IMY klargör begreppet ”personuppgifter som rör lagöverträdelser” i rättsligt ställningstagande
Äntligen har Integritetsskyddsmyndigheten kommit med ett rättsligt ställningstagande som är ett bra komplement till Europeiska dataskyddsstyrelsens riktlinjer. I ställningstagandet klargörs innebörden av begreppet ”personuppgifter om lagöverträdelser som innefattar brott”. Myndigheten redovisar sin syn på begreppet, men också hur den synen skiljer sig från en tysk tolkning. Begreppet är vidare än många tror, så det är viktigt att sätta sig in i regelverket eftersom möjligheten att behandla sådana personuppgifter är mycket restriktiv. Till det kommer omfattande krav på säkerhet med mera. Många gap-analyser har sannolikt baserats på andra tolkningar, vilket gör att ett betydande arbete kan krävas. JP Infonets expert Monika Wendleby analyserar ställningstagandet.
VILKEN STATUS HAR ETT RÄTTSLIGT STÄLLNINGSTAGANDE?
Ett rättsligt ställningstagande från en myndighet har relativt låg status som rättskälla. Såväl prejudicerande domar som riktlinjer från Europeiska dataskyddsstyrelsen står betydligt högre i kurs (det sistnämnda dock endast när styrelsens tolkningar är förenliga med texter i GDPR eller domar och riktlinjen baseras på ett mandat i GDPR att ta fram sådana).
Detta förhållningssätt har genomsyrat ställningstagandet och redovisas även öppet i inledningen till Integritetsskyddsmyndighetens första ställningstagande:
”Integritetsskyddsmyndighetens (IMY) rättsliga ställningstaganden innehåller en redogörelse för IMY:s uppfattning i rättsliga frågor där det saknas vägledande domstolspraxis eller vägledning från Europeiska dataskyddsstyrelsen (EDPB). De är styrande för IMY:s verksamhet och vägledande för allmänheten. Ställningstagandena görs mot bakgrund av rättsläget vid beslutet och gäller tills vidare. Ställningstagandena kan komma att upphävas eller ändras om det kommer ny domstolspraxis eller vägledning från EDPB.”
Varför använder jag då ordet ”äntligen” i ingressen ovan? Det beror på att det får anses vara ett stort steg myndigheten nu tar: Att skriva vaga informationstexter på webbplatser eller svara i telefon på frågor ger lika stabila svar som att stå på kvicksand. Oftast är sådant antingen urvattnat eller ger enbart besked om hur en viss tjänsteman tänker. Informationen kopplas dessutom ihop med ansvarsprincipen, som lägger hela tyngden i oklarheten på de personuppgiftsansvariga. Här är ett genomarbetat rättsligt ställningstagande betydligt stabilare och det ger även välbehövlig information om hur myndigheten just nu tolkar rättsläget. Till det kommer att det skrivits under av myndighetens rättschef David Törngren och beretts av ett antal andra medarbetare.
Ett rättsligt ställningstagande är betydligt mer användbart för olika aktörer som vill göra rätt än lösryckt information på möten eller utbildningar. Rimligen kan man utgå från att Integritetsskyddsmyndigheten kommer att agera utifrån sitt ställningstagande så länge det inte finns tyngre rättskällor som säger emot slutsatserna. Aktörer som följer det borde inte kunna drabbas av sanktionsavgifter, eftersom man faktiskt försökt göra rätt. Genom ställningstagandet får alla en rimlig möjlighet att förstå hur myndigheten kommer att agera, vilket skapar förutsägbarhet kring vad var och en just nu kan riskera.
Av det här skälet är rättsliga ställningstaganden värdefulla för alla som jobbar aktivt inom området. Det finns därför även skäl att noga gå igenom dem och anpassa sitt agerande efter dem. Jag hoppas därför att detta första rättsliga ställningstagande ska följas av fler som är lika väl genomarbetade och tydliga.
Samtidigt får man förstås akta sig för att tro att ställningstagandet är en absolut sanning. Myndighetens tolkningar kan visa sig inte hålla i rättspraxis. Den som känner att den inte delar bedömningarna gör dock klokt i att noga dokumentera sina egna, vilket är ett krav enligt artikel 5.2 GDPR.
VARFÖR BEHÖVS ETT RÄTTSLIGT STÄLLNINGSTAGANDE OM ARTIKEL 10 GDPR?
I det rättsliga ställningstagandet anger Integritetsskyddsmyndigheten att det finns ett behov av att klargöra om uppgifter om att en fysisk person har eller kan ha begått ett visst brott kan utgöra brottsuppgifter, även om det inte finns något rättsligt förfarande gällande brottsmisstanken.
BAKGRUND RÖRANDE BEGREPPET ”PERSONUPPGIFTER SOM RÖR LAGÖVERTRÄDELSER”
Det första rättsliga ställningstagandet handlar om begreppet ”personuppgifter som rör lagöverträdelser”. Detta begrepp definieras inte i GDPR och termerna som används i artikel 10 GDPR är vaga och svårförståeliga. Av det skälet har EU-domstolen i några avgöranden prövat begreppet ”personuppgifter om lagöverträdelser som innefattar brott”.
I rättsfallet GC, AF, BH, ED mot Commission nationale de l’informatique et des libertés (dom 2019-09-24 i mål C-136/17) gör EU-domstolen vissa intressanta uttalanden som är mycket centrala i myndighetens bedömning:
”Domstolen konstaterar … att information om ett rättsligt förfarande som inletts mot en fysisk person, som till exempel uppgifter om förundersökning och rättegång och, i förekommande fall, fällande dom utgör uppgifter om ”lagöverträdelser” och ”brottmålsdomar” i den mening som avses i … artikel 10 i förordning nr 2016/679, detta oberoende av om det brott som personen åtalats för faktiskt har styrkts eller inte under domstolsförfarandet.”
Uttalandet visar att det inte krävs att någon dömts för ett brott (se skrivningen att brottet inte behöver vara styrkt). Detta har av många, och nu även i det rättsliga ställningstagandet av Integritetsskyddsmyndigheten, tolkats som att det räcker med brottsmisstankar. Detta är inte så överraskande eftersom myndigheten tidigare varit inne på den linjen, vilket jag skrivit om i en tidigare analys.
Under 2021 kom ytterligare ett intressant rättsfall (dom 2021-06-22 i mål C-439/19, B mot Latvijas Republikas Saeima) som jag också tidigare beskrivit i en separat analys. Genom det rättsfallet klargörs att det inte är nationell avgränsning av straffbestämmelser som styr, vilket innebär att även vissa överträdelser som drabbas av nationella administrativa åtgärder kan omfattas. I det aktuella fallet ansågs administrativa åtgärder rörande körkort vara sådana åtgärder.
I det rättsliga ställningstagandet går Integritetsskyddsmyndigheten igenom nämnda domar och nationell rättspraxis, bland annat det så kallade TankStopp-målet.
TOLKNINGAR FRÅN EUROPEISKA DATASKYDDSSTYRELSEN
Även ett uttalande från EDPB gås igenom (se Riktlinjer 01/2020 om uppkopplade fordon m.m., under rubriken ”2.1.3 Data revealing criminal offenses or other infractions”):
“Indeed, some categories of personal data from connected vehicles could reveal that a criminal offence or other infraction has been or is being committed (“offence-related data”) and therefore be subject to special restrictions (e.g., data indicating that the vehicle crossed a white line, the instantaneous speed of a vehicle combined with precise location data). Notably, in the event that such data would be processed by the competent national authorities for the purposes of criminal investigation and prosecution of criminal offence, the safeguards provided for in art. 10 GDPR would apply.”
EN BRED GENOMGÅNG
EU-domarna och uttalandet från EDPB är enligt min mening centrala, men Integritetsskyddsmyndighetens genomgång är betydligt bredare. I en analys av det här formatet går allt inte att gå igenom, men jag kan i alla fall kort beskriva innehållet.
Myndigheten beskriver hur den svenska regleringen kring personuppgifter som innehåller lagöverträdelser ser ut, vilket jag tidigare delvis analyserat och därför inte kommer att fördjupa mig i i denna analys. Myndigheten listar även ett antal fall där den själv bedömt begreppet tidigare, som är intressanta. Inte heller dessa kommer jag att fördjupa mig i, men den som ska söka tillstånd för sådan behandling har mycket att vinna på att fördjupa sig i ställningstagandets alla exempel.
Jag kommer inte heller att fördjupa mig i Integritetsskyddsmyndighetens genomgång av svenska förarbetsuttalanden, eftersom många av dem inte känns helt relevanta efter EU-domstolens domar. Det finns dock några nyare uttalanden som antyder att även uppgifter om strafftid, placering och permission kan utgöra lagöverträdelser om brott liksom uppgift om brottsoffer. Jag tror det kan ligga något i att sådana personuppgifter kan omfattas, men det finns inte tydligt stöd i EU-domstolens praxis för en säker slutsats. Jag beskriver detta mer ingående i kommentaren till 3 kap. 8 § kompletteringslagen.
AVGÖRANDEN FRÅN ANDRA MEDLEMSLÄNDER
I det rättsliga ställningstagandet gås en del rättspraxis från andra medlemsländer igenom, vilket visar hur spretigt och svårtolkat begreppet är. Det är till exempel intressant att ett beskrivet fall från en hovrätt i Karlsruhe i Tyskland så sent som i februari 2021 har funnit att artikel 10 GDPR inte ska gälla för uppgifter som grundar misstanke om brott utan att leda till fällande dom. Domstolens motivering är enligt Integritetsmyndighetens tolkning att ”… en alltför vid tolkning skulle göra bestämmelsen gränslös”, en motivering som enligt Integritetsskyddsmyndighetens sammanställning även ligger nära uttalanden i tysk doktrin.
Integritetsskyddsmyndigheten beskriver även några avgöranden från den franska högsta domstolen Conseil d'État. Den domstolen har till skillnad från den tyska funnit att begreppet kan avse ”… dels uppgifter som kvalificerats som brottsuppgifter av relevanta rättsliga myndigheter, dels uppgifter som bara troligen kan kvalificeras som brottsuppgifter, om de har samlats in i syfte att fastställa eller förhindra brott”. Den domstolen har även i ett mål som gällde övervakning av anställdas användning av sina arbetsgivares datorer ansett att ”… begreppet även omfattar uppgifter som samlas in enbart med syftet att fastställa eller förhindra brott, inklusive av tredje part”.
När syftet inte varit att ”fastställa eller förhindra brott” har motsatt utgång aktualiserats. Integritetsskyddsmyndigheten sammanfattar det så här:
”I det s.k. PSG Football-målet, som gällde fotbollsklubbars svartlistning av supportrar, fann domstolen att de uppgifter som troligen skulle komma att behandlas var överträdelser av allmänna villkorsbestämmelser eller interna regler kring säkerhet vid sportevenemang, dvs. avtalsbrott. Det enda syftet med behandlingen var att säkerställa säkerheten vid sportevenemang, genom att möjliggöra för evenemangsorganisatörerna att neka tillträde till arenorna för personer som uppträtt farligt och därigenom brutit mot reglerna. Även om uppgifter om beteenden m.m. som därigenom behandlas kan inkludera handlingar som även utgör brott i straffrättslig bemärkelse, är syftet med behandlingen inte att fastställa eller förhindra sådana brott, och de utgör därför inte brottsuppgifter.”
Det är intressant att se hur stor skillnad det är mellan de franska avgörandena och det tyska. Jag tycker att den tyska domstolen verkar ha hamnat snett givet EU-domstolens domar. Däremot ligger de franska avgörandena närmare domstolens bedömningar även om de inte gått så djupt än. De ligger även närmare EDPB:s bedömningar. Samtidigt kan man inte komma ifrån att den franska domstolen går längre än EU-domstolen.
Det finns mycket som talar för att EU-domstolen kommer att fortsätta utveckla begreppet, men var det landar är inte klart. Skillnaden mellan olika nationella domstolsavgöranden visar på vikten av att europeiska domstolar inte själva tolkar svårbegripliga bestämmelser i GDPR, utan vid oklarheter i hur förordningen ska tolkas begär ett förhandsavgörande enligt artikel 267 EUF-fördraget. Varken nationella förarbetsuttalanden eller doktrin, som inte stödjer sig på stabila rättskällor som EU-domar och riktlinjer från EDPB, bör heller tillmätas betydelse av domstolarna.
Av nämnda skäl är det inte oväntat att Integritetsskyddsmyndigheten väljer att gå i polemik mot de tyska tolkningarna som mer eller mindre underkänns i ställningstagandet. I stället stödjs bedömningarna myndigheten gör främst på EU-domstolens avgöranden, men även det svenska TankStopp-målet och de franska domarna verkar ha fått genomslag.
INTEGRITETSSKYDDSMYNDIGHETENS BEDÖMNING
Integritetsskyddsmyndigheten redovisar ett antal olika kriterier för hur avgränsningen av begreppet ”lagöverträdelser som innefattar brott” ska göras. Jag har nedan ställt upp dem som en checklista:
- Begreppet ”lagöverträdelser som innefattar brott” är ett självständigt unionsrättsligt begrepp, vilket innebär att ”den rättsliga kvalificeringen av en överträdelse i nationell rätt” således inte är avgörande för om den utgör ett brott i den mening som avses i artikel 10 GDPR. Begreppet ”lagöverträdelser som innefattar brott” kan (utöver i körkortsregistret, vilket framgår av EU-domstolens rättspraxis som jag tidigare beskrev) finnas i bestämmelser som nationellt kvalificerats som förvaltningsrättsliga, till exempel på skatte- eller miljöområdet, som omfattas av artikel 10 GDPR. Detta är en omfattande utvidgning av begreppet.
- Av EU-domstolens dom i målet GC med flera (även den domen beskrivs tidigare) följer att information om ett rättsligt förfarande som inletts mot en fysisk person utgör brottsuppgifter, oberoende av om det brott som personen åtalats för faktiskt har styrkts eller inte under domstolsförfarandet. Integritetsskyddsmyndigheten anser att uppgifter om att en person polisanmälts, att en förundersökning inletts, att ett strafföreläggande godkänts eller att en friande dom meddelats omfattas av skyddet i artikel 10 GDPR.
- När inget rättsligt förfarande inleds är rättsläget mer oklart då EU-domstolen inte satt ner foten. Integritetsskyddsmyndigheten finner i ställningstagandet att ”uppgifter om brottsmisstankar kan omfattas av uttrycket, även om det inte inletts något rättsligt förfarande”. Myndigheten tillägger: ”Alla uppgifter som rör misstankar om brott omfattas dock inte av artikel 10. Enligt IMY:s bedömning krävs det att uppgifterna har en viss konkretionsgrad. En tillräcklig konkretionsgrad har nåtts om uppgifterna avser ett visst brott eller en viss brottskategori. En tillräcklig konkretionsgrad kan också nås genom att uppgifter sammanställs på ett sådant sätt att uppgifterna motsvarar de objektiva rekvisiten i en straffbestämmelse. Ett exempel på detta är den behandling som bedömdes i det s.k. TankStopp-målet där det var fråga om registrering av uppgifter om fordon som förekommit i samband med obetalda tankningar”.
- När rättsliga förfaranden inte har inletts är enligt Integritetsskyddsmyndigheten syftet med behandlingen centralt. Ett exempel är användning av system i fordon som registrerar genomsnittshastigheten för en viss sträcka: om inte syftet är att hastighetsöverträdelser ska beräknas eller följas upp föreligger ingen personuppgift som omfattas av artikel 10 GDPR.
- Integritetsskyddsmyndighetens bedömning av syftets betydelse får genomslag även vid faktiska iakttagelser eller passiv registrering där objektiva brottsrekvisit skulle kunna vara tillämpliga. Ett pedagogiskt exempel ges: ”Således är det inte fråga om behandling av brottsuppgifter om det vid exempelvis kamerabevakning i en livsmedelsbutik fångas ett händelseförlopp som uppfyller de objektiva rekvisiteten för stöld. Om sekvensen med händelseförloppet i efterhand avskiljs i syfte att dokumentera, följa upp eller polisanmäla brottet är det dock fråga om behandling av brottsuppgifter”.
VAD BEHÖVER PERSONUPPGIFTSANSVARIGA GÖRA?
Personuppgifter om ”lagöverträdelser som innefattar brott” är långtgående. Redan EU-domstolens domar har utvidgat begreppet rejält och till det kommer nu Integritetsskyddsmyndighetens tolkningar. Detta innebär att tidigare gap-analyser sannolikt inte håller och många fler områden kan omfattas.
Om personuppgifterna omfattas av artikel 10 GDPR tillkommer flera effekter som personuppgiftsansvariga och biträden behöver ta höjd för:
- Personuppgiftsansvarigas rätt att behandla personuppgifter om lagöverträdelser är begränsad och för de flesta ändamål i privat sektor (när andra än myndigheter behandlar personuppgifterna) krävs att tillstånd söks hos Integritetsskyddsmyndigheten. Det finns endast några mindre undantag som inte kräver tillstånd som man måste ha kontroll över. Integritetsskyddsmyndighetens bedömningar i tillståndsärenden är enligt min kännedom restriktiv.
- Även för myndigheter kan det bli besvärligare att hantera kravet på laglig grund i artikel 6 GDPR; ju mer integritetskänslig en personuppgift är, desto striktare tolkning. Detta kan främst bli ett problem i verksamhet som ligger längre från kärnverksamheten.
- För alla principer i artikel 5.1 GDPR lär tolkningen bli mer restriktiv. Det är bra att dokumentera sina ställningstaganden enligt artikel 5.2 GDPR.
- Säkerhetskravet i artikel 32 GDPR höjs. Till exempel kan denna kategori av personuppgifter inte mejlas okrypterat.
- Det kan finnas en skyldighet att genomföra konsekvensbedömningar.
- Incidenter kommer att anses vara allvarligare.
- Texter i integritetspolicier kan vara felaktiga och behöva korrigeras.
Av Monika Wendleby – jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet.
Publicerad 21 jan 2022
Jurist, managementkonsult och författare av GDPR-böcker