• No results found

Samtyckets chimär

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Samtyckets chimär"

Copied!
59
0
0

Loading.... (view fulltext now)

Download now ( 59 Page )

Full text

(1)

Juridiska institutionen Vårterminen 2018

Examensarbete i offentlig rätt 30 högskolepoäng

Samtyckets chimär

Illusory consent

Författare: Simon Elfstadius

Handledare: Professor Jane Reichel

(2)

För min far.

(3)

Sammanfattning

Den 25 maj 2018 blev våra inboxar fyllda av nervösa företag som ägnade sig åt att försöka säkerställa att vi var tillräckligt informerade för att de skulle få fortsätta behandla våra personuppgifter. Det rörde sig naturligtvis om den nya dataskyddsförordningens ikraftträdande. Förordningen innebär dryga sanktionsavgifter för den som inte säkerställer att den registrerade är tillräckligt informerad och att all behandling av personuppgifter sker på en rättslig grund.

Denna uppsats utforskar två av dessa företags agerande, Google och Facebook. Dessa två företag är båda amerikanska men har en stor andel av sin marknad i Europa. Därmed så måste de båda företagen tillämpa dataskyddsförordningen och de måste se till att följa den. Företagen är speciella för att information är deras handelsvara. Genom att samla information och sedan rikta anpassade annonser mot användarna tjänar de pengar.

Deras verksamheter har samtidigt blivit några av våra viktigaste forum och informationskällor, närmast vitala för det demokratiska samhället under 2010-talet. Vi har dock blivit påminda om vad som kan hända om den insamlade informationen missbrukas.

Frågan är nu vad som har hänt i och med dataskyddsförordningens ikraftträdande. Har vår personliga integritet nu plötsligt blivit så pass skyddad som mailen antyder? Har vi fått någon som helst makt över Googles och Facebooks hantering av personuppgifter?

Har vi fått en större kontroll? Dessa är några av de frågor den här uppsatsen utforskar.

(4)

Innehållsförteckning

1. Inledning ...1

1.1 Bakgrund ...1

1.2 Syfte och frågeställning ...2

1.3 Avgränsningar ...3

1.4 Metod och material...3

1.5 Disposition ...6

1.6 Begrepp ...7

2. Dataskyddsregleringens grunder ...8

2.1 Den personliga integritetens betydelse ...8

2.2 Rätten till personlig integritet ...8

2.3 Rätten till dataskydd ...10

2.4 Dataskyddsprinciperna ...11

2.4.1 Laglighet, korrekthet och öppenhet ...12

2.4.2 Principen om ändamålsbegräsning ...12

2.4.3 Principen om uppgiftsminimering ...13

2.4.4 Principen om uppgifternas korrekthet ...13

2.4.5 Principen om lagringsminimering ...14

2.4.6 Integritet och konfidentialitet ...14

2.4.7 Principen om ansvarsskyldighet ...15

2.5 Dataskyddsdirektivet ...15

3. Dataskyddsförordningen ...16

3.1 Inledning ...16

3.2 Tillämpningsområde...17

3.3 Definitionen av personuppgifter och behandling ...18

3.4 Särskilda kategorier av personuppgifter ...19

3.5 Samtycke till behandling av personuppgifter ...20

3.5.1 Generellt ...20

3.5.2 Frivilligt ...21

3.5.3 Specifikt ...22

3.5.4 Informerat ...23

3.5.5 Otvetydig viljeyttring ...23

3.5.6 Specifikt ändamål ...24

3.5.7 Återtagande av samtycke ...24

3.5.8 Tidigare givna samtycken ...25

(5)

3.6 De andra rättsliga grunderna till behandling av personuppgifter ...25

3.6.1 Nödvändig för att fullgöra ett avtal ...25

3.6.2 Nödvändig för att fullgöra en rättslig förpliktelse ...25

3.6.3 Nödvändig för att skydda grundläggande intressen ...26

3.6.4 Nödvändig för ett allmänt intresse eller vid myndighetsutövning ...26

3.6.5 Nödvändig för ett berättigat intresse...27

3.7 Konsekvenser vid överträdelser ...28

3.8 Den enskildes rättsmedel ...29

3.9 Övriga bestämmelser ...30

4. Informationsföretagens användning av personuppgifter ...32

4.1 Informationsföretagens tillämpning av dataskyddsförordningen ...32

4.2 Vilka uppgifter samlar informationsföretagen in? ...32

4.2.1 Uppgifter Facebook samlar in och från vem...32

4.2.2 Uppgifter Google samlar in och från vem...33

4.3 Vad gör informationsföretagen med uppgifterna? ...34

4.3.1 Vad gör Facebook med de insamlade uppgifterna? ...34

4.3.2 Vad gör Google med de insamlade uppgifterna? ...35

4.4 På vilken rättslig grund insamlas och behandlas uppgifterna? ...36

4.5 Är företagets tolkningar korrekta? ...39

4.5.1 Är datapolicyerna tillräckligt tydliga? ...39

4.5.2 Användandet av samtycke ...40

4.5.3 Användandet av nödvändigt för fullgörande eller ingående av ett avtal ...41

4.5.4 Det berättigade intressets bredd ...41

4.5.5 Känsliga personuppgifter ...42

5. Avslutande tankar ...43

5.1 Det genuina dataskyddet ...43

5.2 Är dataskyddsförordningen tillräcklig? ...43

5.3 En annan reglering? ...44

Källförteckning ...47

Rättsfallsförteckning ...51

(6)
(7)

Förkortningslista

Dataskyddsdirektivet

Dataskyddsförordningen

Dataskyddskonventionen

EKMR

EU FEUF

Kompletteringslagen

OECD

Personuppgiftslagen, PUL

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108)

Europeiska konventionen om skydd för de mänskliga rättigheterna

Europeiska unionen

Fördraget om Europeiska unionens funktionssätt

Lag (2018:218) med kompletterande bestämmelser till EU:s

dataskyddsförordning

Organisationen för ekonomiskt samarbete och utveckling

Personuppgiftslag (1998:204)

(8)
(9)

1

1. Inledning

1.1 Bakgrund

Det finns ett ordspråk som ungefär lyder ”om du inte betalar för det är du produkten”.

Ordspråket illustrerar på ett talande sätt många av de produkter som har uppkommit i dagens informationssamhälle, exempelvis Googles sökmotor eller Facebook. Sådana affärsidéer är baserade på att gratis erbjuda en tjänst men samtidigt samla information om användarna, information som sedan kan användas på olika sätt.

Google samlar exempelvis in information om sökningar och geografisk position som sedan används för att visa annonser relaterade till sökorden för användaren, en form av riktad marknadsföring.1 Facebook erbjuder användaren ett socialt nätverk där annonser visas. Dessa annonser kan riktas till användare utifrån deras interaktioner, deras kön eller endast en geografisk plats.2 Informationsinsamlingen är grundläggande för Facebooks och Googles affärsmodeller.

Informationen kan dock missbrukas. Företaget Cambridge Analytica köpte information, ofta personuppgifter, insamlade via quiz på Facebook. Informationen användes sedan för att erbjuda tjänster som inkluderade omfattande manipulation av väljargrupper.3 Missbruket av informationen har kastat en skugga över framförallt Facebooks informationshantering och viktiga frågor måste ställas kring de stora informationsföretagens hantering av personuppgifter.

Frågan är ännu mer aktuell med tanke på att Facebook och Google har så pass mycket information om oss att de skulle, i teorin, kunna upprätta närmast heltäckande register över politisk tillhörighet, religion och sexualitet. Även om en användare inte väljer att aktivt dela med sig av dessa saker så skulle det i många fall räcka med att undersöka en persons sökningar på Google eller vänner på Facebook för att utröna sådan information.

Register hade kunnat skapas med en omfattning Gestapo bara hade kunnat drömma om.

Det har antagligen gått få förbi att den 25 maj 2018 trädde dataskyddsförordningen i kraft i hela EU. Dataskyddsförordningen har ackompanjerats med mängder av e-post från nervösa företag där formuleringar som ”din data – dina val” förekommer.

Dataskyddsförordningen marknadsförs som något som ska skydda den lilla människan

1 Googles sekretesspolicy, gällande från 25 maj 2018 läst 9/5 2018.

2 Facebooks datapolicy, senast ändrad 19 april 2018, rubrik 2. ”Hur använder vi den här informationen?”

läst 9/5 2018.

3 Aftonbladet, Skandalen kring Cambridge Analytica – på 2 minuter, läst 9/5 2018.

(10)

2

och stora sanktionsavgifter är knutna till förordningen. Det framstår som att dataskyddet har fått sig ett rejält uppsving.

Men frågan är om det verkligen stämmer. Vad innebär egentligen dataskyddsförordningen för den lilla människan? Har användaren verkligen fått den kontroll som utlovas? Kan dataskyddsförordningen verkligen skapa ett genuint dataskydd i förhållande till företag som Facebook och Google?

1.2 Syfte och frågeställning

Facebook och Google har båda uppdaterat sina datapolicyer i och med dataskyddsförordningens ikraftträdande. Policyerna är omfattande texter som användaren har uppmanats att staka sig igenom för att förstå hur dessa informationsföretag använder sig av deras data. De är emellertid luddiga och för den mindre insatte kan det även te sig märkligt att samtycke som rättslig grund undviks i stor omfattning.

Dessa två företag har också omfattande marknadsandelar på många områden och har stor makt över vårt vardagliga informationsflöde. Företagen kan potentiellt både utpressa och manipulera oss. Dataskyddsförordningen ställer dock omfattande krav på öppenhet gentemot användarna och det krävs en tydlig rättslig grund för att få behandla personuppgifter. Andan i dataskyddsförordningen kan sägas vara att det alltid ska vara tydligt vad företagen gör med personuppgifter och användaren ska tillerkännas stor kontroll. Det verkar emellertid finnas en diskrepans mellan den andan och de dataskyddspolicys som formulerats.

Det kan vara svårt att definitivt utreda om Facebooks och Googles datapolicyer följer dataskyddsförordningen till punkt och pricka endast baserat på datapolicyerna, men det finns skäl att anta det med tanke på företagens storlek och kompetens. Det kan också vara så att företagen har valt vissa tolkningar och helt enkelt håller sig till dem tills det sker en rättslig prövning. Om deras tolkning är korrekt blir istället frågan om dataskyddsförordningen är tillräcklig. Kan den anses skapa ett genuint dataskydd i det sena 2010-talets informationssamhälle?

Syftet med denna uppsats är alltså att utreda vilken makt och vilket skydd som dataskyddsförordningen tillerkänner den lilla människan i förhållande till de stora informationsföretagen, Facebook och Google, och om detta skydd är tillräckligt för att uppnå ett genuint dataskydd.

(11)

3

För att uppnå syftet har jag valt följande delfrågeställningar:

• Vad innebär ett genuint dataskydd?

• Vilken makt och vilket skydd tillerkänns individen i dataskyddsförordningen?

• Vilken tolkning gör Facebook och Google av dataskyddsförordningen?

• Ter sig Facebooks och Googles tolkningar av dataskyddsförordningen korrekta?

• Är dataskyddsförordningen tillräcklig för att skapa ett genuint dataskydd?

1.3 Avgränsningar

Uppsatsens syfte och frågeställningar måste emellertid avgränsas. Av den anledningen har jag valt att framförallt fokusera på dataskyddsförordningens, i min mening, mest grundläggande aspekt, frågan om på vilken rättslig grund den registrerades personuppgifter behandlas, och där framförallt samtycke. Det innebär alltså att uppsatsen inte mer än upplysningsvis kommer att behandla exempelvis rätten till dataportabilitet och rätten att bli glömd. Anledningen till det är att dessa frågor själva förtjänar så pass mycket uppmärksamhet att de ter sig som egna uppsatsämnen i sig.

Google och Facebook samlar in mycket information som inte är personuppgifter.

Uppgiften att dra gränsen mellan vad som är och vad som inte är personuppgifter är mycket svår och ges därför endast begränsad uppmärksamhet i denna framställning.

Uppsatsen behandlar inte heller barns samtycke mer än upplysningsvis.

1.4 Metod och material

Dataskyddsförordningen är EU-rätt och ska som förordning tillämpas direkt i medlems- staterna.4 Av den anledningen ter sig EU-rättslig metod mer lämplig än den rättsdogmatisk metod. Skillnaden mellan den rättsdogmatiska metoden och EU-rättslig metod kan vara svår att dra eftersom den rättsdogmatiska metoden kan sägas syfta till att hitta lösningen på ett specifikt juridiskt problem.5 Den EU-rättsliga metoden syftar till samma sak och kan därmed anses ha en rättsdogmatisk karaktär.

Skillnaden mellan EU-rättslig metod och en mer klassisk svensk lagstolkningsmetod kan observeras i skillnaden mellan hur EU-domstolen och svenska domstolar tolkar lagar. Där går det att framförallt observera att EU-rätten till större del än den svenska lagstiftningen består av rättspraxis och allmänna rättsprinciper, medan den svenska

4 FEUF art. 288. Det framgår också av dataskyddsförordningen art. 99.

5 Kleineman, Juridisk metodlära, sid. 21.

(12)

4

tolkningsmetoden är mer stram.6 Det kan sägas att EU-domstolens tolkningsmetod är något mer teleologisk och reglerna anses vara ett uttryck för grundläggande principer och ändamål.7 För dataskyddsförordningens vidkommande är avvägningarna som görs i dataskyddsförordningen framförallt en avvägning mellan de grundläggande ändamål som finns i artikel 2 och artikel 3 punkt 3 i fördraget om den Europeiska unionen (FEU). Det vill säga respekten för de mänskliga rättigheterna och den inre marknaden.

Den kanske viktigaste skillnaden är källorna. EU-rätten brister i förarbeten och EU- domstolen ägnar sig ofta åt att jämka ihop olika källor för att utreda den ofta vagt formulerade EU-rätten.8 EU-rätten kräver dock i alla fall att akter ska motiveras.9 I dataskyddsförordningens fall görs detta i de skäl som inleder förordningen. Dessa skäl har avgörande betydelse för tolkningen av dataskyddsförordningen.

Genom dataskyddsdirektivet artikel 29 grundades artikel 29-gruppen, den har sedan vid dataskyddsförordningens ikraftträdande ombildats till Europeiska dataskyddsstyrelsen.10 Syftet med styrelsen är bland annat utfärda riktlinjer och råd för att tolka dataskyddsförordningen.11 Dessa riktlinjer är inte bindande och har därmed status som kallad ”soft law”. Användningen av ”soft law” har emellertid fått stor betydelse i EU- rätten och EU-domstolen har funnit att det kan finnas en skyldighet att använda sig av soft law som tolkningsunderlag.12 Europeiska dataskyddsstyrelsens riktlinjer och rekommendationer kan därmed tillmätas stor betydelse vid tolkningen av dataskydds- förordningen.

Ett kritiskt perspektiv kommer också att anläggas uppsatsen. Fokus kommer att läggas på vad ett genuint dataskydd är och om det kan anses tillgodoses, i verkligheten, av informationsföretagens tolkning av dataskyddsförordningen. Det vill säga att fokus läggs på individers verkliga möjligheter att utöva sina rättigheter enligt dataskyddsförordningen. Ett exempel på det kan sägas vara diskussionen kring möjligheten att avstå från att använda sig av Facebook eller radera sitt konto. Det är ett alternativ som alltid finns strikt legalt men för vissa, speciellt unga, kan det ha stora

6 Henette och Otken Eriksson (red.), EU-rättslig metod, sid. 38.

7 Reichel, Juridisk metodlära, sid. 122.

8 Henette och Otken Eriksson (red.), EU-rättslig metod, sid. 38.

9 FEUF art. 296.

10 Dataskyddsförordningen art. 68.

11 Dataskyddsförordningen art. 70.

12 Reichel, Juridisk metodlära, sid. 128.

(13)

5

sociala konsekvenser.13 Perspektivet anläggs för att närmare kunna förstå informationsföretagens makt och därmed undersöka de olika rekvisiten i dataskyddsförordningen, till exempel att samtycke till databehandling ska vara frivilligt.

Perspektivet är också i linje med användningen av begreppet genuint dataskydd istället för rätten till dataskydd i den första frågeställningen. Detta för att problematisera reglernas konsekvenser för användarna även om reglerna strikt sett skulle uppfylla rätten till dataskydd.

För att kunna utreda vad ett genuint dataskydd kan sägas utgöra kommer flera källor att användas i framställningen. Stort fokus kommer att läggas på den grundläggande rätten till dataskydd där bland annat EKMR och OECD:s riktlinjer om dataskydd blir aktuella.

Dessa har betydelse för tolkningen av den grundläggande rätten till dataskydd och deras ställning i förhållande till svensk rätt kommer att förklaras närmare i framställningen. I allmänhet är det viktigt att observera att många källor samsas på området för dataskydd.

Googles och Facebooks datapolicyer och andra offentliga dokument som de publicerar kommer också att användas. Dessa dokument riktar sig till användaren och företagen håller dem offentligt tillgängliga. Företagen har en skyldighet att tillhanda sådan information enligt artikel 12 i dataskyddsförordningen. Dokumenten används för att på ett åtminstone grundläggande sätt förstå hur företagen tolkar dataskyddsförordningen och på vilket sätt de hanterar personuppgifter. Det går emellertid inte att säga med säkerhet att de båda företagen håller sig till sina egna policyer. Dokumenten kallas genomgående datapolicyer i den här framställningen men Google och Facebook har gett dem lite annorlunda namn.

Under tiden för uppsatsarbetet har dataskyddsförordningen trätt i kraft. Av denna anledning kan tolkningar och situationer snabbt komma att förändras. Google och Facebook har också blivit anmälda av en NGO, Noyb, med hänvisning till dataskydds- förordningens krav.14 Dessa anmälningar har blivit en viktig inspirationskälla för uppsatsen men det eventuella resultatet av anmälningarna kommer att dröja.

13 Detta kan jämföras med Critical Legal studies och Critical race teorin där fokus läggs på individers upplevelser snarare än teorietiska lika möjligheter. Exempelvis så kan diskriminering förekomma även om någon rättsligt är jämställd. Se Carlson, Juridisk metodlära, 313ff.

14 Noyb pressmeddelande, GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook, Vienna, 25 May 2018, läst 3/6 2018.

(14)

6

En sak som också bör nämnas är att den svenska tillsynsmyndigheten Datainspektionen ska få ett nytt namn. Det är inte klart vad det nya namnet ska bli men alla referenser till Datainspektionen i texten ska förstås som referenser till den nya myndigheten.

Uppsatsen är riktad till den genomsnittlige juriststudenten och förutsätter också en grundläggande förståelse för Googles och Facebooks verksamhet. Uppsatsen är skriven ur ett svenskt perspektiv.

1.5 Disposition

Uppsatsen inleds med kapitel 2 där dataskyddsregeringens grunder behandlas. Till en början behandlas den grundläggande rätten till personlig integritet och rätten till dataskydd samt deras plats i rättsordningen. Framställningen fortsätter sedan med att redogöra för dataskyddsprinciperna som vuxit fram och för den tidigare regleringen, dataskyddsdirektivet.

Kapitel 3 fortsätter därefter med en grundlig redogörelse av dataskyddsförordningen.

Förutom generella frågor behandlas dataskyddsförordningens tillämpningsområde, både det materiella och territoriella. Efter det behandlas tre grundläggande definitioner, definitionen av personuppgifter, definitionen av behandling av personuppgifter och särskilda kategorier av personuppgifter. Framställningen fortsätter sedan med att gå igenom den rättsliga grunden samtycke till behandling av personuppgifter mer specifikt.

Uppsatsen redogör därefter för de andra rättsliga grunderna och konsekvenserna vid överträdelser och den enskildas rättsmedel.

Kapitel 4 går sedan in på informationsföretagens behandling av personuppgifter. Där förtydligas först varför informationsföretagen måste tillämpa dataskyddsförordningen.

Därefter utreds, utifrån företagens dataskyddspolicys, vilka uppgifter de samlar in.

Framställningen fortsätter sedan med att redogöra för vad informationsföretagen gör med uppgifterna utifrån vad som går att utläsa av deras datapolicys. Kapitlet fortsätter med att redogöra för med vilken rättslig grund informationsföretagen behandlar personuppgifter enligt dem själva. Sedan utreds företagens tolkningar av de rättsliga grunderna, om de är tillräckligt tydliga med mera.

Uppsatsen avslutas sedan med kapitel 5. Kapitlet inleds med ett resonemang kring det genuina dataskyddet och efter det analyseras dataskyddsförordningen utifrån informationsföretagens verksamhet. Avslutningsvis presenteras alternativa idéer för reglering som möjligtvis skulle passa bättre för informationsföretagens verksamhet.

(15)

7

1.6 Begrepp

Begreppet personuppgiftsansvarig används i uppsatsen vilket är ett begrepp som kan vara obekant för många. Begreppet används i den här framställningen som motsvarade dataskyddsförordningens definition i artikel 4 punkt 7. I korthet är personuppgifts- ansvarig den fysiska eller juridiska person som bestämmer ändamålen med personuppgiftsbehandlingen och på vilket sätt den ska ske. Det behöver inte nödvändigtvis vara samma entitet som utför personuppgiftsbehandlingen, den kan delegeras till ett så kallat personuppgiftsbiträde som utför behandlingen för den personuppgiftsansvarigs räkning.

Ett annat begrepp som används i framställningen är begreppet användaren. Användaren ska förstås som synonymt med dataskyddsförordningens begrepp den registrerade vilket innebär den fysiska personen vars uppgifter behandlas. Begreppen användaren och registrerade kommer användas synonymt i framställningen.

Begreppet informationsföretagen används i framställningen. Det ska förstås som en omskrivning av Facebook och Google när båda företagen nämns sammantaget.

(16)

8

2. Dataskyddsregleringens grunder

2.1 Den personliga integritetens betydelse

Den personliga integriteten som begrepp kan sägas vara otympligt. Förståelsen av vad som är personlig integritet är både kulturellt och personligt färgad. Vad som skulle upplevas som en kränkning av den personliga integriteten för en västerlänning kanske inte skulle upplevas som det för en kines. Vissa personer är mer bekväma med att visa sig nakna medan andra vill undvika det helt.

Att den personliga integriteten är skyddsvärd är dock något som i princip alla kulturer och samhällen kan gå med på. En respekt för den personliga integriteten nödvändigt för att skydda en persons heder och ära. Det är en del i rätten att fritt bestämma över sitt eget liv eftersom att bli betraktad som mindre aktad kan ha både ha stora sociala och ekonomiska konsekvenser för en enskild eller en grupp. Kulturen kan vara snäv och om den privata sfären inte garanteras begränsas individens frihet.15

I den privata sfären kan människan få ett svängrum för att experimentera med exempelvis sin identitet eller sexualitet på sätt som kanske inte passar in i majoritetssamhället. Den personliga integriteten kan därför också sägas bidra till den kulturella och sociala utvecklingen.

Det finns även mer samhällsövergripande skäl för ett skydd för den personliga integriteten. Genom frihet från övervakning, registrering och att bli uthängd skyddas den fria åsiktsbildningen och demokratin. En längre skyddsnivå i samhället kan medföra att individer ägnar sig åt självcensur.16 Demokratin är inte heller ett oföränderligt tillstånd och demokratiska samhällen kan ta en mer auktoritär inriktning. Om det då existerar omfattande register över medborgarna, deras politiska åsikter och vilka de umgås med möjliggör det för en auktoritär stat att vidta åtgärder mot dessa. Av bland annat dessa skäl är den personliga integriteten skyddsvärd.

2.2 Rätten till personlig integritet

Som mänsklig rättighet inryms skyddet för den personliga integriteten framförallt i rätten till skydd för privatliv, familjeliv, hem och korrespondens. Rätten till privatliv med mera återfinns i det kanske mest berömda dokumentet över mänskliga rättigheter,

15 Colonna, Legal implications of data mining, sid. 111.

16 Se a.a. sid. 208.

(17)

9

FN:s allmänna förklaring om de mänskliga rättigheterna17, i artikel 12. Där anges att ingen får utsättas för godtyckliga ingripanden i privatlivet med mera och inte heller för angrepp på sin heder och sitt anseende. Det finns en rätt till lagens skydd mot sådana angrepp. Emellertid är inte deklarationen bindande, åtminstone inte på något annat sätt än som ett uttryck för sedvanerätt.18

Av denna anledning har ett antal folkrättsliga bindande konventioner utarbetats varav den, för svenskt vidkommande, viktigaste är Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). Den undertecknades redan den 4 november 1950.

EKMR har en särskild ställning i svensk rätt. I regeringsformen 2 kap 19 § anges att ingen lag eller annan föreskrift får meddelas i strid med EKMR. Det innebär att det finns direkt stöd att inte tillämpa svensk lag, möjligtvis med undantag av grundlagarna, när den står i konflikt med EKMR. Den bestämmelsen riktar sig i första hand till lagstiftaren men EMKR gäller också som svensk lag.19

I artikel 8 EKMR skyddas privatliv med mera. I artikeln anges också att rättigheten inte får inskränkas annat än med stöd av lag och att det ska vara nödvändigt med hänsyn till vissa skäl. Ett av dessa är skydd för andra personers fri- och rättigheter. Av stor praktisk betydelse är där avvägningen mellan yttrandefriheten och skyddet för privatlivet.

Personliga angelägenheter kan vara av stort allmänintresse, av detta skäl får yttrandefriheten i många fall företräde framför skyddet för privatlivet, speciellt rörande frågor om offentliga personer.20

I praxis har artikel 8 innefattat dataskydd och speciellt frågor om olika statliga register över personer. Många av de aspekter som finns med i den mer specialiserade dataskyddsregleringen har ansetts innefattas av artikel 8. Aspekter som har haft betydelse i Europadomstolens praxis är till exempel att känsliga personuppgifter har ett större skyddsvärde, att det har betydelse hur länge informationen lagras och om den enskilde har tillgång till informationen samt vilka andra som har rätt att ta del av den.21

17 Allmän förklaring om de mänskliga rättigheterna antagen den 10 december 1948 av Förenta nationernas generalförsamling.

18 Fisher, David, Mänskliga rättigheter, en introduktion, sid. 20.

19 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

20 Danelius, Mänskliga rättigheter i europeisk praxis, sid. 374.

21 A.a. sid. 386.

(18)

10

Artikel 8 ensam har dock ansetts otillräcklig för att skydda den personliga integriteten i informationsåldern.

Den svenska regeringsformen (1974:152) skyddar också i sig den personliga integriteten direkt i 2 kap 6 §. Var och en skyddas mot både ingrepp i den kroppsliga integriteten, kroppsvisitation och liknande samt dennes korrespondens. Skyddet gäller också i allmänhet mot betydande intrång i den personliga integriteten. Bestämmelsens skydd är naturligtvis möjligt att begränsa med lag vilket har gjorts i bland annat polislagen (1984:387) och rättegångsbalken (1942:740).22

2.3 Rätten till dataskydd

OECD utarbetade på 1970-talet de första riktlinjerna för dataskydd som antogs år 1980.23 Skyddet för den personliga integriteten ansågs otillräckligt i och med den snabba utvecklingen av automatisk databehandling och behandlingen av personuppgifter skedde på ett sätt som ansågs allvarligt kränka den personliga integriteten.24 Riktlinjerna utarbetades av en expertgrupp och syftade till att harmonisera de olika långt gående lagstiftningsprojekt som påbörjats i OECD:s medlemsstater.

OECD identifierade att en harmoniserad och välavvägd lagstiftning med klara spelregler kunde gynna den internationella handeln och därmed den ekonomiska utvecklingen utan att kränka den personliga integriteten.25 I riktlinjerna återfinns de så kallade dataskyddsprinciperna som uppsatsen återkommer till. Sverige är medlem i OECD.

Av stor betydelse för Sverige är också Europarådets dataskyddskonvention där Sverige är konventionsstat. Dataskyddskonventionen såsom OECD:s riktlinjer identifierar två syften med konventionen. Att skydda individers fundamentala rättigheter och friheter, framförallt med hänsyn till den snabbt ökande automatiseringen men samtidigt till att möjliggöra för informationsfrihet över gränserna.26 Konventionen den riktar sig till de stater som skrivit under och ratificerat den.

Dataskyddskonventionen är den enda folkrättsligt bindande dataskyddsregleringen27 och den är öppen för alla stater att ansluta sig till oavsett medlemskap i Europarådet.28

22 Bull, Regeringsformen – en kommentar, sid. 78.

23 OECD guidelines on the protection of privacy and transborder flows of personal data.

24 Petersson, Personuppgiftslagen i praktiken, sid. 34.

25 Förordet (preface) till OECD guidelines on the protection of privacy and transborder flows of personal data.

26 Förordet till dataskyddskonventionen.

27 Handbook on European data protection law, sid. 24.

28 A.a. sid. 26.

(19)

11

Mauritius, Senegal, Tunisien och Uruguay är de icke-europeiska länder som i dagsläget har valt att ansluta sig till och ratificera konventionen.29 Dataskyddskonventionen har många likheter med dataskyddsregleringen på EU-nivå och OECD:s riktlinjer för dataskydd och även den ger uttryck för dataskyddsprinciperna.

EU-stadgan innehåller också skydd för den personliga integriteten. Stadgan riktar sig mot EU, dess institutioner och myndigheter och även mot medlemsländerna när de tillämpar EU-rätt30. Den har juridisk betydelse i och med Lissabonfördraget.31 Den innehåller ett skydd för privatlivet vilket återfinns i artikel 7. Det existerar också ett explicit skydd för personuppgifter i artikel 8. Där anges att var och en har rätt till skydd för sina personuppgifter, att uppgifterna ska behandlas lagenligt på legitim grund och för bestämda ändamål. Det anges också i artikeln att en oberoende myndighet ska kontrollera att dessa regler efterföljs.

Ett skydd för personuppgifter återfinns också i FEUF. I artikel 16.1 anges att var och en har rätt till skydd av sina personuppgifter. I punkt 2 i samma artikel ges Europaparlamentet och rådet mandat i uppdrag att fastställa bestämmelser om skydd för personuppgifter vid behandling av EU:s institutioner med mera. Detta mandat är det som ligger till grund för dataskyddsförordningen.32 Det existerar också en förordning rörande skydd för enskilda då EU:s institutioner och organ behandlar personuppgifter motsvarande dataskyddsförordningen.33

2.4 Dataskyddsprinciperna

Som tidigare nämnts har ett antal dataskyddsprinciper vuxit fram för att tillgodose skyddet för personuppgifter vid automatisk behandling. Dessa principer återfinns både i dataskyddsförordningen,34 det nu upphävda dataskyddsdirektivet35 och dataskydds- konventionen.36 Principerna redogörs i följande framställning som de återfinns i dataskyddsförordningen.

29 Chart of signatures and ratifications of Treaty 108, läst 20/4 2018.

30 Lebeck, EU-stadgan om grundläggande rättigheter, sid. 124.

31 Fisher, David, Mänskliga rättigheter, en introduktion, sid. 43.

32 KOM (2012) 11, sid. 5.

33 Europaparlamentet och Rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

34 Dataskyddsförordningen art. 5.

35 Principerna skrevs inte ut i en artikel i dataskyddsdirektivet men innehållet motsvarade dataskyddsprinciperna.

36 Dataskyddskonventionen kapitel II.

(20)

12 2.4.1 Laglighet, korrekthet och öppenhet

Den första dataskyddsprinciper kan sägas utgöra tre delprinciper i en. Den första delprincipen rör frågan om tillåten behandling. Principen innebär alltså att behandling inte är tillåten om det inte existerar en rättslig grund för behandling. I dataskyddsförordningen återfinns ett antal rättsliga grunder för behandling av data, samtycke samt nödvändigt för vissa ändamål. De rättsliga grunderna såsom de återfinns i dataskyddsförordningen återkommer framställningen till.

Personuppgifter ska också behandlas på ett korrekt sätt. Den svenska översättningen kan här anses något problematisk då det engelska begreppet som används är ”fairly” vilket snarare för tankarna till begrepp som rättvist eller ärligt. Principen är nära sammankopplad med den om öppenhet och innebär att personuppgiftsansvariga måste visa för de registrerade hur de behandlar dennes personuppgifter och, om det är möjligt, anpassa sig till dennes vilja på ett korrekt sätt. Principen kan sägas ta sikte på att relationen mellan individen och den personuppgiftsansvarige.37

Det finns också en skyldighet att vidta åtgärder för att informera den registrerade om hur dennes personuppgifter behandlas. Principen om öppenhet innebär att behandlingen måste förklaras för den registrerade på ett språk denne förstår. Detta kan i vissa fall innebära att språket måste anpassas till exempelvis barn. Information måste exempelvis ges om vad som händer med personuppgifterna och på vilken grund personuppgifterna behandlas.38

2.4.2 Principen om ändamålsbegräsning

Nästa princip innebär att all behandling av personuppgifter måste ske på med ett specifikt och väldefinierat legitimt syfte och endast för ytterligare syften som är kompatibla med det första syftet. Syftet ska vara definierat innan databehandlingen påbörjas.

Alla nya syften för behandling av personuppgifter som inte är kompatibla med det tidigare syftet måste ha sin egen rättsliga grund. Detta innebär exempelvis att om ett flygbolag samlar in passagerarlistor kan inte dessa delas med en migrationsmyndighet utan en ytterligare rättslig grund.39 Ett exempel på en sådan ny rättslig grund skulle

37 Handbook on European data protection law, sid. 118f.

38 A.a. sid. 120.

39 A.a. sid. 123.

(21)

13

kunna vara att flygbolaget åläggs en rättslig skyldighet att dela med sig av informationen.

Ett annat exempel på när information skickas vidare är när det görs för vetenskaplig analys. Detta är generellt tillåtet men kräver emellertid ofta att den personuppgifts- ansvarige vidtar åtgärder som anonymisering av personuppgifterna (se principen om lagringsminimering) och att den registrerades rätt att protestera respekteras.40

2.4.3 Principen om uppgiftsminimering

De personuppgifter som samlas in ska också hållas till ett minimum, mer uppgifter än vad som är nödvändigt för att uppfylla det legitima syftet får alltså inte samlas in. Det är heller inte tillåtet att behandla personuppgifter om det finns andra sätt att uppfylla det legitima syftet. Principen kan också sägas innehålla en sorts proportionalitetsbedömning, det får inte ske personuppgiftsbehandling som på ett oproportionerligt sätt inkräktar på den registrerades fri- och rättigheter.41

Ett exempel på något som skulle kunna anses strida mot principen om uppgiftsminimering är när ett namn sparas på en personlig kollektivtrafikbiljett både i digital form och i en databas. Det fyller inget syfte att personnamnet ska vara i en databas och i biljetten då det skulle räcka med att kortet identifierade sig med ett nummer kopplat till kortet. Namnet skulle istället kunnat lagras skriftligt på kortet och då jämföras med legitimation vid en kontroll.42

2.4.4 Principen om uppgifternas korrekthet

I dataskyddsförordningens svenska översättning förekommer här ordet korrekt igen, här är emellertid den engelska översättningen ”accurate” och begreppet ska därför förstås i betydelsen precis eller exakt.

Principen innebär att den personuppgiftsansvarige har ett ansvar för att informationen som behandlas är korrekt och i förekommande fall uppdaterad. I vissa fall är uppdatering av personuppgifterna tvärtom inte tillåten. Uppgifter i en journal från en operation får exempelvis inte ändras utan endast tillägg eller kommentarer får göras.43

40 A.a. sid. 124f.

41 A.a. sid. 125.

42 A.a. sid. 126.

43 A.a. sid. 128.

(22)

14

Principen kan också innebära att den registrerade kan ha rätt att kontrollera om uppgifterna stämmer.44

2.4.5 Principen om lagringsminimering

Det existerar också en skyldighet för personuppgiftsansvarige att minimera den tid som uppgifterna lagras. När det inte längre finns en anledning att behålla personuppgifterna ska alltså uppgifterna raderas. Uppgifter kan i vissa fall istället för att raderas anonymiseras.45

Det kan också vara tillåtet att fortsätta lagra information för att uppfylla olika allmänna intressen som exempelvis arkivering med vetenskapliga eller historiska syften. I dessa fall måste tillräckliga tekniska åtgärder vidtas för att skydda de registrerades rätt till dataskydd.46

Det är alltså inte tillåtet att behålla personuppgifter för att de är ”bra att ha”, lagringen får inte ske på spekulativ basis.47

2.4.6 Integritet och konfidentialitet

Personuppgifter ska också behandlas på ett sätt som säkerställer att personuppgifterna inte raderas eller kommer i orätta händer. Detta innebär alltså att den personuppgiftsansvarige har en skyldighet att vidta åtgärder för att säkerställa detta.

Åtgärder kan behöva vidtas både på det tekniska planet och det organisatoriska. Dessa åtgärder måste vara anpassade till de personuppgifter den skyddar och regelbundet utvärderas.48

För att säkerställa att uppgifterna bibehålls konfidentiella så måste också åtgärder vidtas. Om uppgifter exempelvis ska användas för forskning eller liknande bör uppgifterna anonymiseras. En korrekt anonymisering görs så att pseudonymen inte tillåter att den fysiska personen kan identifieras, exempelvis genom ett nummer snarare än exempelvis initialer.49

44 Se EU-domstolen C-553/07, College van burgemeester en wethouders van Rotterdam v. M. E. E.

Rijkeboer, 7 maj 2009.

45 Handbook on European data protection law, sid. 129.

46 A.a. sid. 129f.

47 Cary, Data protection – A Practical Guide to UK and EU law, sid. 65.

48 Handbook on European data protection law, sid. 131.

49 A.a. sid. 132.

(23)

15 2.4.7 Principen om ansvarsskyldighet

Till sist existerar också för den personuppgiftsansvarige och personuppgiftsbiträdet en skyldighet att ta ansvar för personuppgiftsbehandlingen. Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige och personuppgiftsbiträdet aktivt måste vidta åtgärder för att utveckla och synliggöra dataskydd. De är också skyldiga att följa de regelverk som finns. Principen innebär också att den personuppgiftsansvarige och personuppgiftsbiträdet måste vara redo att visa för de registrerade, allmänheten och övervakande myndigheter att och på vilket sätt de följer de regelverk som finns.50 Principen är ny för dataskyddsförordningen.

Principen om ansvarsskyldighet kan leda till att den personuppgiftsansvarige kan behöva vidta flera former av åtgärder. Exempelvis kan den vara skyldig att dokumentera all behandling som sker av personuppgifterna. I vissa fall kan det också finnas en skyldighet att utse ett dataskyddsombud för att övervaka att lagstiftningen följs.51

2.5 Dataskyddsdirektivet

Dataskyddsdirektivet var ett EU-direktiv som antogs 1995. Direktivet hade två huvudsakliga syften, att skydda den personliga integriteten i frågan om behandling av personuppgifter och att harmonisera dataskyddslagarna i medlemsstaterna.52

Som direktiv förutsattes implementering i de nationella lagstiftningarna och i Sverige antogs personuppgiftslagen (1998:204) som nu är upphävd. Den kanske största praktiska skillnaden mellan personuppgiftslagen och den nuvarande situationen är att personuppgiftslagen innehöll ett undantag för ostrukturerat material, den så kallade missbruksregeln.53 Vid behandling av personuppgifter som inte ingår eller avses ingå i ett register behövde stora delar av personuppgiftslagen inte tillämpas. Detta undantag möjliggjorde exempelvis att anställda inte behövde ta hänsyn till personuppgiftslagen när de behöll mail i sin inbox.54 Undantaget finns inte i dataskyddsförordningen. På ett europeiskt plan visade sig direktivet otillräckligt och implementeringen var spretig. Av den anledningen utarbetades dataskyddsförordningen.55

50 A.a. sid. 134.

51 A.a. sid. 135.

52 Cary, Data protection – A Practical Guide to UK and EU law, sid. 6f.

53 Personuppgiftslagen (1998:204) 5 a §.

54 Blomberg, Värt att veta om personuppgiftslagen, sid. 30.

55 KOM(2012) 11, sid. 2.

(24)

16

3. Dataskyddsförordningen

3.1 Inledning

Som EU-förordning är dataskyddsförordningen direkt tillämplig i alla medlemsstater.56 Såsom direktivet och konventionen har förordningen dubbla syften. Dels att bidra till skyddet av den personliga integriteten, dels att bidra till den ekonomiska integrationen av medlemsstaterna.

Förordningen är en del av den europeiska strategin för den digitala inre marknaden. EU för en politik som syftar till att underlätta tillgången till digitala varor och tjänster för konsumenter och företag och för att maximera tillväxtpotentialen för den europeiska digitala ekonomin57 vilket är i linje med EU:s syfte att utveckla en inre marknad.58 Den digitala inre marknaden kan komma att stå för upp till 4 % av EU:s BNP 2020 under rätt förutsättningar enligt EU:s egna utredningar.59

Dataskyddsförordningen är en förordning men kan sägas ha en direktivliknande karaktär och har beskrivits som något av en blandning. Förordningen innehåller över 50 öppna klausuler som öppnar för kompletterande nationella lagar, något som närmast förutsätts.60

För att komplettera dataskyddsförordningen trädde den svenska kompletteringslagen i kraft samtidigt som dataskyddsförordningen. Den innebär att personuppgiftslagen, som är baserad på dataskyddsdirektivet, upphävdes och att dataskyddsförordningens tillämpningsområde expanderas och görs generellt tillämplig.61 Lagen är emellertid underordnad annan lagstiftning för att möjliggöra för sektorsspecifika så kallade registerlagstiftningar där undantag kan göras för specifika situationer.62

Tillsynsmyndighet för dataskyddsförordningen är Datainspektionen. Den lägsta åldern för samtycke till behandling av personuppgifter är nu 13 år i Sverige. Det motiveras med att det finns risk för sociala konsekvenser för barnet om vårdnadshavaren motsätter

56 FEUF art. 288, se också art. 99 i dataskyddsförordningen.

57 En strategi för en inre digital marknad i Europa {SWD(2015) 100 final}, sid. 3f.

58 FEU art. 3 punkt 3.

59 Negreiro, Mar, Brefing, EU Legislation in Progress, Free flow of non-personal data in the European Union sid 1.

60 Baker McKenzie, GDPR National Legislation Survey, läst 7/5 2018.

61 Kompletteringslagen 1 kap. 1 §.

62 Kompletteringslagen 1 kap. 6 §.

(25)

17

sig exempelvis användning av sociala medier.63 Det finns också risk att barnet helt enkelt utger sig för att vara vårdnadshavare.64

Lagstiftningen utvecklar också några av de rättsliga grunderna för behandling av personuppgifter. Exempelvis utvecklas, eller förtydligas, grunderna i artikel 6.1 c och e till att också omfatta kollektivavtal.65 Ändringar som denna kan misstas för ett införlivande av en förordning, det var emellertid något som ansågs nödvändigt och tillåtet på grund av dataskyddsförordningens karaktär.66

3.2 Tillämpningsområde

Det materiella tillämpningsområdet för dataskyddsförordningen anges i artikel 2 förordningen. Det anges där att förordningen ska tillämpas när behandling av personuppgifter sker på åtminstone delvis automatisk väg. Förordningen ska dessutom också tillämpas vid manuell behandling när personuppgifterna är avsedda att ingå i ett register. Anledningen till att lagstiftaren har valt att inkludera icke-automatisk behandling förutom automatisk behandling är att undvika försök att kringgå förordningen genom manuell behandling.67

Förordningen tillämpas när verksamheten omfattas av unionsrätten. Det finns också utökningar i tillämpningsområdet som exempelvis Sverige har genomfört i nationell lagstiftning. I Sverige är dataskyddsförordningen generellt tillämplig68 med vissa undantag relaterat till försvar och polisiära angelägenheter.69

Det existerar också ett antal undantag i dataskyddsförordningen. Artikel 2 b, som refererar till fördraget om den Europeiska unionen (FEU), undantar tillämpning när medlemsländerna tillämpar den gemensamma utrikes- och säkerhetspolitiken. Det existerar också ett undantag för brottsbekämpning i EU och dessutom existerar ett undantag för behandling som av personuppgifter som är av helt privat natur.70

Dataskyddsförordningen ska inte heller tillämpas på ett sätt som gör att utövandet av yttrande- och informationsfriheterna förhindras. Detta regleras närmare i de nationella

63 Prop. 2017/18:105 sid. 71.

64 SOU 2017:39, sid. 153.

65 Kompletteringslagen 2 kap. 1 och 2 §§.

66 Prop. 2017/18:105 sid. 54 och 61.

67 Dataskyddsförordningen skäl 15.

68 Kompletteringslagen 2 §.

69 Kompletteringslagen 3 och 4 §§.

70 Dataskyddsförordningen art. 2, punkt 1 c.

(26)

18

kompletteringslagarna,71 för svenskt vidkommande i 7 § i kompletteringslagen. Där anges att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen (1949:105) eller yttrandefrihetsgrundlagen (1991:1469).

Inte heller förhindrar dataskyddsförordningen att myndigheter eller andra lämnar ut handlingar i enlighet med offentlighetsprincipen,72 förhållandet mellan offentlighets- principen och EU-rätt är emellertid komplicerat. På det stora hela kan det dock sägas att det materiella tillämpningsområdet är brett för förordningen.

Det territoriella tillämpningsområdet för dataskyddsförordningen omfattar personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU. Men också om det gäller ett utbjudande av tjänster eller varor, även kostnadsfria sådana som är riktade mot EU. Den är också tillämplig vid övervakning av beteende som sker inom EU. Det spelar ingen roll var behandlingen sker. Det territoriella tillämpningsområdet kan alltså sägas sträcka sig långt utanför EU:s gränser.73 Anledningen till det vidsträckta territoriella tillämpningsområdet är att undvika att dataskyddsförordningen på olika sätt kringgås med olika fysiska och juridiska hemvister utanför EU.

3.3 Definitionen av personuppgifter och behandling

För att förordningen ska bli tillämplig måste den information som behandlas falla in under förordningens definition av personuppgifter. Frågan om definitionen av personuppgifter är något som potentiellt kan skapa en hel del oreda i framtiden.

Definitionen är bred och lyder såhär:

”… varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,”

I definitionen kan utläsas att utgångspunkten för dataskyddsförordningen är att personuppgifter är uppgifter som går att knyta till en enskild fysisk person. Vissa uppgifter är enkla att konstatera som personuppgifter, exempelvis personnamn.74 En

71 Dataskyddsförordningen art. 82.

72 Datainspektionen – Dataskyddsförordningens syfte och tillämpningsområde, läst 13/6 2018.

73 Dataskyddsförordningen art. 3.

74 European data protection board, Glossary – Personal data, läst 29/6 2018.

(27)

19

sådan uppgift utgör därför en personuppgift i de flesta fall. Det vanligaste undantaget är när personen är avliden.75 Andra uppgifter utgör personuppgifter ibland. Exempelvis är ett organisationsnummer en personuppgift om den går att knyta till en person som i fallet med enskilda firmor. Ett registreringsnummer av en firmabil som används av flera anställda är inte en personuppgift eftersom den inte går att knyta till en enskild person.76 En kombination av uppgifter som samverkar till att tillsammans avse en identifierbar fysisk person kan tillsammans utgöra personuppgifter. Exempelvis är uppgiften "den gamle snickaren" inte en personuppgift men uppgiften "den gamle snickaren från Håbo som kör motorcykel" kanske är det. Sådana uppgifter kan med avancerad datamining riskera att bli mer och mer obskyra. Till exempel kanske en kombination av någons favoritfärg, drömsemester och födelseplats vara tillräckligt för att identifiera en fysisk person, förutsatt att det finns en databas över dessa uppgifter.

Förordningens tillämpningsområde är också beroende av att personuppgifter behandlas, det spelar ingen roll om behandlingen sker på automatisk väg. Definitionen av behandling innehåller en uppräkning av ett antal åtgärder som bland annat anses vara behandling av personuppgifter. I princip allt någon kan tänkas göra för att få ut nytta av en personuppgift omfattas av definitionen samt olika former av lagring och insamling.77

3.4 Särskilda kategorier av personuppgifter

Vissa uppgifter har en särställning i dataskyddsförordningen. Dessa uppgifter kallas i dataskyddsförordningen för särskilda kategorier av personuppgifter78 och motsvarar känsliga personuppgifter i personuppgiftslagen och kompletteringslagen. Hädanefter kommer begreppet känsliga personuppgifter därför att användas. Skälet bakom särställningen är att uppgifterna av sin natur är särskild känsliga.79 Det rör sig, lite förenklat, om uppgifter om hälsa, sexualliv, ras och politisk eller filosofisk övertygelse.

Det finns både integritetsskyddsskäl, samhällsskyddsskäl och historiska skäl att sådana uppgifter ska anses vara känsliga. Nyheter i dataskyddsförordningen är att uppgifter om genetik och biometriska uppgifter samt uppgifter om sexuell läggning och sexualliv också omfattas av bestämmelsen.80

75 Dataskyddsförordningen skäl 51.

76 Datainspektionen – Vad är egentligen en personuppgift? Läst 13/6 2018.

77 Dataskyddsförordningen art. 4 punkt 2.

78 Dataskyddsförordningen art. 9.

79 Dataskyddsförordningen skäl 51.

80 Jmf. art. 8 i dataskyddsdirektivet och art. 9 i dataskyddsförordningen.

(28)

20

Dessa personuppgifter får som utgångspunkt inte behandlas. Det finns dock ett antal undantag där behandling är tillåten. Det första och viktigaste undantaget är samtycke till behandlingen, den nationella lagstiftaren kan dock gå så långt att välja att inte tillåta samtycke som grund för behandlingen.

Ett av de absolut viktigaste andra undantagen för att möjliggöra för behandling av känsliga personuppgifter är om det rör den registrerades grundläggande intressen och den registrerade inte kan lämna sitt samtycke.81 Exempelvis om en person är medvetslös får uppgifter om dennes hälsotillstånd behandlas förutsatt att det görs för att skydda personens grundläggande intresse, vilket i det här fallet skulle vara att skydda personens hälsa och ge vård.

Det finns också ett stort antal andra undantag i förordningen som framförallt hör till området hälsa, vetenskap och arkivering, rättsliga anspråk eller andra allmänna intressen. Undantagen kan sägas vara de särskilda kategoriernas egna rättsliga grunder för behandling.

3.5 Samtycke till behandling av personuppgifter

3.5.1 Generellt

Som tidigare nämns krävs det en rättslig grund för att få behandla personuppgifter. I dataskyddsförordningen finns sex rättsliga grunder för behandling av personuppgifter varav samtycke är den intressantaste och antagligen den mest komplicerade. Samtycke när det ges av den registrerade definieras i artikel 4 punkt 11.

"varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

Det ligger i samtyckets natur att det ska vara genuint. Ett verkligt val måste alltså ges den registrerade, annars finns det risk att samtycket blir en chimär.82 Själva samtycket i sig består i dataskyddsförordningen av några grundläggande rekvisit. Samtycket ska vara frivilligt, specifikt, informerat och en otvetydig viljeyttring. Rekvisiten entydig bekräftade handling och för ett specifikt ändamål finns också utöver de som återfinns i definitionen av samtycke. Rekvisiten kan sägas gå in i varandra i många fall.

81 Dataskyddsförordningen art. 9.

82 Article 29 working party, Guidelines on consent under regulation 2016/679, sid. 3 och 6.

(29)

21 3.5.2 Frivilligt

För att ett samtycke ska vara giltigt enligt dataskyddsförordningen måste det ha givits frivilligt. Det innebär att ett fritt val måste ha givits den registrerade vilket inkluderar en rätt och möjlighet att säga nej. Frivilligheten förtydligas i artikel 7 punkt 4 i dataskydds- förordningen.

"4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet."

Denna bestämmelse ger uttryck för ett förbud att koppla ihop orelaterade samtycken som ett villkor att få använda sig av produkten.83 Exempelvis är det inte tillåtet för exempelvis en app med huvudfunktionen att redigera foton att samla in platsdata med syftet att förbättra tjänsten. Detta eftersom det inte finns någon logisk koppling mellan att behöva samla in platsdata och att erbjuda grundtjänsten, redigering av foton. Ett samtycke till insamling av platsdata kan därmed inte anses vara frivilligt om det inte är möjligt att använda produkten utan samtycket.84

Om det hade istället rört sig om en kartapp som begärde platsinformation för att kunna placera en ikon vid användarens nuvarande plats hade det funnits en logisk koppling mellan datainsamlingen och tjänsten. Hade emellertid appen inte fungerat om användaren inte samtyckt till att dela sin platsinformation hade samtycket inte kunnat anses vara frivilligt, användare ska inte bli "straffade" då de inte tillhandahåller sitt samtycke.

Samtycke får alltså aldrig vara ett villkor om det inte finns en objektiv länk mellan den databehandling användaren samtycker till och funktionaliteten användaren erbjuds. Det finns också ett krav på att användaren ska kunna samtycka till olika delar av tjänsten.

Det är alltså inte tillåtet att samla in gemensamma samtycken för exempelvis marknadsföring och för användning av en specifik tjänst utan användaren ska ges möjlighet att välja vad hen samtycker till.85

83 Se Michael Holtz, Den nya allmänna dataskyddsförordningen – några anmärkningar, SvJT 2018, sid.

250.

84 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 6.

85 Dataskyddsförordningen skäl 32.

(30)

22

Brist på maktbalans kan också göra ett samtycke ogiltigt. I skäl 43 i dataskyddsförordningen nämns exempelvis att offentliga myndigheter endast i undantagsfall kan använda sig av samtycke, och ett uteblivet samtycke får absolut inte påverka rätten att ta del av myndighetens service och funktion.86 Exempel på en situation där myndigheter kan använda sig av samtycke är när de boende erbjuds att ta del av information om byggarbeten genom ett nyhetsbrev på e-post, samtycket gäller då att behandla e-postadresserna för att möjliggöra utskicket. Förutsatt att informationen också finns tillgänglig på exempelvis en hemsida får en offentlig myndighet använda sig av samtycke i ett sådant fall.87 Det utgör dock ett undantag och i de allra flesta fall är myndigheters användning av samtycke olämpligt.

Användning av samtycke är också problematiskt i anställningsförhållanden. Det är naturligt att en anställd kommer att säga ja till en behandling av personuppgifter för att inte bli sedd som exempelvis besvärlig. En anställd är beroende av sin arbetsgivare för sin försörjning. Situationerna när en arbetsgivare kan använda sig av samtycke är alltså därför väldigt begränsade.88

3.5.3 Specifikt

Ett ytterligare krav på samtycke är att det ska vara specifikt, det hänger nära ihop med att samtycket ska göras med en otvetydig viljeyttring. Rent konkret innebär specificeringskravet bland annat att samtycket ska vara skiljt och presenteras separat från de allmänna villkoren, både med syftet att samtycket ska vara frivilligt och att samtycket ska vara specifikt.89 Samtycket ska också presenteras på ett sätt som gör det möjligt att på ett enkelt sätt samtycka till delar av behandlingen, exempelvis genom olika rutor som kan klickas i. Samma personuppgifter kan naturligtvis användas för flera olika syften, huvudsaken är att användarna får ett genuint val angående vad de vill göra med sin data.90

Användaren ska alltså ha möjlighet att välja vilka behandlingar de samtycker till. Det kan alltså bli nödvändigt för en personuppgiftsansvarig att dela upp sin tjänst i olika delar, exempelvis att separera chattfunktionalitet med annan funktionalitet.91

86 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 8.

87 A.a. sid. 6.

88 A.a. sid. 7.

89 A.a. sid 12

90 A.a. sid. 7.

91 Dataskyddsförordningen skäl 43.

(31)

23 3.5.4 Informerat

I dataskyddsförordningen är det tydligt att ett samtycke måste vara tillräckligt informerat. Det finns ett krav på transparens på vilket sätt och med vilka syften personuppgifter ska behandlas. Användaren måste alltså vara tillräckligt informerad för att kunna ta ställning till om denne vill tillåta databehandlingen. Den registrerade måste också informeras om dennes rätt att återkalla samtycket.92

Det finns inget krav i dataskyddsförordningen på hur en användare ska informeras, det kan ske på vilket sätt som helst. Det ligger dock i den personuppgiftsansvariges intresse att det dokumenteras, exempelvis genom röstinspelning, digitalt eller i skrift.

Personuppgiftsansvarig har nämligen att visa att de erhållit samtycke93 i linje med ansvarighetsprincipen.

När informationen ges ska den personuppgiftsansvarige använda ett klart och enkelt språk och inte använda sig av onödigt komplicerat juridiskt språk.94 Personuppgiftsansvariga måste också förstå sin målgrupp. I Sverige är exempelvis ålder för att samtycka till databehandling 13 år.95 Det ställer stora krav på personuppgiftsansvariga när de ska informera användarna på ett språk de förstår. Hur höga krav som helst kan inte ställas på personuppgiftsansvariga, för att utreda om informationen är tillräckligt tydlig kan exempelvis olika undersökningar användas, exempelvis testgrupper. Att en enskild användare missförstår är dock inte tillräckligt för att informationen ska anses otillräckligt.96

3.5.5 Otvetydig viljeyttring

En viktig förutsättning är att samtycke ska ske med en otvetydig viljeyttring, det tolkas som att det måste ske en aktiv handling för samtycke. Det är alltså inte tillåtet med förkryssade rutor på hemsidor eller rutor som kräver att användaren kryssar i en ruta för att inte samtycka till personuppgiftsbehandling, så kallade opt-out lösningar. Samtycket måste separeras på ett klart och tydligt sätt från andra samtycken och inte som tidigare när både allmänna villkor och dataskydd har kunnat godkännas i samma handling, exempelvis kryssa i en ruta.

92 Dataskyddsförordningen art. 7 punkt 2.

93 Dataskyddsförordningen art. 7 punkt 1.

94 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 14.

95 Kompletteringslagen 2 kap. 4 §.

96 Article 29 working party, Guidelines on consent under regulation 2016/17 79, sid. 15.

References

Download now ( PDF - 59 Page - 496.39 KB )

Outline

Samtycke till behandling av personuppgifter De andra rättsliga grunderna till behandling av personuppgifter Är företagets tolkningar korrekta? En annan reglering?

Related documents

Kommunala e-tjänster: Hur samlas medborgares behov och synpunkter in och hur används de i e-tjänsteutveckling?

Tillvägagångsättet har varit att kontrollera om kommunen har en central ingång till e-tjänster från kommunens webbsidas startsida och om det från webbsidan med e-tjänster

företagande Kvinnors

Kvinnorna förblir företagare för att de vill utveckla sina tjänster och produkter och skapa tillväxt medan 17 procent av kvinnorna ansåg att de är nöjda och inte har ambitionen

Lycka till! Inledning

Lista och fundera tillsammans över vilka värderingar, vad som är viktigt och värdefullt, ni vill ska ligga till grund för verksamheten för att ni ska få höra detta sägas om

Lathund för digital bidragsansökan

Här kan du se vilka användare ni har i er förening samt skapa och bjuda in flera användare... Klicka på pilen och välj bidraget ni vill söka, klicka sedan

Samlarna samlas

Fataburen är också en viktig länk mellan Nordiska museet och Skansen, två museer med en gemensam historia och en gemensam vänförening.. Varje årsbök har ett tematiskt innehåll

VPKs och KUs förstamajdemonstration samlas på Clemenstorget kl 13.30 under huvudparollerna:

till kvalificerad forskning, som ger 7 ger trafiknämnden i uppdrag metoder för att kartlägga försur- att i sin fortsatta planering ningens utbredning och metoder

Latinamerikas folkrörelser samlas för klimaträttvisa

Parallellt med COP20 kom- mer CLOC/La Vía Campesina och andra folkrörelser att kalla till ett folkligt toppmöte mot klimatför- ändringar där viktiga klimatfrågor för buen vivir

Vi ska inte utreda mer än nödvändigt

Ett flertal respondenter föreslår att frågor angående sexuell hälsa skulle kunna bli ett obligatorium i utredningssamtal med ungdomar för att på så sätt kartlägga om det finns