LUP Student Papers

Samtycke enligt den allmänna dataskyddsförordningen - Personuppgiftsansvarigas ansvar och registrerade personers rätt till öppenhet och självbestämmande

• Mark

Abstract

The General Data Protection Regulation (GDPR) replaces the Data Protection Directive (Directive) in 2018. The European Commission has stated that the Directive no longer provides the protection of personal integrity that individuals are entitled to. The GDPR will harmonize the rules and its purpose is to give individuals a greater control over their data and ensure the free movement of personal data within the European Union. In Sweden, there is a proposal for a new national data protection law to complement the GDPR and replace the current Personal Data Act.

This essay will investigate if and if so, to what extent, the definition and principles of consent has changed through the GDPR in comparison to the Directive and the Personal... (More)

The General Data Protection Regulation (GDPR) replaces the Data Protection Directive (Directive) in 2018. The European Commission has stated that the Directive no longer provides the protection of personal integrity that individuals are entitled to. The GDPR will harmonize the rules and its purpose is to give individuals a greater control over their data and ensure the free movement of personal data within the European Union. In Sweden, there is a proposal for a new national data protection law to complement the GDPR and replace the current Personal Data Act.

This essay will investigate if and if so, to what extent, the definition and principles of consent has changed through the GDPR in comparison to the Directive and the Personal Data Act. It will also investigate how the GDPR may affect individuals' control of their personal data as well as the liability of the controller. The current legislation has no precedent ruling hence information about the reasoning behind the GDPR has been collected from the recitals of the GDPR as well as statements by working groups that the Commission has appointed. Furthermore, rulings under the Directive have been used if applicable in relation to the GDPR. Commentary on the Personal Data Act has been used for an understanding on how this has been applied in Sweden. Articles written about the GDPR and the new rules have been used to highlight problems and/or issues highlighted by those knowledgeable on the subject.

The material scope of the GDPR will not change to any great extent compared to the Personal Data Act. However, as the Personal Data Act disappears any automated processing of personal data will now fall within the scope of the GDPR, which has not been the case in the Personal Data Act. The Territorial scope will expand, mainly in relation to controllers or processors established outside the EU that directs their services to individuals within the Union. The GDPR will also clarify the conditions for valid processing and consent. For example, it will require a higher level of transparency and put further demands on controllers with regards to processing and consent.

The conditions for valid consent will largely be the same in the GDPR as in the Personal Data Act and in the Directive, but the condition on informing the data subject will be strengthened. Long complicated legal texts will no longer be a valid way of informing the subject about the processing. Instead this information will need to be separated or otherwise clearly distinguished if it forms part of an agreement. The GDPR also clarifies what information the personal data controller has to provide, such as the individual's right to withdraw consent and what the data specifically will be used for. In order to be valid, consent will also need to be given through a clear affirmative action.

One of the biggest changes in the GDPR are the rules regarding the ability for children to give valid consent in relation to the offer of Information Society Services. While an assessment of the child's maturity and understanding has been used to decide if a child can give legal consent in both the Personal Data Act and in the Directive, an age limit is now introduced through the GDPR. Its purpose is to strengthen children's rights. The GDPR sets this age limit at 16 years. When a child is below the age of 16, valid consent must instead be given by the holder of parental responsibility. The change has been criticized since it will not be harmonizing, it is unclear how safe verifications of age can be gathered, how extensive the parental responsibility will be and how this may affect children's right to privacy in relation to their parents. In Sweden, the proposal is to reduce the age limit to 13 years and this has received similar criticisms during consultations about the proposal.

As the consent of "common" personal data will change and become stricter, this means that explicit consent, which is required to process sensitive data, use profiling or for transferring information to third countries, will also have to become stricter even though the requirement is the same as in the Personal Data Protection Act and the Directive.

Although the lawfulness of consent doesn’t change much through the GDPR, the consent needs to be interpreted in relation to the purpose of the GDPR in order to strengthen the personal integrity. The condition to make information clearer, more accessible and easily communicated will likely have the impact for several controllers that they need to review how they provide their information. This can directly affect situations where information and consent are given orally, which is common in a store situation when an individual wants to become a member of their customer club. How controllers gather consent and the individual's right to be able to choose to consent to only one out of several specific purposes of processing data, along the exemption that has exempted most automatic processing from the Personal Data Act will require controllers to value and reevaluate the data they process.

Furthermore, it remains to be seen what age limit will be implemented in different Member States and how children will be protected. Controllers will only need to take reasonable steps to ensure that valid consent is obtained and children will most likely find new ways to leave valid consent on their own. In relation to the Swedish law proposal, it also must be questioned whether children from the age of 13 years are mature enough to understand the meaning of consent. To ensure their right to be protected the age probably should be raised to at least 15 years.

The GDPR will lead to increased demands and increased responsibility for controllers. In regard of the high sanction fees if controllers do not comply with the requirements of the GDPR, it is most likely that personal data administrators will ensure that all necessary measures are taken to avoid legal sanctions. The GDPR will, inter alia through the information requirement, also provide data subjects with increased opportunities to control how their personal data is handled. However, it will be up to the data subjects to access the information given to them for the consent to have its full effect. (Less)

Abstract (Swedish)

Den allmänna dataskyddsförordningen (förordningen) kommer att ersätta dataskyddsdirektivet (direktivet) år 2018. Europeiska kommissionen har ansett att direktivet inte längre ger det skydd av den personliga integriteten som enskilda har rätt till. Förordningen ska därför harmonisera reglerna, ge enskilda en ökad kontroll och samtidigt gynna den fria rörligheten av personuppgifter inom den Europeiska Unionen. I Sverige finns det förslag om att en nationell dataskyddslag ska införas för att komplettera förordningen och ersätta PUL.

Detta arbete ska utreda om, och i så fall hur, samtycket har förändrats i förordningen i förhållande till direktivet och PUL. Arbetet ska även granska hur förordningen kan komma att påverka den enskildes... (More)

Den allmänna dataskyddsförordningen (förordningen) kommer att ersätta dataskyddsdirektivet (direktivet) år 2018. Europeiska kommissionen har ansett att direktivet inte längre ger det skydd av den personliga integriteten som enskilda har rätt till. Förordningen ska därför harmonisera reglerna, ge enskilda en ökad kontroll och samtidigt gynna den fria rörligheten av personuppgifter inom den Europeiska Unionen. I Sverige finns det förslag om att en nationell dataskyddslag ska införas för att komplettera förordningen och ersätta PUL.

Detta arbete ska utreda om, och i så fall hur, samtycket har förändrats i förordningen i förhållande till direktivet och PUL. Arbetet ska även granska hur förordningen kan komma att påverka den enskildes kontroll över sina personuppgifter och den personuppgiftsansvarigas ansvarsskyldighet. Eftersom förordningen i nuläget saknar prejudicerande domar har skälen till förordningen samt uttalanden från de arbetsgrupper som tillsats av Kommissionen utgjort några av de grundläggande källorna. Vidare har prejudicerande domar under direktivet använts eftersom förordningen bygger vidare på direktivet. Lagkommentarer för PUL har använts för att belysa hur PUL har tillämpats. Vetenskapliga artiklar som berör förordningen har använts för att belysa problem eller frågor som finns rörande denna.

Förordningens materiella tillämpningsområde kommer inte förändras i någon större utsträckning i förhållande till PUL. Ett undantag är dock att missbruksregeln i PUL försvinner. Detta gör att samtliga automatiska behandlingar kommer omfattas av förordningens tillämpningsområde. Det territoriella tillämpningsområdet kommer att expandera och även förordningen kommer att bli tillämplig för alla personuppgiftsansvariga i tredje land som riktar sina tjänster till enskilda inom unionen.

Kravet på samtycke i förordningen är till stor del likvärdigt det som stipuleras i PUL och direktivet. I förordningen stärks emellertid informationskravet och långa juridiska texter kommer inte få användas för att lämna information till enskilda. Informationen som lämnas ska även vara lättillgänglig. Förordningen klargör även vilken information som den personuppgiftsansvarige ska lämna till den registrerade. Exempelvis ska den registrerade informeras om rätten att återta ett samtycke. Vidare framgår det att ett samtycke endast kan lämnas genom en otvetydig viljeyttring och det specificeras att denna måste vara en entydig, bekräftande handling eller ett uttryckligt yttrande.

Ett nytt tillskott i förordningen är reglerna rörande barns möjligheter att lämna giltiga samtycken för tjänster som erbjuds online. I direktivet och PUL har en bedömning av barns mognad och förståelse gjorts i varje enskilt fall för att bedöma ifall ett barn kunnat lämna giltiga samtycken. I förordningen införs istället en åldersgräns på 16 år. Före denna ålder kan inte ett barn lämna giltiga samtycken utan samtycket lämnas istället av den eller de som har föräldraansvaret å barnets vägnar. Regeln har mött kritik eftersom den inte är harmoniserande för medlemsstaterna. Vidare har det ansetts oklart hur en säker verifiering ska kunna genomföras så att inte barnet, utan den föräldraansvarige, lämnat samtycket. Det har även ifrågasatts vilken omfattning regeln kan få för de med föräldraansvar och att regeln även kan komma att strida mot barns rätt till personlig integritet gentemot sina föräldrar. I Sverige finns som förslag att åldersgränsen ska sänkas till 13 år, vilken är den lägsta ålder förordningen tillåter medlemsstaterna att lagstifta om. Detta förslag har mötts med både positiv och negativ kritik från de olika remissinstanserna.

Samtycket kommer att stärkas i förordningen, bland annat med hänsyn till det stärkta informationskravet och förtydligandet av vad som utgör en otvetydig viljeyttring. Då kravet på ett ”vanligt” samtycke förstärks innebär detta även att det uttryckliga samtycket, som exempelvis krävs för en behandling av känsliga personuppgifter, stärks genom förordningen.

För personuppgiftsansvariga innebär de ökade kraven i förordningen att de måste se över hur de lämnar information, vilka personuppgifter de hanterar och på vilka lagliga grunder dessa hanteras. Detta gäller särskilt i förhållande till de personuppgifter som hanterats med stöd av 5 a § PUL. Personuppgiftsansvariga måste även se över hur de inhämtar samtycken och att de uppfyller de krav som förordningen ställer då detta sker. Eftersom det är den personuppgiftsansvarige som ska visa att ett giltigt samtycke har lämnats kan det rekommenderas att samtycket ska lämnas skriftligt, även om samtycket inte har något formkrav.

Rättsläget för hur de nya reglerna om barns möjligheter att lämna samtycken är idag oklart. Personuppgiftsansvariga kommer enbart vara skyldiga att vidta rimliga åtgärder att verifiera att giltiga samtycken lämnats, men det är oklart vad som avses med rimliga åtgärder. Vidare är det, bland annat, oklart vad som kommer avgöra om en tjänst riktar sig direkt till barn. Det återstår att se om det svenska lagförslaget på att sänka åldern till 13 år består. Det kan ifrågasättas om barn är mogna nog att förstå innebörden av ett samtycke vid denna ålder samtidigt som de har rätt till självbestämmande och informationsfrihet. Åldersgränsen bör dock, enligt undertecknad, höjas till 15 år med hänsyn till barns troliga möjlighet till en mer utvecklad mognad och förståelse än vad som kan förväntas vid 13 års ålder.

Förordningen kommer medföra ökade krav och ett ökat ansvar för personuppgiftsansvariga. Med hänsyn till de höga sanktionsavgifter som kan dömas ut om personuppgiftsansvariga inte efterlever de krav som ställs i förordningen så är det troligt att personuppgiftsansvariga kommer att tillse att nödvändiga åtgärder genomförs för att undvika rättsliga sanktionsavgifter. Förordningen kommer, bland annat genom informationskravet, även att ge registrerade ökade möjligheter att ta kontroll över hur deras personuppgifter hanteras. Det kommer dock vara upp till de registrerade att läsa och ta till sig den information som delges dem för att samtycket ska uppnå sin fulla effekt. (Less)