Personuppgift
En personuppgift är en uppgift som på ett särskilt eller kvalificerat sätt kan knytas till en enskild fysisk person.[1] Vad som utgör personuppgifter kan skilja sig mellan olika lagstiftningar och länder, även om olika lagstiftningars definitioners kärnområden oftast överlappar.[2] Typiskt sett inkluderar personuppgifter bland annat uppgifter om personens egenskaper (till exempel ålder, kön eller kroppslängd), men också uppgifter som personen själv eller någon annan producerat och som kan knytas till en viss person (till exempel resultatet på ett prov i skolan eller löneuppgifter).
Personuppgifter anses i allmänhet ha ett stort skyddsvärde eftersom spridningen av dem kan inverka negativt på den personliga integriteten hos den person som uppgifterna avser. I takt med den teknologiska utvecklingen under 1900-talet har användningen och spridningen av personuppgifter blivit alltmer omfattande. Sedan 1970-talets början har lagstiftning för skydd av personuppgifter därför gradvis stärkts genom ex. Europarådets konvention 108,[3] EU:s dataskyddsdirektiv och EU:s dataskyddsförordning. Förekomsten av personuppgifter kan därför idag beroende på situation och tillämpligt regelverk aktualisera olika rättigheter och skyldigheter, och begreppet får antas bli allt mer relevant med anledning av artificiell intelligens, maskininlärning och big data. Personuppgifter har egenskapen av att vara immateriella rättigheter.[4]
Skydd av personuppgifter inom Europeiska unionen
[redigera | redigera wikitext]Inom Europeiska unionen utgör skyddet av personuppgifter en grundläggande rättighet, enligt stadgan om de grundläggande rättigheterna. Genomförandet av denna rättighet regleras framför allt av dataskyddsförordningen (GDPR) och dataskyddsdirektivet för brottsbekämpning,[5] som bland annat definierar begreppet personuppgift.[6] I egenskap av förordning är GDPR direkt tillämplig i alla medlemsstater och fungerar som lag i varje medlemsstat. Det EU-rättsliga personuppgiftsbegreppet i GDPR är därför det som är relevant i varje medlemsstat.
Dataskyddsförordningen (GDPR)
[redigera | redigera wikitext]I GDPR definieras en personuppgift enligt artikel 4.1 som: "varje upplysning som avser en identifierad eller identifierbar fysisk person".[7] Uppgifter som inte kan sägas omfattas av definitionen är alltså inte personuppgifter och skyddas därför inte av GDPR. Definitionen förtydligas vidare i förordningens skäl 26 vari anges att:
"För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen."[7]
Definitionen av personuppgifter i GDPR är därför tämligen vid och uttrycken " ... eller av annan person", "rimligen kan komma att användas" och "direkt eller indirekt" har sammantaget ansetts kunna tolkas som att omfatta nästan alla typer av information som överhuvudtaget kan sägas ha en koppling till en person.[8] EU-domstolens praxis är otydlig med anledning av dessa uttrycks vaghet om vidd och med anledning av utvecklingen inom områden som maskininlärning och Big Data kan praxis komma att vidgas.[6] Personuppgiftsdefinitionen överensstämmer i huvudsak med den definition som förekom i artikel 2 a) i 1995 års dataskyddsdirektiv (DPD) som i sin tur 2018 ersattes av dataskyddsförordningen.[9]
Varje upplysning
[redigera | redigera wikitext]Användningen av uttrycket varje upplysning innebär att begreppet personuppgifter kan gälla i princip alla typer av information. Begreppet är inte avgränsat till känsliga upplysningar eller upplysningar av privat karaktär.[10]
Identifierbar fysisk person
[redigera | redigera wikitext]Som framgår av artikel 4.1 GDPR är personuppgifter sådana uppgifter som har en särskild relation till en identifierbar fysisk person (i förordningen kallad för "registrerad"). En sådan person är enligt samma artikel
"en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet".[7]
Personuppgifter omfattar alltså inte juridiska personer omedelbart, utan omfattar dem endast medelbart i den situation att personuppgifterna också avser en fysisk person (se skäl 14).
Direkt eller indirekt identifiering
[redigera | redigera wikitext]Definitionen i artikel 4.1 och dess förtydligande skäl 26 visar på att förekomsten av personuppgifter förutsätter direkt eller indirekt identifiering. Vad som avses med direkt identifiering framgår dock inte av förordningen eller praxis. Det kan tänkas att personnummer utgör ett sätt att direkt identifiera en person.
Av skäl 26 framgår att man, vid bedömningen av om en person är "identifierbar", bör beakta alla hjälpmedel, t.ex. utgallring (eng. singling out), som rimligen kan komma att användas av den personuppgiftsansvarige eller någon annan person för att direkt eller indirekt identifiera den fysiska personen. Detta innebär att den personuppgiftsansvarige (den som hanterar uppgifterna) inte själv behöver förfoga över samtliga uppgifter som gör identifieringen möjlig. Däremot krävs att det finns en s.k. rimlig sannolikhet att den personuppgiftsansvarige eller någon annan kommer att kunna identifiera personen. För att avgöra vilka hjälpmedel som med rimlig sannolikhet kan komma att användas bör man, enligt skäl 26, beakta samtliga objektiva faktorer, som kostnader och tidsåtgång för identifiering och tillgänglig teknik vid behandlingen. Detta innebär att det inte räcker att det finns en teoretisk möjlighet att identifiera den fysiska personen, utan att det också krävs att det i praktiken finns en risk för identifiering och att risken är av viss storlek.[10] I takt med den teknologiska utvecklingen, såsom maskininlärning, och att förmågan att göra meningsfulla kopplingar mellan data ökar, så lär mängden data som är behäftad med denna tillräckliga risk öka.[6] En relevant fråga är huruvida det är tillräckligt att mjukvara gör kopplingen, eller om även en människa måste förstå hur kopplingen har gjorts.[6]
Innebörden av uppgifter som avser fysiska personer
[redigera | redigera wikitext]För att en upplysning om en fysisk person ska anses vara en personuppgift krävs att uppgiften avser den fysiska personen. Av EU-domstolens dom den 20 december 2017 i mål C-434/16 (”Nowak”), gällande tolkningen av motsvarande begrepp ("som avser") i direktiv 95/46/EG, framgår att detta krav har en självständig betydelse.[10] Begreppet har av Artikel-29-arbetsgruppen delats upp i tre delar.[11] Enligt David Törngren (svensk jurist och representant för Sverige vid förhandlingarna inför införandet av GDPR[12] samt rättschef på IMY[13]) torde det i de flesta fall inte råda någon tvekan huruvida en uppgift avser en fysisk person.[10] I vissa fall kan det dock krävas en mer ingående bedömning. Det resonemang som EU-domstolen förde i ”Nowak”-domen kan vara vägledande i sådan situation. I domen ställdes frågan om de skriftliga svar som en examinand lämnat på ett prov för yrkesexamen, liksom examinatorns anteckningar angående dessa svar, utgjorde personuppgifter enligt det då gällande direktivet. Det rådde i målet ingen tvekan om att examinanden var en person som kunde identifieras, antingen direkt genom sitt namn eller indirekt genom ett identifieringsnummer. Domstolen konstaterade att för att en uppgift ska avse den registrerade krävs att upplysningen på grund av sitt innehåll, sitt syfte eller sin verkan är knuten till en viss person (se p. 35 i domen). Domstolen bedömde att de skriftliga svar som examinanden hade lämnat uppfyllde dessa krav.[10] Nowak-domen är dock inte klart förenlig med mål C-141/12 och C-372/12 (”Minister voor Immigratie”).[10] I det målet ansågs en rättslig analys avseende en ansökan om uppehållstillstånd tillhörande en identifierad person inte i sig utgöra personuppgifter enligt direktiv 95/46/EG, se p. 33–48 i domen. Domstolen kom till denna slutsats efter en tolkning utifrån syftet med direktivet. Domstolen konstaterade att om den uppehållstillståndssökandes rätt till tillgång utvidgades till att omfatta den rättsliga analysen, skulle detta i realiteten inte uppfylla direktivets mål att säkerställa skyddet för sökandens privatliv i samband med behandlingen av uppgifter som rör honom eller henne, utan uppfylla målet att garantera sökanden tillgång till administrativa handlingar, som inte omfattades av direktiv 95/46/EG.[10] Huruvida samma resonemang kan föras med anledning av GDPR är oklart, eftersom GDPR till skillnad från direktivet syftar till att realisera skyddet för personuppgifter, och inte skyddet för privat- och familjelivet.
Artikel-29-arbetsgruppen
[redigera | redigera wikitext]Arbetsgruppen upprättades genom DPD art. 29 och hade bland annat uppdrag att komma med icke-bindande råd och riktlinjer gällande tolkningen av DPD och senare andra rättsakter på dataskyddsområdet. Gruppen har utfärdat råd vid tolkningen av begreppet personuppgifter i EU:s dataskyddsrätt, vilka har använts av EU-domstolens generaladvokater vid deras förslag till avgörande i EU-domstolen.[6] Arbetsgruppen har vid rådgivning kring tolkningen av definitionen av personuppgifter främst upprätthållit sig vid, och försökt förtydliga, de olika uttrycken i legaldefinitionen, det vill säga "varje upplysning", "som avser", "identifierad eller identifierbar" och "fysisk person".[11]
Särskilda kategorier av personuppgifter
[redigera | redigera wikitext]Vissa typer av personuppgifter ges enligt GDPR högre skydd än andra personuppgifter. Dessa är enligt artikel 9 personuppgifter som:
"avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning".[7]
Biometriska personuppgifter
[redigera | redigera wikitext]Biometriska personuppgifter definieras enligt artikel 4.14 som:
"personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter".[7]
För att det ska vara fråga om biometriska uppgifter krävs att uppgifterna erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör identifiering. Kravet på användning av särskild identifieringsteknik innebär att normal hantering av fotografier inte utgör en behandling av biometriska uppgifter (se skäl 51). Exempel på sådan identifieringsteknik som avses i definitionen är fingeravtrycks-, iris- och ansiktsigenkänning.[10]
Genetiska personuppgifter.
[redigera | redigera wikitext]Genetiska uppgifter definieras i GDPR artikel 4.13 som:
"alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga".
Av definitionen framgår att det kan vara fråga om både nedärvda och förvärvade genetiska kännetecken. Dessa kännetecken ska ge unik information om en fysisk persons fysiologi eller hälsa. Att det ska vara fråga om unik information begränsar vilken information som omfattas av begreppet. Det torde innebära att det inte kan vara fråga om information som är gemensam för många individer. Av definitionen framgår också att det framför allt ska vara fråga om uppgifter som härrör från biologiska prov från den fysiska personen. Detta utvecklas i skäl 34 där det framgår att det kan vara fråga om framför allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.[10]
Pseudonymiserande personuppgifter
[redigera | redigera wikitext]Pseudonymiserade personuppgifter är personuppgifter som, såsom prefixet "pseudo" antyder, har omvandlats genom en sådan säkerhetsprocedur att de inte längre åtnjuter lika högt skydd som vanliga personuppgifter. Eftersom de fortfarande är personuppgifter omfattas de dock fortfarande av GDPR.[14] I skäl 28 anges exempelvis att:
"Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd".
Exempel på personuppgifter
[redigera | redigera wikitext]Enligt IMY
[redigera | redigera wikitext]Enligt Integritetsskyddsmyndigheten (IMY), vars tolkningar av GDPR inte är rättsligt bindande, är namn, adress, e-postadress, personnummer, id-kortnummer, telefonnummer, IP-adress när man surfar på nätet och ett foto av en person att se som personuppgifter.[15] IMY redogör dock inte på vilket sätt dessa informationstyper uppfyller kraven som framgår av definitionen i artikel 4.1 GDPR.
Enligt EU-domstolen
[redigera | redigera wikitext]Exempel från EU-domstolen, som har exklusiv rätt att tolka unionsrätten, på sådant som uppfyller legaldefinitionen i artikel 4.1 är:
- Namn, telefonnummer och uppgifter om arbetsförhållanden eller fritidsintressen,[16]
- Namn och hemvist,[17]
- Uppgifter om löner som vissa organ utbetalar och vem som uppbär ersättningen,[18]
- IP-adresser i vissa fall,[19]
- Arbetstidsregister om varje arbetstagare som innehåller upplysningar om tidpunkterna för arbetstidens början och slut samt motsvarande uppehåll och raster,[20]
- Bilder av en person som registrerats av en kamera,[21] och
- Skriftliga svar som en examinand lämnat på ett prov för yrkesexamen, liksom examinatorns anteckningar angående dessa svar.[22]
Ett mer generellt uttalande av EU-domstolen om vad som utgör personuppgifter går att finna i Lindqvist.[23] I fallet anges att:
"omnämnandet av olika personer – vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en webbsida utgör en ’behandling av personuppgifter som helt eller delvis företas på automatisk väg’ "
Andra data än personuppgifter
[redigera | redigera wikitext]Personuppgifter utgör motsatsen till "andra data än personuppgifter" som definieras i och regleras i EU-förordningen om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen.[24] I förordningens artikel 3 definieras "data" som andra data än personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679 (GDPR).
Konvention 108 (Europarådet)
[redigera | redigera wikitext]Personuppgifter är även definierat i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.[25][3] Konventionen är antagen av Sverige. I konventionens artikel 2 a) definieras personuppgifter som "any information relating to an identified or identifiable individual (data subject)".[26] Konventionen hänvisas till i GDPR beaktandeskäl 108.[7] Det tydliga EU-rättsliga dataskyddsdirektivet utgjorde dessutom en precisering på EU-rättslig nivå av Konvention 108 varför de båda rättsakternas definitioner av personuppgifter är snarlika (se DPD skäl 11).[27] Det rättsliga förhållandet mellan Konvention 108 och GDPR är oklart vad gäller innebörden av begreppet personuppgifter i EU-rätten.[6]
Europakonventionen (EKMR) och skydd för uppgifter som relaterar till privatlivet
[redigera | redigera wikitext]I Europakonventionen (EKMR) stadgas inget uttryckligt skydd för personuppgifter, till skillnad från det uttryckliga skydd som ges inom EU. Därmed finns det inget personuppgiftsbegrepp. Genom Europadomstolens praxis har det dock skapats ett visst skydd för uppgifter eftersom detta skydd är relaterat till skyddet för privat- och familjeliv.[28][29][6]
Personuppgiftslagen (1998:204)
[redigera | redigera wikitext]I den tidigare gällande svenska Personuppgiftslagen (1998:204), upphävd 2018 med anledning av GDPR, definierades personuppgifter i lagens 3 som:
"All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet".[30]
Se även
[redigera | redigera wikitext]- Dataskyddsdirektivet
- Dataskyddsförordningen
- Känslig personuppgift
- Personlig integritet
- Personuppgiftslagen
- Rätten att bli bortglömd
- Skydd av personuppgifter inom Europeiska unionen
Referenser
[redigera | redigera wikitext]- ^ Vad är personuppgifter?. Integritetsskyddsmyndigheten.
- ^ ”PII vs. PI vs. Sensitive Information: Know Your Data Definitions” (på engelska). www.osano.com. https://www.osano.com/articles/pii-vs-pi-vs-sensitive-information. Läst 4 september 2023.
- ^ [a b] ”Full list - Treaty Office - www.coe.int” (på brittisk engelska). Treaty Office. https://www.coe.int/en/web/conventions/full-list. Läst 4 september 2023.
- ^ Samuelson, Pamela (2000). ”Privacy As Intellectual Property?”. Stanford Law Review 52 (5): sid. 1125–1173. doi: . ISSN 0038-9765. https://www.jstor.org/stable/1229511. Läst 5 september 2023.
- ^ Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
- ^ [a b c d e f g] Granskog, David (2021). Personuppgifter i EU:s dataskyddsrätt : En rättslig analys av personuppgiftsrekvisitet i EU:s dataskyddsförordning. http://www.diva-portal.org/smash/get/diva2:1613111/FULLTEXT01.pdf. Läst 4 september 2023
- ^ [a b c d e f] ”L_2016119SV.01000101.xml”. eur-lex.europa.eu. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX%3A32016R0679. Läst 4 september 2023.
- ^ Purtova, Nadezhda (2018-01-02). ”The law of everything. Broad concept of personal data and future of EU data protection law” (på engelska). Law, Innovation and Technology 10 (1): sid. 40–81. doi: . ISSN 1757-9961. https://www.tandfonline.com/doi/full/10.1080/17579961.2018.1452176. Läst 4 september 2023.
- ^ ”EUR-Lex - 31995L0046 - SV” (på svenska). Europeiska gemenskapernas officiella tidning nr L 281 , 23/11/1995 s. 0031 - 0050;. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX%3A31995L0046. Läst 4 september 2023.
- ^ [a b c d e f g h i] Törngren, David, Lexino, kommentar till artikel 4.1 GDPR
- ^ [a b] Artikel-29-Arbetsgruppen (20 juni 2007). Yttrande 4/2007 om begreppet personuppgifter. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_sv.pdf. Läst 4 september 2023
- ^ ”David Törngren”. www.nj.se. https://www.nj.se/experter/david-torngren. Läst 7 september 2023.
- ^ ”Integritetsskyddsmyndigheten | IMY”. www.imy.se. http://www.imy.se/om-oss/organisation/. Läst 7 september 2023.
- ^ Michèle Finck & Frank Pallas (11 oktober 2019). ”They Who Must Not Be Identified - Distinguishing Personal from Non-Personal Data Under the GDPR”. Max Planck Institute for Innovation & Competition Research Paper No. 19-14. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3462948.
- ^ ”Integritetsskyddsmyndigheten | IMY”. www.imy.se. http://www.imy.se/privatperson/dataskydd/introduktion-till-gdpr/vad-ar-personuppgifter/. Läst 4 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?docid=48382&doclang=en. Läst 5 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=70107&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=4054194. Läst 5 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=48330&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=4054800. Läst 5 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=4055018. Läst 5 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=137824&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=4055153. Läst 5 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=160561&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=4055278. Läst 5 september 2023.
- ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=198059&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=4055369. Läst 5 september 2023.
- ^ ”Arrêt de la Cour”. eur-lex.europa.eu. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:62001CJ0101. Läst 4 september 2023.
- ^ ”L_2018303SV.01005901.xml”. eur-lex.europa.eu. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX%3A32018R1807. Läst 4 september 2023.
- ^ ”Internationellt samarbete | European Data Protection Board”. edpb.europa.eu. https://edpb.europa.eu/our-work-tools/support-cooperation-and-enforcement/international-cooperation-cooperation-other_sv. Läst 4 september 2023.
- ^ ”Full list - Treaty Office - www.coe.int” (på brittisk engelska). Treaty Office. https://www.coe.int/en/web/conventions/full-list. Läst 4 september 2023.
- ^ ”EUR-Lex - 31995L0046 - SV” (på svenska). Europeiska gemenskapernas officiella tidning nr L 281 , 23/11/1995 s. 0031 - 0050;. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX%3A31995L0046. Läst 4 september 2023.
- ^ ”Leander v Sweden • Page 1 • Surveillance Oversight Database”. data.guardint.org. https://data.guardint.org/en/entity/k92hx23u9s. Läst 6 september 2023.
- ^ ”HUDOC - European Court of Human Rights”. hudoc.echr.coe.int. https://hudoc.echr.coe.int/fre#%7B%22fulltext%22:%5B%22Amann%20v.%20Switzerland%22%5D,%22documentcollectionid2%22:%5B%22GRANDCHAMBER%22,%22CHAMBER%22%5D,%22itemid%22:%5B%22001-58497%22%5D%7D. Läst 6 september 2023.
- ^ ”Personuppgiftslag (1998:204)”. www.riksdagen.se. https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/personuppgiftslag-1998204_sfs-1998-204/. Läst 7 september 2023.