• No results found

Googles hantering av dina personuppgifter

N/A
N/A
Info
Download
Protected

Academic year: 2021

Share "Googles hantering av dina personuppgifter"

Copied!
75
0
0

Loading.... (view fulltext now)

Download now ( 75 Page )

Full text

(1)

JURIDISKA INSTITUTIONEN Stockholms universitet

Googles hantering av dina personuppgifter

- en jämförelse av dataskyddsdirektivet och dataskyddsförordningen samt en redogörelse

för Googles regelefterlevnad

Hanna Stern

Examensarbete i rättsinformatik, 30 hp Examinator: Cecilia Magnusson Sjöberg

Stockholm, Vårterminen 2017

(2)

Abstract

This thesis addresses the issues that adhere from the technological progress and the consequences in regards to personal data, and whether Google, as a search engine, is compliant with current and impending legislation. Initially a selection of the current technology is described; cloud computing, big data, data mining and data profiling. The digital interaction of an individual in combination with Google’s use of the technology initiates certain legislation within the European Union. A description of Directive 95/46/ec is given followed by addressing the upcoming General Data Protection Regulation (GDPR) and the differences between. The thesis will address which personal information that is collected by Google and how that data is being used. Furthermore, the study will examine the challenges that Google face and how courts have reasoned in these cases. Even though the thesis is directed towards the implications that Google face it is rather, by extension, a reflection on the consequences of the individual. Sometimes informed and sometimes not of the effects it has on the individual’s right to privacy.

(3)

Innehållsförteckning

1 Inledning ... 5

1.1 Bakgrund ... 5

1.2 Syfte och problemformulering ... 6

1.3 Metod och material ... 7

1.4 Avgränsning ... 8

1.5 Disposition ... 10

2 Sammanställning av den teknik som aktualiseras ... 11

2.1 Allmänt avseende tekniken ... 11

2.1.1 Molntjänster, big data, databrytning och dataprofilering ... 11

2.1.2 Molntjänster ... 11

2.1.3 Big data ... 12

2.1.4 Databrytning ... 13

2.1.5 Dataprofilering ... 14

2.1.6 Sammanfattning ... 15

3 Integritetsskyddet i lagstiftning ... 15

3.1 En överblick av lagstiftningen ... 15

3.2 Om de fundamentala rättigheterna gällande integritet i relation till digitala miljöer .. 15

3.3 Särskilt om personlig integritet vid automatiserad behandling av personuppgifter .... 17

3.4 Dataskyddsdirektivet ... 17

3.4.1 Allmänt om dataskyddsdirektivet ... 17

3.4.2 När dataskyddsdirektivet är tillämpligt ... 18

3.4.3 När behandling av personuppgifter är tillåten ... 20

3.4.4 Vilka krav ställs på den personuppgiftsansvarige? ... 23

3.4.5 Tillämpligheten i digitala miljöer ... 25

3.4.6 Sammanfattning ... 28

3.5 Nya dataskyddsförordningen (GDPR) ... 28

3.5.1 Allmänt om dataskyddsförordningen ... 28

3.5.2 Regleringar i dataskyddsförordningen som korresponderar med direktivet ... 30

3.5.3 När dataskyddsförordningen inte blir tillämplig ... 30

3.5.4 När dataskyddsförordningen är tillämplig och de grundläggande principerna .... 31

3.5.5 Laglig behandling av personuppgifter ... 33

3.5.6 Den registrerades rättigheter ... 35

(4)

3.5.7 Specifikt om rätten att bli glömd och Google Spain-domen ... 37

3.5.8 Vem ansvarar för individens personuppgifter? ... 39

3.5.9 Sanktioner ... 40

3.6 Sammanfattning ... 40

4 Ansvaret för Google som sökmotorleverantör vad gäller hantering av personuppgifter ... 41

4.1 Vilket grundläggande ansvar har Google som sökmotorleverantör? ... 41

4.2 Vilka uppgifter hanteras av Google? ... 42

4.3 Komplikationer gällande Googles hantering av personuppgifter ... 44

4.3.1 Allmänt om hanteringen ... 44

4.3.2 Fråga om samtycke och vad registrerad samtycker till ... 45

4.3.3 Googles hantering av känsliga personuppgifter ... 49

4.3.4 Googles hantering av rätten att bli glömd i Sverige ... 52

4.3.5 Problematiken vad gäller allmänt hållen ändamålsförklaring ... 58

4.3.6 Den registrerades möjligheter att begränsa hanteringen av personuppgifter ... 60

4.4 Sammanfattning ... 61

5 Avslutande kommentarer ... 62

6 Käll- och litteraturförteckning ... 68

(5)

1 Inledning

1.1 Bakgrund

De senaste årtiondena har världen förändrats på grund av genomslaget av informations- och kommunikationsteknik i digitala miljöer. Genom sökmotorer, sociala medier och samverkansplattformar tar individen del av- och delar med sig av information. Individen lämnar även spår efter sig i den digitala miljön, spår som åtskilt inte har betydelse men som sammantaget ger mening. Genom sammanställning, lagring och analys (databrytning) skapas mönster ur den osorterade informationen.1 Mönster som sedan kan användas för att exempelvis analysera ett framtida beteende hos en individ och skapa en profil (profilering).

I konstrast till den fria digitaliseringen står den personliga integriteten. Den osorterade information som är föremål för databrytning utgörs till stor del av personuppgifter.

Hanteringen av personuppgifter regleras i Sverige idag av personuppgiftslag (1998:204) (PuL). Den svenska personuppgiftslagen bygger på Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet var ett försök från Europeiska Unionens (EU) sida att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter. Då harmoniseringen skedde genom direktiv har varje medlemsstat tolkat regleringen genom lag vilket lett till en bristande enhetlighet i genomförandet inom unionen.2 För att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter ska direktivet ersättas den 25 maj 2018 av Europaparlamentets och rådets (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsförordningen).3 Å ena sidan förväntas förändringen föra med sig högre krav på de företag som hanterar personuppgifter, å andra sidan stärks skyddet och rättigheterna för de personer vars uppgifter registreras.

1 Termen ”databrytning” får ses som en etablerad term då den används i akademiska sammanhang av exempelvis Kungliga Tekniska högskolan där databrytning förekommer i kursutbudet.

2 Skäl 9 till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, [cit. förordning 2016/679].

3 Skäl 10 till förordning 2016/679.

(6)

Uppgifter som kan innebära en kränkning av grundläggande fri- och rättigheter eller privatlivets helgd får inte behandlas utan samtycke av den registrerade.4 En korrekt behandling av sådana uppgifter förutsätter även att den registrerade får fullständig och riktig information gällande hanteringen av uppgifterna.5 Samtycke och tillfredställande information om vad som samtycks till är några av de grundläggande hanteringsregler som stadgats genom direktivet. Google, den största sökmotorleverantören, har en svår uppgift att upprätthålla dessa regler vilket även visat sig i den praxis och de tillsynsärenden som kommit efter dataskyddsdirektivets implementering.

När individen använder sig av Google som sökmotorleverantör samlas data in gällande saker individen gör, skapar eller information som identifierar en individ, d.v.s. molntjänster eller cloud computing.6 En viktig och grundläggande förutsättning för hantering av personuppgifter enligt dataskyddsdirektivet är att den registrerade ska ha gett sitt samtycke till hantering av sådan information. So far, so good, men med tekniker som molntjänster, big data, profilering och databrytning kan uppgifterna den registrerade samtyckt till bli till något annat, något utöver vad som initialt samlades in och gavs samtycke till.

1.2 Syfte och problemformulering

Ämnet, Googles hantering av personuppgifter ställt mot skyddet av den personliga integriteten, motiveras av den tekniska utvecklingens inverkan på rättssäkerhet och lagstiftning. Tekniken har motiverat en revidering av nuvarande lagstiftning då det skydd som funnits för den personliga integriteten inte ansetts som tillräcklig. Området är dessutom inte väl adresserat vilket även det motiverar valet av ämne.

Syftet är att undersöka vilka konsekvenser Googles profilering och hantering av personuppgifter får för individens integritet i förlängningen. Frågeställningen blir således om Googles hantering av personuppgifter är förenlig med nuvarande och kommande lagstiftning?

Svaret på frågeställningen sökt genom analys av dataskyddsdirektivet i första hand och PuL i

4 Skäl 33 till Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, [cit.

direktiv 95/46/EG].

5 Skäl 38 till direktiv 95/46/EG.

6 Se Googles sekretesspolicy, www.google.com/intl/sv/policies/privacy/.

(7)

andra hand. Då dataskyddsförordningen träder i kraft den 25 maj 2018 motiverar detta en analys gällande de förändringar som ikraftträdandet för med sig.

1.3 Metod och material

Den metod som ligger till grund för denna uppsats är den rättsdogmatiska metoden.

Lösningen på ett rättsligt problem finnes genom att applicera aktuell reglering på en frågeställning. Svaren söks utifrån de klassiska rättskällorna såsom lagstiftning, rättspraxis, förarbeten och doktrin. Fokus läggs vid redogörelsen av hur svaret nås.7 I enlighet med den rättsdogmatiska metoden ligger grunden för uppsatsen i en analys av tillämpliga rättsmedel.

Då Google har att förhålla sig till PuL i Sverige som gällande svensk reglering ska en analys i förhållande till frågeställningen göras, alltså om Google uppfyller de krav som uppställts genom direktivet men även den svenska implementeringen PuL, främst när det finns tydliga skillnader mellan de båda regleringarna. Den främsta jämförelsen sker mellan unionsrätt men uppsatsen har fortfarande en svensk utgångspunkt och blickar ut från Sverige. För att få en djupare förståelse för regleringen behandlas bland annat regeringens proposition 1997/98:44 Personuppgiftslag, prop. 2005/06:173 Översyn av personuppgiftslagen, prop. 2009/10:80 En reformerad grundlag, SOU 1997:39 Integritet Offentlighet Informationsteknik samt SOU 2004:6 Översyn av personuppgiftslag. Då området till viss del regleras av Datainspektionens rekommendationer beaktas även dessa, både beslut och tillsynsrapporter.

Vidare finns inslag av EU-rättslig metod. Metoden är ett verktyg för att hantera EU-rättsliga källor men även bidrag från ytterligare metoder kan användas parallellt. EU-rätten betraktas som en autonom rättsordning, således något rättsväsendet i Sverige måste ta hänsyn till när lagar stiftas eller omformuleras.8 Då gällande rätt samt kommande lagstiftning bygger på direktiv och förordning är EU-rättslig metod användbar genomgående i denna uppsats.

Genom PuL införlivades med svensk lagstiftning dataskyddsdirektivet. Direktivet och den praxis som följt ligger till grund för tolkningen av svensk integritetslagstiftning. En redogörelse för gällande rätt kommer således ha sin utgångspunkt i direktivet, detta underlättar även en jämförelse med förordningen. Direktivet används som rättskälla samt den praxis som utarbetats men uppsatsen har dock ett svensk perspektiv (se ovan).

7 Se Kleineman, Jan i Korling, Fredric och Zamboni, Mauro (red.), Juridisk metodlära, 1 u., Studentlitteratur, Lund, 2013, s. 21.

8 Ibid, s. 109.

(8)

I likhet med Datainspektionen i Sverige har den Europeiska dataskyddsombudsmannen (EDPS) till uppgift att se till att EU:s institutioner och organ respekterar rätten till privatliv vid hantering av personuppgifter och utformandet av strategier. Precis som att Datainspektionens rekommendationer beaktas ska även EDPS rekommendationer tas i beaktande samt den engelska motsvarigheten till Datainspektionen, Information Commissioner’s Office (ICO) och den franska Commission nationale de l'informatique et des libertés (CNIL). Vidare har även Article 29 Data Protection Working Party (Artikel 29 gruppen) till uppgift att ge oberoende rådgivning vad gäller dataskyddsdirektivet men även förordningen, jag finner därför vägledning av dess yttranden. Dataskyddsförordningen träder i kraft 2018 vilket berör denna uppsats då förordningen ersätter direktivet och implementerad lagstiftning inom unionen. En jämförelse mellan de båda regleringarna är aktuell men då dataskyddsförordningen inte trätt i kraft finns ingen praxis på området, dock finns material som utreder förordningen att ta hänsyn till, främst material från Artikel 29 gruppen och ICO beaktas.

Eftersom denna uppsats skrivs inom ett område som präglas av teknik aktualiseras även rättsinformatisk metod. Traditionella rättskällor, såsom nämns ovan, förklarar inte de tekniska aspekter avseende molntjänster, big data, databrytning och profilering. Rättsinformatisk metod tillåter ett beaktande och en analys av teknik och således bjuder metoden in till andra källor än de traditionella rättskällorna. Det är en tvärvetenskaplig metod som innebär en teknisk kompetens samtidigt som den materiella rätten måste beaktas, att tolka och tillämpa rättskällor. Då uppsatsen kräver en förståelse av den aktuella tekniken som aktualiserar integritetslagstiftningen får det ses som nödvändigt att beakta icke traditionella rättskällor.

1.4 Avgränsning

Syftet med uppsatsen är inte att redogöra för tekniska detaljer inom området för hantering av personuppgifter i digitala miljöer. Det krävs dock en redogörelse i viss mån för att förstå området. Fokus kommer dock inte ligga på tekniska detaljer och avgränsas vid molntjänster, big data, databrytning och profilering. Hur informationsinsamling går till i teknisk bemärkelse redogörs inte för då detta inte är syftet med uppsatsen. Uppsatsen utgår från Googles hantering av personuppgifter i rollen som sökmotorleverantör samt tillhandahållare av molntjänster till viss del, en redogörelse för hantering av personuppgifter i samband med exempelvis myndighetsutövning eller manuell behandling görs inte. Tekniken som

(9)

aktualiseras erbjuds privatpersoner, privata aktörer och offentlig verksamhet, uppsatsen tar sikte på individens nyttjande av Googles molntjänster och sökmotor och de i övrigt nämnda aspekterna är inte beaktade.

Utgångspunkten är således Googles behandling av personuppgifter som sökmotorleverantör och tillhandahållare av molntjänster till individen. Denna hantering omfattas dels av reglerna för automatiserad behandling av personuppgifter men även hantering som undantas, d.v.s.

ostrukturerade uppgifter. Detta får betydelse vad gäller Googles hantering av rätten att bli glömd utifrån svensk rätt. Fokus läggs dock på den hantering som faller utanför undantaget, när det skett ett missbruk av personuppgifter. En djupare analys av Googles hantering av ostrukturerade personuppgifter är inte motiverad av flera anledningar, dels faller det in under undantaget vilket innebär att svensk lagstiftning enbart blir tillämplig i vissa delar, dels utgör sådan hantering inget problem vilket innebär att intresset för en sådan redogörelse inte kan vara stort, missbruksregeln kommer dessutom inte finnas kvar efter dataskyddsförordningens inträde.

Dataskyddsförordningen antogs tillsammans med direktiv 2016:21 om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet (direktiv 2016:21). Direktiv 2016:21 redogörs inte för i denna uppsats. Även om direktiv 2016:21 reglerar hantering av personuppgifter är det inte aktuellt då det syftar till harmonisering i samband med brottsbekämpning och myndighetsutövning. Utöver tidigare nämnda direktiv och förordning har EU-kommissionen lämnat förslag på ytterligare en förordning, Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (e-Privacy förordningen). Förordningen är framtagen för att komplettera dataskyddsförordningens bestämmelser vad avser konfidentialitet för data från bland annat elektronisk kommunikation.9 Uppsatsens syfte är inte att utreda samtliga elektroniska kommunikationsmedel vilket innebär att en redogörelse för e-Privacy förordningen uteblir.

Området präglas av en internationell aspekt då uppgifter hanteras över de territoriella gränserna genom överföring till tredje land. En sådan situation skulle aktualisera IP-rättsliga frågeställningar som kan kopplas till territoriella tillämpningsproblem. Analysen i denna

9 Se Europeiska kommissionen pressmeddelande, Skärpt integritetsskydd för alla elektroniska kommunikationstjänster och uppdatering av EU-institutionernas dataskyddsregler, 10 jan. 2017.

(10)

uppsats har utgångspunkt i en inomeuropeisk hantering av personuppgifter vilket medför att territoriella tillämpningsproblem inte redogörs för. Inte heller kommer Safe-Harbor principen gällande EU-domstolens ogiltigförklarande av säker tredjelandsöverföring av personuppgifter till USA redovisas för. 10 I sviterna av domstolens ogiltigförklarande har en ny överenskommelse mellan EU och USA formats, Privacy Shield, det är ett viktigt och intressant komplement vad gäller dataskyddsförordningen och förtjänar en redogörelse, dock inte i denna uppsats.

Uppsatsen berör integritetslagstiftning och rätten till skydd för den personliga integriteten avseende digitala miljöer. I samband med rätten till integritet nämns ofta andra sidan av myntet, rätten till informationsfrihet. Denna rätt redogörs inte för, uppsatsen belyser problematiken av personuppgiftsbehandling och inte individens rätt att uttrycka sig.

Dataskyddsförordningen blir direkt tillämplig vilket innebär att regeringen har beslutat att tillkalla en utredning vad gäller de anpassningar och kompletteringar som bör ske i nationell rätt inför förordningens inträde (SOU 2017:39 Ny datadataskyddslag). Fokus i denna uppsats är dock inte vilka förändringar som sker nationellt utan vilka förändringar som sker från direktiv i förhållande till förordning. SOU 2017:39 redogörs inte för och då heller inte den omdiskuterade åldersgränsen exempelvis.

1.5 Disposition

Arbetet inleds med en grundläggande introduktion till vad molntjänster, big data, databrytning och profilering är. Syftet är att läsaren ska få en förståelse för de tekniska aspekter som aktualiseras vid sådan hantering av personuppgifter som i praktiken påverkas av gällande lagstiftning samt dataskyddsförordningen. Efter introduktionen till tekniken ges en inledande redogörelse för de grundläggande rättigheter som stadgas i unionsrätten men även grundlagsskyddet i svensk lagstiftning för den personliga integriteten. De grundläggande rättigheterna följs av dataskyddsdirektivet vilket redogörs för samt även PuL i vissa delar.

Detta följs av de förändringar dataskyddsförordningen beräknas föra med sig. Efter redogörelsen för teknik och lagstiftning följer en beskrivning av de uppgifter som hanteras av Google och den problematik som uppmärksammats inom unionen men även nationellt.

10 European Data Protection Supervicer (EDPS), Anuual Report 2016, edps.europa.eu/sites/edp/files/publication/

17-04-27_annual_report_2016_en_1.pdf, s. 36.

(11)

Googles personuppgiftsbehandling har bland annat resulterat i en viktig fällande dom från EU-domstolen samt beslut och tillsynsrapporter från Datainspektionen, ICO och CNIL, en redogörelse för konsekvenserna därav följer. Hur samtycke hanteras och vad registrerad samtycker till när är centralt för både personuppgiftsansvariga och den registrerade vilket läggs vikt vid i lagstiftning samt den myndighetstillsyn som rör Google. Detta motiverar att även viss betydelse vid samtycke ges i denna uppsats avseende Googles hantering av de krav som uppställs. Slutligen ges en avslutande kommentar av vad som framkommit.

2 Sammanställning av den teknik som aktualiseras

2.1 Allmänt avseende tekniken

2.1.1 Molntjänster, big data, databrytning och dataprofilering

Data och information kan förstås som två olika begrepp. Information är kunskapen om ett ting medan data är information i en form som möjliggör kommunikation och automatisk bearbetning.11 En automatisk bearbetning kan innebära ett inhämtande, organisering, förvaring, förändring, radering, ett användande eller tillgängliggörande av information.12 Molntjänster och big data är ett exempel på hur information kan tillhandahållas i digitala miljöer som sedan kräver bearbetning genom databrytning och profilering för att skapa betydelse och mening av data som samlats in. Nedan redogörs för de tekniska aspekter som aktualiseras.

2.1.2 Molntjänster

Definitionen molntjänst är ett vitt begrepp som inbegriper ett tillhandahållande av vissa tjänster i digitala miljöer. Det är inte en hårdvara som erbjuds utan dess kapacitet såsom programvara, dokumenthantering, informationsförsörjning och datalagring. Google är en

11 Colonna, Liane, Legal Implications of Data Mining, Assessing tthe European Union´s Data Protection Principles in Light of the United States Government´s National Intellegence Data Mining Practices, 1 u., Tallina Raamatutrükikoda, Tallin, 2016, s. 29.

12 Ibid, s. 31.

(12)

sådan molntjänstleverantör som tillhandahåller tjänster för privatpersoner, privata aktörer samt offentlig verksamhet.13

Vad gäller privatpersoner används främst publika molntjänster som är allmänt tillgängliga. En molntjänst är information som inte fysiskt finns i datorn utan görs tillgängligt genom exempelvis inloggning. Informationen är disponibel oberoende av om en specifik enhet används vilket möjliggör delandet av information till andra samt lagring av information som sedan kan föras över till en annan enhet. Tekniken möjliggör även att spara större mängder information än vad som finns utrymme för på en specifik enhet. Exempelvis, om det inte finns tillgängligt utrymme för ytterligare information i en hårddisk kan individen välja att föra över informationen till en molntjänst. Individen kan använda sig av en större plattform för information genom att få tillgång till en molntjänst. Molntjänster utgörs i praktiken av exempelvis e-post, dokumentbanker såsom Google-drive, kalendrar eller olika sociala medier, således tjänster individen vanligtvis använder dagligen.

2.1.3 Big data

Begreppet big data brukar definieras i bredare termer som digitalt lagrad information vars kapacitet gällande insamling, lagring och analysering är många gånger större än vid användning av traditionella databaser. Nästan varje digital transaktion av uppgifter eller interaktion av en individ lämnar information som sparas någonstans.14 Uppgifterna som utgör big data kommer exempelvis från molntjänster, sökresultat eller digitalt registrerad information. Både strukturerad numerisk information (adressregister, patientregister o.s.v.) och ostrukturerad data som meddelanden eller transaktioner genereras löpande vilket ger stora volymer information.15 Medan big data är insamlade uppgifter och anonym information är databrytning ett sätt att förstå informationen.

13 Magnusson Sjöberg, Cecilia (red.), Rättsinformatik, 2 u., Studentlitteratur, Lund 2016, s. 206.

14 Colonna, s. 64.

15 Langlois, Ganaele i Langlois, Ganaele, Redden, Joanna (red.), Compromised Data From Social Media to Big Data, Bloomsbury, New York, 2015. s. 21.

(13)

2.1.4 Databrytning

Datamining, databrytning, eller informationsutvinning, är termen för att inhämta och bearbeta stora mängder data. En individ kan med hjälp av datorer söka igenom och koppla ihop datamängder som bildar ett mönster.16 Den mest framträdande skillnaden mellan databrytning och informationssökning gällande traditionella databaser är typen av uppgifter som behövs i förväg för att utvinna information. Vid sökning i en traditionell databas finns redan ett svar på frågan som ställs i den information som samlats in, det är redan en färdig uppgift som lagrats.17 I sammanhanget kan Karnov nämnas som exempel. Karnov är en databas vars samlade data exempelvis är praxis, lagar, lagkommentarer och juridiska artiklar. För att få tillgång till den information som söks måste informationssökaren själv veta svaret på frågan som ställs. Används sökordet Europakonventionen blir sökresultatet exempelvis praxis, artiklar och relaterad lagstiftning som innehåller detta ord. Tillskillnad från traditionella databaser är databrytning snarare en upptäckt av mönster och kunskap som göms i en stor mängd data.18 Databrytning är ofta en andra analys av uppgifter som samlats in i ett annat tidigare syfte eller som en biprodukt av ett system.19

Databrytning är ett relativt nytt sätt att hantera stora mängder data vilket innebär att de rättsliga aspekterna av att utvinna data genom databrytning inte är helt känd. Istället för att analysera kunskap som redan finns i en mängd data genererar databrytning ny kunskap.

Databrytning kan förändra mängden data till en mer användbar form såsom ett framtida beteende eller en sammanfattning av information.20 Databrytning är inte heller begränsat till en mänsklig insats för att generera en hypotes utan kan skapa detta automatiskt inom det system som redan finns.21 Som nämns i stycket ovan är databrytning ofta en andra analys av uppgifter som samlats in i ett annat syfte.22 Exempelvis samlar Google in uppgifter vid registreringstillfället, alternativt när Googles tjänster används löpande och data genereras simultant, som bryts ner till mönster och betydelse.

16 Klamberg, Mark i Magnusson Sjöberg (red.), s. 236.

17 Colonna, s. 56.

18 Ibid, s. 62.

19 Ibid, s. 51.

20 Ibid, s. 32.

21 Ibid, s. 33.

22 Ibid, s. 51.

(14)

2.1.5 Dataprofilering

Begreppet dataprofilering används för att i breda termer beskriva teknologi som har till syfte att genom algoritmer skapa, detektera och konstruera användbar information från stora mängder data.23 Den automatiserade profileringen tydliggör mönster och korrelationer ur big data utan att fastställa orsaker eller skäl till varför det specifika mönstret uppstår.

Informationen baseras på tidigare beteende vilket tyder på att beteendet kommer upprepas.24 I

”Profiling the European Citizen” ger Hildebrandt profilering en definition.25

”The process of ‘discovering’ correlations between data in databases that can be used to identify and represent a human or nonhuman subject (individual or group) and/or the application of profiles (sets of correlated data) to individuate and represent a subject or to identify a subject as a member of a group or category.”

Genom databrytning fastställs två korrelationer inom en viss kategori, exempelvis individer som är högerhänta med bruna ögon. Denna kategori eller ”grupp” har vissa egenskaper vilket är gruppens profil. Mönster kan även fås ur en redan befintlig grupp som delar vissa egenskaper såsom särskilda matvanor.26 Profilering kan således delas in i två kategorier, antingen påvisas ett mönster som ger en grupptillhörighet alternativt en grupp som har ett visst detekterbart mönster.

Utöver profilering av en viss grupp är det möjligt att profilera utifrån en individ, eller öronmärka en individ i digitala miljöer som ges en profil utifrån individens digitala beteende. 27 Utifrån information som framkommit genom databrytning kan digitala administratörer skräddarsy direktreklam till en specifik individ. Även information från olika tjänster eller olika cookies (kakor) kan sammanföras.28 Exempelvis, X bor i ett visst område vilket framgår av hens e-post, hen skriver sökordet ”pudel” i Googles sökmotor. En profilering av informationen som framkommer genom databrytning kan ge X riktad reklam från kennlar i närområdet.29 På så vis har en profil tilldelats individen vilket ger den

23 Hildebrandt, Mireille i Hildebrandt, Mireille och Gutwirth, Serge (red.) Profiling the European Citizen Cross Disciplinary Perspectives, Springer, 2008, s. 17.

24 Hildebrandt i Hildebrandt och Gutwirth (red.), s. 19.

25 Ibid, s. 19.

26 Ibid, s. 20.

27 Benoist, Emmanuel i Hildebrandt och Gutwirth (red.), s. 169.

28 Kakor används för att identifiera enheten samt samla in och lagra information om den registrerade.

29 Se Hildebrandt i Hildebrandt och Gutwirth (red.), s. 171.

(15)

kommersiella aktören möjlighet att skräddarsy riktad reklam utifrån information som tillhandahålls av Google.

2.1.6 Sammanfattning

Automatiserad informationsinsamling sker kontinuerligt då individen använder digitala miljöer. Insamlingen kan ske exempelvis vid registrering eller löpande när en viss tjänst nyttjas, såsom när en individ använder Google Search. För att kunna hantera den stora mängd data som samlas in krävs teknik som genom en automatiserad behandling utvinner information. Molntjänster, big data, databrytning och profilering är tekniker som samverkar för att exempelvis underlätta individens vardag och ge en individualiserad upplevelse av de tjänster som nyttjas. Informationen som samlas in tillhandahåller även Google till samarbetspartners som utgörs av kommersiella aktörer. Utöver att underlätta för individen i vardagen ger detta kommersiella aktörer tillfälle att spåra individen och dess digitala beteende vilket möjliggör direktreklam baserad på den registrerades livssituation och intressen.

3 Integritetsskyddet i lagstiftning

3.1 En överblick av lagstiftningen

Skyddet för den personliga integriteten följer av regleringar på nationell nivå men även internationell nivå. En redogörelse för dataskyddsdirektivet ges nedan samt vissa aspekter av den svenska implementeringen av direktivet, PuL. Detta följs av en redogörelse för dataskyddsförordningen då direktivet ersätts av den samma den 25 maj 2018. Kapitlet inleds dock med en överblick över de internationella åtaganden som ligger till grund för integritetslagstiftningen samt de rättigheter som är förankrade i svensk grundlag.

3.2 Om de fundamentala rättigheterna gällande integritet i relation till digitala miljöer

Syftet med integritetslagstiftningen är inte att behandling av personuppgifter ska vara förbjuden, fokus är snarare inriktat på att individens uppgifter ska behandlas men att hanteringen ska hålla en hög nivå. Med detta sagt måste dock en integritetslagstiftning hämma

(16)

den automatiserade användningen av personuppgifter. 30 Att garantera skyddet för den personliga integriteten är det övergripande syftet med den svenska nationella lagstiftningen PuL.31 Dataskyddsdirektivet är implementerat i svensk rätt men skyddet finns stadgat dels som allmän målsättning i svensk grundlag och även i internationella konventioner.

Rätt till integritetsskydd vid behandling av personuppgifter i digitala miljöer fastställs i ett flertal internationella konventioner som Sverige är anslutet till, 1981 års konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (Europarådets dataskyddskonvention), dataskyddsdirektivet som nämns ovan samt rätten till privatliv som stadgas i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR).32 Utöver dessa konventioner är även Sverige folkrättsligt förpliktad att skydda den personliga integriteten enligt 1966 års FN-konvention om medborgerliga och politiska rättigheter.33

I Regeringsformens (RF) 1 kap. 2 § stadgas att ”det allmänna skall verka för att demokratins idéer blir vägledande inom samhällets alla områden samt värna den enskildes privatliv och familjeliv”.34 Bestämmelsen är enbart en övergripande målsättning medan de rättsligt bindande bestämmelserna på grundlagsnivå ges i RF 2 kap. Skydd gentemot det allmänna ges för register över politisk åskådning utan samtycke samt mot kroppsstraff, tortyr och medicinsk påverkan i syfte att framtvinga eller hindra yttranden. Vidare ges även skydd mot påtvingat kroppsligt ingrepp i flera regleringar.35 De internationella konventionerna och utvecklingen som skett utanför Sverige, exempelvis Europarådets dataskyddskonvention, ligger till grund för det svenska integritetsskyddet gällande automatiserad behandling av personuppgifter.36

30 Se SOU 2004:6, Översyn av personuppgiftslag, s. 31.

31 SOU 2004:6, s. 315.

32 Öman, Sören i Magnusson Sjöberg (red.), s.161.

33 Prop. 2009/10:80, En reformerad grundlag, s. 174.

34 Senast omtryckt SFS 2014:1385.

35 Jfr Regeringsformen (1974:152) 2 kap. 3, 6, 20-22, 25 §§.

36 Öman i Magnusson Sjöberg (red.), s.161.

(17)

3.3 Särskilt om personlig integritet vid automatiserad behandling av personuppgifter

Såsom nämns i kapitlet ovan gör tekniken det möjligt att samla in och sammanställa stora mängder personuppgifter. Sådan behandling medför risker ur ett integritetsperspektiv för spridning och exempelvis missbruk av personuppgifter. Vissa aspekter ses som särskilt viktiga ur integritetssynpunkt såsom hur uppgifter samlas in, varför uppgifterna samla in, hur och av vem samt mängden.37 Området är dynamiskt och utvecklas i rask takt. Hantering av personuppgifter är nödvändig för en fungerande samhällsorganisation men det bör finnas en avvägning för vad som är acceptabelt och vad som bör tolereras. Felaktig hantering av uppgifter som kan uppfattas som integritetskänsliga avseende egenskaper, uppfattningar och handlingar innebär ett intrång i den personliga integriteten. 38 Ökad automatiserad behandling ökar även risken för felaktig hantering.39

3.4 Dataskyddsdirektivet

3.4.1 Allmänt om dataskyddsdirektivet

Den allmänna regleringen av personuppgifter följer av dataskyddsdirektivet. Direktivet har genomförts i svensk rätt i huvudsak genom nuvarande lagstiftning, PuL, vilket ersatte dåvarande datalag (1973:289). 40 Direktivets övergripande syfte är att stadga en hög gemensam nivå av skyddet för grundläggande fri- och rättigheter, framförallt i förhållande till skyddet för privatliv. Den personliga integriteten ska respekteras samtidigt som ett fritt flöde av personuppgifter ska vara möjlig.41

PuL, som trädde ikraft 24 oktober 1998, följer dataskyddsdirektivets syfte att skydda individens personliga integritet då personuppgifter hanteras men även dess övergripande struktur.42 Direktivets tillämpningsområde är mycket brett och omfattar personuppgifter av

37 Se prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15.

38 Prop. 2005/06:173, s. 16.

39 Ibid, s. 15.

40 Prop. 1997/98:44, Personuppgiftslag, s. 1.

41 Skäl 10 i direktiv 95/46/EG. Se även Artikel 29 gruppen, Opinion 4/2007 on the concept of personal data, WP136, den 20 juni 2007, s. 4.

42 Prop. 1997/98:44, s. 37.

(18)

olika slag.43 Regleringen är uppbyggd runt ett antal definitioner gällande kraven för behandling av personuppgifter, ansvarsfördelning samt samtycke av- och information till individen.44 Direktivet omfattar all automatiserad eller delvis automatiserad behandling av personuppgifter. 45 Integritetslagstiftningen är teknikoberoende vilket givetvis är en förutsättning för lagens existens. En teknikoberoende lag går hand i hand med en generell och principbetonad lagstiftning där exempelvis ord som skulle kunna föråldras ersätts med generella yttryck. 46 De förändringar som skedde genom implementeringen av dataskyddsdirektivet tvingades fram på grund av utvecklingen av kraftfulla och flexibla metoder för hantering av personuppgifter som sker löpande.47

3.4.2 När dataskyddsdirektivet är tillämpligt

Dataskyddsdirektivet är tillämpligt vid en helt eller delvis automatiserad behandling av personuppgifter enligt artikel 3.1 (5 § PuL).48 Att direktivet är utformat så att det omfattar både helt eller delvis automatiserad behandling syftar till att skapa en teknikneutral reglering.49 Tillämpningen är inte avhängig en absolut automatiserad hantering utan delvis manuella inslag omfattas för att underlätta en användning av lagen.50 Legaldefinitionerna stadgas i artikel 2 (3 § PuL) och syftar till att omfatta alla åtgärder som kan vidtas i fråga om personuppgifter (artikel 2 (b)).51

”[V]arje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande,

43 Se Mål C- 465/00 Rechnungshof mot Österreichischer Rundfunk m.fl. och Christa Neukomm (C-138/01) och Joseph Lauermann (C-139/01) mot Österreichischer Rundfunk, domstolens dom den 20 maj 2003, punkt 43.

Mål C-101/01 Brottmål mot Bodil Lindqvist, domstolens dom den 6 november 2003 [cit.

Konfirmandlärarmålet], punkt 88.

44 Se t.ex. direktiv 95/46/EG art. 6, 7, 10. Jfr Magnusson Sjöberg (red.), s.174.

45 Se Artikel 29 gruppen, WP136, s. 4. Se även skäl 15 i direktiv 95/46/EG.

46 Konfirmandlärarmålet, punkt 83. Se även mål C-553/07 Collage van burgemeester en wethouders van Rottendam mot M.E.E. Rijkeboer, domstolens dom den 7 maj 2009, punkt 56.

47 Prop. 1997/98:44, s. 39. PuL omfattar även manuell behandling av personuppgifter.

48 Är inte behandlingen av personuppgifter automatiserad är tillämpligheten av svensk lagstiftning beroende av om hanteringen är strukturerad eller ostrukturerad. När det kommer till organisationers hantering av uppgifter på sociala medier exempelvis är behandlingen ofta ostrukturerad, eller inte sökbar, är behandlingen tillåten så länge behandlingen inte är kränkande. Detta är den så kallade missbruksregeln, ostrukturerat material får således behandlas men inte missbrukas, se 5 a § PuL.

49 Se skäl 14 och 15 i direktiv 95/46/EG, PuL se även prop. 1997/98:44 s. 38.

50 Se skäl 14 och 27 i direktiv 95/46/EG. Artikel 29 gruppen, WP136, s. 4. PuL se Magnusson Sjöberg (red.), s.176.

51 SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 332.

(19)

användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,”

Vidare syftar direktivet till att reglera hantering av just personuppgifter. En sådan uppgift är all information som kan hänföras direkt eller indirekt till en levande person (artikel 2 (a) och 3

§ PuL). Personuppgifter kan vara namn, personnummer, bilder men även ip-nummer som hanteras i digitala miljöer räknas hit.52

Förutom definitionen av vad en uppgift är fastställs även begreppet registeransvarig (personuppgiftsansvarig). ”[D]en fysiska eller juridiska person […] som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter” är personuppgiftsansvarig.53 Vad som utgör en personuppgift särskiljs i lagen såsom icke integritetskänsliga uppgifter och integritetskänsliga (känsliga personuppgifter). Icke integritetskänsliga personuppgifter anses kunna läggas ut i digitala miljöer utan att handlingen bör medföra några integritetsskyddande åtgärder. Dessa uppgifter utgörs vanligtvis av arbets- eller kundrelaterad information.54 Dataskyddsdirektivet undantar all behandling av personuppgifter som utförs ”av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med [hens] hushåll” (artikel 3.2). Med privat bruk menas att enskilda får registrera sina vänner, föra elektronisk dagbok eller skriva e-post som innebär en hantering av personuppgifter om det är för rent privat bruk.55 Dock är detta undantag avhängigt att hantering just är för rent privat bruk, om en enskild publicerar uppgifterna på exempelvis en elektronisk anslagstavla vilket ger ett obegränsat antal individer tillgång till uppgifterna omfattas det inte av undantaget.56 Frågan om bland annat privat bruk prövades i ett förhandsavgörande av EU- domstolen, det så kallade ”Konfirmandlärarmålet”

(för en vidare behandling av rättsfallet, se kap. 3.4.5). EU- domstolen menade att dataskyddsdirektivet skulle tolkas så att publicering av känsliga personuppgifter föll inom tillämpningsområdet även om syftet med hanteringen var för privat bruk då uppgifterna publicerades på en öppen webbsida. 57

52 Fritt översatt från Artikel 29 gruppen, WP136, s. 6, 12 f. PuL se Magnusson Sjöberg (red.), s. 177.

53 Se definitioner i artikel 2 (d) direktivet samt 3 § PuL.

54 Magnusson Sjöberg (red.), s. 177.

55 Se skäl 12 i direktiv 95/46/EG.

56 Elektronisk anslagstavla innebär en möjlighet att sända och läsa meddelanden exempelvis en blogg, chatt- tjänster, elektroniska gästböcker o.s.v. Se 1 § Lag (1998:112) om ansvar för elektroniska anslagstavlor.

57 Konfirmandlärarmålet, punkt 50 och 51.

(20)

3.4.3 När behandling av personuppgifter är tillåten

Googles hantering av personuppgifter faller in under direktivets tillämpningsområde enligt artikel 3.1 (5 § PuL). Lagen gäller för ”sådan behandling av personuppgifter som helt eller delvis företas på automatiserad väg liksom för annan behandling än automatisk av personuppgifter som ingår eller kommer ingå i ett register” vilket omfattar all användning av modern informations- och kommunikationsteknik, d.v.s. även Google Search som sökmotorleverantör (se not för manuell behandling samt strukturerade och ostrukturerade personuppgifter enligt PuL).58

De grundläggande kraven och principerna av vad som utgör en korrekt hantering av personuppgifter står uppställda i artikel 6 (9 § PuL) som hanteringsregler. Artikel 6 inleds med ett krav på laglighet (artikel 6.1 (a)). I svensk praxis har detta tolkats som en lagenlig hantering i förhållande till PuL det syftas till och inte annan allmän lag då nationell domstol prövade om en hantering av personuppgifter som stred mot marknadsföringslagen i och med det även stred mot PuL.59 Vidare enligt artikel 6.1 (a) ska en hantering vara korrekt.60 En korrekt hantering av personuppgifter förutsätter att samtycke från registrerad har inhämtats (artikel 7 (a) och 10 § PuL).

I artikel 6.1 (b) (9 § d PuL, den s.k. finalitetsprincipen) stadgas att personuppgifter enbart får samlas in för särskilda, uttryckligt angivna och berättigade ändamål.61 Google som personuppgiftsansvarig får inte behandla uppgifter i strid med ett tidigare specificerat ändamål, dock får flera ändamål anges.62 Behandling av personuppgifter med ett nytt ändamål i förhållande till ett tidigare godkänt ändamål ska föregås av information till den

58 Lagen gäller även för manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning. Behandling av ostrukturerat material innebär en lättnad vid efterlevnad av lagen. Enligt missbruksregeln i 5 a § PuL är hantering av ostrukturerat material tillåten avhängigt att behandlingen inte innebär en kränkning av den registrerades personliga integritet. Ostrukturerad behandling av personuppgifter är exempelvis löpande text i ordbehandlingssystem, löpande text på internet, ljud eller bildupptagningar och text i e-post. Innebörden av att en specifik hantering faller in under ostrukturerat material är att hantering kan utföras fritt så länge det inte sker en kränkning. Strukturerat material å andra sidan ska behandlas i enlighet med hanteringsreglerna. Vissa delar av Googles hantering av personuppgifter faller in under ostrukturerade uppgifter vilket medför att företaget bör se över om hanteringsreglerna i PuL ändå ska tillämpas p.g.a. missbruksregeln. Se kap. 4.3.3 för Googles hantering av rätten att bli glömd och kopplingen till missbruksregeln. Se även Magnusson Sjöberg (red.), s.

186.

59 Jfr Förvaltningsrätten i Stockholm, mål 6121–15, 3 juni 2016.

60 Vad som anses vara korrekt hantering enligt direktivet har tolkats som ”god sed” i svensk rätt vilket bedöms utifrån Datainspektionens föreskrifter, se Magnusson Sjöberg (red.), s. 186.

61 Direktiv 95/46/EG art. 6, se även SOU 1997:39, s. 353.

62 Se Colonna, s. 159 och SOU 1997:39, s. 353.

(21)

registrerade.63 För behandling enligt svensk rätt ska hantering som anses uppfylla de generella principerna för uppgiftsbehandling närmare preciseras av regeringen och Datainspektionen.64

Artikel 6. 1 (b) (9 § PuL) rör även uppgiftens natur. De personuppgifter som samlas in ska vara adekvata och relevanta i förhållande till ändamålet. Vidare finns det en skyldighet att begränsa antalet uppgifter samt tillförsäkra att uppgifterna är aktuella.65 Här ges uttryck för proportionalitetsprincipen då mängden uppgifter ska stå i proportion till vad som krävs för att ändamålet ska kunna uppnås.66 Felaktiga eller ofullständiga uppgifter ska rättas alternativt utplånas vilket ställer krav på datakvalité (uppgifternas validitet) (artikel 6.1 (d)). Den registrerade har rätt att kräva åtgärder såsom rättelse eller utplånande av uppgifter som inte behandlats i enlighet med hanteringsreglerna (artikel 6.1 (d)) (9 § h PuL). Bevarande av uppgift under längre tid än vad som krävs i förhållande till ändamålet står även det i strid med hanteringsreglerna och kraven på uppgifters kvalitét (artikel 6.1 (e)).67

Vidare finns en grundläggande distinktion mellan särskilda kategorier av personuppgifter, känsliga och icke känsliga personuppgifter (artikel 7 och 8). Vad gäller icke känsliga personuppgifter ska dessa hanteras endast då samtycke från registrerad inhämtats (7.1 (a)) alternativt att behandlingen var nödvändig (artikel 7.1 (e) och (f)) samt 10 § PuL).

Nödvändigheten är främst knuten till livsviktiga intressen eller myndighetsutövning.68 Vad gäller Googles hantering av personuppgifter blir nödvändighet applicerbar genom artikel 7 (f) efter en intresseavvägning (se stycket nedan). Huvudregeln är dock att samtycke krävs i de flesta fall av hantering som Google genomför. Legaldefinitionen av samtycke anges som

“varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör [hen]” (artikel 2 (h)).69 Vad gäller icke känsliga personuppgifter finns inget krav på skriftligt samtycke men det ska vara individuellt och personligen uttryckt.70 Formkrav finns inte uppställt men bevisbördan ligger hos den som

63 Fritt översatt från Colonna, s. 159. Se även skäl 28 i direktiv 95/46/EG.

64 SOU 1997:39, s. 352.

65 Se skäl 28 i direktiv 95/46/EG.

66 Se Colonna, s. 156.

67 European Data Protection Supervicer (EDPS), Definition of data minimization, edps.europa.eu/node/3099#

data_minimization. För svensk tolkning av uppgiftsminimering se prop. 1997/98:44, s. 63.

68 Se Artikel 29 gruppen, Opinion 15/2011 on the definition of consent, WP187, den 13 juli 2011.29, s. 7.

69 Se Artikel 29 gruppen, WP187, s. 8. Jfr Artikel 29 gruppen, Opinion 8/2001 on the processing og personal data in the employment context, WP48, den 13 september 2001, s. 23.

70 Se Artikel 29 gruppen, WP187, s. 11. PuL se SOU 1997:39, s. 345.

(22)

påstår att samtycke inhämtats, d.v.s. vanligtvis personuppgiftsansvariga.71 Ett hypotetiskt samtycke godkänns inte oavsett hur välgrundad gissningen må vara, inte heller ett generellt eller tyst samtycke godkänns. Konkludent samtycke finns dock utrymme för vad gäller icke känsliga personuppgifter.72 Exempelvis kan personuppgiftsansvarig ge information om ändamålet för hantering av vissa specifika uppgifter samtidigt som individen ombeds att registrera dessa uppgifter och att registrering även innebär ett samtycke till hantering.

I de fall det inte finns samtycke till hantering av icke känsliga personuppgifter och behandlingen sker enligt artikel 7 (f) (10 § PuL) ska hanteringen föregås av en intresseavvägning. Medlemsstaterna får föreskriva att personuppgifter får behandlas utan samtycke endast om ”[b]ehandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller grundläggande fri- och rättigheter som kräver skydd under artikel 1.1”.73 Utgångspunkten är således skyddet för den personliga integriteten. I svensk rätt har domstolen i RÅ 2010 ref. 19 prövat frågan om personuppgiftsansvariga behandlat uppgifter i strid med artikel 7 (f) (10 § PuL) i samband med publicering av konkursbouppteckning på internet. Datainspektionen framförde att

”allmänna handlingar inte får publiceras enbart av skälet att de är tillgängliga och inte sekretessbelagda”. Högsta förvaltningsdomstolen (HFD) (då Regeringsrätten (RR)) ansåg att personuppgiftsansvariga hade ett visst intresse av att underlätta den fortsatta hanteringen av konkursen genom att publicera uppgifterna på internet. Dock, vid en intresseavvägning mellan personuppgiftsansvarigas behov av digital publicering och registrerades integritetsintressen, vägde det senare tyngre.74

Såsom nämns ovan är det förbjudet, enligt artikel 8.1 (13 § PuL), att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. 75 Utöver de krav som finns för icke känsliga personuppgifter ställs ytterligare krav vad gäller särskilda kategorier eller känsliga personuppgifter. För att hantera känsliga personuppgifter krävs att samtycket är uttryckligt

71 Se Artikel 29 gruppen, WP187, s. 11. PuL se Magnusson Sjöberg (red.), s. 188.

72 Artikel 29 gruppen, WP187, s. 11. PuL se Magnusson Sjöberg (red.), s. 188.

73 Art. 1.1 lyder: ”Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter”.

74 Se RÅ 2010 ref. 19. Jfr Artikel 29 gruppen, WP48, s. 23.

75 Jfr Artikel 29 gruppen, WP48, s. 16. PuL se prop. 1997/98:44, s. 67.

(23)

alternativt att uppgiften offentliggjorts på ett tydligt sätt (artikel 8.2 (a) (15 § PuL). Det krävs således ett uttryckligt (explicit) samtycke till varje uppgift.76 Konkludent handlande accepteras inte, samtycket ska däremot vara särskilt och knutet direkt till information den registrerade fått vid registrering.77

Enligt artikel 14 ska medlemsstaterna tillförsäkra den registrerade rätten att motsätta sig en hantering av personuppgifter när behandlingen inte grundas i samtycke (exempelvis artikel 7 (f), berättigade intressen hos personuppgiftsansvarig eller tredje man).78 Om hanteringen fortsätter, efter att samtycket har dragits tillbaka kan det uppstå frågetecken kring den initiala hanteringen av uppgifter och varför inte hanteringen grundades i artikel 7 (f) tidigare.79 Det finns alltså utrymme för registrerad att återta sitt samtycke vilket medför att hantering på annan grund inte accepteras. Hur detta hanteras är ålagt medlemsstaten vilket i svensk rätt följer direktivet. Personuppgifter får inte ”behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling” (11 § PuL). I linje med direktivet kan sådan behandling vara tillåten efter en intresseavvägning vilket förutsätter en motsättning av hanteringen från den registrerades sida om behandlingen ska upphöra.

Behandling av personuppgifter omfattas av en anmälningsplikt när hantering sker genom helt eller delvis automatiserad behandling (artikel 18) (36 § PuL). Medlemsstaten ska utse en tillsynsmyndighet vad gäller intrång i enskilda individers personliga integritet, i Sverige är Datainspektionen en sådan myndighet. Anmälan om hantering av personuppgifter görs även dit.80

3.4.4 Vilka krav ställs på den personuppgiftsansvarige?

I hanteringsreglerna (artikel 6) (9 § PuL) uppställs grundläggande krav på behandling av personuppgifter (se kap. 3.4.3). För den personuppgiftsansvariga finns således anledning att förhålla sig korrekt gällande de krav som anges, en avvikelse medför att behandlingen är

76 Jfr Artikel 29 gruppen, WP48, s. 23. Svensk rätt har tolkat samtycke till känsliga personuppgifter såsom

”[v]arje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne”, se SOU 1997:39, s. 344.

77 Se Artikel 29 gruppen, WP187, s. 11 f. PuL se SOU 1997:39, s. 345 för återkallelse.

78 Se Artikel 29 gruppen, WP187, s. 34.

79 Ibid, s. 13.

80 Magnusson Sjöberg (red.), s. 192.

(24)

oförenlig med direktivet. Dock är kraven i artikel 6 tämligen vaga vilket medför att även nationell rätt är tämligen vag (9 § PuL), tolkning har dock getts. Datainspektionen har meddelat i beslut att det får ske registrering av anställdas arbetsförmåga i intern digital miljö med syfte att ha som underlag vid uppföljningssamtal men att mängden uppgifter ska bedömas i varje enskilt fall.81 Dock får arbetsgivare inte övervaka personal i syfte att se hur dessa utförde sina arbetsuppgifter eller när de tog rast.82 Datainspektionens beslut visar på en viss otydlighet men även flexibilitet gällande kraven på personuppgiftshantering i svensk rätt.

En korrekt behandling av personuppgifter innebär bland annat en skyldighet att självmant informera den registrerade om hantering samt ändamålet med insamlingen av uppgifter.83 Enligt artikel 10 (25 § PuL) ska informationen som lämnas av personuppgiftsansvariga innehålla uppgifter om dess identitet, ändamål med hantering samt all övrig information för att registrerade ska kunna ta till vara på sina rättigheter. 84 Syftet med informationsskyldigheten är att säkerställa den registrerades rätt och möjlighet att ta tillvara på skyddet för den personliga integriteten som framgår av internationella konventioner, dataskyddsdirektivet, svensk grundlag samt allmän lag.85 Vad gäller informationen som ges av den registrerade finns det en åtskillnad mellan information som samlas in direkt från individen och information som inte samlas in direkt. När uppgifter samlas in direkt från den registrerade ska informationsskyldigheten uppfyllas samtidigt som insamlingen sker.86 Om uppgifterna inte samlas in direkt ska information lämnas vid registrering.87 Google bör förhålla sig till båda dessa regler då Google tillhandahåller olika tjänster som används på olika vis. Vad gäller informationsskyldigheten vid senare registrering blir två undantag tillämpliga.

Det ena gäller författningsreglerat undantag medan det andra syftar till att underlätta då personuppgiftsansvariga står inför en omöjlig eller oproportionerlig arbetsinsats vid informering av registrerad.88

Informationsskyldigheten innefattar även en skyldighet att lämna ut information om vilka personuppgifter ansvarig har gällande den registrerade, detta gäller inte enbart nutid utan även

81 Datainspektionens beslut 2013–05–31, dnr 1492–2012.

82 Datainspektionen beslut 2011–11–30, dnr 695–2011.

83 Se skäl 38 i direktiv 95/46/EG. Vad gäller Googles hantering av ostrukturerade uppgifter finns en lättnad i lagen som innebär att informationsskyldigheten inte infaller, se 5 a § PuL samt prop. 2005/06:173, s. 18, 58.

84 Mål C-553/07 Collage van burgemeester en wethouders van Rottendam mot M.E.E. Rijkeboer, domstolens dom den 7 maj 2009, punkt 51.

85 Magnusson Sjöberg (red.), s. 193.

86 Se skäl 38 i direktiv 95/46/EG. Se även 23 § PuL.

87 Se skäl 39 i direktiv 95/46/EG. Se även 24 § 1 st. PuL.

88 Skäl 40 i direktiv 95/46/EG. PuL se Magnusson Sjöberg (red.), s. 194.

(25)

förfluten tid.89 Ett utlämnande av sådan information ska göras på begäran av registrerad och ska kunna nyttjas ”utan större tidsutdräkt eller kostnad” (artikel 12 (a)). Information som kan begäras ut är vilka uppgifter som behandlas, varifrån uppgifterna kommer, ändamålen med behandling samt till vilken mottagare eller kategorier av mottagare uppgifterna lämnats till.

Det finns vidare en skyldighet enligt artikel 17 (30-32 §§ PuL) för personuppgiftsansvarig att vidta tekniska åtgärder som skyddsåtgärder.

Ytterligare krav som ställs vid hantering av personuppgifter är registrerades möjlighet till rättelse enligt artikel 12 (b) (18 § PuL). En otillåten behandling medför att personuppgiftsansvariga ska rätta, blockera eller utplåna uppgifter.90 Vid tillkomsten av PuL ansåg regeringen att enbart felaktiga och ofullständiga uppgifter skulle blockeras eller utplånas i linje med remissvaret från Länsrätterna i Stockholm men i strid med kommitténs svar som föreslog att även missvisande uppgifter skulle falla in under regleringen. Regeringen ansåg att då direktivet inte uppställde något uttryckligt krav på att även missvisande personuppgifter skulle utplånas blev bedömningen att sådana uppgifter inte skulle falla in under bestämmelsen i svensk rätt. 91

3.4.5 Tillämpligheten i digitala miljöer

Direktivet tillämpas vid all hantering av personuppgifter i digitala miljöer oavsett om hanteringen sker av företag, organisationer eller privatpersoner. Lagen gäller även för utlämnande av uppgifter via intranät och e-post samt adressregister. Även vid direkt marknadsföring blir direktivet tillämpligt. Datainspektionen har gjort bedömningen att den intresseavvägning som ger utrymme för direkt marknadsföring inte får ges ut till andra företag som inte har liknande verksamhet och att ett utlämnande av personuppgifter som inhämtats i registersyfte inte kan föras vidare till marknadsföring.92 Detta korrelerar med Artikel 29 gruppens tolkning när det gäller frånvaro av aktiv handling från den registrerades sida. Ett tyst samtycke är enbart giltigt i väldigt specifika och entydiga kontakter mellan registrerad och

89 College van burgemeester en wethouders van Rotterdam mot M. E. E. Rijkeboer, punkt 37. Skäl 40 i direktiv 95/46/EG. Jfr 26 § PuL.

90 Se Colonna, s. 160. Se Magnusson Sjöberg (red.), s. 186-187.

91 Prop. 1997/98:44, s 63.

92 Datainspektionens hemsida, www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/

intresseavvagning/.

(26)

personuppgiftsansvarig. En vidareföring från personuppgiftsansvarig till tredjeman innebär en ny hantering vilket kräver ett nytt samtycke.93

Publicering av personuppgifter i digitala miljöer bör föra med sig vissa överväganden från personuppgiftsansvarigas sida.94 Vissa faktorer har ansetts särskilt viktiga att förhålla sig till som personuppgiftsansvarig vilket är direkt kopplat till bedömningen om uppgifterna är integritetskänsliga eller inte. Övervägandet bör ha utgångspunkt i arten av personuppgifter, varför insamling sker, hur och av vem uppgifterna används samt mängden uppgifter.95

Ett mål som ligger till grund för tolkningen av de aspekter som bör övervägas av personuppgiftsansvariga vid publicering av uppgifter i digitala miljöer är

”Konfirmandlärarmålet”. Målet handlade om ifall publicering av vissa personuppgifter i digitala miljöer var förenligt med direktivet. 96 Den anklagade hade publicerat vissa uppgifter om sig själv samt 18 arbetskamrater inom ett pastorat. Kollegornas namn samt arbetsuppgifter och fritidsvanor beskrevs i skämtsamma ordalag. Vidare beskrevs familjeförhållanden, telefonnummer delades samt i ett fall beskrevs även en sjukskrivning p.g.a. en skadad fot. Det hade inte skett varken information till arbetskamrater om att dessa sidor existerade, inhämtats samtycke eller redovisning av handlingssättet för Datainspektionen. De aktuella sidorna togs bort när anklagad fick reda på att vissa av kollegorna inte uppskattade informationen som spreds.97

Göta Hovrätt vilandeförklarade målet och ställde sju tolkningsfrågor till EU-domstolen för att få ett klargörande i hur dataskyddsdirektivet skulle tolkas och om otillåten behandling skett av känsliga personuppgifter.98 Första frågan gällde huruvida omnämnandet av identifierbara personer på en webbsida utgör "behandling av personuppgifter som helt eller delvis företas på automatisk väg" i dataskyddsdirektivets mening artikel 3.1 (5 § PuL). Domstolen svarade att det var fråga om personuppgifter då personerna kunde identifieras, det var fråga om behandling då en åtgärd såsom att lägga ut personuppgifter på en webbsida inte är avhängig om det är automatiserad eller inte då sådana transaktioner åtminstone delvis sker på

93 Se Artikel 29 gruppen, WP187, s. 12 och 18 f.

94 Magnusson Sjöberg (red.), s. 200.

95 Prop. 2005/06:173, s. 15.

96 Konfirmandlärarmålet, punkt 2.

97 Ibid, punkt 13-14.

98Flera av frågorna blir inte tillämpliga då de gällde eventuell begränsning av yttrandefriheten, tredjelandsöverföring och om oanmäld publicering skett.

References

Download now ( PDF - 75 Page - 775.92 KB )

Outline

Nya dataskyddsförordningen (GDPR) Fråga om samtycke och vad registrerad samtycker till Googles hantering av känsliga personuppgifter Googles hantering av rätten att bli glömd i Sverige Avslutande kommentarer Käll- och litteraturförteckning

Related documents

Hantering av skyddade personuppgifter för patienter. Cosmic förvaltning

Skyddade personuppgifter (skyddad identitet) är det samlingsnamn som Skatteverket använder för de olika sekretesskydden skyddad folkbokföring, sekretessmarkering och fingerade

Policy för hantering av personuppgifter

Denna policy gäller för samtliga nämnder i Ale kommun och utgör ett komplement till gällande lagstiftning som reglerar behandling av personuppgifter. Organisatoriska och

Riktlinje för hantering av personuppgifter.

Varje personuppgiftsansvarig har ansvar för att rutin finns för att anmälan görs i tid och att incidenten i övrigt hanteras i enlighet med de krav som framgår av

Riktlinje för dataskydd och hantering av personuppgifter i Vaxholms stad

Rådgör med dataskyddsombudet vid konsekvensbedömningar av behandling av personuppgifter som kan leda till en hög risk för de registrerade.. Samråd med tillsynsmyndighet om hög

Hantering av era personuppgifter

administrera dina ärenden hos myndighetsenheten för miljö- och byggnad (behandling som sker är insamling, hantering, lagring, överföring och radering). De personuppgifter som

Riktlinje för hantering av personuppgifter i övergripande ekonomisystem

I fall där personuppgiftsbehandling är nödvändig för ett ändamål som rör ett berättigat intresse, och där den registrerades intresse av skydd för sina personuppgifter inte

Riktlinje för hantering av personuppgifter i e-post och kalender

Notera att detta även innebär att känsliga personuppgifter eller extra skyddsvärda personuppgifter inte får skannas till användarens Inkorg via e-post.. Skanning av

GDPR. En handbok i hantering av personuppgifter

Om en användare publicerar känsliga personuppgifter om en annan användare på vår sida, bör vi som huvudregel ta bort detta inlägg, då vi inte har skriftligt samtycke