Logga in

Glömt ditt lösenord?

EU-domstolen klargör gränsen för begreppet känsliga personuppgifter

dataskydd-EU-domstolen-klargor-gransen-for-begreppet-kansliga-personuppgifter.jpg

I en dom från augusti 2022 har EU-domstolen fått en möjlighet att fördjupa sig i begreppet ”särskilda kategorier av personuppgifter” (även känt som ”känsliga personuppgifter” i allmänt tal). I den här analysen går JP Infonets dataskyddsexpert, Didrik Värmon, igenom vad domstolen kommer fram till gällande gränsen för begreppet och vad domen innebär rent praktiskt för personuppgiftsansvariga runt om i EU.

BAKGRUND

I det här målet (https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:62020CJ0184&from=EN) hade en litauisk medborgare som var offentligt anställd vägrat att lämna in en deklaration om privata intressen, vilket gjordes enligt artikel 3.2 och artikel 4.1 i den litauiska lagen om avvägning av intressen. Syftet med dessa deklarationer var att förhindra intressekonflikter och potentiell korruption. Delar av deklarationerna publicerades även på tillsynsmyndighetens (Etikkommittén) hemsida. 

Personen ifråga gjorde gällande att han inte ingick bland de personer som var skyldiga att deklarera privata intressen och som avses i artikel 2.1 i lagen om avvägning av intressen. Därför ansåg han sig inte vara skyldig att lämna in en sådan deklaration. Han menade dessutom att ett offentliggörande av deklarationen skulle innebära att hans rätt till respekt för sitt privatliv samt andra personers rätt till respekt för sitt privatliv skulle åsidosättas.

Frågan hamnade först i litauisk nationell domstol och sedan i EU-domstolen då den litauiska domstolen var tveksam gällande om systemet som stadgades i lagen om avvägning av intressen faktiskt var förenligt med bestämmelserna om laglig grund i artikel 6.1 (c) och (e) förordning (EU) 2016/679 (GDPR) samt bestämmelsen om förbudet mot att behandla särskilda kategorier av personuppgifter i artikel 9.1 GDPR.

Anledningen till den litauiska domstolens tveksamhet angående om den nationella lagen var förenlig med GDPR var att deklarationen ifråga innehöll information om deklaranten och dennes makes, makas, sambos, partners eller barns privatliv. Denna information kan potentiellt avslöja känslig information såsom den omständigheten att den berörda personen lever i ett samboförhållande eller med en person av samma kön, vars röjande skulle kunna medföra betydande olägenheter i dessa personers privatliv. Även uppgifter om gåvor som mottagits och transaktioner som genomförts av deklaranten och dennes make, maka, sambo eller partner avslöjar vissa detaljer i deras privatliv. Uppgifter om närstående eller bekanta till deklaranten, vilka kan föranleda en intressekonflikt, avslöjar dessutom information om deklarantens familj och dennes personliga relationer.

GÄLLANDE RÄTT

I målet är framför allt två olika bestämmelser av intresse. Dels rör målet frågan om laglig grund för personuppgiftsbehandling, vilket regleras i artikel 6.1 GDPR. Enligt den artikeln krävs det en tillämplig laglig grund för varje specifik personuppgiftsbehandling och det finns sex alternativa lagliga grunder att välja mellan. De olika lagliga grunderna för personuppgiftsbehandling hittar man i artikel 6.1 (a–f) GDPR och de utgörs av samtycke, fullgörande av avtal, rättslig förpliktelse, vitala intressen, myndighetsutövning eller allmänt intresse samt berättigat intresse.

Relevant för det här målet är även villkoret i artikel 6.3 GDPR gällande rättslig förpliktelse eller allmänt intresse som lagliga grunder. Enligt den bestämmelsen ska grunden för en personuppgiftsbehandling som görs med stöd av en rättslig förpliktelse eller allmänt intresse fastställas av antingen EU-rätt eller nationell rätt. Där sägs även att unionsrätten eller den nationella rätten ifråga ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Målet berör också regleringar gällande särskilda kategorier av personuppgifter. Särskilda kategorier av personuppgifter definieras i artikel 9.2 GDPR och omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt samma bestämmelse är utgångspunkten att det är förbjudet att behandla sådana personuppgifter. Förbudet kan brytas om ett tillämpligt undantag enligt artikel 9.2 GDPR finns.

I det här målet berörs ett av dessa undantag, nämligen det undantag man hittar i artikel 9.2 (g) GDPR. Det undantaget innebär att det är tillåtet att behandla personuppgifter om ”[b]ehandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen”.

FRÅGORNA TILL EU-DOMSTOLEN

Den litauiska domstolen skickade detta mål vidare till EU-domstolen för att få svar på två konkreta frågor. De frågor man ville ha besked om från EU-domstolen var följande:

  • i) Ska villkoret i artikel 6.1 (e) i kombination med artikel 6.3 GDPR gällande kravet att medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, samt efterfölja de grundläggande rättigheterna i EU-stadgan, tolkas på så sätt att det i nationell rätt inte får krävas att deklarationer om privata intressen lämnas ut och att dessa offentliggörs på den personuppgiftsansvariges webbplats, i detta fall Etikkommittén, så att alla personer som har tillgång till internet därigenom får tillgång till dessa uppgifter?
  • ii) Ska förbudet mot behandling av särskilda kategorier av personuppgifter i artikel 9.1 med beaktande av de undantag som finns i artikel 9.2 GDPR, särskilt undantaget i artikel 9.2 (g) GDPR och även med hänsyn till artiklarna 7 och 8 i EU-stadgan, tolkas på så sätt att det i nationell rätt inte får krävas att uppgifter avseende deklarationer om privata intressen som kan avslöja personuppgifter – däribland uppgifter som gör det möjligt att avgöra en persons politiska åsikter, medlemskap i fackförening, sexuella läggning och annan personlig information – lämnas ut och att dessa offentliggörs på den personuppgiftsansvariges webbplats, i detta fall Etikkommittén, så att alla personer som har tillgång till internet får tillgång till dessa uppgifter?

DOMSTOLENS BEDÖMNING

Första frågan

När det gäller den första frågan påpekar inledningsvis EU-domstolen att de grundläggande rättigheterna i EU-stadgan gällande integritet (artikel 7) och dataskydd (artikel 8) inte är absoluta rättigheter. När det gäller konkurrerande intressen bör de vägas mot andra legitima rättigheter och intressen, i enlighet med skäl 4 GDPR. Denna dom är en avvägning mellan sådana rättigheter.

Den första frågan för domstolen medför en bedömning av om personuppgiftsbehandlingen som insamlingen av deklarationerna innebär faktiskt kan genomföras med en tillämplig laglig grund enligt GDPR. I och med att det ursprungliga beslutet (taget av Etikkommittén) daterades innan GDPR trädde i kraft, väljer domstolen att bedöma det här både utifrån GDPR och tidigare lagstiftning (direktiv 95/46/EG).

Domstolen konstaterar inledande att bland uppgifterna som publicerades inom ramen för deklarationerna förekom personuppgifter och att publiceringen av uppgifter på hemsidan utgjorde en personuppgiftsbehandling. Dataskyddslagstiftningen är därmed tillämplig på dessa publiceringar.

Domstolen konstaterar även att den är begränsad i sin bedömning till publiceringen av deklarationerna på Etikkommitténs hemsida och om den personuppgiftsbehandlingen var tillåten enligt GDPR. Insamlingen av deklarationen i sig eller andra former av eventuella offentliggöranden omfattas inte av domstolens bedömning.

Man anser från domstolens sida visserligen att det föreligger en rättslig förpliktelse att publicera dessa personuppgifter på Etikkommitténs hemsida, då det framgår direkt av lag att uppgifterna ska publiceras. Dock anser domstolen att denna rättsliga förpliktelse i övrigt inte uppfyller villkoren i artikel 52.1 i stadgan och artikel 6.3 GDPR då den inte är proportionell mot det legitima mål som eftersträvas.

Att förhindra intressekonflikter och korruption är visserligen av stor betydelse inom EU och något som syftar till att uppfylla mål av allmänt samhällsintresse som erkänns av unionen. Kränkningen av den personliga integriteten, som publiceringen av alla de uppgifter som förekommer i deklarationen innebär, anses dock inte vara proportionerlig i förhållande till nyttan med publiceringen av deklarationerna.

Andra frågan

Den andra frågan som den litauiska domstolen ville ha svar på var om ett offentliggörande av personuppgifter som indirekt kan avslöja uppgifter om någons politiska åsikter, medlemskap i fackförening eller sexuella läggning räknas som ett offentliggörande av särskilda kategorier av personuppgifter enligt artikel 9.1 GDPR.

Som en del av deklarationen registrerades även deklarantens makes, makas, sambos eller partners namn. Med hjälp av den informationen kan man dra slutsatser om deklarantens (och dennes partners) sexuella läggning enbart med hjälp av viss intellektuell slutledningsförmåga. EU-domstolen får därför avgöra om även uppgifter som indirekt kan avslöja någons sexuella läggning ska räknas som särskilda kategorier av personuppgifter.

Domstolen inleder sitt resonemang med ett konstrande att en tolkning av formuleringen i artikel 9.1 GDPR stödjer en bedömning att begreppet ”särskilda kategorier av personuppgifter” ska tolkas brett och därmed även omfatta uppgifter som indirekt avslöjar till exempel uppgifter om sexuell läggning. Domstolen anser även att syftet med bestämmelsen i såväl GDPR som tidigare dataskyddsdirektiv talar för att begreppet ska tolkas brett.

Slutsatsen blir att EU-domstolen anser att offentliggörandet av personuppgifter som indirekt kan röja en fysisk persons sexuella läggning, på webbplatsen för den myndighet som ansvarar för att samla in och kontrollera innehållet i deklarationer om privata intressen, utgör en behandling av särskilda kategorier av personuppgifter.

ANALYS

Den här domen från EU-domstolen har stor effekt för alla som behandlar personuppgifter, i synnerhet frågan som rör särskilda kategorier av personuppgifter. I den första frågan är vägledningen mer begränsad till den specifika situation som fallet rör. Den andra frågan har dock, enligt mig, betydligt större inverkan än så.

Det häpnadsväckande (men kanske inte så förvånande) med domen är att domstolen väljer att förtydliga att begreppet särskilda kategorier av personuppgifter ska tolkas brett. Resultatet av en bred tolkning av begreppet är att man som personuppgiftsansvarig vid en noggrannare kontroll kommer att inse att man i större utsträckning behandlar särskilda kategorier av personuppgifter än vad man trott vid en första anblick. Alla som arbetar med dataskyddsfrågor vet att det ställs höga krav när man hanterar dessa typer av personuppgifter och belastningen på personuppgiftsansvariga minskar inte direkt av denna dom. Personligen förstår jag logiken bakom domen men kan även se situationer framför mig där denna tolkning leder till en onödigt strikt tillämpning av förordningen. Dock råder det enligt mig inget tvivel om hur vi ska tillämpa detta ”utvidgade” begrepp, så för stunden handlar det om att rätta sig efter denna praxis.

Som personuppgiftsansvarig är det viktigt att gå igenom sina personuppgiftsbehandlingar ännu en gång i ljuset av denna dom och identifiera personuppgiftsbehandlingar som efter en bred tolkning faktiskt anses vara känsliga. Det kan till exempel handla om anhöriglistor där man samlat in inte bara namn och kontaktuppgifter till den anhöriga, utan även ”relationsstatus”. Om denna information indirekt kan avslöja sexuell läggning, bör uppgifterna ses som särskilda kategorier av personuppgifter enligt artikel 9.1 GDPR.

För de personuppgiftsbehandlingar som är indirekt känsliga är det viktigt att säkerställa att man har en laglig grund och ett tillämpligt undantag från förbudet mot att behandla särskilda kategorier av personuppgifter. Det är även viktigt att uppdatera eventuella konsekvensbedömningar och säkerställa att uppgifterna skyddas på ett lämpligt sätt.

Av Didrik Värmon, Group Data Protection Officer, Hoist Finance AB.
Ursprungligen publicerad i JP ITnet.

Publicerad 1 nov 2022

Didrik Värmon

Regulatory Specialist, Max Matthiessen

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Offentlighet, sekretess och outsourcing av IT tjänster inom den offentliga verksamheten

Offentlighet, sekretess och outsourcing av IT tjänster inom den offentliga verksamheten

Dataskyddsförordningen GDPR ur ett skolperspektiv

Dataskyddsförordningen GDPR ur ett skolperspektiv

Grundkurs i informationssäkerhet – den praktiska tillämpningen

Grundkurs i informationssäkerhet – den praktiska tillämpningen

Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Kraftig ökning av cyberangrepp under förra året

IT och dataskydd

Antalet försök till cyberangrepp ökade kraftigt mot statliga myndigheter och leverantörer av samhällsviktiga tjänster under 2023. Det framgår av MSB:s årsredovisning av it-incidentrapporter. 

8 apr 2024

Dömde kammarrätten rätt i MedHelp-målet?

IT och dataskydd

Vår expert Monika Wendleby går i den här analysen igenom avgörandet utifrån olika EU-rättskällor.

8 apr 2024

Värdet av spårbarhet ur GDPR-synvinkel

IT och dataskydd

I denna analys reder vår expert Jakob Söderbaum ut begreppen, beskriver behovet och förutsättningarna för att jobba med spårbarhet med utgångspunkt i GDPR, och framhåller värdet av spårbarhet i den digitala miljön ur dataskyddssynvinkel.

12 mar 2024

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Genom att välja "acceptera" samtycker du till att cookies används. Läs mer

  • Inloggning och sessionshantering

    Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.

    Cookie-namn:
    • .JpLogin
    • ASP.NET_SessionId
    Godkännande av kakor

    Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.

    Cookie-namn:
    • jp-cookies
    Federerad inloggning

    Denna kaka sätts för användare som använder federerad inloggning.

    Cookie-namn:
    • FedAuth
    Kursutvärderingar

    Denna kaka sätts för användare som skickat in kursutvärderingar.

    Cookie-namn:
    • CourseEvaluations
  • Filnedladdning

    Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.

    Cookie-namn:
    • JP_Download
    Webbkursexaminationer

    Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.

    Cookie-namn:
    • ExamStudentId
    Solidtango

    Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.

    Cookie-namn:
    • JSESSIONID
    • _fanplay_session
    Twitter

    Sparar språkval för Twitter-flödet.

    Cookie-namn:
    • lang
    Google Analytics

    Denna kaka används för att särskilja användare.

    Cookie-namn:
    • _gali
    Form Apsis One

    Denna kaka används för inbäddade formulär.

    Cookie-namn:
    • form.apsis.one
  • Google Analytics

    Kakor som används för besöksmätning.

    Cookie-namn:
    • _ga
    • _gid
    • _gat
    Hot Jar

    Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.

    Cookie-namn:
    • _hjIncludedInSample
    • _hjid
    Upplysningscentralen (UC)

    Används för risksigillet i sidfoten på publik sajt.

    Cookie-namn:
    • www.uc.se
    Apsis One

    Används för att analysera användarbeteende och skräddarsy marknadsföring.

    Cookie-namn:
    • Apsis One
  • Google Advertising

    Kakor för Google Advertising

    Cookie-namn:
    • test_cookie
    • IDE
    ProspectEye (Apsis Lead)

    Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.

    Cookie-namn:
    • 3135848f46