Nyhetsbrev

Personuppgifter & dataskydd 1/2025

Det här nyhetsbrevet är skapat av Advokatfirman Vinge och skickas kontinuerligt ut till dig som har visat intresse för frågor som rör EU:s allmänna dataskyddsförordning (GDPR).

Välkommen att kontakta oss om du har några frågor.

Nyheter

Högsta domstolen har konstaterat att det inte är förenligt med unionsrätten att fullständigt undanta grundlagsskyddade verksamheter från tillämpningen av GDPR och dataskyddslagen

Högsta domstolen har meddelat beslut i två mål som gäller utlämnande av brottmålsdomar till en nyhetsbyrå och ett företag som tillhandahåller bakgrundskontroller. Domarna innebär att grundlagsskyddade verksamheter som vill begära ut domar inte får tillhandahålla dessa till allmänheten eller betalande kunder. Inte heller får grundlagsskyddade verksamheter erbjuda allmänheten eller betalande kunder sökmöjligheter, om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer.

Bakgrunden till den första domen är att Nyhetsbyrån Siren hos Hovrätten för övre Norrland hade begärt att få ta del av ett större antal brottmålshandlingar. Hovrätten beslutade att de begärda handlingarna skulle lämnas ut – dock med vissa förbehåll innebärande bland annat att personnamn, personnummer och adress för enskilda personer inte skulle få tillhandahållas allmänheten eller betalande kunder genom nyhetsbyråns databas eller register. Bolaget bakom Nyhetsbyrån Siren yrkade att Högsta domstolen skulle undanröja hovrättens beslut och bifalla bolagets begäran om att få ta del av de önskade handlingarna utan förbehåll.

Högsta domstolen konstaterade att lagstiftaren med 1 kap. 7 § första stycket dataskyddslagen får anses ha avsett att dataskyddsförordningen och dataskyddslagen överhuvudtaget inte ska tillämpas på verksamheter på vilka tryckfrihetsförordningen eller yttrandefrihetsgrundlagen är tillämplig. Vidare konstaterades att en sådan ordning, som bland annat innebär att brottmålsdomar i stor omfattning lämnas ut med följd att en betydande mängd personuppgifter rörande lagöverträdelser därefter kan behandlas i en databas och göras tillgängliga för andra, undergräver det skydd vid behandling av uppgifter om lagöverträdelser som GDPR syftar till att ge. Högsta domstolen konstaterade därefter att det finns utrymme att – i ljuset av unionsrätten – tolka 1 kap. 7 § dataskyddslagen på så sätt att bestämmelsen inte hindrar att GDPR:s krav beaktas när myndigheter avgör huruvida allmänna handlingar som innehåller personuppgifter ska lämnas ut, varken inom eller utom det grundlagsskyddade området.

Avslutningsvis konstaterade Högsta domstolen att eftersom Nyhetsbyrån Siren återkommande begärt att få ut ett större antal handlingar innehållandes uppgifter om lagöverträdelser och andra uppgifter av känslig natur, samt med beaktande av den omfattande behandling av personuppgifter av detta slag som sker hos nyhetsbyrån, kan det antas att personuppgifter som finns i de begärda handlingarna kommer att behandlas på ett sätt som är oförenligt med artikel 10 i GDPR. Således fastslog Högsta domstolen att sekretess gällde för de personuppgifter som finns i handlingarna som begärts ut. Högsta domstolen beslutade sammanfattningsvis att handlingarna skulle lämnas ut, men med förbehåll om att handlingarna inte får tillhandahållas allmänheten eller betalande kunder, samt att Nyhetsbyrån Siren inte får erbjuda allmänheten eller betalande kunder sökmöjligheter, om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer.

Tre justitieråd var skiljaktiga, varav två ansåg att det inte kan anses stå i strid med unionsrätten att – såvitt avser Nyhetsbyrån Sirens begäran om utfående av allmänna handlingar – låta grundlagsskyddet gälla på det sätt som den svenska lagstiftaren avsett.

Den andra domen fick samma utgång, men gällde ett företag som tillhandahöll information för bakgrundskontroller och som även i viss utsträckning ägnade sig åt journalistisk verksamhet.

Vid automatiserad beslutsfattande har den registrerade rätt att få en koncis och begriplig förklaring av hur beslutet fattades

I en dom av den 27 februari 2025 (mål C-203/22, Dun & Bradstreet Austria) konstaterade EU-domstolen att vid automatiserat beslutsfattande, inbegripet profilering, har den registrerade rätt att få en koncis och begriplig förklaring från den personuppgiftsansvarige om vilka metoder och principer som har använts. Förklaringen ska vara utformat på ett sådant sätt att den registrerade kan förstå vilka av hans eller hennes personuppgifter som har använts, och hur dessa har använts i det automatiserade beslutsfattandet. Det är inte tillräckligt att endast tillhandahålla information i form av en komplex matematisk formel, såsom en algoritm.

Domstolen konstaterade även att om den personuppgiftsansvarige anser att den information som ska lämnas ut innehåller skyddade personuppgifter om andra registrerade eller företagshemligheter, är den personuppgiftsansvarige skyldig att överlämna den påstått skyddade informationen till behörig tillsynsmyndighet eller domstol. Det är sedan upp till den behöriga tillsynsmyndigheten eller domstolen att göra en avvägning mellan berörda motstående rättigheter och intressen för att fastställa omfattningen av den registrerades rätt till information enligt GDPR.

EDPB antar riktlinjer avseende pseudonymisering

Europeiska dataskyddstyrelsen (”EDPB”) har antagit riktlinjer om pseudonymisering. I riktlinjerna klargör EDPB definitionen och tillämpligheten av pseudonymisering samt ger konkreta exempel på hur pseudonymisering kan utföras. I riktlinjerna framhålls att pseudonymisering är en användbar åtgärd för dataskydd men att den ofta kan behövas kompletteras med ytterligare åtgärder för att vara effektiv.

Riktlinjerna är ute på publik konsultation till och med den 14 mars 2025. Riktlinjerna finns tillgängliga i sin helhet här.

IMY publicerar vägledning vid konsekvensbedömning enligt GDPR

Integritetsskyddsmyndigheten (”IMY”) har publicerat en vägledning vid konsekvensbedömning enligt GDPR. Syftet med vägledningen är att klargöra hur de olika delarna i en konsekvensbedömning ska utföras, samt att underlätta arbetet och minska de osäkerheter som kan uppstå kring regelverket. Vägledningen är strukturerad i tio steg och går igenom varje steg av konsekvensbedömningen i detalj. För att ytterligare underlätta arbetet har IMY även tagit fram en mall för konsekvensbedömningen som motsvara steg 3–10 i vägledningen. Dessutom finns en bilaga till vägledningen som kan användas som rättsligt tolkningsstöd vid utförandet av en konsekvensbedömning samt en Excel-fil för dokumentation av riskhanteringen. IMY betonar dock att det inte finns en enda bestämd metod för hur en konsekvensbedömning ska genomföras och att det är upp till den personuppgiftsansvariga att välja en lämplig metod för sin specifika situation.

Vägledningen samt tillhörande dokument finns tillgängliga i sin helhet här.

Meta har efter påtryckningar presenterat ett tredje kostnadsfritt alternativ till ”consent or pay” för användare av Facebook och Instagram

EDPB har tidigare uttryckt oro över att plattformar som Facebook och Instagram endast använder sig av samtyckes- eller betalmodeller avseende beteendestyrd marknadsföring. Detta då det kan innebära att användare av stora onlineplattformar faktiskt inte har ett verkligt val när de ombeds att samtycka till behandlingen av sina personuppgifter. EDPB har därför efterlyst ett tredje konstadsfritt alternativ, vilket Meta nu har presenterat. Det ska nu vara möjligt för användare att använda tjänsterna gratis samtidigt som annonserna baseras på mindre personuppgifter än tidigare.

Certifieringsordningen Brand Compliance har godkänts av EDPB för användning i hela EES-området

Certifieringsordningen Brand Compliance får nu användas i hela EES-området, innebärande att företag som certifierar sig enligt Brand Compliance får använda det europeiska dataskyddssigillet i sin marknadsföring. Certifiering av personuppgiftsbehandlingar är ett sätt för personuppgiftsansvariga och personuppgiftsbiträden att signalera att de efterlever de krav som följer av GDPR.

Yttrande från EDPB om användning av personuppgifter för utveckling och införande av AI-modeller

EDPB har, på begäran från den irländska dataskyddsmyndigheten, antagit ett yttrande kring vissa aspekter i GDPR och dess effekt för framtagande och användning av AI-modeller.

I yttrandet uttalar sig EDPB om följande frågor:

När och hur personuppgifter i en AI-modell kan betraktas som anonymiserade.
Om och hur berättigat intresse kan användas som en lämplig rättslig grund under utvecklings- och driftsättningsfasen av AI-modeller.
Vilka konsekvenser olaglig behandling av personuppgifter vid utvecklingen av en AI-modell får för den efterföljande behandlingen eller driften av AI-modellen.

Vad gäller den första frågan uttalar EDPB att för att personuppgifter i en AI-modell ska anses vara anonymiserade måste följande kumulativa kriterier uppfyllas:

Sannolikheten för att direkt eller probabilistiskt extrahera personuppgifter som tillhör den registrerade, vars uppgifter användes för att utveckla AI-modellen, måste vara obetydlig.
Sannolikheten för att avsiktligt eller oavsiktligt erhålla sådana personuppgifter vid sökningar som utförs med hjälp av AI-modellen måste också vara obetydlig.

Båda dessa kriterier ska bedömas med hänsyn till alla hjälpmedel som rimligen kan användas för att direkt eller indirekt identifiera de registrerade. EDPB betonar dock att en bedömning måste ske i varje enskilt fall.

Vad gäller den andra och tredje frågan hänvisar EDPB till de riktlinjer de tagit fram gällande den rättsliga grunden berättigat intresse och de bedömningar som måste göras enligt riktlinjerna. EDPB konstaterar vidare att om en AI-modell har tagits fram med personuppgifter som behandlats olagligt, kan detta påverka den fortsatta användningen av modellen i vissa fall.

Kommande event

april

Anmäl dig här

Event i Malmö

Vi bjuder in till andra delen av vår lunchseminarieserie Tech Series, där vi denna gång utforskar Data Act (även kallad dataförordningen).

Vi bjuder på lunch från 12:00, och seminariet börjar kl. 12:15. Tipsa gärna en kollega om seminariet, antalet platser är dock begränsade!

Arbetsrättspodden

I vårt hundrade avsnitt gör vi en tillbakablick på de tre mest lyssnade avsnitten – ämnen som fortsatt engagerar och har utvecklats sedan vi senast diskuterade dem. Förhandlingsskyldighet, omplacering och arbetsmiljö är ständigt aktuella frågor för arbetsgivare och arbetstagare.

Lyssna här

Kontaktpersoner

Emelie Svensäter Jerntorp

Delägare, Advokat Malmö

Nicklas Thorgerzon

Technology & Data Protection Expert, Stockholm

Michaela Örtberg

Senior Associate, Göteborg

Innehållet i detta nyhetsbrev är endast av allmän karaktär. Innehållet gör inte anspråk på att vara fullständigt och ska inte betraktas såsom juridisk rådgivning i enskilt ärende. Information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.

E-post: contact@vinge.se | Webb: www.vinge.se
Telefon: 010 614 30 00 | Adress: Våra kontor

Detta mejl skickades till .

Uppdatera min prenumeration.