GDPR påverkar domstolsförfaranden

GDPR påverkar domstolsförfaranden.jpg

I vilken utsträckning påverkas processuella regelverk som rättegångsbalken och förvaltningsprocesslagen av GDPR? Den intressanta frågan har Högsta domstolen funderat på i förhållande till institutet editionsplikt. Klokt nog har Högsta domstolen valt att ställa frågor till EU-domstolen, vilket innebär att vi så småningom kommer att få svar. Högsta domstolens beslut visar att GDPR kan behöva beaktas även i processrättsliga sammanhang, vilket kan ha effekter på förfarandet. Detta kan även påverka parter i rättstvister, liksom registrerade som på olika sätt berörs av olika avgöranden. Högsta domstolens beslut väcker även frågor om svensk lagstiftning är GDPR-anpassad i tillräckligt hög grad. JP Infonets expert Monika Wendleby analyserar avgörandet.

BAKGRUND

GDPR gäller för domstolar även i deras dömande verksamhet (se skäl 20 till GDPR), även om den verksamheten inte står under tillsyn från Integritetsskyddsmyndigheten. När Högsta domstolen (HD) fick frågan om editionsplikt och GDPR på sitt bord är det därför rimligt att domstolen valde att ställa frågor till EU-domstolen (se HD:s beslut den 15 april 2021 i mål Ö 1750-20).

HD:s prövning rör editionsplikt enligt 38 kap. 2 § stycket rättegångsbalken (RB). Editionsplikten i RB syftar till att den som är i behov av en skriftlig handling som bevis ska få tillgång till handlingen. Ytterst handlar det, som HD anger i beslutet, om att säkerställa att den enskilde ska kunna komma till sin rätt när det finns ett befogat bevisintresse. I beslutet prövas hur nämnda bestämmelse i RB förhåller sig till en av de grundläggande principerna i artikel 5.1 b GDPR, nämligen ändamålsprincipen.

Beslutet är intressant eftersom det visar att GDPR kan få ett genomslag även i processrättsliga sammanhang. Fallet begränsar sig inte till det som prövas i beslutet. Det finns även andra principer i artikel 5 GDPR som kan vara lika relevanta till exempel principen om uppgiftsminimering. Vidare finns det även kopplingar till vittnesplikten. Som HD anger i beslutet korresponderar omfattningen av editionsplikten med skyldigheten att vittna i en rättegång.

I analysen går jag igenom HD:s beslut och noterar ett antal olika GDPR-aspekter som svenska domstolar – och därigenom de som är parter – kan behöva förhålla sig till. Eftersom frågor ställts till EU-domstolen kan domstolar och parter inte bortse från aspekterna; frågorna visar att det är relevant att här och nu fundera över i vilken utsträckning GDPR påverkar. Avgörandet ställer även frågor om svensk lagstiftning anpassats till GDPR tillräckligt och vad en osäkerhet kring detta kan betyda för personuppgiftsansvariga.

OMSTÄNDIGHETERNA I HD-FALLET

Norra Stockholm Bygg AB (Fastec) utförde för Per Nycander AB (Nycander) en entreprenad rörande en nybyggnad av ett kontorshus. I tingsrätten tvistade parterna om betalning för entreprenaden. Nycanders invändning var att Fastec inte hade lagt ned all den tid som det bolaget begärde betalning för. För att styrka detta inkom Nycander med ett editionsyrkande som sedan vandrat vidare till HD och nu även EU-domstolen.

Bakgrunden till editionsyrkandet rörde en elektronisk personalliggare som tillhandahölls av Entral AB (Entral) på uppdrag av Fastec. De som arbetade i entreprenaden registrerade sin närvaro i personalliggaren, vilket gjorde att liggaren innehöll uppgifter om arbetad tid. Denna ville Nycander få ta del av i första hand i omaskerat skick och i andra hand med maskering av personnummer. Med uppgifterna i personalliggaren ville Nycander motbevisa att Fastecs personal varit på plats i den omfattning som det bolaget gjort gällande. Entral (som förvarade liggaren) redovisade ingen inställning till editionsyrkandet utan lämnade frågan om edition till tingsrätten, medan Fastec bestred yrkandet. Fastec framhöll som grund för bestridandet att yrkandet kom i konflikt med artikel 5.1 b GDPR, eftersom personalliggaren innehöll personuppgifter som hade samlats in i syfte att Skatteverket skulle kunna kontrollera verksamheten och att det därför inte var förenligt med detta ändamål att lämna ut uppgifterna.

Tingsrätten biföll editionsyrkandet och förordnade att liggaren skulle utlämnas i omaskerat skick. Beslutet fastställdes av hovrätten. I HD yrkade Fastec att domstolen i första hand skulle avslå editionsyrkandet eller, i andra hand, förordna att liggaren skulle utges i anonymiserat skick (utan att personuppgifter kunde utläsas). Bolaget framhöll att uppgifterna i personalliggaren inte borde lämnas ut eftersom de registrerades intresse av personlig integritet borde väga över Nycanders intresse av att få del av personalliggaren. Nycander bestred ändring av hovrättens beslut.

Efter att HD meddelat prövningstillstånd begärde domstolen förhandsavgörande av EU-domstolen. I beslutet ställer HD, efter att först ha beskrivit varför uppgifterna i liggaren ursprungligen hade samlats in, vissa bestämmelser i RB mot bestämmelser i GDPR. Beslutet blir på så sätt pedagogiskt och beskriver på ett bra sätt hur vägningen, som alltid behöver göras, mellan dataskyddslagstiftning och annan lagstiftning kan se ut.

VARFÖR HADE UPPGIFTERNA SAMLATS IN?

Uppgifterna i personalliggaren hade samlats in för att Fastec skulle följa 39 kap. 11 a–c §§ skatteförfarandelagen (SFL). Enligt dessa lagrum ska den som bedriver byggverksamhet i vissa fall föra en elektronisk personalliggare. I denna ska dokumenteras nödvändiga identifikationsuppgifter för de personer som är verksamma i näringsverksamheten. Skyldigheten ligger i första hand på byggherren (i målet Fastec), men byggherren kan ge en självständig näringsidkare (i målet Ental) i uppdrag att sköta personalliggaren. Enligt 39 kap. 12 § SFL ska personalliggaren hållas tillgänglig för Skatteverket. I 39 kap. 9 § SFL anges vilka uppgifter som ska registreras, bland annat namn och personnummer för de personer som är verksamma i näringsverksamheten samt tidpunkt då respektive persons arbetspass påbörjas och avslutas.

HD noterar att ”[...]den rättsliga grunden för behandlingen av personuppgifterna är att den är nödvändig för att fullgöra en rättslig förpliktelse som på detta sätt åvilar den personuppgiftsansvarige, dvs. att föra personalliggare”. Vidare anges att det av förarbetena till lagstiftningen framgår att personuppgifterna i personalliggaren behövs för att avstämning ska kunna göras vid Skatteverkets kontrollbesök (prop. 2017/18:82 s. 41 f.).

HD utreder inte närmare förhållandet mellan Fastec och Ental utifrån GDPR, vilket hade varit intressant. Uttalandet om ändamålet kan tyda på att Fastec anses vara personuppgiftsansvarig och Ental personuppgiftsbiträde (ändamålet är i vart fall tydligare kopplat till Fastecs ändamål), men HD anger senare i beslutet att Entral får en rättslig förpliktelse om editionsyrkandet bifalls (kan tyda på ett gemensamt personuppgiftsansvar, där även Ental anses ha inflytande över ändamål och medel).

UTGÅNGSPUNKTER I RB

Enligt 38 kap. 2 § första stycket RB är den som innehar en skriftlig handling som kan antas ha betydelse som bevis skyldig att förete handlingen (editionsplikt). Undantag från editionsplikten föreskrivs i bland annat 38 kap. 2 § andra stycket RB. HD noterar att som undantag gäller att vissa befattningshavare inte får förete en skriftlig handling om dess innehåll kan antas vara sådant att innehavaren inte får höras som vittne om den. HD framhåller att undantaget tar sikte på advokater, läkare, psykologer, präster och andra befattningshavare som har anförtrotts uppgifter under sin yrkesutövning eller motsvarande. HD slår också fast att omfattningen av editionsplikten korresponderar på så sätt med skyldigheten att vittna i rättegång.

Om någon är skyldig att förete en skriftlig handling som bevis, får en domstol enligt 38 kap. 4 § RB ”[…]förelägga honom eller henne att förete handlingen.”

HD beskriver även syftet med editionsplikt:

"Editionsplikten i rättegångsbalken syftar till att den som är i behov av en skriftlig handling som bevis ska få tillgång till handlingen. Ytterst handlar det om att säkerställa att den enskilde ska kunna komma till sin rätt när det finns ett befogat bevisintresse.

Den processrättsliga utgångspunkten är att prövningen av frågan, om någon ska förpliktas att förete en handling, ska omfatta en avvägning mellan bevisningens relevans och motpartens intresse av att inte lämna ut uppgifterna (jfr ”Loggfilerna” NJA 1998 s. 829). Vid prövningen beaktas som princip inte om information i handlingen är av privat natur eller om andra personer har intresse av innehållet i handlingen, utöver vad som kan följa av de särskilt föreskrivna undantagen (jfr ”Mötesanteckningarna” NJA 2020 s. 664 p. 12)."

UTGÅNGSPUNKTER UTIFRÅN GDPR

I HD:s beslut är artikel 5.1.b GDPR, som innehåller principen om ändamålsbegränsning, central. I artikeln anges att personuppgifter ”[…]ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

HD lyfter även fram artikel 6 GDPR. Behandling av personuppgifter kan enligt artikel 6.1 c GDPR vara laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (här kan man jämföra med det tidigare konstaterandet om att Fastec hade skyldighet att samla in uppgifterna i personalliggaren).

Enligt artikel 6.3 GDPR ska grunden i artikel 6.1 c GDPR fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I artikel 6.3 andra stycket GDPR anges att medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

HD beskriver därefter möjligheten till vidarebehandling i artikel 6.4 GDPR:

"Vidare anges i artikel 6.4 att om en behandling, för andra ändamål än det ändamål för vilket personuppgifterna samlades in, inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, så ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in beakta vad som anges i led a–e. Ett ändamål som får skyddas enligt artikel 23.1 är rättsväsendets oberoende och rättsliga åtgärder (led f)."

VARFÖR BEGÄR HD ETT FÖRHANDSAVGÖRANDE?

HD slår fast att om den skulle besluta om edition, kommer det bolag som innehar personalliggaren, Entral, att vara skyldigt att lämna ut denna för att fullgöra en rättslig förpliktelse som syftar till att tillgodose Nycanders intresse av att föra bevisning.

Domstolen konstaterar därefter att det:

"[…]som sägs i artiklarna 6.3 och 6.4 i den allmänna dataskyddsförordningen om bl.a. proportionalitet torde innebära vissa unionsrättsliga krav på den tillämpliga nationella rättsordningen. Mot bakgrund av principen om medlemsstaternas processuella autonomi aktualiseras i målet frågan om detta gäller även för nationell lagstiftning om editionsplikt."

Om så är fallet uppkommer enligt HD två frågor:

"Som framgår av det föregående gäller som utgångspunkt i svensk processrätt att editionsplikten omfattar en avvägning mellan bevisningens relevans och motpartens intresse av att inte lämna ut uppgifterna. Mot bakgrund av vad som i de aktuella artiklarna sägs om proportionalitet behöver det för det första besvaras om förordningen innebär att hänsyn ska tas även till de registrerades intressen vid bedömningen av huruvida edition ska beslutas rörande en handling med personuppgifter. Om så är fallet uppkommer den andra frågan, nämligen om unionsrätten då också ställer några krav på hur denna bedömning närmare ska göras."

Eftersom det varken är klart eller klarlagt hur GDPR ska tolkas i nämnda avseenden anser HD det finns skäl att ställa frågorna till EU-domstolen.

VARFÖR ÄR AVGÖRANDET VIKTIGT?

För att det ska skapas rättspraxis är de viktigt att nationella domstolar ställer frågor till EU-domstolen. Utan sådana frågor skapas inte en enhetlig rättspraxis och olika frågor kommer att spreta mellan länderna.

HD:s fråga sätter fokus på hur registrerade och deras rättigheter ska hanteras av rättstillämpande domstolar. Är det bara parternas intresse som ska vara avgörande eller ska även de registrerades (människor vars personuppgifter berörs) intressen vägas in när beslut tas om editionsplikt eller vittnesmål? Om så är fallet, hur ska avvägningen mellan olika mänskliga rättigheter göras (proportionalitetsbedömningen som HD pratar om)? Här kan man tänka sig att olika enskildas intressen vägs mot varandra: framstår uppgiften som central i målet i förhållande till bevisteman finns större anledning att besluta om edition. Har uppgiften mindre eller inget värde bör den inte ingå. Tar man exemplet med personalliggare kan man till exempel fråga sig vad personuppgifterna om personnummer rimligen kan tillföra i den aktuella tvisten? Personnummer är enligt artikel 87 GDPR dessutom särreglerade, eftersom de anses vara mycket integritetskänsliga (de är tydliga identifikatorer som direkt pekar ut personer). I 3 kap. 10 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, som för svensk räkning preciserar artikel 87 GDPR, anges att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Kopplat till ändamålsprincipen är det även viktigt att framhålla att den ger människor överblick över hur personuppgifter kommer att kunna användas. Man kan här jämföra med debatten om blodprov som lämnas av alla nyfödda barn till PKU-registret för forskningsändamål: ska dessa även kunna användas för brottsutredande ändamål, vilket sannolikt skulle kunna leda till att många brott uppklaras? Svaret är nej. I 5 kap. lagen om biobanker i hälso- och sjukvården tydliggörs vad PKU-prov får nyttjas för, vilket inte är bevisning. Man kan även jämföra med lagen om genetisk integritet m.m. som noga reglerat när domstolar kan bestämma om personuppgifter och för vilka ändamål det kan ske. De här sätten att skriva lagar kan jämföras med bestämmelsen om editionsplikt, vilken har tillkommit helt utan beaktande av GDPR.

De frågor som HD ställt är på många sätt principiellt viktiga. Givetvis går det inte att med säkerhet ange vad EU-domstolen kommer att svara på de komplexa frågorna i vilka flera mänskliga rättigheter ingår (både parternas och den registrerades). Till det kommer domstolarnas autonomi. Här ska dock tilläggas att även domstolar ska tillämpa GDPR i den dömande verksamheten (se skäl 20 till GDPR), även om de inte i den dömande verksamheten kan underställas Integritetsskyddsmyndighetens granskning.

FINNS DET ANDRA LIKNANDE PROCESSUELLA FRÅGOR?

Avgörandet sätter fokus på all processrätt, inte bara editionsförelägganden. Som HD framhåller är bestämmelserna om editionsplikt kopplade till vittnesplikt. Eftersom HD nu ställt en fråga till EU-domstolen finns en tydlig signal till svenska domstolar att GDPR-frågorna kan behöva hanteras. Detta behöver svenska domstolar tänka på både i förhållande till editionsplikt och vittnen. Det kan också påverka förvaltningsdomstolars förelägganden att inge utredning.

Vidare finns det andra intressanta principer i GDPR att beakta. Själv var jag lite förvånad över att HD begränsade sin fråga till ändamålsprincipen. Minst lika relevant är principen om uppgiftsminimering i 5.1.c GDPR: ”De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas”. Om man gör en avvägning mellan olika enskildas mänskliga rättigheter är den här principen mycket central. Går det att besluta om editionsplikt, men maska personuppgifter som inte är nödvändiga (till exempel personnummer som jag tidigare nämnde)? I så fall har en uppgiftsminimering skett som skyddar enskilda. Den här principen borde även ställa större krav på ombud att med stor stringens formulera bevistema, så domstolen klart kan bedöma om allt som begärs verkligen är ”adekvat, relevant och inte för omfattande”.

Även graden av integritetskänslighet och vilken position den registrerade befinner sig i kan vara viktiga att beakta. Om känsliga personuppgifter begärs ut eller om de registrerade är utsatta (till exempel för att de befinner sig i en hotfull situation om deras personuppgifter släpps) bör kunna få betydelse i en proportionalitetsbedömning. I en sådan situation kan då även principen i 5.1.f GDPR om säkerhet och konfidentialitet få betydelse: kanske behöver domstolen fundera över vilka skyddsåtgärder som kan vidtas i förhållande till den registrerade? Om editionsplikt avser sådana uppgifter bör domstolen sannolikt även förordna om att överföringar ska göras på ett säkert sätt (till exempel krypterat).

Slutligen borde också principen om lagringsminimering vara intressant: När edition beslutas får en part tillgång till handlingar med ändamålet att kunna använda dem i rättegången. Om handlingen innehåller personuppgifter är det relevant att fundera över artikel 5.1.e GDPR: ”De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas”. När domstolen fattar ett beslut om editionsplikt kan man fråga sig om den samtidigt borde förordna om att personuppgifterna inte får lagras längre än vad som är nödvändigt enligt den principen. Och – om den inte gör det: vilket ansvar har parterna? Man kan här särskilt notera rekvisitet ”en form som möjliggör identifiering av den registrerade” och än en gång titta på exemplet personnummer i personalliggaren. Vilka personnummer som de registrerade har kan väl rimligen inte vara relevant för Nycander i förhållande till tvisten? Knappast inte ens namnen på de anställda som talan verkar vara utformad. Kanske borde Nycanders ombud i sitt yrkande ha sett till att bolaget inte råkar få tillgång till personuppgifter som direkt kommer i konflikt med principen om lagringsminimering?

VAD INNEBÄR EGENTLIGEN ARTIKEL 23 GDPR?

I avgörandet lyfter HD även artikel 23 GDPR, vilken är en av de bestämmelser som styr nationell rätts förhållande till GDPR. Bestämmelsen är intressant för både domstolar och myndigheter att ha med sig när de prövar mål och ärenden enligt nationell rätt. Har lagstiftningen verkligen tillkommit på det sätt som förordningen kräver? Man kan här även notera att RB inte tydligt gör undantag för några principer i artikel 5 GDPR, vilket enligt ordalydelsen i artikel 23 GDPR borde krävas.

HD pekar i sitt avgörande på artikel 23.1 f GDPR och rekvisitet ”skydd av rättsväsendets oberoende och rättsliga åtgärder”. Domstolen nämner dock inte artikel 23.2 GDPR som specificerar vad den nationella lagstiftningen, när så är relevant, ska innehålla, till exempel en precisering av ändamålen med behandlingen, skyddsåtgärder samt riskerna för de registrerades rättigheter och friheter. Som framgår av HD:s beskrivning har denna typ av frågor inte diskuterats i förhållande till editionsplikt av lagstiftaren: enbart parternas intressen har beaktats.

När jag har skrivit mina böcker om GDPR har jag flera gånger lyft frågan om svensk lagstiftning i alla avseenden följer artikel 23 GDPR. Den tid som fanns att gå igenom all lagstiftning var kort vilket lett till korta utredningstider för den registerlagstiftning som anpassats. Det finns även gott om exempel på lagstiftning som inte har gåtts igenom inför GDPR:s införande i maj 2018. Det kan därför vara så att viss lagstiftning är felaktigt utformad, då den inte korrekt iakttagit allt som anges i artikel 23 GDPR. I de proportionalitetsbedömningar som bör ingå i all lagstiftning som rör personuppgifter ska inte bara integritetsfrågor bedömas. Även andra rättigheter och friheter för enskilda ska behöva beaktas, liksom förstås olika samhällsintressen.

Det kan nämnas att EU-domstolen har underkänt EU-rättslig lagstiftning (som omfattas av samma proportionalitetskrav), se EU-domstolens dom den 9 november 2010 i de förenade målen C-92/09 och C-93/09 Volker und Markus Schecke GbR (C-92/09) och Hartmut Eifert (C-93/09) mot Land Hessen. I dessa mål prövar EU-domstolen om EU-lagstiftaren, beträffande viss lagstiftning, korrekt har bedömt om en mer begränsad personuppgiftshantering skulle vara tillräcklig för att uppnå de mål som angavs i den lagstiftningen och på så sätt bespara de registrerade ett ingrepp i privatlivet.

Som ovan nämnts har den svenska lagstiftaren inte tagit med GDPR som en faktor när den utformat olika processuella regler och alltså inte tydligt tillämpat artikel 23 GDPR. Någon egentlig prövning av om ”...begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt” som EU-domstolen framhåller i rättsfallet Volker und Markus Schecke GbR och Hartmut Eifert har därför inte gjorts.

KAN PERSONUPPGIFTSANSVARIGA DRABBAS AV ATT LAGSTIFTNING INTE GDPR-ANPASSATS?

Det är inte bara domstolar som behöver pröva om lagstiftningar genomförts på ett korrekt sätt enligt GDPR utan detta ansvar ligger även på ”vanliga” personuppgiftsansvariga. I min bok Dataskyddsförordningen GDPR : Hantera registrerades rättigheter (s. 296 f) gör jag följande reflektion:

"I dataskyddsförordningen finns ibland bestämmelser som hänvisar till att man kan stödja sig på nationell lag om den genomfört en godtagbar proportionalitetsbedömning där olika rättigheter och friheter vägts mot varandra. Så är till exempel fallet i artikel 14.5 b (rätten till information). Ibland läggs ett ganska långtgående ansvar på personuppgiftsansvariga att göra en analys av om detta gjorts korrekt, vilket förstås är en tuff uppgift att hantera. Tanken är ju att lagstiftaren i sin proportionalitetsbedömning ska ha prövat vilka lämpliga skyddsåtgärder kopplade till dataskydd som krävs och ha gjort nödvändiga anpassningar. Det känns som en orimlig uppgift för vanliga personuppgiftsansvariga att göra djupare analyser än lagstiftaren mäktat med och jag har svårt att se att en personuppgiftsansvarig som missat att göra den analysen skulle kunna drabbas av till exempel administrativa sanktionsavgifter. Däremot kan den förstås drabbas av andra åtgärder som Integritetsskyddsmyndigheten har till sitt förhållande, till exempel ett föreläggande att upphöra med en behandling."

Som framgår är min bedömning att enskilda personuppgiftsansvariga inte bör drabbas alltför hårt av lagstiftningsmissar eller otydligheter, men detta är förstås slutligen en fråga som kan komma att bedömas i rättspraxis. Att det kan finnas en osäkerhet kring lagstiftningens GDPR-anpassning kan under alla förhållanden säkert skapa oro. Även sett till denna aspekt är det viktigt att svenska domstolar, liksom HD, tar sitt ansvar för att skapa praxis och frågar EU-domstolen när frågor är oklara. Därför applåderar jag beslutet och ser fram emot EU-domstolens svar.

Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerat i JP ITnet

Senast uppdaterad 31 maj 2021

Läs mer inom rättsområdet
Utbildningar

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss