Varför har man egentligen rätt att bli glömd av Google? – en analys av personuppgiftsrättens normativa logik

 

 

Av advokaten DAVID FRYDLINGER

Behandling av personuppgifter får allt större både företags- och samhällsekonomisk betydelse. Samtidigt gör sig det personuppgiftsrättsliga regelverket gällande inom allt fler områden, när företags och myndigheters intresse av personuppgiftsbehandling allt oftare hamnar i konflikt med individers intresse av respekterad integritet. Det är därför problematiskt att den normativa kärnan och logiken inom detta rättsområde är så bristfälligt klarlagd. I artikeln redogörs för ett förslag till personuppgiftsrättslig analysram som bl.a. gör anspråk på att förklara den grundläggande logiken i regelverket.
Analysramen tillämpas därefter på EU-domstolens domar i målen Google
Spain och Digital Rights Ireland för att ge svar på frågorna varför man egentligen har rätt att bli glömd av Google och varför det var rätt att upphäva datalagringsdirektivet.

 


1 Inledning
EU-domstolens domar under 2014 i mål C-293/12 och C-594/12 respektive mål C-131/12 har tydligt visat att skyddet för den personliga integriteten vid behandling av personuppgifter inte bara är en viktig fråga på EU-kommissionens agenda.1 Genom att, i mål C-293/12 och C-594/12 (Digital Rights Ireland) upphäva det s.k. datalagringsdirektivet och, i mål C-131/12 (Google Spain) fastslå individens rätt att ”bli glömd” från Googles sökmotor har EU-domstolen skickat både tydliga och kraftiga signaler till såväl lagstiftare som företag om att även mycket starka motstående intressen står sig slätt mot skyddet av EUmedborgarnas rätt att få sin personliga integritet respekterad vid behandling av deras personuppgifter. Med EU:s (sannolikt) kommande dataskyddsförordning2 kommer detta skydd att stärkas ytterligare och de potentiella avgifterna för integritetskränkningar kommer att höjas radikalt, även om den slutliga maxnivån ännu inte är fastställd när denna artikel skrivs.

 

1 Jag vill tacka Daniel Westman vid Stockholms Universitet för värdefulla kommentarer i samband med författandet av denna artikel 2 I januari 2012 framställde EU-kommissionen ett förslag på en allmän förordning om dataskydd, vilken är avsedd att ersätta det nu gällande dataskyddsdirektivet. Eftersom lagstiftningsinstrumentet förordning har valts kommer den att gälla direkt som lag i respektive medlemsstat i EU. När denna artikel skrivs pågår en s.k. trialog mellan Kommissionen, EU-parlamentet och ministerrådet om den föreslagna förordningens närmare innehåll. Det är oklart när en eventuell förordning är färdigförhandlad och kan tänkas träda ikraft.

836 David Frydlinger SvJT 2015 Parallellt med detta så ökar mängden behandlade personuppgifter och frekvensen i behandlingarna varje år, både inom offentlig och privat sektor. Inom offentlig sektor kan behandling av personuppgifter tjäna en mängd vällovliga samhälleliga syften i alltifrån brottsbekämpning till tillhandahållande av sjukvård. I privat sektor kan företag genom att behandla personuppgifter tolka och förstå konsumenternas behov på detaljerad nivå och tillgodose dessa med varor och tjänster. Baksidan är att information också är makt och att vare sig statens eller företagens intressen av att behandla personuppgifter alltid är förenliga med den enskildes, vilket domarna i Google Spain och Digital Rights Ireland tydligt visade.
    På grund av de parallella rörelser där både behandling av personuppgifter och lagstiftningen om sådan behandling blir allt betydelsefullare finns anledning att närmare analysera den normativa logiken och de normativa grundvalarna för EU:s regler om skydd vid behandling av personuppgifter. Personuppgiftslagen 1998:204 (PUL) är inte till sitt omfång omfattande lag. Samtidigt träffar dess tillämplighet allt fler aktiviteter i samhället; från bloggar och sociala medier till klinisk prövning av läkemedel, från appar till molntjänster. När PUL och den kommande förordningen med sina abstrakta regler för behandling av personuppgifter ska tillämpas på denna stora mängd olika situationer måste dess innebörd tolkas och en sådan tolkning är inte möjlig utan att vända sig till lagstiftningens normativa kärna. Att utröna innebörden i och nyanserna hos denna kärna är viktig av rättssäkerhetsskäl; varje lagtolkning måste uppfylla de dubbla kraven på legitimitet och förutsägbarhet3 och detta omfattar förstås även personuppgiftslagstiftningen.
    Dessutom aktualiserar PUL inte sällan komplexa prövningar där olika aktörers intressen måste vägas mot varandra, exempelvis personuppgiftsansvarigas intressen i förhållande till registrerades. Rättspraxis från Datainspektionen och förvaltningsdomstolarna kännetecknas tyvärr ofta av bristande nyansering där den beslutande instansen fäller avgörandet åt ena eller andra hållet utan att egentligen förklara det bakomliggande resonemanget. Detta skapar bristande förutsägbarhet och därigenom bristande legitimitet i beslut och domar eftersom det är svårt att respektera ett utfall som man inte förstår. Även av detta skäl finns anledning att analysera personuppgiftsrättens normativa logik, för att på så sätt möjliggöra tydligare juridisk argumentation och resonemang i de många lägen när lagtexten ger svag vägledning.
    Slutligen finns anledning att förbereda för en analys av den redan nämnda kommande dataskyddsförordningen, där myndigheter och domstolar bl.a. kommer att behöva ställa sig frågan om och på vilket

 

3 Se t.ex. Peczenik, A., Rätten och förnuftet, 2 uppl. Lund 1988, s. 48 f. och Dworkin, R., Taking Rights Seriously, Harvard University Press 1977, s. 87.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 837 sätt förordningen skiljer sig från tidigare gällande regler samt hur förordningens artiklar ska tolkas och tillämpas. I denna artikel ämnar jag därför försöka bidra till att avhjälpa ett som jag bedömer stort behov av en analysram för att möjliggöra fattande av förutsägbara och legitima beslut inom personuppgiftsrätten, enligt både nu gällande och framtida lagstiftning inom området. Det finns en underliggande och på normer grundad logik inom detta rättsområde som behöver klarläggas och på basis av vilken det kan bli möjligt att föra betydligt mer nyanserade juridiska resonemang än vad som är vanligt idag.
    Artikeln inleds med en genomgång av åtta stycken ofta framhävda grundläggande principer som genomsyrar svensk och internationell personuppgiftsrätt (2). Efter att kort ha redogjort för varför dessa principer är otillräckliga för att klarlägga personuppgiftsskyddets normativa logik presenterar jag med stöd av Ronald Dworkins rättsteori en personuppgiftsrättslig analysram (3). De två grundpelarna i denna analysram utgörs av å ena sidan personuppgiftsrättens syfte att skydda mänsklig värdighet vid behandling av personuppgifter och å andra sidan hanteringen av konflikter mellan registrerades abstrakta rättigheter till skydd vid personuppgiftsbehandling och andra rättssubjekts abstrakta rättigheter till t.ex. drivande av näringsverksamhet, yttrandefrihet och informationsfrihet. Denna analysram används därefter för att analysera och begripliggöra EU-domstolens domar i Google Spain och Digital Rights Ireland (4–5) I denna analys behandlas också centrala begrepp som personuppgiftsansvar och laglig grund för behandlingen. Artikeln avslutas med en sammanfattning (6).

 

2 Grundläggande principer inom personuppgiftsrätten
I en redogörelse för personuppgiftsrättens normativa logik är det lämpligt att ta sin utgångspunkt i de grundläggande principer som inte minst tar sig i uttryck i artikel 6 i dataskyddsdirektivet, implementerad i 9 § PUL. Bygrave listar åtta stycken kärnprinciper inom personuppgiftsrätten4:

 

1. Skälig och laglig behandling. Denna princip innebär för det första att personuppgifter endast får behandlas om det är lagligt, vilket förstås är en fundamental omkastning av den annars rådande principen att allt som inte är förbjudet är tillåtet. Inom personuppgiftsrätten gäller i stället att det måste finnas lagstöd för behandlingen, annars är den förbjuden. I artikel 6 a) av den svenska översättningen av dataskyddsdirektivet används uttrycket ”korrekt och lagligt” för denna princip. I den engelska versionen av dataskyddsdirektivet används här uttrycket ”fairly and lawfully”. Begreppet ”korrekt” har naturligtvis en mycket snävare

 

4 Se Bygrave. L., Data Privacy Law – An International Perspective, Oxford University Press 2014, kapitel 5.

838 David Frydlinger SvJT 2015 innebörd än begreppet ”fairly” och även om PUL inte är avsedd att innebära någon begränsning i förhållande till dataskyddsdirektivet är det likväl en något märklig översättning, vilken dessutom inte ens är införd i 9 a) § PUL.
    Enligt Bygrave innebär kravet på skälighet bl.a. att (i) den personuppgiftsansvarige måste ta hänsyn till den registrerades intressen och rimliga förväntningar, (ii) den registrerade får inte utsättas för påtryckningar för att upplåta personuppgifter om sig själv, (iii) personuppgiftsbehandlingen ska vara transparent för den registrerade.5

2. Proportionalitet. Denna princip tar sig i uttryck på flera sätt. Den personuppgiftsansvarige får inte behandla fler personuppgifter än vad som är nödvändigt för att uppnå ändamålet med behandlingen. Vidare får personuppgifter bara behandlas om det är nödvändigt för att kunna uppnå något av de kriterier som listas i artikel 7 i dataskyddsdirektivet, dvs. de lagliga grunder som finns implementerade i 10 § PUL. Den får också anses komma till uttryck i regeln att personuppgifter inte får lagras under längre tid än vad som är nödvändigt för att uppnå ändamålet med behandlingen.

 

3. Minimalitet. Denna princip kan sägas utgöra proportionalitetsprincipens spegelbild. Inte fler personuppgifter än vad som är nödvändigt får behandlas.

 

4. Ändamålsbegränsning. Denna princip, uttryckt i artikel 6 b) i dataskyddsdirektivet, säger att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och därefter inte får behandlas för därmed oförenliga ändamål.

 

5. Den registrerades inflytande över behandlingen. Denna viktiga princip tar sig bl.a. uttryck i kravet på att informera den registrerade om den avsedda behandlingen, i huvudregeln att behandling är förbjudet utan den registrerades samtycke, den registrerades rätt att få så kallade registerutdrag och den registrerades rätt att kräva att felaktiga eller ofullständiga personuppgifter rättas, blockeras eller utplånas.

 

6. Datakvalitet. Denna princip, uttryckt i artikel 6 d) i dataskyddsdirektivet, säger att personuppgifter ska vara riktiga och, om nödvändigt, aktuella.

 

7. Datasäkerhet. Denna princip, uttryckt i artikel 17 i dataskyddsdirektivet, ålägger personuppgiftsansvariga att vidta lämpliga säkerhetsåt-

 

5 Bygrave, a.a., s. 146 f.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 839 gärder för att skydda personuppgifter mot att förstöras, ändras, spridas eller att någon obehörigen får tillgång till dem.

 

8. Känslighet. Denna princip, uttryckt i artikel 8 i dataskyddsdirektivet anger att vissa kategorier av personuppgifter är mer känsliga än andra och att behandlingen av dessa är underkastade särskilt stränga krav. Detta avser exempelvis uppgifter om ras, etniskt ursprung, hälsa och religiös eller filosofisk övertygelse.

 

EU-domstolens avgöranden i Google Spain och Digital Rights Ireland kan naturligtvis analyseras i ljuset av dessa åtta principer. Principerna om proportionalitet, minimalitet och datasäkerhet var t.ex. viktiga vid ogiltigförklaringen av datalagringsdirektivet och principen om skälig behandling samt om den registrerades inflytande över behandlingen låg till grund för EU-domstolens dom i Google Spain.
    En sådan analys skulle vara värdefull men likväl otillfredsställande. De åtta principerna överlappar i hög grad varandra. Vad är t.ex. den egentliga skillnaden mellan proportionalitetsprincipen och principen om minimalitet? Är inte den senare bara en tillämpning av den förra? Vidare, och framförallt, är det oklart vilket som är det inbördes sammanhanget bakom dem. Vi blir inte speciellt mycket klokare på EUdomstolens resonemang i t.ex. Google Spain bara för vi säger att domstolen tillämpade principerna om skälighet i behandlingen och om datakvalitet. Vi kan inte utifrån ett sådant konstaterande dra generella slutsatser som sedan kan användas i andra rättstillämpningssituationer.
    Det som saknas i de listade principerna är logik. Någon form av logik i det rättsliga resonemanget är nödvändigt för att lagar och domslut ska kunna anses uppnå det fundamentala kravet på förutsägbarhet, vilket i sin tur är ett krav för legitimitet. Och det finns ett logiskt samband mellan de ovan listade principerna som skapas av bakomliggande och än mer fundamentala normer. Det rör sig om en normativ logik som så att säga ger var och en av principerna sin kontext och närmare mening. Men denna logik behöver klarläggas och syftet med denna artikel är att bidra till just detta klarläggande.

 

3 Ronald Dworkin och skyddet av människans värdighet
3.1 Inledning
Den nyligen avlidne rättsfilosofen Ronald Dworkin har aldrig haft något stort inflytande i Sverige. Likväl är Dworkins syn på rätten lämplig att tillgripa för att hantera ämnet för denna artikel. Dworkins texter är tydligast förankrade i en anglosaxisk miljö men utgör i många delar en förlängning av den tyske moralfilosofen Immanuel Kants filosofi. Dworkins rättsteori är redan av detta skäl väl lämpad för att analysera den europeiska personuppgiftsrätten, som i hög grad har influerats av tyska förlagor.

840 David Frydlinger SvJT 2015 I Dworkins kraftfulla men förvisso komplexa rättsfilosofi är det framförallt två saker som behöver lyftas fram för syftet med denna artikel. För det första Dworkins syn på människans värdighet, nämligen skyddet av människans rätt att leva ett autentiskt liv enligt sina egna värderingar utan yttre påverkan. För det andra Dworkins uppdelning i abstrakta och konkreta rättigheter samt bestämmandet av rättssubjekts konkreta rättigheter i förhållande till varandra utifrån ett krav på lika omsorg och respekt. Dessa två aspekter ger sammantaget en lämplig analysram för att dels analysera och begripliggöra Google Spain och Digital Rights Ireland, dels klarlägga den ovan diskuterande normativa logiken bakom de grundläggande principerna inom personuppgiftsrätten.

 

3.2 Människans värdighet
I EU-stadgans första artikel slås fast att människans värdighet är okränkbar samt att den ska respekteras och skyddas. Varje analys av den europeiska personuppgiftsrättens normativa grunder måste ta sin utgångspunkt i denna idé. Den ovan omnämnde Immanuel Kant uttryckte den som att människan är ett mål i sig själv och aldrig får användas som enbart medel för andras syften.6 För Kant utgjorde människans autonomi själva essensen i hennes värdighet, dvs. hennes förmåga och rätt att fatta beslut oberoende av extern påverkan.
    Dworkin har i modern tid utvecklat tolkningen av innebörden i människans värdighet. I själva verket utgör hans tolkning av detta begrepp det normativa fundamentet för hela hans tankesystem. I sin monumentala Justice for Hedgehogs beskriver Dworkin hur etiska, moraliska, politiska och juridiska värderingar alla kan återkopplas till och binds samman av två fundamentala principer vilka tillsammans sammanfattar innebörden av människans värdighet.7 Den första principen är en princip om självrespekt. Varje människa måste, enligt Dworkin, ta sitt liv på allvar och tycka att hennes liv är viktigt och inte något som kan slösas bort.8 Den andra principen är en princip om autenticitet. Denna princip innebär att varje människa har ett specifikt, personligt ansvar för att identifiera vad som är viktigt för henne och sedan leva efter dessa värderingar. Denna princip innefattar Kants krav på autonomi. Autenticiteten kräver att det är människans egna värderingar som spelar roll i de val hon gör i livet. Influenser från andra kan naturligtvis inte undvikas men människan har enligt Dworkin ett ansvar att inte underkasta sig någon annan.9 Det finns ett nära samband mellan kravet på autenticitet och personlig integritet. Vi säger att en person har hög personlig integritet som alltid fattar beslut baserat på en uppsättning inre värderingar,

 

6 Kant, I., Kritik av det praktiska förnuftet, Argos 2001, s. 115 f. 7 Dworkin, R., Justice for Hedgehogs, The Belknap Press, s. 203 ff. 8 Dworkin, Justice for Hedgehogs, s. 205 ff. 9 Dworkin, Justice for Hedgehogs, s. 209 ff.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 841 oberoende av socialt tryck och trots att hon utsätts för lockelser till personliga vinster om hon skulle agera i strid med sina värderingar. En sådan person har en stark ”ryggrad” som håller henne upprätt, kännetecknet på en människa med värdighet. Motsatsen är förstås den böjde, ryggradslösa personen med låg integritet som tar första bästa chans att uppnå personliga fördelar utan hänsyn till några principer eller värderingar. Endast en autentisk person kan göra anspråk på att ha en hög personlig integritet.
    De två principerna är i första hand etiska principer, dvs. principer för hur människan bör leva sitt liv på ett värdigt sätt. Men de är också moraliska principer, dvs. principer som säger hur människor får behandla varandra. Dworkin menar att moralens kärna är att den förbjuder människor att kränka varandras värdighet. Det går inte att utan att hamna i en självmotsägelse (som i sin tur vittnar om bristande personlig integritet) hävda att ens liv objektivt är värt att ta på allvar och samtidigt behandla andra som om deras liv inte är lika viktiga. Det går vidare inte att utan att hamna i en självmotsägelse säga att man har rätt att bestämma över sitt eget liv och vad som är bra för en själv och samtidigt neka andra samma rätt. Människan är således moraliskt skyldig att respektera andra människors värdighet. Det är därför som en person agerar moraliskt förkastligt om hon behandlar andra endast som medel för att nå sina syften, som om endast hon och vad hon själv vill vore det viktiga. Det är också därför som det oftast är moraliskt felaktigt att tvinga någon att göra något mot sin vilja, dvs. i strid med de mål och värderingar som ligger till grund för denna vilja. Dessa handlingar är moraliskt felaktiga därför att de kränker andra människors värdighet.

 

3.3 Kopplingen mellan mänsklig värdighet och personuppgifter
En viktig fråga som redan här bör ställas är på vilket sätt behandling av personuppgifter alls kan kränka människans värdighet. I artikel 2 i dataskyddsdirektivet definieras begreppet ”personuppgift” som varje upplysning som avser en identifierad eller identifierbar fysisk person. Enligt samma artikel är en identifierbar person en person som kan identifieras, direkt eller indirekt, framförallt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. Vad är kopplingen mellan dessa ”upplysningar” och människans värdighet? Svaret på denna fråga visar oss personuppgiftsrättens normativa kärna.
    Framförallt två aspekter kopplar samman personuppgifter och människans värdighet. För det första det faktum att vad andra tycker om oss påverkar vilka val vi göra och hur vi agerar (i). För det andra det faktum att andra, beroende på deras kunskap om oss, i hög grad kan påverka våra möjligheter att kunna leva ett liv enligt våra mål och värderingar (ii). Vad andra vet och inte vet om oss påverkar därför

842 David Frydlinger SvJT 2015 våra möjligheter att leva våra liv utifrån en uppsättning värderingar som vi själva har valt, dvs. möjlighet att leva enligt principen om autenticitet. (i) Till att börja med är det så enkelt att vi bryr oss om vad andra tycker om oss. Andras positiva eller negativa åsikter om oss påverkar våra preferenser, våra val och våra ageranden. För att ta ett enkelt exempel: en protestant som bor i ett område med djupt troende katoliker kanske inte vill att grannar ska känna till hennes religiösa tro. Det kan beskära hennes handlingsfrihet på grund av de uppfattningar som grannarna kommer att få om de förstår att hon är protestant.
    I målet Digital Rights Ireland sa EU-domstolen att den omfattande lagringen av uppgifter som föreskrevs enligt datalagringsdirektivet kunde ”ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.”10 Detta är förstås helt korrekt och idén om människans värdighet och tillhörande autonomi ger förklaringen till detta. Den som har en känsla av att hela tiden vara övervakad kommer att begränsas i sina möjligheter att leva ett autentiskt liv, vilket potentiellt innebär en kränkning av hennes värdighet. (ii) Vidare påverkar andras åsikter också konkret vilka val som alls står öppna för en människa i hennes liv. Alla är beroende av andra — av människor, företag, myndigheter, organisationer — för att uppnå sina personliga mål i livet och för att kunna leva autentiskt i enlighet med egna värderingar. González, som var kärande i Google Spain, ville att gamla länkar som informerade allmänheten om hans tidigare ekonomiska bekymmer skulle tas bort. Sådan information kunde påverka hans möjligheter att idag bedriva annan ekonomisk verksamhet, på liknande sätt som en betalningsanmärkning från Kronofogdemyndigheten. González ville fortsätta bedriva ekonomisk verksamhet och de gamla Google-länkarna utgjorde en kränkning av hans integritet eftersom de begränsade hans möjligheter att göra detta.
    Personuppgifter och människans värdighet hänger således nära samman eftersom vad andra vet och inte vet om oss har en stark påverkan på våra möjligheter att leva autonoma, autentiska liv där vi utformar åsikter, värderingar och livsmål och lever i enlighet med och för att uppnå dessa.
    Självklart kan dock inte alla typer av personuppgifter likställas och dataskyddsdirektivet och PUL gör mycket riktigt en uppdelning i s.k. känsliga personuppgifter och övriga personuppgifter. I artikel 8 anges att känsliga personuppgifter utgör uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Det är lätt att se att denna typ av information är nära förknippad med många individers identitet och självbild. Autenticitetsprincipen skyddar just människans rätt att definiera sin egen identitet och leva enligt denna, varför uppgifter som särskilt starkt anknyter till denna förtjänar ett

 

10 Punkt 37 i domskälen.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 843 starkare skydd än andra uppgifter. Dels för att uppgifterna är känsliga ur ett integritetsperspektiv men också för att möjligheterna att genom maktutövning eller på annat sätt kränka individens värdighet genom användning av dessa uppgifter är extra stora.11

3.4 Kravet på rättens legitimitet
För Dworkin utgör alltså skyddet av människans värdighet moralens kärna. Denna moralens kärna sträcker sig ut till politikens och rättens område. Lagstiftning kan genomdrivas med statlig tvångsmakt, mot individernas vilja. Lagstiftningen måste därför, för att deras värdighet inte ska kränkas genom detta tvång, vara legitim. Det kan den endast vara om den klarar av det dubbla kravet att behandla alla medborgares liv som lika viktiga och att var och en har rätt att skapa sitt eget liv. Inte heller staten får endast behandla någon som ett medel för att uppnå samhälleliga, ”högre” syften.
    Dworkin visade övertygande hur kravet på rättens legitimitet har fundamental betydelse vid tolkning och tillämpning av lag. Rättens legitimitet härstammar naturligtvis delvis från den demokratiska lagstiftningsprocessen. Samtidigt kan en sådan process leda till antagande av lagar som likväl är illegitima, exempelvis om de skulle rättfärdiga massmord. Rättens legitimitet är inte bara en fråga om form och politiska processer utan också om normativt innehåll och värderingar.
    Det finns enligt Dworkin två typer av värden eller värderingar som kommer till uttryck i lagstiftning.12 En lag kan syfta till att uppfylla politiska mål, dvs. mål vars uppfyllande uppfattas som goda för samhället i stort. Dataskyddsdirektivet liksom den kommande dataskyddsförordningen syftar delvis till att möjliggöra fri rörlighet för personuppgifter mellan EU:s medlemsstater. Detta är ett exempel på ett politiskt mål som inte är kopplat till enskilda individer utan till samhället i stort.
    En lag kan också syfta till att skydda individuella rättigheter. Rättigheter syftar inte till att uppfylla mål utan uttrycker i stället principer. Dessa beskriver Dworkin som standarder som ska beaktas därför att det finns rättviseskäl eller annars moraliska skäl för det och inte därför att det bidrar till att uppfylla önskvärda politiska mål. En på principer grundad rättighet beskrivs av Dworkin som ett ”trumfkort” som en individ kan åberopa och som har företräde framför politiska mål.13 Rättigheternas existens visar att i rättsystemet gäller regeln att ändamålet inte helgar medlen; politiska mål får inte uppnås till priset av kränkningar av individuella rättigheter.
    De mänskliga rättigheterna utgör skyddsmekanismer som på olika sätt uttrycker människans värdighet och som övertrumfar lagstiftning

 

11 Här framkommer således att princip nr 8 i avsnitt 2 är logiskt hänförlig till idén om mänsklig värdighet. 12 Se t.ex. Dworkin, Taking Rights Seriously, s. 90 ff. 13 Dworkin, Taking Rights Seriously, s. 22.

844 David Frydlinger SvJT 2015 som kränker denna värdighet. Klassiska rättigheter som yttrandefrihet, mötesfrihet, religionsfrihet med flera ger uttryck för autenticitetsprincipen, dvs. människans rätt att själva definiera hur deras liv ska se ut. Rätten till liv uttrycker förstås de båda principerna eftersom att döda någon ger uttryck för en uppfattning att den dödes liv inte var viktigt och samtidigt nekar denna alla möjligheter att ta ansvar för utformandet av sitt eget liv.14

3.5 Abstrakta och konkreta rättigheter
Rätten till skydd mot behandling av personuppgifter och den närliggande rätten till skydd av privatlivet ger, som beskrivits ovan, också uttryck för individens värdighet, bl.a. uttryckt i Dworkins två principer avseende självrespekt och autenticitet.
    Rättigheter kan hamna i konflikt med varandra, även om de alla ytterst sett syftar till att skydda mänsklig värdighet. Rätten till privatliv eller skydd för personuppgifter kan ibland hamna i konflikt mot exempelvis yttrandefrihet eller informationsfrihet. Dworkin gör här en viktig åtskillnad mellan abstrakta eller prima facie rättigheter och konkreta rättigheter. En abstrakt rättighet är en generellt uttryckt rättighet som inte beaktar hur den ska vägas mot andra individers rättigheter i konkreta situationer.15 Yttrandefrihet, rätt till skydd för privatliv och andra rättigheter är på detta sätt abstrakta rättigheter. En konkret rättighet uttrycker i stället hur ett politiskt mål ska vägas mot andra politiska mål i konkreta situationer. Medan medborgarnas yttrandefrihet är en abstrakt rättighet är en tidnings rätt att publicera försvarshemligheter så länge de inte skapar omedelbar fysisk fara för trupper en konkret rättighet.16 När individers och organisationers abstrakta rättigheter hamnar i konflikt med varandra, vilket var fallet i båda de här analyserade målen, måste domstolen genom att tolka lagen avgöra vilka konkreta rättigheter de har mot varandra i den specifika situationen. I den lagtolkningen kommer kravet på rättens legitimitet, både i lagstiftning och i rättskipning, att spela in. Statens utövande av sitt våldsmonopol kan endast göra anspråk på legitimitet om staten behandlar alla med samma omsorg och respekt, dvs. på ett likvärdigt sätt. Individers konkreta rättigheter mot varandra kommer att vara den allokering av rättigheter som kan sägas innebära att de behandlas likvärdigt.
    Dworkin föreslår inom skadeståndsrätten en princip för att bedöma individers konkreta rättigheter med beaktande av hans legitimitetsprincip. Han menar att en skadevållare bör vara ersättningsansvarig för skador som han orsakar andra om skadan hade kunnat undvikas om han hade vidtagit åtgärder som hade begränsat hans möjligheter och tillgångar i lägre grad än vad den uppkomna skadan begränsade

 

14 Dworkin, Justice for Hedgehogs, s. 336 f. 15 Dworkin, Taking Rights Seriously, s. 93. 16 Dworkin, Taking Rights Seriously, s. 93.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 845 andras möjligheter och tillgångar. I ekonomiska termer innebär detta: om det hade kostat mig mindre att vidta åtgärder för att undvika en skada än vad skadan kostar dig bör jag ersätta dig för skadan.17 Denna princip kan, som vi ska se, även tillämpas i sammanhang när andra rättigheter än ekonomiska står i konflikt med varandra.

 

3.6 Analysram för personuppgiftsrätten
Utifrån beskrivningen ovan kan en analysram för personuppgiftsrättsliga frågor upprättas. Utgångspunkten är personuppgiftsrättens normativa kärna, dvs. rätten att utforma, förverkliga och leva efter mål och värderingar utan att påverkas av vad andra har för information om en, både i hur vi ser på oss själva och i hur andra som vi är beroende av kan hindra oss från att leva ett autentiskt liv.
    Denna abstrakta rättighet behöver dock konkretiseras och så sker också när denna rätt hamnar i konflikt med andra abstrakta rättigheter. Dataskyddsdirektivet (och den kommande dataskyddsförordningen) ska tolkas som resultatet av en konkretisering av EUmedborgarnas abstrakta rätt till skydd mot behandling av deras personuppgifter gentemot staten och marknadens aktörer. Denna konkretisering gör anspråk på att väga rättigheterna hos de individer vars personuppgifter behandlas mot rättigheterna hos de som behandlar dessa personuppgifter på ett sätt som respekterar kravet på behandling med lika omsorg och respekt.
    Det följer härav att EU-domstolen i Digital Rights Ireland upphävde datalagringsdirektivet därför att dess regler inte respekterade kravet på lika omsorg och respekt. Målet bör tolkas som att en konflikt mellan EU-medborgarnas rätt till personlig säkerhet enligt artikel 6 i EUstadgan, deras rätt till privatliv enligt artikel 7 och rätt till skydd mot behandling av personuppgifter enligt artikel 8 uppstod genom direktivet. Domstolen fann härvid, enligt denna tolkning, att datalagringsdirektivet innebar en inskränkning av rättigheterna enligt artikel 7 och 8 som inte respekterade kravet på likvärdig omsorg och respekt. Jag redogör för detta närmare nedan.
    Det följer vidare att Google Spain ska tolkas som ett mål där Googles näringsfrihet enligt artikel 16 och yttrandefrihet enligt artikel 11 i EU-stadgan samt internetanvändares informationsfrihet enligt artikel 11 hamnade i konflikt med González rätt till privatliv och skydd mot behandling av personuppgifter enligt artikel 7 och 8 i EU-stadgan. Det ankom på EU-domstolen att finna den tolkning av dataskyddsdirektivet som allokerade de inblandade aktörernas konkreta rättigheter på ett sätt som behandlade dem med lika omsorg och respekt.
    I de nedan analyserade målen stod således abstrakta rättigheter mot varandra. Enligt Dworkin bör, som anförts ovan, kriteriet för att allokera konkreta rättigheter med beaktande av kravet på lika omsorg och respekt vara att väga ”kostnaderna” — mätt i graden av rättighets-

 

17 Dworkin, Justice for Hedgehogs. s. 291.

846 David Frydlinger SvJT 2015 inskränkning — för respektive inblandad rättighetsbärare, orsakade av den inskränkning i abstrakta rättigheter som omvandlingen till konkreta rättigheter alltid innebär.
    Om det innebär en mindre inskränkning i Googles närings- och yttrandefrihet att införa ett system för att exkludera vissa länkar till webbsidor än vad den inskränkning av en enskilds rätt till privatliv och rätt till skydd mot behandling av personuppgifter skulle innebära om länkarna inte exkluderas — då har den enskilde en rätt att bli glömd.18 Vidare — om det innebär en mindre inskränkning i rätten till personlig säkerhet att omgärda datalagring med ett antal restriktioner rörande t.ex. säkerhet, lagringstider m.m. än vad den inskränkning av enskildas rätt till privatliv och rätt till skydd mot behandling av personuppgifter skulle innebära om dessa restriktioner inte infördes — då är ett direktiv som inte inför sådana restriktioner ogiltigt eftersom det brister i likabehandling.
    I nästkommande två avsnitt används den här presenterade analysramen för att närmare analysera och begripliggöra Google Spain och Digital Rights Ireland.

 

4 Mål C-131/12 (Google Spain)
4.1 Redogörelse för målet
År 1998 publicerade den spanska dagstidningen La Vanguardia två annonser på sin hemsida avseende försäljning av Mario Costeja González fastigheter på exekutiv auktion på grund av obetalda socialförsäkringsavgifter. Dessa annonser hade indexerats av Googles sökmotor och visades alltså vid en sökning på González namn. González begärde att La Vanguardia skulle ta bort annonserna och att Google skulle vidta åtgärder så att hans namn med hänvisning till annonserna inte länge dök upp i sökresultaten. Den spanska dataskyddsmyndigheten avslog hans begäran såvitt avsåg La Vanguardia men biföll såvitt avsåg Google.
    Efter överklagande hamnade frågan hos EU-domstolen. Den nationella domstolens begäran om förhandsbesked innehöll en rad frågor, bl.a. om dataskyddsdirektivet alls var tillämpligt på amerikanska Google Inc., om Googles visande av personuppgifter i sina sökresultat ska anses utgöra en behandling av personuppgifter och om Google kunde anses var personuppgiftsansvarig.19 Den viktigaste frågan i målet var dock om dataskyddsdirektivet möjliggjorde för den nationella regleringsmyndigheten att ålägga Google att efterkomma González begäran om att ”bli glömd”. I artikel 12 i dataskyddsdirektivet anges varje registrerads rätt att få sådana uppgifter som inte behandlats i enlighet med direktivet rättade, utplånade eller blockerade. I artikel 14

 

18 Det säger sig självt att en sådan tolkning, för att låta sig göras, inte får göra våld på lagtextens ordalydelse. 19 I domskälen används i stället direktivtextens begrepp ”registeransvarig”.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 847 fastslås vidare den registrerades rätt att motsätta sig behandling som rör honom, bl.a. när personuppgifter behandlas med stöd av en s.k. intresseavvägning enligt artikel 7 f) (motsvarande 10 f) § PUL), utom när den nationella lagstiftningen föreskriver något annat.
    EU-domstolen konstaterade att det innebär en behandling av personuppgifter att lägga ut sådana på en webbsida och att sökmotorleverantörer behandlar personuppgifter genom att samla in, organisera, indexera och visa dem bland sina sökresultat.20 Domstolen konstaterade också att sökmotorleverantören genomför dessa åtgärder för sina egna ändamål och därför ska anses vara personuppgiftsansvarig.21 Domstolen fastslog slutligen González rätt att bli glömd.
    Domstolens dom var inte självklar och det är inte lätt att i alla delar följa dess resonemang. I de följande avsnitten kommer jag att behandla några centrala delar av domen med stöd av den ovan presenterade personuppgiftsrättsliga analysramen.

 

4.2 Vem är ansvarig för behandlingen?
Personuppgiftsreglerna utgör en konkretisering av individers abstrakta rätt till privatliv och skydd mot behandling av sina personuppgifter. De konkreta rättigheter som personuppgiftsreglerna uttrycker gäller dock inte abstrakt utan alltid i förhållande till någon. Denne någon benämns som bekant i dataskyddsdirektivet för registeransvarig och i PUL för personuppgiftsansvarig. För att bedöma individers konkreta rättigheter till skydd mot personuppgiftsbehandling måste det fastslås vem som alls ska anses bära de skyldigheter som utgör dessa rättigheters spegelbild.
    Enligt artikel 2 d i dataskyddsdirektivet är den ”registeransvarig” (i PUL:s terminologi personuppgiftsansvarig) som ensam eller tillsammans med annan bestämmer ändamålet och medlen för behandlingen av personuppgifter. I sitt förslag till avgörande i Google Spain menade generaladvokaten att frågan om Google skulle anses vara personuppgiftsansvarig var huvudfrågan i målet.22 Hur skulle innebörden av lokutionen ”bestämmer ändamålet och medlen för behandling av personuppgifter” tolkas i det målet? Det engelska begreppet för personuppgiftsansvarig är som bekant ”data controller”. I Google Spain menade Google att bolaget inte var personuppgiftsansvarig — data controller — eftersom bolaget inte har kännedom om de uppgifter som behandlas och inte kan utöva någon kontroll över dem.23 Google fick här medhåll av generaladvokaten, som bl.a. tog fasta på vilken kontroll och det faktiska inflytande som Google utövar över personuppgifter som visas i sökresultaten.24 Generaladvokaten menade att det endast om sökmotorleverantören

 

20 Punkterna 26 och 28 i domskälen. 21 Punkt 32 och 33 i domskälen. 22 Punkt 76 i generaladvokatens yttrande. 23 Se punkt 22 i domskälen. 24 Se t.ex. punkt 85 i generaladvokatens yttrande.

848 David Frydlinger SvJT 2015 samlar in uppgifter och aktivt fattar beslut att inte följa s.k. exclusion codes på webbsidor som denne kan sägas ha kontroll över behandlingen och således ska anses vara personuppgiftsansvarig.
    Generaladvokaten var dock medveten om att hans tolkning sannolikt inte var förenlig med dataskyddsdirektivets ordalydelse och kanske inte heller med en ändamålstolkning av detta.25 Han ansåg det dock problematiskt att utsträcka direktivets tillämpningsområde till att gälla sökmotorleverantörer, vars verksamhet EU-lagstiftaren med säkerhet inte hade haft i åtanke år 1995 när direktivet antogs. För att undvika orimliga och alltför långtgående juridiska konsekvenser måste domstolen därför tillämpa ett skälighetsresonemang, dvs. proportionalitetsprincipen, vid tolkningen av direktivets tillämpningsområde.26 EU-domstolen menade i stället att det skulle strida mot artikel 2 d:s lydelse och dess syfte att på detta sätt ta fasta på vilken faktisk kontroll sökmotorleverantören har över de personuppgifter som publiceras på tredje mans hemsida.27 Sökmotorleverantörens behandling innebär, menade domstolen, ett tillägg till den behandling som görs av webbplatsutgivarna. Sökmotorleverantören spelar vidare en avgörande roll i den totala spridningen av uppgifterna. Slutligen möjliggör denne genom sin förteckning av sökresultat att man kan ”bilda sig en mer eller mindre detaljerad uppfattning av den berörda personen”, vilket innebär att sökmotorleverantören på ett betydande sätt kan ”påverka grundläggande rättigheter avseende privatlivet och skyddet för personuppgifter.”28 Domstolen fastslog att Google var personuppgiftsansvarig.
    Skillnaden mellan generaladvokatens och EU-domstolens resonemang blir begripligt i ljuset av Dworkins åtskillnad mellan abstrakta och konkreta rättigheter.29 I Google Spain bar Google på abstrakta rättigheter avseende näringsfrihet och yttrandefrihet, internetanvändarna på abstrakta rättigheter avseende informationsfrihet, och González på abstrakta rättigheter avseende skydd för privatliv och mot användning av hans personuppgifter. Dessa abstrakta rättigheter hamnade i uppenbar konflikt med varandra i målet och EU-domstolens uppgift blev att utifrån en tolkning av dataskyddsdirektivet fastslå de inblandade parternas konkreta rättigheter i denna situation.
    Med Dworkins rättsteori som utgångspunkt blev då frågan vilken tolkning av dataskyddsdirektivet som på bästa sätt kunde sägas innebära att staten behandlade alla inblandade parter på ett likvärdigt

 

25 Se punkt 77 i generaladvokatens yttrande. 26 Punkt 30 i generaladvokatens yttrande. Generaladvokaten refererar i samma stycke till EU-domstolens dom i mål C-101/01 Lindqvist, där domstolen kom fram till att publicering av personuppgifter på en hemsida förvisso skulle anses vara en personuppgiftsbehandling men inte en överföring till tredje land (vilket kunde hävdas eftersom alla som är anslutna till internet kan få tillgång till uppgifterna). 27 Punkt 34 i domskälen. 28 Se punkterna 35–38 i domskälen. 29 Se avsnitt 3.5 ovan.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 849 sätt, med lika omsorg och respekt. För att bedöma detta var domstolen tvungen att väga respektive intressents ”kostnader” mot varandra i termer av grad av inskränkningar i deras möjligheter att utöva sina abstrakta rättigheter. I ett sådant resonemang kommer det också att bli nödvändigt att beakta tyngden hos de olika rättigheterna, dvs. hur viktiga de är för individens värdighet. Rätten till liv väger t.ex. tyngre än informationsfriheten.
    Utifrån detta perspektiv blir generaladvokatens hänvisning till proportionalitets- och skälighetsresonemang begripligt. Att göra Google till personuppgiftsansvarig skulle, på grund av de skyldigheter som följer av detta ansvar innebära en oförsvarlig inskränkning av Googles rättigheter. I frågan om personuppgiftsansvar resonerade generaladvokaten i två steg. I det första steget menade han att ett fastslående att en sökmotorleverantör är personuppgiftsansvarig skulle vara liktydigt med att även göra alla användare av sökmotorn till personuppgiftsansvariga, så länge sökningar görs för annat än privata ändamål.30 Antag, anförde generaladvokaten, att en professor i juridik laddar ner domar från EU-domstolen och lagrar på sin dator. I dessa domar finns personuppgifter. Exempelvis finns personuppgifter om González i texten till Google Spain. Ska professorn anses vara personuppgiftsansvarig och alltså ha skyldigheter enligt dataskyddsdirektivet och PUL för denna behandling? Självklart inte, menade generaladvokaten, för det skulle bli orimligt. ”Domstolen”, skriver generaladvokaten, ”bör inte godta en tolkning som praktiskt taget innebär att alla som äger en smarttelefon, tablettdator eller bärbar dator blir registeransvariga för behandling av personuppgifter publicerade på internet.”31 En sådan tolkning, får det antas att generaladvokaten menade, skulle bli oskälig eller oproportionerlig, i så måtto att den skulle innebära en alltför stor inskränkning i t.ex. internetanvändarnas informationsfrihet.
    I det andra steget förde generaladvokaten över resonemanget från internetanvändare i allmänhet till Google självt. Lika lite som en vanlig internetanvändare känner en sökmotor som Google till om det vid en internetsökning kommer att hamna personuppgifter i sökresultatet. Det skulle därför, synes generaladvokaten ha menat, bli lika oproportionerligt att göra Google till personuppgiftsansvarig som att göra alla internetanvändare till personuppgiftsansvariga.
    Generaladvokatens resonemang är uppenbart bristfälligt. Faktum är att det är svårt att förstå vilken lagtolkningsteori han alls tillämpade. Frågan om proportionalitet är knappast relevant i frågan om någon är personuppgiftsansvarig. Att bedöma om ett företag är personuppgiftsansvarigt är det samma som att bedöma om detta företags verksamhet i en viss situation hamnar i konflikt med individers abstrakta rätt till skydd mot behandling av personuppgifter, vilket sker om företaget bestämmer ändamål och medel med behandlingen. EU-

 

30 Punkt 81 i generaladvokatens yttrande. 31 Punkt 81 i generaladvokatens yttrande.

850 David Frydlinger SvJT 2015 domstolens uttryckte det som sagt som en fråga om företaget kan ”påverka grundläggande rättigheter avseende privatlivet och skyddet för personuppgifter.”32 Om så är fallet föreligger personuppgiftsansvar och frågan blir därefter hur den personuppgiftsansvariges och den registrerades konkreta rättigheter ska vägas mot varandra.
    Personuppgiftsansvaret anknyter således tydligt till personuppgiftsrättens normativa grund, dvs. individens rätt att enligt autenticitetsprincipen formulera och förverkliga sina egna värderingar, livsplaner och mål. Det handlar här, som sagt, både om det faktum att (a) vad andra vet om oss påverkar eller har möjlighet att påverka dessa värderingar, livsplaner och mål och (b) att andra som vi är beroende av kan hjälpa eller stjälpa våra livsplaner beroende på vad de vet om oss. Googles behandling av personuppgifter i sin sökmotor gör det möjligt att skapa sig en mer eller mindre detaljerad bild av enskilda individer och påverkar därför dessa individers liv i båda perspektiven.
    För att en organisation ska anses bestämma ”ändamål och medlen för behandling av personuppgifter” krävs således inte, som generaladvokaten menade, att organisationens ändamål eller syfte med den aktuella verksamheten är att behandla just personuppgifter. Inte heller krävs att de tekniska medel som används vid behandlingen är utformade just för att behandla personuppgifter. Av Google Spain framgår att det som krävs för det första (i) är att en verksamhet bedrivs eller ett agerande utförs, där information i vilken personuppgifter ingår — ensamt eller tillsammans med annan information — behandlas på automatisk väg eller i ett register. För det andra (ii) är det den eller de organisationer som har bestämt ändamålet med den verksamheten eller det agerandet och som har utformat den automatiserade tekniken eller registret som är personuppgiftsansvarig.
    Om dessa krav är uppfyllda innebär behandlingen en inskränkning av den registrerades abstrakta rätt till skydd mot behandling av personuppgifter. En konflikt mellan den personuppgiftsansvariges och den registrerades abstrakta rättigheter föreligger då och i den fortsatta analysen måste de olika aktörernas konkreta rättigheter i förhållande till varandra allokeras.

 

4.3 Kravet på laglig grund för behandling av personuppgifter
Den som är personuppgiftsansvarig måste ha en laglig grund för behandlingen. De lagliga grunderna för behandling listas i artikel 7 i dataskyddsdirektivet, implementerad i 10 § PUL. En laglig grund föreligger om den registrerade har samtyckt till behandlingen. En laglig grund kan också föreligga även i frånvaro av samtycke, t.ex. om personuppgifter måste behandlas för att fullgöra ett avtal. En laglig grund kan också konstateras föreligga efter en intresseavvägning mellan den personuppgiftsansvarige eller de tredje män till vilka uppgifterna lämnas ut och den registrerade. Det krävs i så fall, enligt artikel

 

32 Se punkterna 35–38 i domskälen.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 851 7 f, att den personuppgiftsansvarige eller dessa tredje män har berättigade intressen till behandlingen och att dessa intressen väger tyngre än den registrerades intressen eller dennes grundläggande fri- och rättigheter. Enligt 10 § PUL är det senare kriteriet formulerat som den registrerades intresse av skydd mot kränkning av den personliga integriteten.
    I Google Spain var samtyckeskravet inte aktuellt. Likväl är det viktigt att först analysera detta krav eftersom en sådan analys gör EUdomstolens resonemang i målet mer begripligt.

 

4.3.1 Samtyckeskravet I artikel 2 h i dataskyddsdirektivet definieras ”samtycke” som varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.
    Den första frågan är förstås varför samtycke alls skapar en laglig grund för att behandla personuppgifter. Detta blir begripligt utifrån perspektivet att det är människans värdighet och, när det gäller personuppgiftsskyddet, framförallt hennes möjligheter att leva ett autentiskt liv utifrån sina egna mål och värderingar som ska skyddas. Genom en otvetydig viljeförklaring i ord eller handling säger den registrerade att den planerade personuppgiftsbehandlingen inte står i strid med hennes egna mål, värderingar och handlingsplaner. Den registrerade säger att hennes möjligheter att leva ett autentiskt liv inte inskränks. Även om personuppgiftsbehandlingen påverkar hennes liv så påverkas det inte på ett sätt som hindrar henne från att leva det liv hon vill leva.
    Men samtycke löser inte alla knutar. Det går dock t.ex. inte enligt dataskyddsdirektivet och PUL att samtycka till ett ändamål som t.ex. säger att den personuppgiftsansvarige ska behandla personuppgifterna för de ändamål som den personuppgiftsansvarige från tid till annan beslutar om. Den personuppgiftsansvarige måste i stället, enligt den s.k. finalitetsprincipen, specificera ett särskilt ändamål med behandlingen som den registrerade ska samtycka till. Men varför då och vad krävs för att kriteriet ska vara uppfyllt? Varför anses inte en laglig grund föreligga vid samtycke till ett allmänt eller abstrakt ändamål? Vidare är det just ändamålet med behandlingen som den registrerade kan samtycka till. Denne kan t.ex. inte samtycka till avvikelser från kraven i artikel 6 c) på att personuppgifterna ska vara adekvata och inte får omfatta mer än vad som är nödvändigt för att uppnå ändamålet och i artikel 6 f) att personuppgifterna ska vara riktiga och, om nödvändigt, aktuella. Varför inte då, frågar man sig? Varför är den registrerade fråntagen möjligheten att samtycka till behandling av överskottsinformation eller av inaktuella personuppgifter? Svaren på dessa frågor säger något viktigt om personuppgiftsrättens normativa grunder och logik. Som vi kommer att se ger det också viktiga förklaringar till EU-domstolens resonemang i Google Spain.

852 David Frydlinger SvJT 2015 Utifrån denna artikels perspektiv allokerar personuppgiftslagstiftningen konkreta rättigheter mellan bl.a. den personuppgiftsansvarige och den registrerade i situationer när dessas abstrakta rättigheter kommer i konflikt med varandra. Den registrerade kan genom sitt samtycke ge den personuppgiftsansvarige en konkret rättighet att behandla personuppgifter om denne.
    Den registrerade kan dock inte — vilket är avgörande — avsäga sig sin abstrakta rättighet till privatliv och skydd mot behandling av personuppgifter. Med en kanske något för långt dragen analogi skulle detta kunna liknas vid att samtycka till slaveri, dvs. att ge någon generell rätt att bestämma allt vad en människa gör. Detta förklarar kravet på att det givna samtycket ska vara särskilt, dvs. konkret. En individ kan i en specifik situation säga att en behandling av personuppgifter för ett konkret angivet ändamål inte står i strid med hennes mål, värderingar och handlingsplaner. Men det går inte, utan att förneka sin rätt att leva ett autentiskt liv, att säga att någon annan i framtiden får behandla dessa uppgifter för vilka ändamål som denne från tid till annan finner för gott eftersom det mycket väl kan vara så att dessa ändamål i framtiden står i strid med de mål, värderingar och handlingsplaner som hon då har.
    En personuppgiftsansvarig kan således bara få en konkret rättighet att behandla den registrerades personuppgifter och då krävs ett konkret ändamål med behandlingen.
    Av detta följer också att inte vilka personuppgifter som helst får behandlas. Det skulle bli motsägelsefullt om en individ å ena sidan endast kan samtycka till behandling för konkreta ändamål men å andra sidan skulle kunna samtycka till att vilka personuppgifter som helst behandlas, dvs. även sådana som inte är nödvändiga för det konkreta ändamålet. Ändamålet med behandlingen av personuppgifterna och personuppgifterna själva går förstås inte att åtskilja. Med kravet på konkretion avseende ändamål följer därför ett krav på konkretion av vilka personuppgifter som behandlas. Därför får, enligt artikel 6 d) bara de personuppgifter behandlas som är nödvändiga för att uppnå det konkreta ändamålet med behandlingen.
    Varför kan då, slutligen, den registrerade inte samtycka till behandling av inaktuella personuppgifter? En specifik fråga här är vad som ska anses vara en aktuell respektive inaktuell personuppgift. En uppgift om vad en person hade för inkomst för 15 år sedan kan sägas vara inaktuell eftersom den inte säger någonting om vad personen har för inkomst idag. Men den kan också sägas vara aktuell eftersom den 15 år gamla inkomstuppgiften, jämfört med dagens inkomst, säger något om individens löneutveckling de senaste 15 åren. Exemplet visar att det är ändamålet med behandlingen som avgör om en uppgift ska anses vara aktuell eller inaktuell. För den som behandlar inkomstuppgifter för betala ut lön idag är den 15 år gamla inkomstupp-

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 853 giften inaktuell. Så är inte nödvändigtvis fallet för en forskare som analyserar vissa befolkningsgruppers löneutveckling.
    Kravet på aktualitet är således bara en variant på kravet att endast de uppgifter får behandlas som är nödvändiga för det konkret angivna ändamålet.

 

4.3.2 Laglig grund efter intresseavvägning I Google Spain var frågan om samtycke som laglig grund för behandling inte aktuell. I stället vilade Googles lagliga grund på intresseavvägningen enligt artikel 7 f) i dataskyddsdirektivet.
    Möjligheten att behandla personuppgifter efter en intresseavvägning innebär att personuppgifter ibland får behandlas i strid med den registrerades vilja. Hur kan det då komma sig att det alls kan vara tillåtet att behandla personuppgifter utan samtycke? Innebär inte varje sådan behandling en kränkning av individens rätt att leva ett liv enligt sina mål och värderingar? Den som är anarkistiskt lagd och anser att allt tvång eller krav på att en individ måste tåla något mot sin vilja är illegitima måste förstås svara ja på den frågan. Det är dock inte samtycket som sådant som gör en behandling av personuppgifter berättigad. Det är det faktum att en behandling med ett samtycke för ett konkret ändamål innebär att, under vissa förutsättningar, både den personuppgiftsansvariges och den registrerades rättigheter behandlas likvärdigt som legitimerar den. En behandling med samtycke låter den personuppgiftsansvarige agera enligt sina planer och rättigheter samtidigt som den inte inskränker den registrerades möjlighet att leva ett autentiskt liv.
    Ibland kan dock kravet på likvärdig behandling när konkreta rättigheter ska allokeras innebära att den registrerade måste tåla att personuppgifter om denne behandlas även utan samtycke. Så är fallet om graden av inskränkning i den registrerades rättigheter om den aktuella personuppgiftsbehandlingen tillåts utan samtycke är mindre än inskränkningen av den personuppgiftsansvariges eller tredje mans rättigheter om behandlingen inte tillåts. I dataskyddsdirektivet och PUL uttrycks detta som en avvägning mellan intressen. Återigen är det illustrativt att jämföra generaladvokatens argumentation med domstolens i Google Spain.
    Resonemanget måste läsas mot bakgrund av möjligheten för registrerade att enligt artikel 14 i dataskyddsdirektivet motsätta sig behandling av personuppgifter som rör honom, bl.a. i sådana fall uppgifterna behandlas med stöd av en intresseavvägning. González ville i målet hos den nationella domstolen använda denna rätt att i förhållande till Google motsätta sig personuppgiftsbehandling.
    Detta innebär, vilket inte är speciellt tydligt i vare sig generaladvokatens eller EU-domstolens resonemang, att frågan om de inblandade aktörernas konkreta rättigheter måste bedömas i två olika situationer,

854 David Frydlinger SvJT 2015 nämligen före och efter det att González hos Google motsatte sig behandlingen av hans personuppgifter.
    Såvitt avser situationen före González invändningar menade generaladvokaten, att Google hade en laglig grund att behandla personuppgifter i sin sökmotorverksamhet med stöd av en intresseavvägning. Generaladvokaten, som tydligt intog perspektivet att det här handlade om att ställa de olika inblandade aktörernas rättigheter mot varandra och hitta rätt avvägning, menade att sökmotorleverantören har berättigade intressen eftersom den kan stödja sig på såväl yttrande-, informations- som näringsfrihet.33 Faktum är att EU-domstolen inte uttryckligen behandlade Googles lagliga grund för behandlingen före det att González hade framställt invändningar. Det är dock underförstått i domstolens resonemang att även domstolen ansåg att Google kunde grunda den aktuella behandlingen av González personuppgifter på en intresseavvägning.34 Detta framstår också som rimligt. I detta skede handlar det om hur Googles konkreta rätt att indexera och visa länkar till artiklar om González ekonomiska förhållanden samt internetanvändares rätt att få del av sådan information ska vägas mot Gonzáles rätt att dessa länkar inte visas i sökresultaten. Frågan är vilken avvägning som innebär att Google, internetanvändarna och González behandlas med lika omsorg och respekt. Om avvägningen i detta skede skulle ske till Gonzáles fördel skulle det innebära att Google proaktivt skulle behöva hitta och underlåta att visa alla länkar till hemsidor där personuppgifter behandlas. Detta skulle förstås innebära en mycket allvarlig inskränkning i Googles näringsfrihet. Det skulle också innebära en allvarlig inskränkning i internetanvändarnas informationsfrihet. Denna inskränkning ska ställas mot inskränkningen i González rätt till skydd mot behandling av personuppgifter. Eftersom González enligt artikel 14 i dataskyddsdirektivet har möjlighet att framställa invändningar i ett enskilt fall måste det vara korrekt att före en sådan invändning sker bedöma att avvägningen ska ske till sökmotorleverantörens och internetanvändarnas fördel. En annan bedömning skulle inte kunna anses behandla dessa med lika omsorg och respekt som de registrerade.
    I nästa skede blir dock frågan hur de inblandades konkreta rättigheter ska allokeras efter att den registrerade framställt invändningar mot personuppgiftsbehandlingen. I det skedet måste en ny intresseavvägning göras. Det är i detta sammanhang som rätten att bli glömd uppkommer, för om intresseavvägningen utfaller till den registrera-

 

33 Punkt 95 i generaladvokatens yttrande. 34 Daniel Westman har vid genomläsning av denna artikel påpekat det intressanta faktum att det borde bli problematiskt för Google att behandla känsliga personuppgifter i sin sökmotorverksamhet, eftersom en intresseavvägning inte kan utgöra en laglig grund för behandling av sådana uppgifter. Frågan var dock inte föremål för prövning i Google Spain.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 855 des fördel måste ju sökmotorleverantören avlägsna länkarna eftersom det inte längre finns laglig grund för behandlingen.
    Generaladvokaten ansåg inte att dataskyddsdirektivet innehåller någon rätt att bli glömd. Han ställde här internetanvändarnas informationsfrihet och sökmotorleverantörens yttrande- och näringsfrihet mot de registrerades rättigheter till privatliv enligt artikel 7 i EUstadgan. Han menade att en rätt att bli glömd ”skulle medföra att centrala rättigheter, såsom yttrandefriheten och informationsfriheten, inskränktes.”35 Han menade att det också skulle innebära en inskränkning av webbsideutgivarens yttrandefrihet. Att låta sökmotorleverantören avgöra vilka länkar som ska raderas skulle, menade generaladvokaten, vara ”samma sak som att låta en enskild person censurera det innehåll som utgivaren har publicerat”.
    Här gör sig generaladvokaten skyldig till samma fel som i resonemanget rörande Googles personuppgiftsansvar, dvs. han underlåter att inta den registrerades perspektiv i det konkreta fallet. Frågan i målet gällde inte en generell rätt att bli glömd, dvs. att få alla länkar till webbplatser med personuppgifter om den registrerade borttagna. Frågan i målet gällde en rätt för González att kräva att Google, dvs. en mycket kraftfull sökmotor, avlägsnade länkar till hemsidor med specifik information om González. Det var just Googles, Googleanvändarnas och Gonzáles konkreta rättigheter som skulle allokeras på ett sätt som uppfyllde kravet på likabehandling.
    Här kom EU-domstolen som sagt fram till att González hade en rätt att bli glömd (av Google). EU-domstolen erkände förstås de motstående intressen som var aktuella. Man konstaterade dock att Googles ekonomiska intressen inte kunde uppväga inskränkningen av González rättigheter.36 Detta är fullt logiskt. I detta skede handlar det om en betydligt mindre inskränkning av Googles rättigheter än i skedet före det att González hade framställt sina invändningar. Det handlar om att behandla enskilt framställda invändningar och att i vissa fall avlägsna specifika länkar. Denna inskränkning måste förstås anses vara mycket mindre än den inskränkning som det innebar i González möjligheter att leva ett autentiskt liv att det fanns länkar som misskrediterade honom ekonomiskt och som alla kunde se som sökte på hans namn. Kravet på lika omsorg och respekt innebär här att Google måste avlägsna länkarna.
    Även internetanvändarnas intressen är dock viktiga. När det gäller dessas informationsfrihet intog EU-domstolen perspektivet att ”[a]vvägningen kan […] bero på typen av information och dess känslighet för den berörda personens privatliv samt allmänhetens intresse av informationen, vilket kan variera bland annat beroende på den roll som denna person spelar i det offentliga livet.”37

 

35 Punkt 133 i generaladvokatens yttrande. 36 Punkt 81 i domskälen. 37 Punkt 81 i domskälen.

856 David Frydlinger SvJT 2015 Graden av rättighetsinskränkning för den registrerade om länkarna inte avlägsnas måste alltså ställas mot graden av rättighetsinskränkning för internetanvändarna om länkarna avlägsnas. Om det rör personuppgifter som mer allvarligt kan inskränka den registrerades möjligheter att leva enligt autenticitetsprincipen talar det till den registrerades fördel. Om denne dessutom är en offentlig person är det inte sällan resultatet av ett medvetet val och sådana offentliga personer måste rimligen tåla mer offentlighet än andra. Dessutom innebär det förstås en större inskränkning i informationsfriheten om länkar om USA:s president avlägsnas än om t.ex. länkar om undertecknad avlägsnas. I sin avvägning fann domstolen att González intresse vägde över. Det rörde sig om känslig information för González som var 16 år gammal och det fanns inga särskilda skäl som talade för att det fanns ett övervägande intresse för allmänheten att ta del av denna information.
    Förhoppningsvis har analysen ovan visat att Google Spain måste tolkas som ett mål där en registrerads abstrakta rättigheter att leva ett autentiskt liv ställdes mot en sökmotors abstrakta rätt att bedriva näringsverksamhet och internetanvändares abstrakta rätt till tillgång till information. I denna rättighetskonflikt gällde frågan hur de olika aktörernas konkreta rättigheter skulle vägas mot varandra för att uppfylla kravet på lika omsorg och respekt.

 

5 Mål C-293/12 och C-594/12 (Digital Rights Ireland)
Ovan har personuppgiftsrättens normativa grunder framförallt illustrerats med hänvisning till EU-domstolens resonemang i Google Spain. Individens värdighet kan kränkas om andra behandlar personuppgifter om henne på ett sätt som begränsar hennes möjligheter att leva sitt liv utifrån sina egna mål och värderingar — ett autentiskt liv. Om andra behandlar personuppgifter under utövande av sina rättigheter eller andra berättigade intressen kommer de inblandades abstrakta rättigheter att hamna i konflikt med varandra. I Google Spain framkommer hur EU-domstolen tolkade dataskyddsdirektivet för att allokera de inblandades konkreta rättigheter på ett sätt som behandlade dem likvärdigt eller, med Dworkins ord, lika omsorg och respekt.
    I Google Spain stod privata aktörers rättigheter mot varandra. I mål C-293/12 och C-594/12, genom vilka datalagringsdirektivet upphävdes, var situationen annorlunda. Där stod privata aktörer mot staten. I mål C-293/12 väckte Digital Rights Ireland talan mot den irländska staten och hävdade att staten rättsstridigt hade behandlat, lagrat och kontrollerat uppgifter härrörande från organisationens telekommunikation. I mål C-594/12 stod privata aktörer mot den österrikiska staten.
    Skiljer sig därmed inte dessa mål från Google Spain? I mål C293/12 och C-594/12 kan väl inte olika aktörers abstrakta rättigheter

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 857 anses ha hamnat i konflikt med varandra för staten har ju inte rättigheter mot sina medborgare? Och eftersom privata aktörer agerade mot staten kan väl EU-domstolens ogiltigförklarande av datalagringsdirektivet inte vara följden av statens bristande likabehandling (lika omsorg och respekt)? Det går naturligtvis att tolka den normativa grunden för EUdomstolens resonemang på olika sätt. Jag tror dock att den bästa och mest logiska tolkningen är att återigen läsa målet som hanteringen av en konflikt mellan enskildas abstrakta rättigheter och där EUdomstolen ogiltigförklarade datalagringsdirektivet därför att EUlagstiftaren hade misslyckats med att behandla EU-medborgarna med lika omsorg och respekt.
    I målet hade å ena sidan High Court på Irland och å andra sidan Verfassungsgerichtshof i Österrike begärt förhandsbesked om datalagringsdirektivet var förenligt med bl.a. artikel 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan). I artikel 7 stadgas rätten till skydd för privatlivet och i artikel 8 rätten till skydd av personuppgifter.
    Datalagringsdirektivet antogs 2006. Antagandet föranleddes närmast av terroristdåd i Madrid och London, varefter krav väcktes på ökade möjligheter att få tillgång till trafik- och lokaliseringsuppgifter för att kunna förhindra nya brott och i efterhand utreda dem. När direktivet antogs hade ett antal medlemsstater redan antagit lagar om lagring av sådana uppgifter men reglerna var inte harmoniserade. Genom direktivet ålades samtliga medlemsstater en skyldighet att införa nationell lagstiftning om datalagring. Lagringsskyldigheten omfattade inte innehållet i kommunikationen utan uppgifter om abonnents namn och adress, uppringande och mottagande telefonnummer, IP-adress, användar-ID, datum och tid för påbörjad och avslutad kommunikation och så vidare. Lagringstiden skulle vara minst sex månader och max två år.
    EU-domstolen konstaterade till att börja med att skyldigheten för kommunikationsleverantörer att lagra data enligt direktivet ”i sig” utgjorde ingrepp i rätten till privatliv enligt artikel 7 i stadgan.38 Vidare konstaterades att skyldigheterna utgjorde ingrepp i rätten till skydd för personuppgifter enligt artikel 8 ”eftersom direktivet föreskriver behandling av personuppgifter.”39 Domstolen konstaterade också att ingreppen var synnerligen allvarliga. Man konstaterade också, med hänvisning till generaladvokatens yttrande, att ”den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta [kan] ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.”40 Här sker implicit en tydlig

 

38 Punkt 34 i domskälen. 39 Punkt 36 i domskälen. 40 Punkt 37 i domskälen.

858 David Frydlinger SvJT 2015 hänvisning till individers rätt att leva autentiska liv utan påverkan från andra.
    Ingrepp i de fundamentala rättigheter som anges i EU-stadgan är inte absolut förbjudna utan måste uppfylla viss krav. Enligt artikel 52.1 i stadgan måste varje begränsning vara (i) föreskriven i lag och (ii) förenlig med aktuell rättighets väsentliga innehåll. Begränsningar får vidare endast göras om de (iii) är nödvändiga och (iv) faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter.
    EU-domstolen fastslog här att lagringsskyldigheterna var förenliga med det väsentliga innehållet i rättigheterna i artikel 7 och 8.41 Domstolen kom också fram till att direktivets yttersta syfte — bekämpandet av grov brottslighet och bidragande till den allmänna säkerheten — svarade mot ett mål av allmänt samhällsintresse. Domstolen hänvisade här till tidigare rättspraxis och dessutom — vilket är viktigt i sammanhanget — till rätten till personlig säkerhet i artikel 6 i EU-stadgan.
    EU-domstolen upphävde likväl datalagringsdirektivet eftersom man fann att det stod i strid med proportionalitetsprincipen. EUdomstolen slog fast att det för att möjliggöra den aktuella typen av ingrepp vad nödvändigt med ”tydliga och precisa bestämmelser som reglerar räckvidden och tillämpligheten av den aktuella åtgärden och som slår fast minimikrav, så att de personer vilkas uppgifter har lagrats har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk och otillåten tillgång eller användning.”42 Här konstaterade EU-domstolen bl.a. att direktivet (i) omfattade samtliga elektroniska medel, vilkas användning är mycket utbredd, (ii) omfattade nästintill hela Europas befolkning, (iii) var tillämpligt även utan indicium på allvarliga brott, (iv) inte ställde krav på samband mellan lagrade uppgifter och hot mot den allmänna säkerheten, (v) inte innehöll något objektivt kriterium för att avgränsa nationella myndigheters tillgång till uppgifterna, (vi) inte ställde krav på att begränsa det antalet personer som var behöriga att få tillgång till och använda de lagrade uppgifterna.43

Sammantaget var villkoren i artikel 52.1 i stadgan inte uppfyllda och direktivet ogiltigförklarades. I målet stod således rätten till säkerhet enligt artikel 6 i EU-stadgan mot rätten till privatliv och rätten till skydd mot behandling av personuppgifter i artikel 7 och 8. Hur, bör man här fråga sig, kan allmän säkerhet eller möjligheten att undersöka och åtala för brott vara viktigare än rätten till privatliv och skyddet för den enskildes integritet?

 

41 Punkterna 39 och 40 i domskälen. 42 Punkt 54 i domskälen. 43 Punkt 56–62 i domskälen.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 859 Ett naturligt svar på frågan skulle vara att ställa en motfråga: Det allmännas intresse av att kunna förhindra bombattentat i tunnelbanan måste väl vara viktigare än att skydda anstiftarnas eller förövarnas personliga integritet eller privatliv? Det är här lätt att hemfalla åt ett rent utilitaristiskt resonemang där den sammanvägda nyttan av den stora massans skydd mot bombattentat befinns väga tyngre än några få individers nytta av att få sitt privatliv skyddat.
    Det går dock inte att upprätthålla ett utilitaristiskt försvar för att kränka en individs rättigheter. Detta har bl.a. just Ronald Dworkin visat och detta är också hans poäng när han, som redogjorts för ovan, beskriver individuella rättigheter som trumfkort framför politiska mål.
    Precis som all annan lagstiftning måste man ställa sig frågan om vad som legitimerar exempelvis lagstiftning till skydd för allmän säkerhet eller avseende undersökning och åtal för brott. En analys av denna fråga kan inte leda till någon annan slutsats än att det handlar om skydd av individers värdighet, uttryckt i de båda principerna avseende självrespekt och autenticitet. ”Nationen” eller ”samhället” har inga egna intressen, såvida man inte hemfaller åt 1800-talsromantik eller har lust att glömma all den misär som människor under århundraden har åsamkats i nationens, kyrkans, partiets eller något annat kollektivs intressen. Det som gäller för allmän säkerhet gäller förstås även i fråga om undersökning av och åtal för brott. Brottsbekämpning har inget egenvärde utan syftar till att upprätthålla ett samhälle där individers värdighet inte kränks. Ett samhälle utan brottsbekämpning kan skapa förutsättningar för betydligt allvarligare kränkningar av individers integritet och privatliv än vad sparande av trafikdata gör.
    Det är utifrån detta perspektiv som EU-domstolens upphävande av dataskyddsdirektivet ska läsas. Det var inte det allmännas mot den enskildes intresse som stod på spel. Det var i stället återigen en konflikt mellan enskildas abstrakta rättigheter som det handlade om, om än på ett mer generellt plan än i Google Spain. Domstolen hänvisade som sagt, utöver till artikel 7 och 8 i EU-stadgan, även till rätten till frihet och personlig säkerhet i artikel 6.44 För att förenkla förståelsen av målet är det lämpligt att tänka sig en grupp medborgare som har rätt till personlig säkerhet (grupp A) och en annan grupp medborgare som har rätt till privatliv och skydd mot personuppgiftsbehandling (grupp B). Datalagringsdirektivet införde regler för att skydda grupp A, vilket innebar att stora mängder kommunikationsdata från grupp B skulle samlas in och sparas under minst sex månader och max två år. Personuppgiftsanvaret skulle ligga dels hos kommunikationsoperatörerna, dels hos de myndigheter som begärde att få ut uppgifterna.
    Kommunikationsoperatörernas lagliga grund för behandlingen hade förstås varit själva skyldigheten att lagra uppgifterna. Kravet på att behandlingen måste ske för konkreta ändamål och inte abstrakta

 

44 Punkt 42 i domskälen.

860 David Frydlinger SvJT 2015 sådana hade dock knappast varit uppfyllt. Domstolen påpekade t.ex. att direktivet var tillämpligt även på personer som det inte fanns något indicium alls på att var inblandade i allvarliga brott.45 Domstolen påpekade också att det inte fanns något samband mellan de uppgifter som skulle lagras och hotet mot den allmänna säkerheten, vars undanröjande var själva syftet med direktivet.46 Samma principer som vi analyserade ovan och som förklarar varför samtycke kan skapa en laglig grund bara om det är särskilt och varför det inte är möjligt att samtycka till behandling av överskottsinformation eller inaktuella uppgifter gjorde sig därför gällande även här. En registrerad skulle inte ha kunnat lämna ett giltigt samtycke till den behandling som datalagringsdirektivet krävde av kommunikationsleverantörerna. Ett giltigt samtycke kan bara omfatta ett specifikt angivet ändamål och inom ramen för samtycket får den personuppgiftsansvarige sedan bara behandla de personuppgifter som behöver behandlas för att uppnå detta specifika ändamål. Datalagringsdirektivet innehöll dock inga sådana avgränsningar. Personuppgifter får vidare inte behandlas längre än nödvändigt för att uppnå det angivna ändamålet och den generella minimitiden om sex månaders lagringstid tog inte hänsyn till detta.
    Frånvaron av restriktioner innebar således, som EU-domstolen också konstaterade, långtgående och allvarliga inskränkningar i enskildas rätt till privatliv och skydd mot personuppgiftsbehandling.47 Det är dock viktigt att påpeka att detta inte i sig är problematiskt. Dessa inskränkningar kunde teoretiskt sett ha varit acceptabla om de krävdes för att undvika ännu allvarligare inskränkningar i andras rättigheter. Men det var just detta som inte var fallet. Hotbilden mot den allmänna säkerheten var inte så allvarlig och överhängande. Inskränkningarna i individerna i den fiktiva grupp B:s rätt till privatliv och skydd mot personuppgiftsbehandling — utan de restriktioner som EU-domstolen efterfrågade — var betydligt större än de inskränkningar i individerna i grupp A:s rätt till personlig säkerhet som datalagringsdirektivet hade inneburit med dessa restriktioner. Det var därför som direktivet befanns vara oproportionerligt.

 

6 Sammanfattning och avslutning
Artikelns utgångspunkt är att de ofta åberopade grundläggande personuppgiftsrättsliga principerna är otillräckliga verktyg för att lösa personuppgiftsrättsliga frågor. Tagna var för sig kan konstateras att principerna om laglig behandling, proportionalitet, minimalitet, ändamålsbegränsning, den registrerades inflytande, datasäkerhet, datakvalitet, och känsliga personuppgifter överlappar varandra och att det inre sambandet mellan dem är oklart. Sambandet blir dock klart om

 

45 Punkt 58 i domskälen. 46 Punkt 59 i domskälen. 47 Se t.ex. punkt 65 i domskälen.

SvJT 2015 Varför har man egentligen rätt att bli glömd av Google? 861 de läses inom den personuppgiftsrättsliga analysram som jag här har presenterat, baserad på å ena sidan skyddet för mänsklig värdighet — och då framförallt människans rätt att leva ett autentiskt liv — och å andra sidan distinktionen mellan abstrakta och konkreta rättigheter. När en personuppgiftsansvarigs eller andras abstrakta rättigheter hamnar i konflikt med den registrerades abstrakta rättighet till skydd mot behandling av personuppgifter måste konkreta rättigheter allokeras med beaktande av kravet på lika omsorg och respekt. Den allokering som totalt innebär den minsta graden av rättighetsinskränkning ska väljas så länge som det går att tolka lagtexten på det sättet. Att detta är det korrekta synsättet framgår förhoppningsvis av mina analyser ovan av EU-domstolens resonemang i Google Spain och Digital Rights Ireland.