LUP Student Papers

Vem är personuppgiftsansvarig enligt EU:s allmänna dataskyddsförordning? - En studie i räckvidden för definitionen av (gemensamt) personuppgiftsansvarig.

• Mark

Abstract (Swedish)

Sammanfattning

För ganska exakt ett år sedan, den 25 maj 2018, började dataskyddsförordningen, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), allmänt känd som GDPR efter engelskans General Data Protection Regulation, tillämpas i hela EU. Förordningen kom inte som någon överraskning utan har varit i kraft sedan den 25 maj 2016 och är baserad på det äldre dataskyddsdirektivet, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter... (More)

Sammanfattning

För ganska exakt ett år sedan, den 25 maj 2018, började dataskyddsförordningen, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), allmänt känd som GDPR efter engelskans General Data Protection Regulation, tillämpas i hela EU. Förordningen kom inte som någon överraskning utan har varit i kraft sedan den 25 maj 2016 och är baserad på det äldre dataskyddsdirektivet, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som varit gällande från 1995 och implementerad i svensk lagstiftning sedan 1998 genom personuppgiftslagen (1998:204). Ändå finns det en relativt stor oklarhet kring tolkningen av många grundläggande begrepp, inte minst det mest centrala – personuppgiftsansvarig. Uppsatsen visar att begreppen personuppgiftsansvarig och det motsvarande registeransvarig, från det äldre dataskyddsdirektivet, är närmast identiska och att praxis, soft law och doktrin kring direktivet därmed kan nyttjas i analysen av begreppet.

Syftet med denna uppsats är att tydliggöra vad som avses med dataskyddsförordningens begrepp personuppgiftsansvarig. Begreppet är centralt eftersom det bestämmer vem som har det huvudsakliga ansvaret för behandling av personuppgifter.

För att nå syftet ställs frågorna:
• Vem är personuppgiftsansvarig enligt dataskyddsförordningen?
• När uppstår gemensamt personuppgiftsansvar?

Uppsatsen inleds med en redovisning av dataskyddets ursprung och tillkomst ur både ett internationellt och europeiskt perspektiv men även ur ett svenskt perspektiv. Härpå följer en kort genomgång av dataskyddsförordningens struktur och en analys av de grundläggande begreppen personuppgifter, behandling och register. Därefter görs den nödvändiga fördjupning i begreppet personuppgiftsansvarig som krävs för att kunna besvara frågeställningarna. Sist nämns, lite kort, några av de personuppgiftshanterare som inte är personuppgiftsansvarig, innan sammanfattning, diskussion och slutsatser.

Uppsatsen kommer att visa min tolkning av svaret på frågeställningarna: att den som bestämmer vad, varför och väsentliga element av hur personuppgifter samlas in och behandlas kan, generellt sett, komma att anses vara ensamt personuppgiftsansvarig. Likaså visas att den som är delaktig i bestämmandet av vad, varför eller väsentliga element av hur personuppgifter samlas in och behandlas kan, generellt sett, komma att anses vara gemensamt personuppgiftsansvarig. Men uppsatsen visar också på de svårigheter som finns att dra några exakta gränser för ansvar. Enskilda och verksamheters innovationsförmågor sätter rättskiparen på prov, vilket kan leda till oanade konsekvenser och otydliga gränsdragningar – trots relativt detaljerade definitioner. Det enda som kan sägas med säkerhet är att all personuppgiftsbehandling som omfattas av dataskyddsförordningen kräver att någon tar ansvar för densamma. Vem denna någon är kan, i slutändan, behöva tolkas i ljuset av EU:s grundläggande fördrag, stadgor och allmänna rättsprinciper i kombination med syftet för dataskyddsförordningen, befintlig praxis och med beaktande av internationella avtal. (Less)

Abstract

Abstract

Approximately one year ago, on May 25, 2018, the General Data Protection Regulation, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), known as the GDPR, applied all over EU. The regulation didn’t come as a surprise, it came into force in May 25, 2016, and was based on the older data protection directive, Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such... (More)

Abstract

Approximately one year ago, on May 25, 2018, the General Data Protection Regulation, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), known as the GDPR, applied all over EU. The regulation didn’t come as a surprise, it came into force in May 25, 2016, and was based on the older data protection directive, Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, which came into force in 1995 and was implemented in Swedish law through personuppgiftslagen (1998:204) in 1998. Still, there is a relatively great uncertainty regarding interpretation of some of its most fundamental concepts, where one of the most important are the controller. The definition of the concept controller differs only marginally from directive to regulation and although the concept differs between the Swedish translations of the directive and the regulation, this thesis will show they are the same. Thus, in lack of rulings from the regulation, rulings and soft law sprung from the directive will be used in the analysis.

The purpose of this thesis is to clarify the meaning of the General Data Protection Regulations concept controller. The concept is fundamental because it determines who has the main responsibility for processing personal data.

To reach the purpose, the following questions are asked:
• Who is the controller, according to the General Data Protection Regulation?
• When would the question of joint controller responsibilities arise?

The thesis starts with a walk through the origin and genesis of personal data protection, from both an international and European perspective, as well as from a Swedish perspective. Hereafter a short review of the GDPRs structure and a brief analysis of the fundamental concepts personal data, processing and register. The in depth analysis of the concept controller, which is necessary to be able to answer the main questions of the thesis, will follow. Finally, some of the concepts for personal data handlers who are not the controller will be mentioned, before a summary, a discussion and the conclusions will be presented.

The thesis will show my interpretation of the answers to the questions asked: the one determining what, why and important measures of how personal data should be processed, is considered, generally speaking, the sole controller. If more than one part could be considered involved in the determination of what, why or important measures of how personal data is processed, they will, generally speaking, be deemed joint controllers. However, the thesis will also illustrate the difficulties arising from unclear boundaries in liabilities. Private and corporate innovations put the law enforcement establishment to a test, which may render unpredicted consequences and unclear boundaries – despite some relatively clear definitions. The only thing that can be said with certainty, is that all personal data processing covered by the General Data Protection Regulation requires that someone take responsibility for the same. Whoever this someone might be, may ultimately have to be interpreted in the light of the EU's basic treaties, the statutes and the general legal principles, in combination with the purpose of the General Data Protection Regulation, prejudicing practices and by taking international agreements into account. (Less)