Deloitte Legal Guide to Cross-Border Secured Transactions

Artikel

Tre frågor om indirekt känsliga personuppgifter

Publicerad: 2022-10-27

Bakgrund

EU-domstolen har i ett förhandsbesked1 utfärdat den 1 augusti 2022 slagit fast att även information som inte direkt utgör känsliga personuppgifter i vissa sammanhang ändå kan anses utgöra känsliga personuppgifter om det, genom att exempelvis kombinera informationen i fråga med annan tillgänglig information, går att dra slutsatser om sådant som utgör känsliga personuppgifter. Förhandsbeskedet utfärdades till en refererande domstol i Litauen avseende tolkningen av artikel 6 respektive artikel 9 i den Europeiska Dataskyddsförordningen (GDPR). Den första frågan rörde huruvida publicerande på nätet av vissa personuppgifter kunde anses gå bortom vad som var proportionerligt och nödvändigt i förhållande till syftet med publiceringen och den andra frågan huruvida publicering av personuppgifter som indirekt kunde avslöja en persons sexuella läggning skulle anses utgöra behandling så kallade särskilda kategorier av personuppgifter. I den här artikel kommer vi att besvara tre frågor om indirekt känsliga personuppgifter, och undersöka de praktiska konsekvenser som domen kan ha för organisationer. *

1. Vad handlade målet om?

Omständigheterna i målet var att litauisk lag ställde krav på alla anställda inom offentlig sektor att skicka in fullt namn på maka/make eller partner i syfte att motverka korruption inom det allmänna. En ansvarig myndigheten skulle därefter publicera namnen på de offentligt anställda vid sidan av en tillhörande lista med namnet på dennes maka/make eller partner, på internet. Frågan som uppkom därefter var om publiceringen skulle kunna utgöra en behandling av särskilt känsliga personuppgifter, då läsare skulle kunna utgå från de allmänt tillgängliga listorna och indirekt kunna dra slutsatser om en registrerad persons sexuella läggning.

EU-domstolen konstaterade att informationen i namnlistan i sig inte utgjorde känsliga personuppgifter men att publiceringen, mot bakgrund av GDPR:s syften och mål, ändå utgjorde en behandling av känsliga personuppgifter i det aktuella fallet. Detta eftersom det var möjligt att genom att jämföra och kombinera tillgänglig information gick att dra slutsatser om de registrerades sexuella läggning. Även om formuleringen i artikel 9 i GDPR avseende att ”uppgifter om hälsa eller om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden” indikerar att uppgifterna på ett mer direkt sätt ska avse till exempel en persons sexuella läggning ansåg EU-domstolen att det skulle gå emot GDPR:s syften och mål att utesluta uppgifter som indirekt kunde avslöja sådan information från tillämpningsområdet för artikel 9. Således kan personuppgifter som indirekt avslöjar information om till exempel en persons sexuella läggning anses utgöra känsliga personuppgifter.

2. Vad kan min organisation behöva se över efter domen?

När en organisation behandlar ”vanliga” personuppgifter i enlighet med GDPR krävs laglig grund för behandlingen. Om det däremot rör sig om känsliga personuppgifter, såsom uppgift om en persons etniska ursprung, politiska åsikter, religion, hälsa eller sexuella läggning, finns ett mindre utrymme för behandling med laglig grund. Huvudregeln är att behandlingen är förbjuden, men tillåts exempelvis om den registrerade personen uttryckligen lämnat sitt samtycke till behandlingen för specifika ändamål eller om behandlingen är nödvändig för att en arbetsgivare ska kunna uppfylla sina skyldigheter enligt arbetsrätten. Det är alltså viktigt för en organisation att veta vilken typ av personuppgifter organisationen behandlar och för vilka syften personuppgifterna behandlas, för att tillförsäkra efterlevnad av GDPR. Om er organisation behandlar personuppgifter som indirekt kan avslöja särskilt känsliga personuppgifter, kan ni behöva se över exempelvis hur ni inhämtar samtycke från den registrerade.

3. Hur vet jag om en personuppgift indirekt avslöjar en känslig personuppgift?

Frågan har inget generellt svar eftersom det torde krävas en bedömning från fall till fall. I förhandsavgörandet anges att en personuppgift som genom en ”intellektuell verksamhet som inbegriper jämförelse eller deduktion” avslöjar information om en persons känsliga uppgifter ska anses tillhöra de särskilda kategorierna av personuppgifter. Det kan antas att ju mindre tankeprocesser eller korsrefererande som behöver ske för att en slutsats om exempelvis en persons sexuella läggning ska kunna dras, desto mer sannolikt är det att uppgiften bör anses som särskilt känslig och bör behandlas därefter inom organisationen.

Förhandsbeskedet bekräftar en bred tolkning av vad som bör anses utgöra särskilt känsliga personuppgifter – en allmän huvudregel är därför att alltid ta det säkra före det osäkra vad gäller hantering av känsliga personuppgifter.

_________________________
1OT mot Vyriausioji tarnybinės etikos komisija (C-184/20)

Är ni intresserade av ett externt dataskyddsombud eller har frågor om dataskydd, kontakta gärna oss via kontaktuppgifterna nedan.
 

*Informationen ska vare sig ses som rådgivande eller uttömmande. För rådgivning i enskilda fall vänligen kontakta oss via nedan kontaktuppgifter.

Välkommen att kontakta oss!

Martina Ljunge
Senior Manager | Legal
+46 70 080 21 80 | mljunge@deloitte.se

Jacob Ossmark
Associate | Legal
+46 70 080 33 96 | jossmark@deloitte.se

Fullwidth SCC. Do not delete! This box/component contains JavaScript that is needed on this page. This message will not be visible when page is activated.

Hade du nytta av den här informationen?