Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Sunt förnuft och rättspraxis – ett år med GDPR”

Nyheter
Publicerad: 2019-06-12 10:41
Sören Öman är ordförande för Arbetsdomstolen

KOMMENTAR – av Sören Öman, ordförande i Arbetsdomstolen och författare till en kommentar till dataskyddsförordningen (GDPR) som kommit ut nu när förordningen har tillämpats i ett år

EU:s dataskyddsreform är ett projekt av enorma proportioner. Myndigheter och företag inom hela EU har fått anpassa sig till många och komplicerade nya regler till stora kostnader.

Mängden text att sätta sig in i för att förstå regleringen är överväldigande. Bara den direkt tillämpliga dataskyddsförordningen är på 88 tättskrivna sidor, med 99 artiklar och 173 inledande ingresspunkter (skäl). 

De riktlinjer om förordningen som Europeiska dataskyddsstyrelsen hittills gett ut eller ställt sig bakom är på närmare 500 sidor. Därtill kommer material från Datainspektionen om förordningen.

I samband med anpassningen av svensk lagstiftning till dataskyddsförordningen har det skrivits drygt 15 000 sidor förarbetstext, som delvis innehåller tolkningar av förordningens bestämmelser.

För dataskydd i myndigheters brottsbekämpande och straffverkställande verksamhet finns det ett särskilt EU-direktiv (2016/680) med motsvarande bestämmelser som kan vara av betydelse vid tolkningen av förordningen. Det direktivet är på 43 sidor, med 65 artiklar och 107 ingresspunkter, och har genomförts i Sverige med hjälp av drygt 3 250 sidor förarbetstext.

Dessutom finns det en EU-förordning (2018/1725) med motsvarande dataskyddsbestämmelser för EU:s institutioner och organ om 60 sidor, med 101 artiklar och 89 ingresspunkter.

En hel del grundläggande bestämmelser i dataskyddsförordningen har sina motsvarigheter i det tidigare dataskyddsdirektivet och personuppgiftslagen. Därför kan den ibland omfattande praxis som finns om dessa äldre bestämmelser och uttalanden om dem ha betydelse för tolkningen av förordningen.

Problemet är bara att det måste bedömas för varje regel för sig mot bakgrund av innehållet i den praxis som finns.

Varje officiell språkversion av dataskyddsförordningen har samma status. Därför måste man ibland jämföra med andra språkversioner för att förstå vad den svenska språkversionen innebär.

Härtill kommer att så gott som alla språkversioner har rättats genom senare beslut, något som man förstås också måste beakta.

Trots den stora mängden material till stöd för tolkningen finns det ändå en hel del direkt tillämpliga bestämmelser i dataskyddsförordningen som framstår som oklara eller otydliga. Ett exempel är följande bestämmelse i artikel 11.2:

”Om den personuppgiftsansvarige[…] kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta.”

I vilka situationer kan det vara möjligt att informera den person som man bevisligen inte kan identifiera? Efter mycket grunnande och diskussioner på alla de kurser om förordningen som jag hållit kom jag på ett möjligt scenario. Så här skriver jag i GDPR-kommentaren:

”Möjligen avses det fallet att den personuppgiftsansvarige samlar in personuppgifter som bara momentant behandlas men sedan inskränks så att den personuppgiftsansvarige kan visa att denne inte är i stånd att identifiera den registrerade. I det fallet skulle den personuppgiftsansvarige behöva informera den registrerade om detta (’vi behöver namn och personnummer för att kunna samla in flera uppgifter om dig för statistik, men kommer sedan att göra så att vi inte kan identifiera dig’).”

Ett annat exempel finns i artikel 14.5 b. Enligt den bestämmelsen slipper man lämna de registrerade information om behandlingen vid insamlingen av personuppgifter om detta visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, men då ska lämpliga skyddsåtgärder vidtas, ”inbegripet göra uppgifterna tillgängliga för allmänheten”.

Innebär det verkligen att man i det fallet måste offentliggöra de insamlade personuppgifterna? Nej, så illa är det inte.

Av andra språkversioner framgår tydligt att det är informationen om behandlingen som ska göras tillgänglig för allmänheten (i stället för att lämnas individuellt till varje registrerad).

Ett ytterligare exempel där andra språkversioner ger vägledning är bestämmelserna i artikel 80.1 om att den registrerade har rätt att anlita en organisation för att företräda sig i bland annat domstol, men där den rätten är begränsad till organisationer ”utan vinstsyfte”.

Det verkar inte vara en särskilt användbar rätt, om man måste välja en företrädare som inte syftar till att vinna ens domstolsärende. Men så är det förstås inte, utan man måste enligt andra språkversioner anlita en organisation vars verksamhet inte syftar till ekonomisk vinst (not-for-profit organisation).

I GDPR-kommentaren på 880 sidor redovisar jag det EU-rättsliga material som finns, till exempel EU-domstolens domar och Europeiska dataskyddsstyrelsens riktlinjer, och lämnar redogörelser för Datainspektionens, regeringens, utredningars, Justitieombudsmannens, Justitiekanslerns och svenska domstolars tolkningar av betydelse.

Man ska i avvaktan på klargörande praxis från EU-domstolen få veta hur förordningen troligen kommer att tolkas i en svensk kontext, av svenska myndigheter och domstolar.

Dessutom kommenteras den kompletterande svenska dataskyddslagen och bestämmelsen om dataskyddssekretess i 21 kap. 7 § offentlighets- och sekretesslagen. Kommentaren är skriven från svenska utgångspunkter för en svensk tillämpare.

Jag har i kommentaren försökt att efter bästa förmåga och med hjälp av så kallat sunt förnuft ge anvisningar om tolkningen och tillämpningen av dataskyddsförordningen även där källmaterialet är tunt. Men då har jag markerat att det är min uppfattning.

Det kan inte uteslutas att mina anvisningar i framtiden visar sig vara felaktiga. Sunt förnuft, i min tappning, präglar tyvärr inte alltid den auktoritativa uttolkningen av EU-rätten. Men jag har ansett att det borde ge mer hjälp för tillämparen att få reda på vad jag tycker än om jag bara säger att tolkningen är osäker, det vill säga att jag inte vet.

Sören Öman är ordförande i Arbetsdomstolen och aktuell med en kommentar till GDPR. Han har tidigare kommenterat personuppgiftslagen. GDPR-kommentaren finns både som tryckt bok och i en internetversion som uppdateras fortlöpande:

Dataskyddsförordningen (GDPR) m.m. – En kommentar, Norstedts Gula Bibliotek, Norstedts Juridik 2019


Dela sidan:
Skriv ut: