Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Har lagstiftaren mist koll på EU:s dataskyddskrav? - En analys av artikel 85 GDPR och dess konsekvenser i förhållande till den svenska regleringen av digitala söktjänster med utgivningsbevis

Wallin, Sofia LU (2025) JURM02 20251
Department of Law
Faculty of Law
Abstract
In Sweden, there are several companies that, relying on the principle of public access to official documents, gather personal data and publish this information in online search services. Through use of these services, it is possible to access a detailed profile of a specific individual. The search services have generally been granted a so-called certificate of publication and are consequently protected under the Fundamental Law on Freedom of Expression (YGL). The commonly accepted view in Sweden has been that search services with a certificate of publication are exempt from the GDPR, based on Chapter 1, Section 7 of the Swedish Data Protection Act. This provision is based on Article 85 GDPR, which states that the right to protection of... (More)
In Sweden, there are several companies that, relying on the principle of public access to official documents, gather personal data and publish this information in online search services. Through use of these services, it is possible to access a detailed profile of a specific individual. The search services have generally been granted a so-called certificate of publication and are consequently protected under the Fundamental Law on Freedom of Expression (YGL). The commonly accepted view in Sweden has been that search services with a certificate of publication are exempt from the GDPR, based on Chapter 1, Section 7 of the Swedish Data Protection Act. This provision is based on Article 85 GDPR, which states that the right to protection of personal data shall be reconciled with the right to freedom of expression and information. The Swedish legislator has interpreted Article 85 broadly and concluded that it allows YGL to take precedence over the GDPR. This despite the fact that EU law takes precedence over Member States’ law according to the CJEU’s established case law. An alternative interpretation of Article 85 GDPR suggests that exceptions or derogations are only permitted for the purposes listed in Article 85(2). The question then becomes whether the search services fall within the scope of exceptions or derogations for “journalistic purposes” under Article 85(2) GDPR and, if not, whether Article 85(1) permits exceptions or derogations for additional purposes.

The purpose of this essay is to interpret Article 85 GDPR and to analyse what requirements EU law imposes on the Swedish Authority for Privacy Protection (IMY) upon receipt of complaints against search services with a publishing certificate. A legal dogmatic method is applied to achieve this aim. This essay adopts an EU law perspective and applies the textual, systematic, and teleological methods of interpretation commonly used by the CJEU.

This essay concludes that a proper interpretation of Article 85 GDPR limits Member States’ mandate to introduce exceptions or derogations from the GDPR to the specific purposes in Article 85(2). Article 85(1) GDPR does not allow exceptions or derogations for additional purposes. Regarding Article 85(2), this essay concludes that “journalistic purposes” entails dissemination to the public of information, opinions or ideas that are of interest to the public debate. It is unlikely that the search services in question would qualify as processing personal data for journalistic purposes. Exceptions or derogations from the GDPR must also be necessary and proportionate in relation to their objective. This requires a proportionality assessment in each individual case.

It is clear based on these conclusions that the Swedish regulation of search services with a publishing certificate is not compatible with EU law. When complaints are made against such services, IMY must therefore, to comply with the requirements of EU law, set aside the Swedish provisions and give full effect to the GDPR. (Less)
Abstract (Swedish)
I Sverige finns ett antal företag som med stöd av offentlighetsprincipen samlar in personuppgifter ur allmänna handlingar och publicerar dessa i söktjänster på internet. Genom användning av söktjänsterna går det att skapa sig en utförlig bild av en viss individ. Söktjänsterna har i regel beviljats utgivningsbevis och omfattas därför av grundlagsskyddet i YGL. I Sverige har en vedertagen uppfattning varit att söktjänster med utgivningsbevis är undantagna från GDPR:s bestämmelser, med hänvisning till 1 kap. 7 § dataskyddslagen. 1 kap. 7 § dataskyddslagen bygger på artikel 85 GDPR, som förklarar att rätten till skydd för personuppgifter ska förenas med rätten till yttrande- och informationsfrihet. Artikel 85 har tolkats extensivt av den... (More)
I Sverige finns ett antal företag som med stöd av offentlighetsprincipen samlar in personuppgifter ur allmänna handlingar och publicerar dessa i söktjänster på internet. Genom användning av söktjänsterna går det att skapa sig en utförlig bild av en viss individ. Söktjänsterna har i regel beviljats utgivningsbevis och omfattas därför av grundlagsskyddet i YGL. I Sverige har en vedertagen uppfattning varit att söktjänster med utgivningsbevis är undantagna från GDPR:s bestämmelser, med hänvisning till 1 kap. 7 § dataskyddslagen. 1 kap. 7 § dataskyddslagen bygger på artikel 85 GDPR, som förklarar att rätten till skydd för personuppgifter ska förenas med rätten till yttrande- och informationsfrihet. Artikel 85 har tolkats extensivt av den svenska lagstiftaren och ansetts ge utrymme för att YGL har absolut företräde framför GDPR. Detta trots att EU-rätten, enligt EUD:s fasta praxis, har företräde framför nationell rätt. En alternativ tolkning av artikel 85 GDPR är emellertid att bestämmelsen enbart möjliggör undantag eller avvikelser för de specifikt angivna ändamålen i artikel 85.2. Frågan blir därför om söktjänsterna i fråga omfattas av möjligheten att göra undantag eller avvikelser för ”journalistiska ändamål” enligt artikel 85.2 GDPR och, om inte, det utifrån artikel 85.1 är möjligt att göra undantag eller avvikelser för ytterligare ändamål.

Syftet med denna uppsats är att med tillämpning av en rättsdogmatisk metod dels utreda innebörden av artikel 85 GDPR, dels att utifrån denna tolkning analysera vilka krav EU-rätten ställer på IMY när myndigheten mottar klagomål mot söktjänster med utgivningsbevis. Uppsatsen utgår från ett EU-rättsligt perspektiv och tillämpar de textuella, systematiska och teleologiska tolkningsmetoderna som är vanligt förekommande hos EUD.

Uppsatsen drar slutsatsen att artikel 85 GDPR ska tolkas så att medlemsstaternas mandat att införa undantag eller avvikelser från GDPR enbart gäller för de särskilda ändamålen i artikel 85.2. Artikel 85.1 GDPR möjliggör inte undantag eller avvikelser för ytterligare ändamål. Avseende möjligheten att införa undantag eller avvikelser enligt artikel 85.2 GDPR drar uppsatsen slutsatsen att begreppet ”journalistiska ändamål” omfattar spridning till allmänheten av information, åsikter eller idéer som är av intresse för den allmänna debatten. Det är osannolikt att söktjänsterna i fråga skulle anses behandla personuppgifter för journalistiska ändamål. För att undantag eller avvikelser från GDPR ska vara förenliga med EU-rätten krävs också att de är nödvändiga och proportionerliga i förhållande till syftet. Detta förutsätter en proportionalitetsbedömning i det enskilda fallet.

Utifrån dessa slutsatser är det tydligt att den svenska regleringen av söktjänster med utgivningsbevis inte är förenlig med EU-rätten. Vid klagomål riktade mot sådana söktjänster krävs därför att IMY, för att uppfylla EU-rättens krav, åsidosätter den svenska regleringen och ger GDPR fullt genomslag. (Less)
Please use this url to cite or link to this publication:
author
Wallin, Sofia LU
supervisor
organization
alternative title
Has the legislator lost track of the EU's data protection requirements? - An analysis of Article 85 GDPR and its consequences in relation to the Swedish regulation of digital search services with certificates of publication
course
JURM02 20251
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
EU-rätt, EU law, GDPR, utgivningsbevis, allmänna dataskyddsförordningen, yttrandefrihet, rätt till skydd för personuppgifter, rätt till privatliv, dataskydd, General Data Protection Regulation, privacy, freedom of speech, data protection
language
Swedish
id
9189324
date added to LUP
2025-06-16 15:54:00
date last changed
2025-06-16 15:54:00
@misc{9189324,
  abstract     = {{In Sweden, there are several companies that, relying on the principle of public access to official documents, gather personal data and publish this information in online search services. Through use of these services, it is possible to access a detailed profile of a specific individual. The search services have generally been granted a so-called certificate of publication and are consequently protected under the Fundamental Law on Freedom of Expression (YGL). The commonly accepted view in Sweden has been that search services with a certificate of publication are exempt from the GDPR, based on Chapter 1, Section 7 of the Swedish Data Protection Act. This provision is based on Article 85 GDPR, which states that the right to protection of personal data shall be reconciled with the right to freedom of expression and information. The Swedish legislator has interpreted Article 85 broadly and concluded that it allows YGL to take precedence over the GDPR. This despite the fact that EU law takes precedence over Member States’ law according to the CJEU’s established case law. An alternative interpretation of Article 85 GDPR suggests that exceptions or derogations are only permitted for the purposes listed in Article 85(2). The question then becomes whether the search services fall within the scope of exceptions or derogations for “journalistic purposes” under Article 85(2) GDPR and, if not, whether Article 85(1) permits exceptions or derogations for additional purposes. 

The purpose of this essay is to interpret Article 85 GDPR and to analyse what requirements EU law imposes on the Swedish Authority for Privacy Protection (IMY) upon receipt of complaints against search services with a publishing certificate. A legal dogmatic method is applied to achieve this aim. This essay adopts an EU law perspective and applies the textual, systematic, and teleological methods of interpretation commonly used by the CJEU. 

This essay concludes that a proper interpretation of Article 85 GDPR limits Member States’ mandate to introduce exceptions or derogations from the GDPR to the specific purposes in Article 85(2). Article 85(1) GDPR does not allow exceptions or derogations for additional purposes. Regarding Article 85(2), this essay concludes that “journalistic purposes” entails dissemination to the public of information, opinions or ideas that are of interest to the public debate. It is unlikely that the search services in question would qualify as processing personal data for journalistic purposes. Exceptions or derogations from the GDPR must also be necessary and proportionate in relation to their objective. This requires a proportionality assessment in each individual case. 

It is clear based on these conclusions that the Swedish regulation of search services with a publishing certificate is not compatible with EU law. When complaints are made against such services, IMY must therefore, to comply with the requirements of EU law, set aside the Swedish provisions and give full effect to the GDPR.}},
  author       = {{Wallin, Sofia}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Har lagstiftaren mist koll på EU:s dataskyddskrav? - En analys av artikel 85 GDPR och dess konsekvenser i förhållande till den svenska regleringen av digitala söktjänster med utgivningsbevis}},
  year         = {{2025}},
}