvar genom lagstiftning i första hand, då det redan från början tydliggör vem som är ansvarig och därmed minskar risken för problem i ett senare skede.75

3.2.2 Implicit bestämmanderätt

Det finns dock fall där ansvar inte kan fastställas genom lag eller förordning. I sådana fall kan personuppgiftsansvar bestämmas om den berörda positionen vanligtvis för med sig ett visst ansvar. Som exempel kan en arbetsgivares sägas ha ansvar över personuppgifter om sina anställda eller en förening ansvar för uppgifter om sina medlemmar.76 Det är med andra ord ändå någon form av rättsliga bestämmelser eller rättspraxis inom vissa specifika rättsområden som t.ex. arbetsrätt eller handelsrätt som fastställer traditionella roller vilka vanligtvis medför ett visst ansvar och gör det lättare att utröna personuppgiftsansvaret.77 Detta är s.k. implicit bestämmande över behandlingen av personuppgifter78 Uppdelningen genom olika typer av bestämmande såsom explicit och implicit bestämmanderätt gör det möjligt att på ett mer systematiskt sätt identifiera personuppgiftsansvaret och kan bidra till en större förutsägbarhet i fråga om personuppgiftsansvar.79

71_{Se kap 2.1.1}

72_{Artikel 29-gruppen, WP 169, s. 8.} 73_{Frydlinger m.fl., s. 52.}

74_{Artikel 29-gruppen, WP 169 s. 10, se även Lag ((2019:508) om behandling av personuppgifter i det}

fördelningsanalytiska statistiksystemet för inkomster och transfereringar § 3.

75_{EDPS, EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation}

(EU) 2018/1725, 2019, s. 8.

76_{Ibid, s. 8.}

77_{Artikel 29-gruppen, WP 169, s. 10.}

78_{EDPS, EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation}

(EU) 2018/1725, 2019, s. 8

(22)

3.2.3 Faktiskt inflytande

Ibland finns dock inget lagstadgat ansvar eller ett tydligt förhållande som medför ansvar. När frågan om personuppgiftsansvar inte är självklar så är det ändock en fråga om fakta.

Datainspektionen har gällande motsvarande definition i den förra personuppgiftslagen (PUL) angett att ”vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen…”.80

Förvaltningsrätten i Stockholm har sedan accepterat den bedömning som datainspektionen gjort baserat på ovanstående definition när den i ett mål fastställt personuppgiftsansvaret.81 Även EU-domstolen har i fråga om registeransvar enligt dataskyddsdirektivet sett till faktiska omständigheter kring vem som bestämmer ändamålet och varför, vem som initierat

insamlingen samt vem det gagnar och sedan tolkat begreppet utifrån det ändamål som förordningen har, dvs att skydda fysiska personers integritet.82

För att fastställa de faktiska omständigheterna är det inte ovanligt att olika avtalsförhållanden beaktas.83 Parterna kan alltså avtala om vem som ska vara personuppgiftsansvarig. Det formella kriteriet för att ett avtalsförhållande föreligger är dock inte alltid användbart eller tillräckligt. På samma sätt som det kan saknas lagstiftning som medför ansvar kan det saknas formella avtal angående vem som bär ansvaret för behandlingen av personuppgifter. Det kan även vara så att avtalsförhållandet inte återspeglar verkligheten, genom att

personuppgiftsansvar kan ha tilldelats någon som inte har en reell möjlighet att bestämma över behandlingen och då den part som inte rent formellt är personuppgiftsansvarig kan ha ett faktiskt inflytande över ändamålen.84

Ett bra och relevant exempel är information som finns på internet. Frågan kan ställas vem som har bestämmanderätten och därmed ansvaret över uppgifter som t.ex. kan sökas fram på hemsidor som lagrar personuppgifter. Sådana hemsidor kan innehålla mängder med objektiva personuppgifter såsom namn, adress och i vissa fall personnummer. En privatperson anses ju normalt sett inte vara personuppgiftsansvarig, varför inhämtningen av uppgifter på en sådan sida av en privatperson inte medför ett personuppgiftsansvar.85 Låt oss istället säga att en myndighet använder sig av en sådan sida och får del av en privatpersons adress. Artikel 29-gruppen har angående bestämmanderätten hänvisat till ett exempel om teleoperatörer vars ändamål är att översända trafik innehållande personuppgifter. I det fallet anses det vara avsändaren av själva meddelandet som är ansvarig för de uppgifter som finns i meddelandet, medan teleoperatören endast kan vara ansvarig för informationen om trafikdata och de uppgifter som behövs för att tjänsten ska kunna nyttjas.86 Detta har att göra med möjligheten

80_{Datainspektionens beslut 2012-04-18 dnr. 811-2011, s. 3.} 81_{Mål nr. 9987-12, s. 8.}

82_{Dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388,}_{p. 36-40, Mål}

C-40/17 (Fashion ID), p. 75-80.

83_{Voigt, s. 20.}

84_{Artikel 29-gruppen, WP 169 s. 8f.} 85_{Se Artikel 2.1 c GDPR.}

(23)

till bestämmande och det har påtalats i och med dataskyddsdirektivet att den som inte bestämmer ändamålen och endast har begränsad tillgång till uppgifter inte kan sägas vara ansvarig för dem. Om möjligheten att faktiskt ändra, radera eller komplettera några uppgifter inte finns så borde man heller inte kunna vara ansvarig för dem.87 Således är det den som skapar databasen eller hemsidan med uppgifter som är personuppgiftsansvarig för

behandlingen som utomståendes användning av databasen innebär.88_{Myndigheten i vårt}

exempel skulle ha rätt att komma åt uppgifterna och söka bland dem, men sakna möjlighet att bestämma över ändamålen med behandlingen och inte ha någon möjlighet att bestämma över uppgifterna som finns där. Om däremot myndigheten i detta fall sedan, oberoende av om det finns en rättslig behörighet eller laglig grund eller inte, börjar bestämma över ändamålen och medlen för de uppgifter den samlat in så blir myndigheten personuppgiftsansvarig. Alltså sträcker sig inte ansvaret för skaparen av hemsidan över de behandlingar som den

utomstående sedan kan komma att utföra med hjälp av de insamlade uppgifterna.89 Detta ansvar är alltså beroende av möjligheten till bestämmande. I målet Google Spain resonerar EU-domstolen på ett liknande sätt och säger att när en sökmotorleverantör såsom Google lokaliserar annan information på internet, indexerar, lagrar och gör den tillgänglig för andra, så är man också ansvarig för behandlingen av sådana personuppgifter. Domstolen menar att en vid tolkning av begreppet ansvarig måste göras för att säkerställa ett effektivt skydd.90 Datainspektionen har dock konstaterat att ett företag som tillhandahåller en hemsida där användaren skriver in hela innehållet i form av personuppgifter inte är personuppgiftsansvarig enligt PUL, utan att ansvaret istället faller på användaren.91 Umeå Tingsrätt har även i ett tidigare mål ansett att upprättandet av en Facebooksida inte innebär ett personuppgiftsansvar för behandlingen av uppgifter som andra användare gjort i kommentarer på inlägget.92 Detta skiljer sig från vad Datainspektionen tidigare ansett när den uttalat att den som inrättar en Facebooksida ska anses ha personuppgiftsansvaret för det som han eller hon eller andra lägger upp på den sidan. Även Facebook kan här ha ett visst ansvar.93 I ett annat fall har

Datainspektionen ansett att ett företag som lagt ut en databas över näringsidkare på internet varit ansvarig även för de personuppgifter som användarna av sidan kunnat skriva.94

Datainspektionens hållning och praxis överlag när det kommer till personuppgiftsansvaret vid tillhandahållande av tjänster på nätet verkar aningen oklar och saknar en helhetssyn. Något som kan vara problematiskt med hänsyn till den ökade användningen och betydelsen av sådana tjänster.95

87_{Prop. 2007/08:126, Patientdatalag m.m., 61f.,}_{SOU 2015:39, Myndighetsdatalag, s. 344,} 88_{SOU 2015:39, s. 344.} 89_Ibid. 90_{Mål C-131/12 (Google Spain), p. 32-38.} 91_{Datainspektionens beslut 2012-09-18 dnr. 913-2012.} 92_{Dom 2014-08-29 mål nr. B 100-14, s. 10.} 93_{Datainspektionens beslut 2010-07-02 dnr. 685-2010.} 94_{Datainspektionens beslut 2010-01-11 dnr. 1288-2009.}

95_{Öman, Sören, Personuppgiftsansvaret när tjänster tillhandahålls via nätverk, Blendow Lexnova}

Expertkommentar, 2009, https://www.sorenoman.se/blendow/december2012.pdf, hämtad den 23 november 2020.

(24)

Att utröna personuppgiftsansvar genom att utreda vem som har faktiskt inflytande torde i praktiken vara mer tidskrävande än att fastställa ansvar genom hänvisning till existerande lag eller till rättsliga bestämmelser som gäller inom ett visst rättsområde. Det faktiska inflytandet kan förvisso stärkas med hjälp av avtal eller överenskommelser parterna emellan, men måste ändå betraktas utifrån hur förhållandena verkligen ser ut. Därtill blir det avgörande i fråga om faktiskt inflytande vilken möjlighet som parten i fråga har att påverka, ändra eller radera uppgifter. Klart är i alla fall att förordningen återigen är ganska brett formulerad och tolkningen av bestämmanderätten måste i praktiken göras med hjälp av rättspraxis och icke bindande riktlinjer som till stor del användes innan dataskyddsförordningen antogs.

3.3 Ändamål och medel med behandling

Vad den personuppgiftsansvarige måste bestämma över är alltså ändamålen och medlen för behandlingen. Det handlar om att den personuppgiftsansvarige bestämmer varför och med vilket syfte personuppgifter ska samlas in samt hur detta ska gå till. Det är dock inte

nödvändigt att en part måste bestämma både ändamålen och medlen i samma utsträckning för att betraktas som ansvarig. Det handlar om en bedömning av på vilken detaljnivå någon måste bestämma dessa ändamål och medel för att anses ansvarig.96 I fråga om att bestämma

ändamålen för en behandling så måste frågan ställas varför behandlingen utförs och vilken roll eventuella andra aktörer spelar i detta; om det t.ex. finns en underleverantör, hade underleverantören behandlat uppgifterna om det inte var på uppdrag av den

personuppgiftsansvarige? Artikel 29-gruppen använder sig av ett exempel med företag som jobbar med reklamutskick och där själva uppgiften att skicka ut reklamen vidareförts till andra organisationer men med tydliga instruktioner om hur reklamutskicket ska gå till, vad som ska skickas, till vem och vid vilka tidpunkter. I ett sådant fall, där underleverantörer har en sådan begränsad möjlighet att avvika från de instruktioner som blivit tilldelade dem, så måste det vara företaget som beställt reklamutskicken som anses ha bestämt över ändamålen med behandlingen.97

Ett annat scenario skulle däremot kunna vara e-handelstjänster där en konsument beställer en produkt via internet. Det är i sådana situationer inte ovanligt att företaget som förmedlar produkten eller tjänsten anlitar andra leverantörer som tar hand om betalning och leverans. Leverantörerna som levererar och tar betalt har förvisso inte bestämt ändamålen med att paket ska skickas eller betalning ska ske, men ser man till kontrollen över personuppgifterna som e-handelsföretaget har så pekar det snarare på att leverantörerna är de som avgör vilka uppgifter som krävs och hur de måste behandlas för att betalning eller leverans ska kunna ske. I sådana fall föreligger en form av parallellt personuppgiftsansvar, där flera aktörer är ansvariga över olika delar av behandlingen av personuppgifter.98 Aktörerna kan också betraktas som gemensamt ansvariga där man tillsammans bestämmer ändamålen och medlen, s.k. gemensamt personuppgiftsansvar.

96_{EDPS Riktlinjer 2019, s. 9.} 97_{Artikel 29-gruppen, WP 169, s. 13.} 98_{Frydlinger m.fl., s. 54.}

(25)

På samma sätt kan bestämmandet över medlen, dvs. på vilket sätt behandlingen ska gå till, delegeras till exempelvis ett personuppgiftsbiträde. Det kan röra sig om rent tekniska och organisatoriska medel såsom val av programvara, men det kan också handla om medel såsom vilka uppgifter som ska behandlas och hur länge, vilket betraktas som mer väsentliga element och starkare kopplat till den personuppgiftsansvariges ansvar. Artikel 29-gruppen menar att det som blir avgörande vid fastställande av medlen är att personuppgiftsansvar endast

föreligger när det handlar om medlens väsentliga element. Med det menar man att frågor som blir avgörande för om behandlingen är tillåten, såsom exempelvis vem som ska beredas tillgång till uppgifterna, är förbehållna den personuppgiftsansvariga. Bestämmer en part över sådana medel för behandlingen så är vederbörande också att betrakta som

personuppgiftsansvarig.99

Vissa medel kan dock delegeras till annan part utan att den betraktas som ansvarig för behandlingen av personuppgifterna. Det kan handla om en uppdragstagare som anlitas av en personuppgiftsansvarig, som vet hur man bäst bör behandla uppgifterna och således använder sig av de medel de anser är lämpligast utan att det getts uttryckliga instruktioner från den personuppgiftsansvarige. Uppdragsgivaren har i sådana fall bestämt ändamålen och medlen genom att anlita en uppdragstagare som använder vissa metoder för att utföra behandlingen.100 I praxis har det dock gjorts ett undantag från en sådan synpunkt gällande företag som erbjuder tjänster om bakgrundskontroll. Även om företaget inte skulle utfört behandlingen av

personuppgifter om det inte vore på uppdrag av annan part, så har ett sådant företag utarbetat sådana särskilda metoder för insamlandet och behandlingen att det kan anses ha en sådan självständig ställning att det själv kan bestämma ändamålen och medlen själva och därmed också betraktas som personuppgiftsansvarig.101

I en dom från HFD så anser domstolen att Försäkringskassan är att betrakta som

personuppgiftsansvarig för vissa självbetjäningstjänster som myndigheten tillhandahöll, där arbetsgivare kunde göra en anmälan av sjukdom via e-tjänst samt en anmälan om tillfällig föräldrapenning kunde utföras via sms. Uppgifterna gavs av enskilda via olika operatörer och blev tillgängliga för Försäkringskassan först när informationen nådde deras

mottagningsställen. Domstolen fastslog att det var Försäkringskassan som bestämt just ändamålen och medlen, dvs. varför och hur behandlingen av personuppgifter skulle ske, genom att erbjuda tjänsten och hänvisa till sättet att utföra denna. På grund av detta är den att betrakta som personuppgiftsansvarig även i det fall den saknar möjlighet att påverka

hanteringen av uppgifter innan de inkommit till Försäkringskassan och oberoende av om behandlingen i något skede även skulle medföra personuppgiftsansvar hos någon annan.102 Detta är likt det fall från EU-domstolen där ett religiöst samfund ansågs ansvarigt för

behandling av uppgifter som medlemmar samlade in men samfundet inte nödvändigtvis fick ta del av.103

99_{Artikel 29-gruppen, WP 169, s. 14f.} 100_{Öman, s. 74.}

101_{Se Kammarrätten i Stockholms domar i mål 2758-13 och mål 2807-13.} 102_{HFD 2012 ref. 21.}

(26)

3.4 Sammanfattning

Personuppgiftsansvar enligt förordningens lydelse ger inte så mycket för handen att ansvaret kan fastställas utan att bedömaren måste ta del av annan doktrin och praxis. Förordningen ger uttryck för begrepp som blir centrala vid avgörandet av personuppgiftsansvar, men att fastna i utredning av begreppen kan också verka lönlöst i fall där ansvaret är svårutrett. I denna typ av fall är det inte begreppet i sig som blir avgörande, utan istället en utredning av de faktiska omständigheterna. I praxis så har det också varit ändamålet med förordningen som spelat roll vid fastställande av ansvar, med hänsyn till det skydd för fysiska personer som förordningen avser att upprätthålla.104 Vilka de faktiska omständigheterna är måste naturligtvis avgöras i det enskilda fallet, varför det kan vara svårt att säga något om förutsägbarheten i vem som kan anses personuppgiftsansvarig. Även om uppdelningen av bestämmanderätten i explicit,

implicit och faktiskt bestämmande har till syfte att effektivisera och bidra till en mer

förutsägbar rättstillämpning så blir det fortfarande, så länge ansvaret inte kan grundas i någon lag eller rättslig bestämmelse, en bedömningsfråga baserad på fakta i enskilda fall. Klart är att likt mycket annat i förordningen så tolkas personuppgiftsansvaret brett, till förmån för syftet och ändamålet att skapa ett effektivt och starkt skydd för individen. Det krävs alltså inte att den personuppgiftsansvarige har en laglig rätt eller behandlar uppgifterna på någon laglig grund enligt förordningens bestämmelser för att en part ska kunna vara

personuppgiftsansvarig. Ett sådant synsätt på ansvaret skulle innebära att ansvaret i många fall skulle utebli och individens skydd tillintetgöras. Motsatsvis kan sägas att det då endast är i de fall där man kan konstatera att någon inte har en bestämmanderätt eller faktiskt inflytande över ändamål och medel som personuppgiftsansvar inte föreligger, bortsett från det faktum att bestämmande över medel i viss utsträckning kan delegeras till annan part utan att det medför ett personuppgiftsansvar för den parten.

104_{Se Google Spain och Fashion ID.}

(27)

4. Personuppgiftsbiträdet

4.1 Definitionen av personuppgiftsbiträde

Så fort det sker en behandling av personuppgifter så finns det åtminstone en

personuppgiftsansvarig över den behandlingen och som ovan beskrivits kan ansvaret fastställas på olika sätt. Det är idag däremot inte ovanligt att tredje part anlitas för att utföra själva behandlingen av personuppgifterna, inte minst i form av outsourcing och

molntjänstleverantörer.105 Personuppgiftsbiträdet definieras i förordningens artikel 4.8 och anger att ett personuppgiftsbiträde är ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.” Det är med andra ord ingen skillnad kring vem som rent formellt kan vara ett personuppgiftsbiträde jämfört med personuppgiftsansvarig. På samma sätt är definitionen av personuppgiftsbiträdet under förordningen densamma som definitionen av registerförare under tiden för dataskyddsdirektivet.106 Därav är det även här möjligt att använda riktlinjer och praxis sedan innan förordningen trädde i kraft för att tolka och tyda biträdesrollen enligt bestämmelserna i dataskyddsförordningen.

Enligt Artikel 29-gruppen finns två krav för att en part ska betraktas som biträde. Det första kravet är att biträdet måste vara en separat rättslig enhet i förhållande till den

personuppgiftsansvarige.107 Ett personuppgiftsbiträde kan med andra ord alltså inte vara någon inom den egna organisationen. En anställd eller någon annan som faller innanför den personuppgiftsansvariges direkta ansvar kan inte bedömas vara ett personuppgiftsbiträde.108 Det andra kravet är att personuppgiftsbiträdet behandlar uppgifter för den

personuppgiftsansvariges räkning.109 Biträdesrollen är därmed beroende av att det finns en personuppgiftsansvarig som fattat beslut om att uppgiftsbehandlingen ska delegeras.110

Personuppgiftsbiträdet ska alltså tillgodose intressena hos den ansvarige och agera efter instruktioner från denne gällande ändamålet och de väsentliga elementen i fråga om medel. Visst självbestämmande kan ändå ges till personuppgiftsbiträdet för att biträdet på bästa sätt ska kunna tillgodose intressen genom att biträdet själv kan besluta om de bästa

organisatoriska och tekniska medlen för behandlingen.111

Detta utesluter inte att personuppgiftsbiträdet också kan agera som personuppgiftsansvarig. Det är alltså inte organet eller enheten i sig som utgör biträdesrollen utan samma organ eller enhet kan betraktas som ett biträde för vissa behandlingsåtgärder och personuppgiftsansvarig för andra.112 På samma sätt kan biträdesrollen övergå i ett personuppgiftsansvar om

personuppgiftsbiträdet går utöver de instruktioner och får större självbestämmande vad gäller ändamålet med behandlingen och de väsentliga elementen av medlen. Återigen är det de

106_{Se artikel 4.8 GDPR jfr. artikel 2 e i direktiv 95/46/EG.} 107_{Artikel 29-gruppen, WP 169, s. 24.} 108_{Öman, s. 82.} 109_{Artikel 29-gruppen, WP 169, s. 24.} 110_{Voigt, s.20.} 111_{Artikel 29-gruppen, WP 169, s. 25.} 112_Ibid.