EU-domstolen klargör gränsen för begreppet känsliga personuppgifter

dataskydd-EU-domstolen-klargor-gransen-for-begreppet-kansliga-personuppgifter.jpg

I en dom från augusti 2022 har EU-domstolen fått en möjlighet att fördjupa sig i begreppet ”särskilda kategorier av personuppgifter” (även känt som ”känsliga personuppgifter” i allmänt tal). I den här analysen går JP Infonets dataskyddsexpert, Didrik Värmon, igenom vad domstolen kommer fram till gällande gränsen för begreppet och vad domen innebär rent praktiskt för personuppgiftsansvariga runt om i EU.

BAKGRUND

I det här målet (https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:62020CJ0184&from=EN) hade en litauisk medborgare som var offentligt anställd vägrat att lämna in en deklaration om privata intressen, vilket gjordes enligt artikel 3.2 och artikel 4.1 i den litauiska lagen om avvägning av intressen. Syftet med dessa deklarationer var att förhindra intressekonflikter och potentiell korruption. Delar av deklarationerna publicerades även på tillsynsmyndighetens (Etikkommittén) hemsida. 

Personen ifråga gjorde gällande att han inte ingick bland de personer som var skyldiga att deklarera privata intressen och som avses i artikel 2.1 i lagen om avvägning av intressen. Därför ansåg han sig inte vara skyldig att lämna in en sådan deklaration. Han menade dessutom att ett offentliggörande av deklarationen skulle innebära att hans rätt till respekt för sitt privatliv samt andra personers rätt till respekt för sitt privatliv skulle åsidosättas.

Frågan hamnade först i litauisk nationell domstol och sedan i EU-domstolen då den litauiska domstolen var tveksam gällande om systemet som stadgades i lagen om avvägning av intressen faktiskt var förenligt med bestämmelserna om laglig grund i artikel 6.1 (c) och (e) förordning (EU) 2016/679 (GDPR) samt bestämmelsen om förbudet mot att behandla särskilda kategorier av personuppgifter i artikel 9.1 GDPR.

Anledningen till den litauiska domstolens tveksamhet angående om den nationella lagen var förenlig med GDPR var att deklarationen ifråga innehöll information om deklaranten och dennes makes, makas, sambos, partners eller barns privatliv. Denna information kan potentiellt avslöja känslig information såsom den omständigheten att den berörda personen lever i ett samboförhållande eller med en person av samma kön, vars röjande skulle kunna medföra betydande olägenheter i dessa personers privatliv. Även uppgifter om gåvor som mottagits och transaktioner som genomförts av deklaranten och dennes make, maka, sambo eller partner avslöjar vissa detaljer i deras privatliv. Uppgifter om närstående eller bekanta till deklaranten, vilka kan föranleda en intressekonflikt, avslöjar dessutom information om deklarantens familj och dennes personliga relationer.

GÄLLANDE RÄTT

I målet är framför allt två olika bestämmelser av intresse. Dels rör målet frågan om laglig grund för personuppgiftsbehandling, vilket regleras i artikel 6.1 GDPR. Enligt den artikeln krävs det en tillämplig laglig grund för varje specifik personuppgiftsbehandling och det finns sex alternativa lagliga grunder att välja mellan. De olika lagliga grunderna för personuppgiftsbehandling hittar man i artikel 6.1 (a–f) GDPR och de utgörs av samtycke, fullgörande av avtal, rättslig förpliktelse, vitala intressen, myndighetsutövning eller allmänt intresse samt berättigat intresse.

Relevant för det här målet är även villkoret i artikel 6.3 GDPR gällande rättslig förpliktelse eller allmänt intresse som lagliga grunder. Enligt den bestämmelsen ska grunden för en personuppgiftsbehandling som görs med stöd av en rättslig förpliktelse eller allmänt intresse fastställas av antingen EU-rätt eller nationell rätt. Där sägs även att unionsrätten eller den nationella rätten ifråga ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Målet berör också regleringar gällande särskilda kategorier av personuppgifter. Särskilda kategorier av personuppgifter definieras i artikel 9.2 GDPR och omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt samma bestämmelse är utgångspunkten att det är förbjudet att behandla sådana personuppgifter. Förbudet kan brytas om ett tillämpligt undantag enligt artikel 9.2 GDPR finns.

I det här målet berörs ett av dessa undantag, nämligen det undantag man hittar i artikel 9.2 (g) GDPR. Det undantaget innebär att det är tillåtet att behandla personuppgifter om ”[b]ehandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen”.

FRÅGORNA TILL EU-DOMSTOLEN

Den litauiska domstolen skickade detta mål vidare till EU-domstolen för att få svar på två konkreta frågor. De frågor man ville ha besked om från EU-domstolen var följande:

  • i) Ska villkoret i artikel 6.1 (e) i kombination med artikel 6.3 GDPR gällande kravet att medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, samt efterfölja de grundläggande rättigheterna i EU-stadgan, tolkas på så sätt att det i nationell rätt inte får krävas att deklarationer om privata intressen lämnas ut och att dessa offentliggörs på den personuppgiftsansvariges webbplats, i detta fall Etikkommittén, så att alla personer som har tillgång till internet därigenom får tillgång till dessa uppgifter?
  • ii) Ska förbudet mot behandling av särskilda kategorier av personuppgifter i artikel 9.1 med beaktande av de undantag som finns i artikel 9.2 GDPR, särskilt undantaget i artikel 9.2 (g) GDPR och även med hänsyn till artiklarna 7 och 8 i EU-stadgan, tolkas på så sätt att det i nationell rätt inte får krävas att uppgifter avseende deklarationer om privata intressen som kan avslöja personuppgifter – däribland uppgifter som gör det möjligt att avgöra en persons politiska åsikter, medlemskap i fackförening, sexuella läggning och annan personlig information – lämnas ut och att dessa offentliggörs på den personuppgiftsansvariges webbplats, i detta fall Etikkommittén, så att alla personer som har tillgång till internet får tillgång till dessa uppgifter?

DOMSTOLENS BEDÖMNING

Första frågan

När det gäller den första frågan påpekar inledningsvis EU-domstolen att de grundläggande rättigheterna i EU-stadgan gällande integritet (artikel 7) och dataskydd (artikel 8) inte är absoluta rättigheter. När det gäller konkurrerande intressen bör de vägas mot andra legitima rättigheter och intressen, i enlighet med skäl 4 GDPR. Denna dom är en avvägning mellan sådana rättigheter.

Den första frågan för domstolen medför en bedömning av om personuppgiftsbehandlingen som insamlingen av deklarationerna innebär faktiskt kan genomföras med en tillämplig laglig grund enligt GDPR. I och med att det ursprungliga beslutet (taget av Etikkommittén) daterades innan GDPR trädde i kraft, väljer domstolen att bedöma det här både utifrån GDPR och tidigare lagstiftning (direktiv 95/46/EG).

Domstolen konstaterar inledande att bland uppgifterna som publicerades inom ramen för deklarationerna förekom personuppgifter och att publiceringen av uppgifter på hemsidan utgjorde en personuppgiftsbehandling. Dataskyddslagstiftningen är därmed tillämplig på dessa publiceringar.

Domstolen konstaterar även att den är begränsad i sin bedömning till publiceringen av deklarationerna på Etikkommitténs hemsida och om den personuppgiftsbehandlingen var tillåten enligt GDPR. Insamlingen av deklarationen i sig eller andra former av eventuella offentliggöranden omfattas inte av domstolens bedömning.

Man anser från domstolens sida visserligen att det föreligger en rättslig förpliktelse att publicera dessa personuppgifter på Etikkommitténs hemsida, då det framgår direkt av lag att uppgifterna ska publiceras. Dock anser domstolen att denna rättsliga förpliktelse i övrigt inte uppfyller villkoren i artikel 52.1 i stadgan och artikel 6.3 GDPR då den inte är proportionell mot det legitima mål som eftersträvas.

Att förhindra intressekonflikter och korruption är visserligen av stor betydelse inom EU och något som syftar till att uppfylla mål av allmänt samhällsintresse som erkänns av unionen. Kränkningen av den personliga integriteten, som publiceringen av alla de uppgifter som förekommer i deklarationen innebär, anses dock inte vara proportionerlig i förhållande till nyttan med publiceringen av deklarationerna.

Andra frågan

Den andra frågan som den litauiska domstolen ville ha svar på var om ett offentliggörande av personuppgifter som indirekt kan avslöja uppgifter om någons politiska åsikter, medlemskap i fackförening eller sexuella läggning räknas som ett offentliggörande av särskilda kategorier av personuppgifter enligt artikel 9.1 GDPR.

Som en del av deklarationen registrerades även deklarantens makes, makas, sambos eller partners namn. Med hjälp av den informationen kan man dra slutsatser om deklarantens (och dennes partners) sexuella läggning enbart med hjälp av viss intellektuell slutledningsförmåga. EU-domstolen får därför avgöra om även uppgifter som indirekt kan avslöja någons sexuella läggning ska räknas som särskilda kategorier av personuppgifter.

Domstolen inleder sitt resonemang med ett konstrande att en tolkning av formuleringen i artikel 9.1 GDPR stödjer en bedömning att begreppet ”särskilda kategorier av personuppgifter” ska tolkas brett och därmed även omfatta uppgifter som indirekt avslöjar till exempel uppgifter om sexuell läggning. Domstolen anser även att syftet med bestämmelsen i såväl GDPR som tidigare dataskyddsdirektiv talar för att begreppet ska tolkas brett.

Slutsatsen blir att EU-domstolen anser att offentliggörandet av personuppgifter som indirekt kan röja en fysisk persons sexuella läggning, på webbplatsen för den myndighet som ansvarar för att samla in och kontrollera innehållet i deklarationer om privata intressen, utgör en behandling av särskilda kategorier av personuppgifter.

ANALYS

Den här domen från EU-domstolen har stor effekt för alla som behandlar personuppgifter, i synnerhet frågan som rör särskilda kategorier av personuppgifter. I den första frågan är vägledningen mer begränsad till den specifika situation som fallet rör. Den andra frågan har dock, enligt mig, betydligt större inverkan än så.

Det häpnadsväckande (men kanske inte så förvånande) med domen är att domstolen väljer att förtydliga att begreppet särskilda kategorier av personuppgifter ska tolkas brett. Resultatet av en bred tolkning av begreppet är att man som personuppgiftsansvarig vid en noggrannare kontroll kommer att inse att man i större utsträckning behandlar särskilda kategorier av personuppgifter än vad man trott vid en första anblick. Alla som arbetar med dataskyddsfrågor vet att det ställs höga krav när man hanterar dessa typer av personuppgifter och belastningen på personuppgiftsansvariga minskar inte direkt av denna dom. Personligen förstår jag logiken bakom domen men kan även se situationer framför mig där denna tolkning leder till en onödigt strikt tillämpning av förordningen. Dock råder det enligt mig inget tvivel om hur vi ska tillämpa detta ”utvidgade” begrepp, så för stunden handlar det om att rätta sig efter denna praxis.

Som personuppgiftsansvarig är det viktigt att gå igenom sina personuppgiftsbehandlingar ännu en gång i ljuset av denna dom och identifiera personuppgiftsbehandlingar som efter en bred tolkning faktiskt anses vara känsliga. Det kan till exempel handla om anhöriglistor där man samlat in inte bara namn och kontaktuppgifter till den anhöriga, utan även ”relationsstatus”. Om denna information indirekt kan avslöja sexuell läggning, bör uppgifterna ses som särskilda kategorier av personuppgifter enligt artikel 9.1 GDPR.

För de personuppgiftsbehandlingar som är indirekt känsliga är det viktigt att säkerställa att man har en laglig grund och ett tillämpligt undantag från förbudet mot att behandla särskilda kategorier av personuppgifter. Det är även viktigt att uppdatera eventuella konsekvensbedömningar och säkerställa att uppgifterna skyddas på ett lämpligt sätt.

Av Didrik Värmon, Group Data Protection Officer, Hoist Finance AB.
Ursprungligen publicerad i JP ITnet.

Publicerad 1 nov 2022

Didrik Värmon

Data Protection Officer, Hoist Finance

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

IMY bedömer att personuppgiftsbehandlingen har skett i strid med principen om uppgiftsminimering och nämnden får därför en reprimand.

28 nov 2022

IMY har genomfört en undersökning om statliga myndigheters användning av molntjänster. Nu har de övergripande slutsatserna från den sammanställts i en rapport.

24 nov 2022

Förvaltningsrätten bedömer att integritetsintresset väger tyngst, särskilt med beaktande av att kamerabevakningen skulle förenas med bildinspelning och omfatta personer som arbetar på återvinningscentralerna.

24 nov 2022