Är man helt oskyddad efter döden?
Vad säger dataskyddslagstiftningen om skyddet för personuppgifter efter att man avlidit? JP Infonets expert Didrik Värmon reder ut vad nuvarande dataskyddslagstiftning stadgar.
Skyddet för avlidna personer enligt GDPR
Dataskyddsförordningen (GDPR) saknar en generell begränsning av vems personuppgifter inom unionen som ska omfattas av förordningen, vilket bör tolkas som att utgångspunkten är att skyddet för ens personuppgifter inom unionen ska vara enhetligt och därmed omfatta alla medborgare. I beaktandeskäl 14 stadgas även att “Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter.”
Gällande avlidna personer finns dock inte samma heltäckande skydd. Förordningen saknar en artikel som tydligt undantar avlidna från förordningens tillämpningsområde men enligt beaktandeskäl 27 ska avlidna undantas från GDPR. Särskilda skyddsbestämmelser för denna kategori av “medborgare” kan dock införas genom nationell lagstiftning vilket resulterat i diskrepans mellan de enskilda medlemsländerna inom unionen.
Personuppgifter om anhöriga
Det bör poängteras att vissa uppgifter om den avlidne även kommer att räknas som personuppgifter om närstående till den avlidne. Personuppgiftsbegreppet, såsom det definieras i artikel 4.1 GDPR är brett och täcker alla uppgifter som avser en identifierad eller identifierbar fysisk person. Detta innebär att samma uppgift (uppgiften om den avlidne) i flertalet fall även kommer att utgöra uppgifter om andra personer än den avlidne och därmed fortfarande falla under dataskyddsförordningens tillämpningsområde.
Avslutande åsikt
Även om det i svensk rätt saknas skydd för personuppgifter för avlidna personer framkommer det av stycket ovan att vi är långt ifrån totalt oskyddade efter att livet tar slut. Även om delar av dessa “skyddsbestämmelser” inte i teorin rör personuppgifter (som begreppet definieras i förordningen) utan det förvaltningsrättsliga begreppet “uppgifter", utgör skyddet även ett skydd för den enskildes personuppgifter. Stycket om svensk nationell lagstiftning utgörs av ett antal belysande exempel på områden där skydd för avlidnas uppgifter förekommer. Det bör dock inte betraktas som uttömmande då det kan förekomma exempel på annat håll i svensk lagstiftning som inte tagits upp i denna analys.
Andra länder har, olikt Sverige, valt att införa ett skydd för avlidna personer. I Danmark har man infört en bestämmelse som utökar skyddet för personuppgifter tio år efter att den registrerade avlidit. Fransk rätt (Loi Informatique et Libertés) tillåter den registrerade att själv tillhandahålla instruktioner rörande hur dennes personuppgifter ska behandlas post mortem och spansk lagstiftning innehåller en bestämmelse som möjliggör för anhöriga att få tillgång till, kunna begära radering av samt rätta personuppgifter tillhörande den avlidne vilket möjliggör visst skydd för den avlidnes personuppgifter.
Det bör dock slutligen funderas över om inte någon form av generellt skydd för avlidnas personuppgifter trots allt skulle vara av nytta. Likt det skydd som anhöriga åtnjuter gällande utlämnande av allmänna handlingar om avlidna, kan det argumenteras för att ett generellt skydd för avlidnas personuppgifter, även om den registrerade (den avlidne) inte är i behov av samma skydd längre, är nödvändigt för närstående till den registrerade. Detta eftersom den närstående till den registrerade kan påverkas negativt av att personuppgifterna inte längre kräver skydd. Ett visst skydd efter döden skulle enligt min mening ligga i linje med det övergripande ändamålet med GDPR.
Vill du ta del av Didrik Värmons analys i sin helhet?
Läs då mer om informationstjänsten JP ITnet.
Publicerad 22 maj 2019