SvJT 2018 Den nya allmänna dataskyddsförordningen… 241 ningens bestämmelser som kommer att vara av betydelse i praktiken och som är öppna för olika tolknings- och tillämpningsmöjligheter. På så sätt ska denna artikel bidra till att öka förståelsen för den nya dataskyddsförordningen i Sverige. Den föreliggande undersökningen gör dock inte anspråk på att ge en heltäckande bild av förordningen, utan fokuserar på utvalda frågeställningar i förordningens materiella bestämmelser.3 2 Generella anmärkningar
2.1 Förordningens syften
Den nya dataskyddsförordningen väcker vid denna tidpunkt frågor i flera avseenden. En av dessa är huruvida den uteslutande utgör dataskyddslagstiftning eller samtidigt en form av kommersiell rätt. Ett svar kan utläsas ur artikel 1 som statuerar dataskyddsförordningens syften, nämligen skyddet av personuppgifter samt förbudet mot en begränsning av det fria flödet av personuppgifter. Just det fria flödet av personuppgifter verkar få en större betydelse i dataskyddsförordningen jämfört med direktiv 95/46/EG. Fastän dataskyddsdirektivet redan nämnde det fria flödet av personuppgifter innehöll det inga materiella regler vad det anbelangar. Förklaringen kan vara att den europeiska lagstiftaren vid den tiden använde det fria flödet av personuppgifter för att argumentera för att direktivet skulle rymmas inom ramen för EG:s inremarknadskompetens, numera artikel 114 FEUF, eftersom det saknades en explicit kompetens på dataskyddsområdet.4 Däremot innehåller den nya förordningen åtminstone en materiell bestämmelse som kan anses behandla det fria flödet av personuppgifter, nämligen rätten till dataportabilitet enligt artikel 20.5 Den nya dataskyddsförordningen tar således ett steg i en riktning där det ekonomiska värdet av personuppgifter sannolikt kommer att bli allt viktigare och på det viset har den också en kommersiell dimension. Dataskyddsförordningen måste därför ses i den bredare kontexten av en ”europeisk dataekonomi”, där den skapar lika villkor och därigenom en jämn spelplan vad gäller behandlingen av personuppgifter för företag inom och till och med utanför EU.6 Det kan ändå inte uteslutas att förordningens två, relativt motsatta, syften i enstaka fall kan komma i konflikt med varandra.

3 Kapitel VI (artiklarna 51–59) om nationella tillsynsmyndigheter och kapitel VII (artiklarna 60-76) om samarbete och enhetlighet i dataskyddsförordningen diskuteras inte alls. 4 Jfr Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 37; Sydow i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 1 punkt 17. 5 Se mer om rätten till dataportabilitet nedan. I övrigt ska det fria flödet av personuppgifter säkerställas genom en enhetlig skyddsnivå i alla medlemsstater, se skäl 10 i dataskyddsförordningen. 6 Jfr Europeiska kommissionens meddelande COM(2017) 9 final av den 2017-01-10, s. 2.

242 Hajo Michael Holtz SvJT 2018 2.2 Öppningsklausuler
En annan generell anmärkning gäller det stora antalet klausuler i dataskyddsförordningen som ger medlemsstaterna utrymme för att komplettera den med nationell lagstiftning.7 Dessa bestämmelser i förordningen betecknas i Tyskland vanligtvis som ”öppningsklausuler” (Öffnungsklauseln). Några exempel på öppningsklausuler är följande: artikel 6.2 (laglig behandling vid rättslig förpliktelse, allmänt intresse eller myndighetsutövning); artikel 6.4 (vidarebehandling); artikel 8.1 (åldersgräns vid barns samtycke); artikel 9.2 och 9.4 (avvikelser från förbudet mot att behandla känsliga personuppgifter); artikel 14.5 (informationsskyldigheter i nationell rätt samt vid tystnadsplikt); artikel 23 (begränsningar av de registrerades rättigheter); artikel 37.4 (plikt att utnämna ett dataskyddsombud); artikel 80.2 (talerätt av ideella organisationer); artikel 84 (nationella sanktioner); artikel 85 (förhållandet till yttrande- och informationsfriheten); artikel 86 (förhållandet till offentlighetsprincipen) liksom artikel 88 (behandling i anställningsförhållanden). Beroende på hur man klassificerar klausulerna kan man identifiera upp till ca 70 olika öppningsklausuler i dataskyddsförordningen.8 Öppningsklausulerna kan vara av olika karaktär, allmänna såsom artikel 23, specifika såsom artikel 8.1, frivilliga såsom artikel 6.2 eller obligatoriska såsom artikel 85.9 Obligatoriska öppningsklausuler innebär alltså ett lagstiftningsuppdrag för den nationella lagstiftaren.10 Existensen av dessa klausuler gör att förordningen kan beskrivas som ”en atypisk hybrid mellan förordning och direktiv”11 eller som ”ett lapptäcke”12. Öppningsklausulerna i kombination med principen om EU-rättens företräde kan antas lägga grunden för tänkbara normkonflikter mellan kompletterande, nationella dataskyddslagar och den allmänna dataskyddsförordningen, vilket sannolikt kommer att resultera i tillämpningsproblem och debatter om vilken regel som ska ha företräde.13 Det tillkommer den generella risken att olika medlemsstater tolkar de

7 Det ursprungliga förslaget avsåg i stället att ge Europeiska kommissionen omfattande befogenheter att komplettera förordningen med delegerade rättsakter. Denna omständighet förklarar beteckningen ”allmän dataskyddsförordning”. 8 Roßnagel i Roßnagel (red.), Europäische Datenschutz-Grundverordnung: Vorrang des Unionsrechts — Anwendbarkeit des nationalen Rechts (2017), s. 64. De flesta kommentatorerna identifierar åtminstone 45–60 öppningsklausuler. 9 Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2016, s. 448, 449. Frivilliga öppningsklausuler kan enligt författarna vidare delas in i konkretiseringar, kompletteringar och modifieringar. 10 Se för det svenska perspektivet kommittédirektiv dataskyddsförordningen, dir. 2016:15 s. 6 ff. 11 Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2016, s. 448, 449. 12 Gola i Gola (red.), Datenschutz-Grundverordnung — Kommentar (2017), Einleitung punkt 45. 13 Se omfattande Roßnagel (red.), Europäische Datenschutz-Grundverordnung: Vorrang des Unionsrechts — Anwendbarkeit des nationalen Rechts (2017).

SvJT 2018 Den nya allmänna dataskyddsförordningen… 243 många öppningsklausulerna på olika sätt. Om medlemsstaterna sedan till och med skapar både allmän och sektorspecifik kompletterande lagstiftning kommer det bli ännu svårare att behålla överblicken på området. Av dessa anledningar kan ifrågasättas huruvida förordningen kommer att kunna realisera den aviserade harmoniseringen av dataskyddet i hela EU.

2.3 Övriga generella anmärkningar
Generellt kan vidare anmärkas att dataskyddsförordningen fortsätter i direktivets spår med användningen av obestämda och odefinierade begrepp, såsom ”allmänt intresse” i artikel 6.1 e, ”berättigade intressen” i artikel 6.1 f, ”oproportionell ansträngning” i artikel 14.5 och ”tvingande berättigade skäl” i artikel 21.1, för att nämna några exempel. Vidare kan man ställa sig kritisk till avsaknaden på explicita regleringar av praktiskt relevanta fenomen som förmodligen också fortsättningsvis kommer prägla dataskyddet, såsom sociala medier, sökmotorer, molntjänster, Big Data eller Internet of Things. Vissa av fenomenen regleras förvisso indirekt, såsom sociala medier och molntjänster, men en explicit reglering hade eventuellt kunnat skapa ett mer praktiknära dataskydd. På grund av sin teknikneutralitet missar förordningen chansen att verkligen modernisera den europeiska dataskyddslagstiftningen.14 Precis som med öppningsklausulerna kommer det krävas en tydlig koordinering mellan de involverade nationella och europeiska organen för att säkerställa en enhetlig tillämpning av förordningen i hela EU och för att motverka risken för rättsosäkerhet.
    Även existensen av riskbaserade skyldigheter i förordningen som den personuppgiftsansvarige själv ska pröva kan nämnas, främst i artiklarna 30.5, 32.2, 33.1, 34.1, 35.1 och 37.1. Vidare kan nämnas systematiska undantagsmöjligheter i dataskyddsförordningen vad gäller grundläggande förbudsbestämmelser och bestämmelser om den registrerades rättigheter, bl.a. i artiklarna 6.4, 9.2, 14.5, 22.2, 23 och 49. I dessa avseenden kan man fråga sig huruvida den nya förordningen säkerställer ett lämpligt skydd av den registrerades grundläggande rättigheter och om den kommer att medföra en höjd skyddsnivå jämfört med direktiv 95/46/EG.
    Slutligen kan nämnas att dataskyddsförordningen inte gör några direkta undantag för ideella organisationer eller små och medelstora företag, förutom artikel 30.5 (registerföring), eller för vardagliga behandlingar som inte sker i form av en databas. Härvidlag kommer de riskbaserade skyldigheterna att fylla en meningsfull funktion för att lätta på bördan som dataskyddsförordningens omfattande krav innebär för de som behandlar personuppgifter i mindre omfattning.

14 Roßnagel i Roßnagel (red.), Europäische Datenschutz-Grundverordnung: Vorrang des Unionsrechts — Anwendbarkeit des nationalen Rechts (2017), s. 61.

244 Hajo Michael Holtz SvJT 2018 3 Tillämpningsområdet
3.1 Materiellt tillämpningsområde
Dataskyddsförordningen gäller enligt artikel 2.1 för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling om uppgifterna ingår i eller kommer att ingå i ett register, vilket motsvarar dataskyddsdirektivet.15 Artikel 2.2 till 2.4 innehåller sedan undantag från förordningens tillämpningsområde inom områden där antingen EU inte har någon kompetens, andra mer specifika rättsakter redan gäller eller där reglering inte krävs.16 En intressant aspekt i detta sammanhang kan anses vara det s.k. hushållsundantaget, dvs. undantaget för behandlingar som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, artikel 2.2 c, och frågan om det ska tolkas på samma sätt som föregångarbestämmelsen i direktivet. Hushållsundantaget i förordningen avser enligt skäl 18 behandlingar som saknar koppling till yrkes- eller affärsmässig verksamhet, såsom korrespondens och innehav av adresser för uteslutande privata ändamål. Av praktisk relevans är privatpersoners publiceringar av personuppgifter på Internet, exempelvis på bloggar, i sociala medier eller i andra typer av forum. I detta avseende förklarar skäl 18 i förordningen uttryckligen att aktivitet i sociala nätverk och Internetverksamhet i samband med sådan verksamhet ”kan” omfattas av undantaget. Detta betyder att behandlingar på Internet som saknar koppling till yrkes- eller affärsmässig verksamhet inte per se är undantagna och talar för att de kriterier som EUdomstolen utvecklade i det s.k. konfirmandlärarmålet fortfarande är giltiga.17 Således gäller förordningen för sådan behandling av personuppgifter som består i att de offentliggörs på Internet och därmed blir åtkomliga för ett obestämt antal personer.18 Det finns inga indikationer på att den europeiska lagstiftaren har haft för avsikt att ändra något på dataskyddets tillämpningsområde i detta avseende.19 Även om aktivitet i sociala medier är undantagen, exempelvis den som sker i stängda grupper, är dataskyddsförordningen ändå tilllämplig på personuppgiftsansvariga eller -biträden som tillhandahåller utrustning för sådan aktivitet, se förtydligandet i skäl 18, sista meningen.

15 Definitionerna av vad som utgör en ”personuppgift” och vad som utgör en ”behandling” är i princip oförändrade, jfr artikel 4 nr 1 och 2 samt skälen 26–30 i dataskyddsförordningen. 16 Enligt 1 kap. 2 § i förslaget på en ny dataskyddslag (prop. 2017/18:105) ska dataskyddsförordningen emellertid få en utvidgad tillämpning i Sverige. 17 På samma sätt Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 66 f. 18 Jfr EU-domstolens dom den 2003-11-06 i mål C-101/01 (Bodil Lindqvist), punkt 47. 19 Schantz, Die Datenschutz-Grundverordnung — Beginn einer neuen Zeitrechnung im Datenschutzrecht, Neue Juristische Wochenschrift (NJW) 2016, s. 1842, 1843.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 245 3.2 Territoriellt tillämpningsområde
Lite mer spektakulära än bestämmelserna om det materiella tillämpningsområdet är reglerna om dataskyddsförordningens territoriella tillämpningsområde. Enligt artikel 3.1 ska förordningen tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. På så sätt knyter förordningen an till direktiv 95/46/EG och den s.k. etableringslandsprincipen. En ”etablering” i den bemärkelsen är enligt skäl 22 i förordningen ett verksamhetsställe som innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Definitionen utesluter sålunda skalbolag eller den rena driften av servrar med fjärråtkomst.20 Etableringens juridiska status som filial eller dotterbolag är dock sekundär, se skäl 22, sista meningen. Avgörande för tillämpningen av etableringslandsprincipen bör normalt vara huruvida behandlingen sker ”inom ramen för etableringens verksamhet”. Oklart vid denna tidpunkt är om detta krav på hänförbarhet ska tolkas på samma sätt som EU-domstolen gjorde mot bakgrund av direktiv 95/46/EG. I Google
Spain-målet konstaterade EU-domstolen att den behandling av personuppgifter som utförs av en sökmotor som har sitt säte i tredjeland, men har ett etableringsställe i EU, sker inom ramen för detta etableringsställe om det har till syfte att marknadsföra och sälja reklamutrymme, vilket avser att göra den tjänst som erbjuds av sökmotorn lönsam.21 På grund av den nya bestämmelsen i artikel 3.2 i dataskyddsförordningen är en sådan extensiv tolkning inte övertygande längre, då den är svårförenlig med ordalydelsen. Det kan därför inte uteslutas att kravet på hänförbarhet kommer att tolkas mer restriktivt mot bakgrund av dataskyddsförordningen.
    Den egentliga nyheten innehåller den just nämnda bestämmelsen i artikel 3.2, med vilken den s.k. effektlandsprincipen etableras på dataskyddsområdet. Enligt artikel 3.2 a ska förordningen tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen. Fastän de stora utländska Internetföretagen inte skulle anses behandla personuppgifter inom ramen för en etablering inom EU kommer artikel 3.2 förmodligen gälla för de flesta, då tjänster — enligt artikel 3.2 a — omfattas om de inte kräver betalning, såsom sökmotorer och sociala medier. Vid bedömningen av om ett utbjudande av varor eller tjänster sker till registrerade i un-

20 Jfr Ennöckl i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 3, punkt 7. Se även EU-domstolens dom den 2015-10-01 i mål C-230/14 (Weltimmo), punkt 29. 21 EU-domstolens dom den 2014-05-13 i mål C-131/12, punkt 55.

246 Hajo Michael Holtz SvJT 2018 ionen kan man sannolikt använda sig av de kriterier som EUdomstolen har utvecklat i samband med reglerna om jurisdiktion och lagval och frågan när näringsverksamhet riktas till en viss medlemsstat.22 Förutom detta kommer dataskyddsförordningen enligt artikel 3.2 b gälla alla företag som övervakar beteenden av registrerade i EU så länge beteendet sker inom unionen, vilket bör avse alla former av spårning på Internet, jfr skäl 24 i dataskyddsförordningen. En olöst fråga i skrivande stund är om artikel 3.2 kan tillämpas när ett företag har en etablering i EU, men som inte behandlar uppgifter inom ramen för dess verksamhet i enlighet med artikel 3.1. Argumentum a fortiori bör artikel 3.2 i ett sådant fall vara tillämplig, förutsatt att dess övriga rekvisit är uppfyllda.23 Kombinationen av etableringslands- och effektlandsprincipen är en självsäker signal till tredjeländer och innebär att dataskyddsförordningen behöver respekteras långt utanför EU:s gränser.24 Huruvida detta vidsträckta territoriella tillämpningsområde kommer att vara associerat med faktiska verkställighetsproblem återstår att se.25 Mer realistiska problem i fråga om det territoriella tillämpningsområdet skapar i stället förordningens många öppningsklausuler, nämligen för de fall medlemsstaterna utnyttjar dessa klausuler på olika sätt. I detta avseende handlar problemet om vilket lands kompletterande lagstiftning som ska vara tillämplig, exempelvis när medlemsstater enligt artikel 8.1 i förordningen föreskriver olika åldrar vid vilka barn själva får samtycka till en behandling av deras personuppgifter. Det är bara att konstatera att dataskyddsförordningen inte reglerar denna viktiga fråga och att det således är upp till varje nationell lagstiftare att bestämma när dess kompletterande lagstiftning ska tillämpas. För närvarande är det oklart huruvida medlemsstaterna kommer att koordinera tillämpningsområdena av sina nationella dataskyddslagar och vilket kriterium som kommer att vara avgörande. Rent teoretiskt aktualiseras flera anknytningskriterier, såsom var den ansvarige har sitt huvudsakliga verksamhetsställe (jfr med artikel 56.1), var inom EU behandlingen utförs eller var den registre-

22 Se artikel 17.1 c i förordning (EU) nr 1215/2012 och artikel 6.1 b i förordning (EG) nr 593/2008 samt tillhörande rättspraxis. Ungefär samma kriterier nämns nämligen i skäl 23 i dataskyddsförordningen. 23 Annars finns det en lucka i artikel 3 i dataskyddsförordningen, se Piltz i Gola (red.), Datenschutz-Grundverordnung – Kommentar (2017), artikel 3, punkt 34. 24 Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 69. Principerna kompletteras av en regel i artikel 3.3 som gör dataskyddsförordningen tillämplig utanför EU, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat, se skäl 25. Kritisk till förordningens extraterritoriella verkan är Reichel, The Swedish right to freedom of speech, EU data protection law and the question of territoriality, i Lind et al. (red.), Transparency in the future: Swedish openess 250 years, s. 201, 220 ff. 25 Piltz i Gola (red.), Datenschutz-Grundverordnung — Kommentar (2017), Artikel 3, punkt 26; jfr även Svantesson, Extraterritoriality and targeting in EU data privacy law: The weak spot undermining the regulation, International Data Privacy Law 2015, vol. 5, nr 4, s. 226, 232 f.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 247 rade har sin hemvist.26 Till och med varierande anknytningsprinciper är tänkbara. Bara antalet öppningsklausuler i sig skapar förutsättningarna för ett splittrat och eventuellt kolliderande dataskydd inom EU. Som en ytterligare konsekvens skulle problem kunna aktualiseras såsom ”race to the bottom”27 eller en omvänd diskriminering av inhemska personuppgiftsansvariga eller -biträden. Därutöver tillkommer den oklara frågan huruvida parter i ett avtal skulle kunna komma överens om tillämplig nationell dataskyddslagstiftning genom lagval.28 I fråga om tillämpligheten av kompletterande, nationell lagstiftning kommer en samordning mellan medlemsstaterna vara absolut essentiellt för att förhindra ett kaotiskt rättsläge.29 3.3 Förhållandet till yttrandefriheten
En annan fråga som berör dataskyddsförordningens tillämpningsområde gäller dess förhållande till yttrande- och informationsfriheten. Enligt artikel 85.1 ska medlemsstaterna i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 föreskriva om det behövs undantag eller avvikelser från i artikeln angivna delar av förordningens bestämmelser. I så fall ska medlemsstaterna underrätta Europeiska kommissionen om detta. Artikel 85 innehåller följaktligen ett konkret lagstiftningsuppdrag. Jämfört med artikel 9 i direktiv 95/46/EG omfattar artikel 85 behandlingar för akademiska ändamål samt behandlingar som också har andra än de nämnda priviligierade syftena.30 Tolkningsproblem kan i detta sammanhang uppstå angående förhållandet mellan artikel 85.1 och artikel 85.2. Det framgår inte riktigt av ordalydelsen av artikel 85.1 om den bestämmelsen ska tolkas som en självständig och allmän öppningsklausul avseende yttrandefriheten eller om enbart den mer konkreta bestämmelsen i artikel 85.2 ger medlemsstaterna ett handlingsutrymme.31 Den sistnämnda tolkning-

26 Enligt 1 kap. 5 § i förslaget på en ny dataskyddslag (prop. 2017/18:105) ska den svenska lagen gälla för personuppgiftsbehandlingar som utförs inom ramen för verksamhet som bedrivs vid verksamhetsställen i Sverige. Vid ett barns samtycke ska det avgörande däremot vara huruvida barnet bor i Sverige. 27 Medlemsstaterna skulle kunna använda kraven i lagen som ett sätt att konkurrera med varandra om företag inom EU som söker sig dit där kraven är lägst. 28 Se för frågan om lagval Piltz i Gola (red.), Datenschutz-Grundverordnung — Kommentar (2017), Artikel 3, punkt 38 ff., men mycket tveksamt. 29 Om medlemsstaterna tillämpar olika anknytningskriterier kan situationer uppstå där olika regler gäller till och med inom en och samma medlemsstat i EU. 30 Se ordet ”uteslutande” i dataskyddsdirektivet som saknas i förordningen. Samtidigt använder skäl 153 i förordningen ordet ”enbart” som dock kan tolkas som att relatera till situationer där undantag i stället för avvikelser bör vara lämpliga. 31 Den förstnämnda tolkningen görs av regeringen, se 1 kap. 7 § första stycket i förslaget på en ny dataskyddslag (prop. 2017/18:105). En annan åsikt har Pötters i Gola (red.), Datenschutz-Grundverordnung — Kommentar (2017), artikel 85, punkt 5.

248 Hajo Michael Holtz SvJT 2018 en skulle innebära att nationella undantag eller avvikelser från förordningen uteslutande är tillåtna för behandlingar som sker i de nämnda priviligierade syftena, men inte behandlingar i andra syften, även om de täcks av yttrandefriheten, se ordet ”inbegripet” i artikel 85.1. Vid en sådan tolkning skulle ett generellt undantag för behandlingar som täcks av yttrandefriheten och som är oberoende av de priviligierade syftena strida mot dataskyddsförordningen. Då en behandling av personuppgifter traditionellt sker i relativt stor omfattning inom det grundlagsskyddade medieområdet är det inte givet att den europeiska lagstiftaren faktiskt avsåg undanta detta område helt från dataskyddsförordningen genom ett generellt privilegium.32 Ett ytterligare argument mot en tolkning som innebär att artikel 85.1 utgör ett allmänt undantag för behandlingar som skyddas av yttrandefriheten kan utläsas av artikel 85.3, som endast kräver en anmälan till Europeiska kommissionen för nationella bestämmelser som har antagits i enlighet med artikel 85.2, men inte i enlighet med artikel 85.1.33 Från ett svenskt perspektiv skulle en sådan tolkning betyda att personuppgiftsbehandlingar som utnyttjar grundlagsskydd ändå omfattades av dataskyddsförordningen, såvitt dessa inte sker för journalistiska ändamål i enlighet med artikel 85.2.34 4 Laglig behandling av personuppgifter
Den centrala frågan, huruvida en behandling av personuppgifter är laglig enligt dataskyddsförordningen, regleras framför allt i artiklarna 5 och 6, som i sin tur bygger vidare på reglerna i direktiv 95/46/EG. Trots benämningen ”principer” innehåller artikel 5 grundläggande krav som gäller kumulativt tillsammans med laglighetsgrunderna i artikel 6.35 Skillnaden är att artikel 6 i dataskyddsförordningen avser frågan ”om” en behandling av personuppgifter får ske, medan artikel 5 handlar om frågan ”hur” en sådan behandling får ske om den är laglig.36 I detta sammanhang utgör principen om laglighet i artikel 5.1 a en hänvisning till de rättsliga grunderna i artikel 6.1.37 Vid sidan av att vara grundläggande krav fyller principerna i artikel 5 också funktionen som allmänna riktlinjer vid tolkningen

32 Jfr Pötters i Gola (red.), Datenschutz-Grundverordnung — Kommentar (2017), artikel 85, punkt 4 f. Även Datainspektionen är kritisk till en tolkning som innebär ett generellt undantag för yttrandefriheten, se remissyttrande 30 om SOU 2017:39, 2017-09-04, diarienr 1210-2017, s. 4. 33 Å andra sidan skulle artikel 85.1 i så fall inte fylla någon självständig funktion. 34 Den slutsatsen skulle innebära ett förändrat rättsläge för databaser med ett frivilligt utgivningsbevis, men utan journalistiska ändamål. Prop. 2017/18:49 om ändrade mediegrundlagar, s. 142 ff., föreslår i varje fall en begränsning av grundlagsskyddet för vissa av sådana databaser. 35 Jfr prop. 2017/18:105 s. 48. 36 Reimer i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 5, punkt1 och artikel 6, punkt 1. 37 Prop. 2017/18:105 s. 47. Denna tolkning bekräftas av skäl 40 i dataskyddsförordningen. En annan åsikt har Grahn/Kjällström, Anställdas integritetsskydd och dataskyddsförordningen (2017), s. 105. Observera att ordet ”korrekt” i artikel 5.1 a är att tolka som ”i enlighet med god tro”, se prop. 2017/18:105 s. 47.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 249 och tillämpningen av de andra, mer detaljerade reglerna i förordningen.38 Vad som troligtvis kommer att få praktiskt stor betydelse är tillämpningen av reglerna kring samtycke, intresseavvägningen samt en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in.39 4.1 Samtycke
Samtycke utgör en laglighetsgrund enligt artikel 6.1 a i förordningen och definieras av artikel 4 nr 11 som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandlingen. Entydiga bekräftande handlingar kan enligt skäl 32 inbegripa att en ruta kryssas i vid besök på en Internetsida eller genom val av inställningsalternativ i en webbläsare, däremot inte tystnad, på förhand ikryssade rutor eller inaktivitet. I den digitala miljön krävs således ”opt-in”-lösningar som en bekräftande handling i dataskyddsförordningens mening, vilket samtidigt utesluter ”opt-out”-lösningar. Bevisbördan för existensen av ett samtycke har den personuppgiftsansvarige, se artikel 7.1 i förordningen.40 Tjänar en behandling flera olika ändamål bör separata samtycken ges för varje ändamål, se skäl 32, femte meningen. Ingår ett samtycke i ett mer omfattande avtal ska detta enligt artikel 7.2 tydligt särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om samtyckesförklaringen är i förväg formulerad får den inte innehålla oskäliga klausuler i den mening som avses i direktiv 93/13/EEG, se skäl 42. Standardförklaringar om samtycke kan alltså bli föremål för en skälighetsprövning i enlighet med lagen om avtalsvillkor i konsumentförhållanden. I dessa avseenden skapar förordningen en viss överlappning mellan dataskydd och konsumentskydd.41 Huruvida förklaringar om samtycke juridiskt kan karaktäriseras som en ”rättshandling” i förmögenhetsrättslig bemärkelse eller endast som en faktisk handling verkar vara oklart.42 Frågan kan ha betydelse för tillämpligheten av avtalslagen och för den registrerades rättshandlingsförmåga. Utan

38 På samma sätt Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 50. 39 Avseende artikel 6.1 c (rättslig förpliktelse) och artikel 6.1 e (allmänt intresse samt myndighetsutövning) görs en utförlig analys i SOU 2017:39 s. 108 ff. Enligt skäl 45 i dataskyddsförordningen utgör båda bokstäverna inte självständiga laglighetsgrunder, utan dessa är beroende av att det finns en grund för behandlingen i unionsrätten eller i en medlemsstats nationella rätt. 40 Av den anledningen bör ett samtycke dokumenteras. Dataskyddsförordningen innehåller dock inga regler om hur dokumentationen bör ske. 41 Jfr Schantz, Die Datenschutz-Grundverordnung — Beginn einer neuen Zeitrechnung im Datenschutzrecht, Neue Juristische Wochenschrift (NJW) 2016, s. 1842, 1844. Hanteringen av personuppgifter kan generellt också ses som en konsumenträttighetsfråga, se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 12. 42 Frågan är omdiskuterad i Tyskland, se Schulz i Gola (red.), DatenschutzGrundverordnung — Kommentar (2017), artikel 7, punkt 8.

250 Hajo Michael Holtz SvJT 2018 hänsyn till allmän avtalsrätt i medlemsstaterna reglerar själva dataskyddsförordningen, numera i artikel 8, att ett barn kan samtycka till en behandling av dess personuppgifter om det är minst 16 år. Medlemsstaterna får dock sänka denna gräns till lägst 13 år.43 Enligt artikel 7.3 i förordningen kan ett samtycke när som helst återkallas med verkan ex nunc (för framtiden).
    Av stor praktisk betydelse kommer förmodligen kravet på att samtycke ska lämnas frivilligt att bli. Enligt artikel 7.4 i förordningen ska vid denna bedömning största hänsyn tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet. Denna bestämmelse ger uttryck för ett s.k. kopplingsförbud och kan potentiellt påverka samtliga ”gratis”-tjänster på Internet avsevärt, eftersom användarna av sådana tjänster idag betalar med sina personuppgifter som just används för ändamål som inte är nödvändiga för genomförandet av själva tjänsten.44 Om behandlingen av uppgifterna inte är nödvändig för själva tjänsten kommer som laglighetsgrund inte heller artikel 6.1 b i fråga (behandling för att fullgöra ett avtal). Enligt skäl 42 i förordningen krävs för frivillighet att användarna har någon genuin eller fri valmöjlighet och utan problem kan vägra sitt samtycke. Detta krav kan sannolikt uppfyllas endast om sådana tjänster erbjuder användarna riktiga valmöjligheter, exempelvis valet mellan ett gratis- och ett betalalternativ.45 Skäl 43 i förordningen nämner dessutom att frivillighet kan saknas i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. En betydande ojämlikhet kan även uppkomma vid anställningsförhållanden och kan då medföra att behandlingar inom det arbetsrättsliga området inte kan stödjas på samtycke. Här kan artikel 6.1 b, c eller f i förordningen i stället komma i fråga som laglighetsgrunder.46

4.2 Intresseavvägning
Enligt artikel 6.1 f i dataskyddsförordningen är en behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger

43 Regeringen föreslår att Sverige ska sänka gränsen till 13 år, se 2 kap. 4 § i förslaget på en ny dataskyddslag (prop. 2017/18:105). En 13-årsgräns har kritiserats av bl.a. Datainspektionen, se remissyttrande 30 om SOU 2017:39, 2017-09-04, diarienr 1210-2017, s. 9 f. och den Europeiska ekonomiska och sociala kommittén, se 2012/C 229/17, punkt 4.19.1. 44 Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 71 f. Jfr även Voigt/von dem Bussche, The General Data Protection Regulation: GDPR — A practical guide (2017), s. 96. Kritisk till detta ställer sig Schantz, Die Datenschutz-Grundverordnung — Beginn einer neuen Zeitrechnung im Datenschutzrecht, Neue Juristische Wochenschrift (NJW) 2016, s. 1842, 1845. 45 Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 72. 46 Se artikel 29-gruppen, Opinion 2/2017 on data processing at work, WP 249.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 251 tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Redan i enlighet med direktiv 95/46/EG har intresseavvägningen som laglighetsgrund visat sig vara av praktiskt stor betydelse i de fall som inte redan omfattades av en av de andra laglighetsgrunderna. Intresseavvägningen kommer även enligt dataskyddsförordningen att anta formen av generalklausul, men med skillnaden att myndigheter i princip inte längre kan stödja sin behandling på en sådan avvägning, se artikel 6.1, sista meningen.47 En annan skillnad är att dataskyddsförordningen i skälen 47–49 numera innehåller delvis ny information om hur en intresseavvägning ska göras, vilka intressen som ska vara relevanta och vilka omständigheter som kan få betydelse.
    Enligt skäl 47 kan ett berättigat intresse finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. vid kundrelationer eller när den registrerade arbetar för den personuppgiftsansvarige. Ytterligare berättigade intressen kan enligt skäl 47 vara direktmarknadsföring samt att förhindra bedrägerier. Skäl 48 nämner dessutom möjligheten att kunna stödja vissa personuppgiftsbehandlingar inom en koncern på intresseavvägningen.48 Därtill diskuteras i skäl 49 berättigade intressen i samband med nödvändiga och proportionella behandlingar för att säkerställa nät- och informationssäkerhet, exempelvis som följd av olika typer av hackerattacker. Vid bedömningen av om ett berättigat intresse föreligger ska, enligt skäl 47 tredje meningen, alla omständigheter i det enskilda fallet övervägas, inbegripet — och detta är något av en nyhet i förordningen — den registrerades rimliga förväntningar vid tidpunkten för inhämtandet. Huruvida ”rimliga förväntningar” kommer att tolkas som ett generellt kriterium inom intresseavvägningen eller endast som en relevant omständighet vid ett förhållande mellan den registrerade och den personuppgiftsansvarige, som ordalydelsen antyder, återstår att se.49 Kriteriet skulle dock mycket väl kunna tillämpas generellt, bl.a. vid behandlingar i ostrukturerat material som i Sverige hittills bedömdes i enlighet med 5 a § i

47 Enligt prop. 2017/18:105 s. 46 utgör denna omständighet den största skillnaden mellan direktivets och förordningens laglighetsgrunder. När myndigheter uppträder som privata rättssubjekt bör en intresseavvägning däremot kunna bli aktuell, jfr Datainspektionen, remissyttrande 30 om SOU 2017:39, 2017-09-04, diarienr 1210-2017, s. 8 f. samt Grahn/Kjällström, Anställdas integritetsskydd och dataskyddsförordningen (2017), s. 98. 48 Dataskyddsförordningen innehåller endast enstaka regler om behandlingar inom en koncern, t.ex. artikel 37.2 eller i artikel 47. Behandlingar respektive överföringar inom en koncern måste således följa samtliga regler i förordningen. 49 Rimliga förväntningar eller ”reasonable expectations” är ett koncept inom Common
Law. I dataskyddsförordningens kontext kan konceptet vara ett uttryck för öppenhetsprincipen enligt artikel 5.1 a. Rimliga förväntningar förekommer dessutom i samband med en ändamålsändring enligt artikel 6.4, se skäl 50, första stycket, sista meningen.

252 Hajo Michael Holtz SvJT 2018 personuppgiftslagen (den s.k. missbruksregeln).50 Som exempel skulle då publiceringar av personuppgifter på Internet som rimligen kan förväntas vara tillåtna. I övrigt kan redan utifrån själva ordalydelsen i artikel 6.1 f i dataskyddsförordningen konstateras att den ansvariges intressen behöver vara ”berättigade”, inte ”legitima”, samt att den registrerades intressen behöver ”överväga”, vilket betyder att en behandling är tillåten om intressena väger lika (att jämföra med in dubio pro libertate).
    Grundar sig en behandling på en intresseavvägning har den registrerade, enligt artikel 21.1 första meningen, rätt att när som helst invända mot behandlingen. I den digitala miljön får den registrerade utöva sin rätt att göra invändningar på ett automatiserat sätt med användning av tekniska specifikationer, se artikel 21.5, bl.a. med hjälp av spårningsskyddsfunktioner i en webbläsare. Den personuppgiftsansvarige får enligt artikel 21.1 andra meningen inte längre behandla personuppgifterna efter en invändning såvida denne inte kan påvisa tvingande, berättigade och övervägande skäl för en fortsatt behandling.51 Den generella möjligheten att invända mot behandlingen kommer i praktiken medföra att intresseavvägningen blir mindre attraktiv samtidigt som samtycket stärks som laglighetsgrund jämfört med dataskyddsdirektivet.52 4.3 Vidarebehandling
En annan relevant fråga är om en behandling är tillåten för andra ändamål än det ändamål för vilket personuppgifterna samlades in, s.k. vidarebehandling eller ändamålsändring. Problemet kan bl.a. uppkomma i samband med stora datamängder, marknadsföring, forskning eller statistik. Utgångspunkten är den grundläggande principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen som säger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.53 Denna princip kompletteras sedan av artikel 6.4 som tillåter en vidarebehandling, oavsett kompatibilitet, i tre särskilda fall, nämligen om behandlingen antingen grundar sig på den registrerades samtycke, på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. I dessa fall är en vidarebehandling tilllåten även för oförenliga ändamål.

50 Missbruksregeln kommer sannolikt att ersättas av intresseavvägningen enligt artikel 6.1 f i kombination med de riskbaserade skyldigheterna i kapitel IV i dataskyddsförordningen. 51 Alternativt får behandlingen fortsätta om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Vid en invändning mot direktmarknadsföring ska dock en behandling i varje fall inte längre ske för sådana ändamål, se artikel 21.3 i dataskyddsförordningen, vilket motsvarar dataskyddsdirektivet. 52 Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 75. 53 Också kallad finalitetsprincipen.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 253 I andra fall är den personuppgiftsansvarige skyldig att fastställa huruvida en behandling för andra ändamål skulle vara förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in, det s.k. kompatibilitetstestet. Vid denna bedömning ska den personuppgiftsansvarige beakta olika kriterier som listas i artikel 6.4 i dataskyddsförordningen, bl.a. kopplingarna mellan de ursprungliga ändamålen och ändamålen med den avsedda ytterligare behandlingen eller det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar, jfr skäl 50, första stycket, sista meningen. Kompatibiliteten presumeras emellertid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, se artikel 5.1 b, andra meningen. I de sistnämnda fallen behöver alltså kompatibilitetstestet inte prövas. En aspekt i detta sammanhang som sannolikt kommer att ge upphov till diskussioner är frågan huruvida en ytterligare behandling, utöver kompatibilitetstestet, kräver en egen laglighetsgrund eller inte. Detta framgår inte direkt av artikel 6.4, samtidigt som skäl 50, första stycket, andra meningen, lyder: ”I dessa [kompatibla] fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs”. Vissa argumenterar, med hänvisning till ordalydelsen i den meningen, för att en kompatibel vidarebehandling inte skulle kräva en egen laglighetsgrund.54 Andra menar att den meningen måste betraktas som ett redaktionellt misstag.55 Om en vidarebehandling i sig inte skulle kräva en egen laglighetsgrund skulle detta vara svårförenligt med laglighetsprincipen i artikel 5.1 a, enligt vilken varje behandling kräver att åtminstone ett av villkoren i artikel 6.1 är uppfyllt.56 Mot den bakgrunden kan ordalydelsen i skäl 50 också förstås så att en vidarebehandling skulle kunna grundas på samma laglighetsgrund som den ursprungliga behandlingen, se ordet ”separat”, eller på en annan rättslig grund, såvitt ändamålen för de olika behandlingarna är förenliga med varandra. Artikel 6.4 i dataskyddsförordningen bör därför tolkas så att en vidarebehandling av personuppgifter, fastän det nya ändamålet är förenligt

54 Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2016, s. 448, 451; Voigt/von dem Bussche, The General Data Protection Regulation: GDPR — A practical guide (2017), s. 109 f.; jfr även prop. 2017/18:105 s. 123. 55 Schantz, Die Datenschutz-Grundverordnung — Beginn einer neuen Zeitrechnung im Datenschutzrecht, Neue Juristische Wochenschrift (NJW) 2016, s. 1842, 1844. 56 Vid en annan tolkning skulle den ytterligare behandlingen redan vara olaglig enligt artikel 6.1, se Reimer i Sydow (red.), Europäische Datenschutzgrundverordnung – Handkommentar (2017), artikel 6, punkt 69. Å andra sidan skulle kunna argumenteras för att en vidarebehandling efter kompatibilitetstestet omfattades av den ursprungliga behandlingens laglighetsgrund.

254 Hajo Michael Holtz SvJT 2018 med det ursprungliga, kräver en egen, men inte nödvändigtvis en annan, rättslig grund för behandlingen.57 Är den ytterligare behandlingen kompatibel och laglig enligt dataskyddsförordningen måste den personuppgiftsansvarige likväl informera den registrerade om detta andra syfte innan behandlingen utförs, se artikel 13.3 samt artikel 14.4.

5 Den registrerades rättigheter
Den registrerades rättigheter regleras i artiklarna 12–23 i dataskyddsförordningen (kapitel III), där artikel 12 utgör en portalparagraf och artikel 23 ger medlemsstaterna en möjlighet att begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i detta kapitel.58 I stora delar, dock inte alla, bygger dataskyddsförordningen i detta avseende vidare på dataskyddsdirektivets bestämmelser.

5.1 Rätt till dataportabilitet
En av de största nyheterna i kapitel III i dataskyddsförordningen utgör rätten till dataportabilitet enligt artikel 20. Enligt skäl 68, första meningen, är syftet med den rättigheten att ytterligare förbättra den registrerades kontroll över dess personuppgifter. Som tidigare nämnts kan rätten till dataportabilitet därutöver förstås mot bakgrund av det fria flödet av personuppgifter, då portabla personuppgifter är enklare att överföra. För att kunna möjliggöra dataportabilitet krävs i praktiken att kompatibla format utvecklas, vilket kommer att främja konkurrensen mellan de personuppgiftsansvariga.59 Artikel 20 i dataskyddsförordningen beskrivs av den anledningen ofta som att vara mest av konkurrensrättslig karaktär.60 Man skulle till och med kunna gå så långt som att hävda att rätten till dataportabilitet indirekt syftar till kommodifieringen av personuppgifter. Personuppgifter har blivit en handelsvara som säljs och köps och dessutom i växande grad används som betalningsmedel på Internet.61 Rätten till dataportabilitet kommer möjligen öka de registrerades aktivitet i handeln med sina egna personuppgifter.
    Rätten till dataportabilitet enligt artikel 20 innebär att kunna få ut de personuppgifter som rör en själv och som man har tillhandahållit den personuppgiftsansvarige i ett visst format så att dessa kan överfö-

57 På samma sätt artikel 29-gruppen, Opinion 03/2013 on purpose limitation, WP 203, s. 37. Jfr även Grahn/Kjällström, Anställdas integritetsskydd och dataskyddsförordningen (2017), s. 116 f. 58 Artikel 23 omfattar också artikel 34 samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. 59 Jfr Rådets motivering: Rådets ståndpunkt (EU) nr 6/2016, punkt 4.7 och skäl 68, andra meningen i dataskyddsförordningen. 60 Jfr t.ex. Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2016, s. 448, 450. 61 Se utförligt Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 255 ras till en annan personuppgiftsansvarig.62 Rättigheten är tillämplig då behandlingen grundar sig på samtycke eller är nödvändig för att ett avtal ska kunna genomföras, inte om behandlingen utgår från en annan rättslig grund, se skäl 68. Artikel 20 omfattar endast data som har aktivt och medvetet tillhandahållits av den registrerade, till exempel adress, användarnamn och ålder, men skulle även kunna gälla data som indirekt har tillhandahållits genom användningen av en tjänst eller enhet, till exempel sökhistorik, trafikdata och platsdata.63 Vid en sådan extensiv tolkning av ”personuppgifter som den registrerade har tillhandahållit” omfattas alltså s.k. metadata,64 vilket i praktiken sannolikt skulle leda till vissa tillämpningsproblem. Data som den personuppgiftsansvarige däremot själv skapar av eller härleder från tillhandahållna personuppgifter, såsom beräkningar, bedömningar eller kategoriseringar, innefattas inte av rätten till dataportabilitet.65 Som artikel 20.4 slutligen konstaterar får rätten till dataportabilitet inte inverka menligt på andras rättigheter eller friheter. I detta avseende skulle eventuella konflikter kunna uppstå exempelvis i förhållande till affärshemligheter eller immateriella rättigheter, särskilt upphovsrätt till datorprogram.66 5.2 Övriga anmärkningsvärda rättigheter
Enligt den allmänna bestämmelsen i artikel 12 ska den personuppgiftsansvarige generellt vidta lämpliga åtgärder för att tillhandahålla information (artikel 12.1), underlätta utövandet av den registrerades rättigheter (artikel 12.2) samt reagera på en begäran utan onödigt dröjsmål eller senast efter en månad (artikel 12.3 och 12.4). Dessutom ska utlämnandet av information samt utövandet av den registrerades rättigheter som grundregel ske kostnadsfritt (artikel 12.5). Sedan följer närmare bestämmelser om den personuppgiftsansvariges informationsskyldighet, respektive den registrerades rätt till information, som skiljer mellan situationer där personuppgifter samlas in från den registrerade själv (artikel 13) och situationer där personuppgifter samlas in från en annan källa (artikel 14). Informationsskyldigheten enligt dataskyddsförordningen är relativt omfattande och inbegriper bl.a. en upplysning om den personuppgiftsansvariges berättigade intressen vid en intresseavvägning enligt artikel 6.1 f, om de mottagare som ska ta del av personuppgifterna i förekommande

62 Rätten omfattar därtill en direkt överföring från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt, se artikel 20.2 i dataskyddsförordningen. 63 Artikel 29-gruppen, Guidelines on the right to data portability, WP 242 rev.01, s. 10. 64 Se explicit artikel 29-gruppen, Guidelines on the right to data portability, WP 242 rev.01, s. 18. 65 Jfr artikel 29-gruppen, Guidelines on the right to data portability, WP 242 rev.01, s. 11. 66 Jfr skäl 63, femte meningen, i fråga om rätten att få tillgång till personuppgifter.

256 Hajo Michael Holtz SvJT 2018 fall, om rätten att när som helst återkalla ett samtycke eller om rätten att inge klagomål till tillsynsmyndigheten.
    Vidare kan nämnas den registrerades rätt till radering eller ”rätten att bli bortglömd” som EU-domstolen redan mot bakgrund av dataskyddsdirektivet hade utvecklat i Google Spain-målet och som nu är kodifierad i artikel 17. Denna rättighet är enligt skäl 65 särskilt relevant på Internet när man som barn har samtyckt till en behandling och senare som vuxen vill ta bort personuppgifter, exempelvis från sociala medier. Anmärkningsvärt är också artikel 22 som handlar om automatiserat individuellt beslutsfattande, inbegripet profilering.67 Profilering är enligt artikel 4 nr 4 i dataskyddsförordningen varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper, t.ex. personens ekonomiska situation. Artikel 22 betecknas formellt som en rättighet, men bestämmelsen är snarare utformad som ett förbud. Påfallande är att dataskyddsförordningen verkar tilllåta geografisk profilering i samband med automatiserat beslutsfattande, alltså en bedömning utifrån den registrerades adress, eftersom denna uppgift inte utgör en känslig personuppgift i enlighet med artikel 9.1, se artikel 22.4, om inte den nationella lagstiftaren skapar ett undantag enligt artikel 23.68 6 Skyldigheter för den personuppgiftsansvarige
I enlighet med den grundläggande principen om ansvarsskyldighet enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att de övriga principerna i artikel 5.1 efterlevs. De konkreta skyldigheterna regleras närmare i artiklarna 24–43 (kapitel IV), inklusive några bestämmelser om uppförandekoder och certifiering. Kapitel IV innehåller relativt många föreskrifter som i den utformningen kan anses som innovationer i dataskyddsförordningen.

6.1 Personuppgiftsincidenter
En av nyheterna är konceptet ”personuppgiftsincident”. Vid en sådan incident ska den personuppgiftsansvarige enligt artikel 33.1 utan onödigt dröjsmål, eller senast 72 timmar efter att ha fått vetskap om den, anmäla incidenten till tillsynsmyndigheten såvida det inte är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige dessutom enligt artikel 34.1 utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

67 Se utförligt om automatiserat beslutsfattande och profilering artikel 29gruppen, Guidelines on automated individual decision-making and profiling, WP 251. 68 Geografisk profilering kan ifrågasättas i ljuset av den ökande segregeringen i samhället. Till exempel, beräkningen av ett sannolikhetsvärde som uteslutande bygger på adressdata är än så länge förbjuden i Tyskland.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 257 Här aktualiseras åtminstone två tolkningsfrågor, nämligen vad som utgör en ”personuppgiftsincident” samt när en sådan medför en ”(hög) risk för fysiska personers rättigheter och friheter”. Den personuppgiftsansvariges felaktiga bedömning kan i detta avseende trigga sanktionsavgifter enligt artikel 83.4.
    En ”personuppgiftsincident” definieras enligt artikel 4 nr 12 som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Således omfattas exempelvis olika typer av hackerattacker, stöld eller förstöring av hårdvara, på vilken personuppgifter finns lagrade, men borde även innefatta fall när personal överskrider sina interna behörigheter.69 Vad som kan vara en ”risk för fysiska personers rättigheter och friheter” beskrivs närmare i skäl 85, nämligen en fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller en annan ekonomisk eller social nackdel. När en sådan risk är ”hög” i den mening som avses i artikel 34 får visa sig i praktiken,70 men artikel 34.3 innehåller i vilket fall undantag från skyldigheten att informera den registrerade om en personuppgiftsincident, bl.a. när åtgärder har vidtagits som säkerställer att en skada sannolikt inte kommer att uppstå, såsom kryptering.

6.2 Konsekvensbedömning avseende dataskydd
Ett annat nytt koncept som introduceras med dataskyddsförordningen är ”konsekvensbedömning avseende dataskydd” enligt artikel 35. Nyhetsvärdet kommer bl.a. leda till frågorna när en sådan bedömning krävs, hur den ska genomföras och vilken betydelse den har. Syftet med konsekvensbedömningen är enligt skäl 89 att ersätta den allmänna anmälningsskyldigheten som följde av direktiv 95/46/EG och som uppfattades som ineffektiv. En konsekvensbedömning krävs enligt artikel 35.1 om den, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Enligt artikel 35.3 ska en konsekvensbedömning framför allt krävas vid storskalig uppgiftsbehandling i samband med profilering som leder till beslut med rättsliga följder för fysiska personer, vid

69 En personuppgiftsincident kan samtidigt innebära dataintrång i enlighet med 4 kap. 9 c § brottsbalken. Konkreta exempel på personuppgiftsincidenter kan hämtas från artikel 29-gruppen, Opinion 03/2014 on personal data breach notification, WP 213. 70 Förmodligen kommer det krävas en bedömning i det enskilda fallet av både skadans omfattning och dess sannolikhet, inte enbart omfattningen eller sannolikheten.

258 Hajo Michael Holtz SvJT 2018 storskalig behandling av känsliga personuppgifter och vid en systematisk övervakning av en allmän plats i stor omfattning. Andra situationer där det kan krävas en sådan bedömning är när behandlingens art hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal eller på grund av att behandlingen systematiskt genomförs i stor omfattning, se skäl 91, tredje meningen. Omvänt betyder det att en konsekvensbedömning i andra fall inte är obligatorisk, såsom när personuppgifter från patienter eller klienter behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud, se skäl 91, fjärde meningen. Ytterligare konkreta exempel på när en konsekvensbedömning bör vara obligatorisk och när den inte bör vara det kan hämtas från artikel 29gruppens riktlinje.71 En konsekvensbedömning ska enligt artikel 35.1 genomföras före behandlingen och i enlighet med artikel 35.7 åtminstone innehålla en systematisk beskrivning av behandlingen, en bedömning av behovet och behandlingens proportionalitet, en bedömning av riskerna samt de planerade åtgärderna för att hantera dessa risker.72 Vad gäller konsekvensbedömningens betydelse kan utifrån dataskyddsförordningens systematik konstateras att den inte utgör ett krav för behandlingens laglighet, lika lite som en genomförd konsekvensbedömning kan garantera att behandlingen är laglig.73 Det egentliga syftet med detta nya koncept måste av den anledningen vara att tvinga personuppgiftsansvariga att bli medvetna om riskernas specifika sannolikhetsgrad och allvar samt deras ursprung, för att sedan kunna vidta skyddsåtgärder och mekanismer som ska minska dessa risker, jfr skäl 90. Inte mer och inte mindre. Överträdelser av artikel 35 medför ändå sanktionsavgifter enligt artikel 83.4.

6.3 Övriga anmärkningsvärda skyldigheter
Enligt den allmänna bestämmelsen i artikel 24.1 ska den personuppgiftsansvarige generellt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Sådana åtgärder ska enligt artikel 24.2 omfatta genomförande av lämpliga strategier för dataskydd, om det står i proportion till behandlingen. Vad dataskyddsförordningen avser med ”strategier” framgår inte, men med hänsyn till den engelska språkversionen, vilken talar om ”policies”, kommer ordet sannolikt tolkas som ett krav på en dataskyddspolicy som av dokumentationsskäl bör vara skriftlig.

71 Se Guidelines on data protection impact assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248. 72 Även i fråga om hur en konsekvensbedömning ska genomföras kan artikel 29gruppens riktlinje WP 248 konsulteras för mer information. 73 Jfr Nolte/Werkmeister i Gola (red.), Datenschutz-Grundverordnung — Kommentar (2017), artikel 35, punkt 73.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 259 En ytterligare nyhet är skyldigheten till inbyggt dataskydd och dataskydd som standard. Idén om ”inbyggt dataskydd” betyder enligt artikel 25.1, enkelt uttryckt, att olika IT-system från början ska vara utformade på ett sätt så att den registrerades rättigheter skyddas, exempelvis genom pseudonymisering och uppgiftsminimering. Tanken om ”dataskydd som standard” betyder enligt artikel 25.2 att skyddet av personuppgifter ska vara grundregeln, inte undantaget, vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter eller som behandlar personuppgifter för att uppfylla sitt syfte, se skäl 78, tredje meningen.
    Kapitel IV om personuppgiftsansvaret innehåller dessutom en hel del skyldigheter som på samma sätt gäller för ett personuppgiftsbiträde, såsom att utse en företrädare i EU (artikel 27) eller att föra register (artikel 30.2), och som likaså är sanktionerade enligt artikel 83.4. De allmänna kraven som ställs på behandlingar som utförs av ett biträde på uppdrag av en personuppgiftsansvarig återfinns i artikel 28. Denna bestämmelse ger dock inte direkt svar på frågan huruvida en uppdragsbehandling i sig kräver en egen laglighetsgrund enligt artikel 6.1 i förordningen eller inte.74 Om än en behandling av personuppgifter som utförs av ett biträde utgör en ”behandling” i enlighet med artikel 4 nr 2 kan denna inte anses som en självständig behandling, utan är en del av en och samma behandling av den personuppgiftsansvarige som grundas på en och samma laglighetsgrund, vilket talar emot ett sådant krav.75 Till skillnad från direktiv 95/46/EG reglerar dataskyddsförordningen därutöver i artikel 37 numera en skyldighet att utnämna ett dataskyddsombud. Denna skyldighet gäller dock endast för myndigheter och andra offentliga organ samt när kärnverksamheten består av en behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller när kärnverksamheten består av en behandling av känsliga personuppgifter i stor omfattning. Exempel kan vara en behandling av personuppgifter som ska användas för beteendestyrd annonsering av en sökmotor eller en behandling av patientuppgifter inom ramen för den normala verksamheten av ett sjukhus.76 6.4 Tredjelandsöverföring
Slutligen kan skyldigheten att inte överföra personuppgifter till tredjeländer i strid med dataskyddsförordningen nämnas som regleras i

74 För: Hofmann i Roßnagel (red.), Europäische Datenschutz-Grundverordnung: Vorrang des Unionsrechts — Anwendbarkeit des nationalen Rechts (2017), s. 180; emot: Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 97. 75 På så sätt kan artikel 28 i dataskyddsförordningen förstås som en egen laglighetsgrund för uppdragsbehandlingar. 76 Se artikel 29-gruppen, Guidelines on Data Protection Officers, WP 243, s. 8.

260 Hajo Michael Holtz SvJT 2018 ett eget kapitel (kapitel V, artiklarna 44–50).77 Bestämmelserna i detta kapitel är relativt omfattande och innehåller många, hierarkiskt uppbyggda, möjligheter att lagligt överföra personuppgifter till tredjeländer. Anledningen är att flöden av personuppgifter till och från länder utanför EU är nödvändiga för utvecklingen av internationell handel, se skäl 101. Åtminstone en oklar fråga i detta sammanhang är hur dessa regler förhåller sig till den nya effektlandsprincipen. Rent teoretiskt skulle en tredjelandsöverföring kunna infalla samtidigt som förutsättningarna i artikel 3.2. I så fall skulle hela dataskyddsförordningen vara tillämplig i det tredjelandet, vilket bl.a. skulle göra frågan om en adekvat skyddsnivå obsolet.
    I dataskyddsförordningen är utgångspunkten fortfarande ett krav på att det ska föreligga en adekvat skyddsnivå i det land, dit personuppgifter från EU ska överföras. Det åligger Europeiska kommissionen att bedöma denna fråga i enlighet med artikel 45 och att fatta ett beslut som legaliserar överföringar. Om inte överföringen kan legaliseras genom ett kommissionsbeslut kan den ändå vara laglig om den omfattas av lämpliga skyddsåtgärder enligt artikel 46. Här kan bl.a. nämnas bindande företagsbestämmelser enligt artikel 46.2 b i kombination med närmare bestämmelser i artikel 47 (kräver tillsynsmyndighetens godkännande), standardiserade dataskyddsbestämmelser enligt artikel 46.2 c (antagna av Europeiska kommissionen eller tillsynsmyndigheten) eller ett särskilt tillstånd från tillsynsmyndigheten till avtalsklausuler i den mening som avses i artikel 46.3. Om inte lämpliga åtgärder kan garantera skyddet av personuppgifterna kan en överföring ändå vara laglig i enlighet med undantagen i artikel 49.1, exempelvis på grund av ett samtycke eller en nödvändighet för att tillgodose vissa där närmare angivna intressen. En nyhet i dataskyddsförordningen är att även en intresseavvägning kan legalisera tredjelandsöverföringar, förutsatt att de inte är repetitiva och endast gäller ett begränsat antal registrerade, se artikel 49.1, andra meningen.
    Vad gäller överföringar till USA finns i dag ett regelverk på plats som kallas för Privacy Shield som amerikanska företag kan ansluta sig till. Bakgrunden till detta är EU-domstolens dom från 2015 om att ogiltigförklara Europeiska kommissionens beslut som tidigare legaliserade överföringar på grund av de s.k. Safe Harbor-principerna.78 Med anledning av det nya Privacy Shield-regelverket beslutade den Europeiska kommissionen 2016 på nytt att skyddsnivån i USA skulle vara adekvat.79 Detta beslut fattades utifrån direktiv 95/46/EG, men ska enligt skäl 171, sista meningen, fortsatt vara giltigt. Förmodligen är det bara en tidsfråga innan även detta beslut kommer att utsättas

77 Precis som dataskyddsdirektivet är också dataskyddsförordningen relevant för EES-länderna. Dessa kommer även fortsättningsvis likställas med EU-länderna så snart som förordningen har inkorporerats i EES-avtalet. 78 Se EU-domstolens dom den 2015-10-06 i mål C-362/14 (Schrems). 79 Se genomförandebeslut (EU) 2016/1250 av den 2016-07-12.

SvJT 2018 Den nya allmänna dataskyddsförordningen… 261 för en prövning i EU-domstolen, eftersom det grundläggande problemet med en massiv och godtycklig dataövervakning verkar kvarstå i USA.80 7 Rättsföljder
Stor uppmärksamhet hos personuppgiftsansvariga har dataskyddsförordningens nya sanktionssystem väckt, som tillhandahåller flera olika typer av rättsföljder för överträdelser av förordningens olika föreskrifter (kapitel VIII, artiklarna 77-84). Dessa rättsföljder kan indelas i rättsmedel mot tillsynsmyndigheten (artiklarna 77 och 78), rättsmedel av den registrerade mot den personuppgiftsansvarige (artiklarna 79 och 82), administrativa sanktionsavgifter av tillsynsmyndigheten mot den personuppgiftsansvarige (artikel 83) samt övriga nationella sanktioner, främst av straffrättslig karaktär (artikel 84). Inledningsvis bör nämnas att dessa bestämmelser är att förstå som självständiga anspråk, med undantag av artikel 84, som är oberoende av medlemsstaternas nationella lagstiftning. Den processuella verkställigheten av dessa anspråk sker däremot i enlighet med den nationella processrätten, jfr skäl 143, såvitt dataskyddsförordningen saknar egna processuella regler.81 Om förordningen innehåller processuella bestämmelser är dessa att anse som lex specialis, också i förhållande till andra EU-rättsliga regler, jfr skäl 147. Processuella bestämmelser i förordningen är bl.a. artiklarna 78.3 och 79.2 om domstols behörighet, artikel 80 om företrädande av registrerade samt artikel 81 om vilandeförklaring av förfaranden.

7.1 Den registrerades rättsmedel mot den ansvarige
En intressant fråga är vilka konkreta rättsmedel den registrerade har till sitt förfogande mot den personuppgiftsansvarige eller biträdet. Enligt artikel 79.1 ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel. Av kontexten framgår att ett sådant rättsmedel åtminstone är möjligheten att föra talan om skadestånd i en domstol, där de materiella kraven regleras i artikel 82. Oklart är däremot huruvida artikel 79.1, förutom en skadeståndstalan, inbegriper ytterligare möjligheter att kunna föra talan i en domstol.82 Om möjligheten att kunna föra talan om skadestånd var det enda avsedda effektiva rättsmedlet skulle bestämmelsen i artikel 79.1 i princip vara överflödig. Även omstän-

80 Jfr bara kritiken av artikel 29-gruppen i Opinion 01/2016 on the EU — U.S. Privacy Shield draft adequacy decision, WP 238. 81 Detta motsvarar redan den allmänna principen om medlemsstaternas processuella autonomi som den bl.a. kommer till uttryck i artikel 19.1 i FEUF. Se utförligt om processuella frågor SOU 2017:39 s. 299 ff. 82 Enligt SOU 2017:39 s. 302 och regeringen ska den registrerades rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller biträdet tillgodoses enbart genom möjligheten att föra talan om skadestånd i allmän domstol.

262 Hajo Michael Holtz SvJT 2018 digheten att inte alla överträdelser av dataskyddsförordningen nödvändigtvis behöver orsaka den registrerade en skada bör tillmätas betydelse.83 Det förefaller som att artikel 79.1 förutsätter kompletterande möjligheter att kunna föra talan, exempelvis en förbudstalan mot en behandling som inte är förenlig med dataskyddsförordningen eller en talan om verkställighet av den registrerades rättigheter enligt kapitel III, såsom rätten till radering eller till dataportabilitet. I det sammanhanget bör den registrerades rättsmedel inte heller vara beroende av den personuppgiftsansvariges juridiska status, då vissa myndighetsbeslut i samband med personuppgiftsbehandlingar kan vara överklagbara till allmän förvaltningsdomstol.84 Därför talar flera argument mot en tolkning av artikel 79.1 som innebär att skadeståndstalan är den registrerades enda rättsmedel mot den personuppgiftsansvarige.

7.2 Övrigt anmärkningsvärt i samband med rättsföljder
Den för de personuppgiftsansvariga mest avskräckande rättsföljden tycks vara de nya sanktionsavgifter som tillsynsmyndigheten kan påföra dem enligt artikel 83 i dataskyddsförordningen. Tillsynsmyndigheten har vid fastställandet av det konkreta beloppet ett bedömningsutrymme och vederbörlig hänsyn ska tas till olika omständigheter som listas i artikel 83.2 i varje enskilt fall.85 Dataskyddsförordningen anger dock maximibelopp (”upp till”) för olika typer av överträdelser: 10 miljoner Euro respektive 2 % av ett företags totala globala årsomsättning (artikel 83.4) och 20 miljoner Euro respektive 4 % av ett företags totala globala årsomsättning (artikel 83.5), beroende på vilket belopp som är högre. Vid flera överträdelser av förordningen ska sanktionsavgiftens storlek bestämmas i enlighet med den allvarligaste överträdelsen, förutsatt att överträdelserna avser en och samma eller sammankopplade uppgiftsbehandlingar, se artikel 83.3. Tillsynsmyndighetens beslut om sanktionsavgifter kan överklagas enligt artikel 83.8.86 Något som inte utgör en rättsföljd i sig, men som ändå är av intresse är artikel 80 om företrädande av registrerade. Enligt artikel 80.1 kan den registrerade ge en ideell organisation i uppdrag att lämna in ett klagomål eller att utöva de rättigheter som avses i kapitel VIII för hans eller hennes räkning. För svensk del betyder den bestämmelsen att endast fysiska företrädare för ideella organisationer

83 Samtidigt omfattar skadebegreppet enligt dataskyddsförordningen till och med immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna, jfr skäl 85, första meningen. 84 Enligt 7 kap. 2 § i förslaget på en ny dataskyddslag (prop. 2017/18:105) ska beslut av myndigheter enligt artiklarna 12.5 och 15–21 i dataskyddsförordningen vara överklagbara. 85 Se utförligt artikel 29-gruppen, Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679, WP 253. 86 Till allmän förvaltningsdomstol, se 7 kap. 3 § i förslaget på en ny dataskyddslag (prop. 2017/18:105).

SvJT 2018 Den nya allmänna dataskyddsförordningen… 263 kan företräda enskilda, då juridiska personer enligt gällande svensk rätt inte kan vara ombud i domstol eller i förvaltningsärenden.87 Enligt regeringen bör dock öppningsklausulen i artikel 80.2 för närvarande inte utnyttjas och ideella organisationer bör inte ges en självständig rätt att utan den registrerades mandat föra talan i ärenden och mål om behandling av personuppgifter. Argumentet är att det i Sverige än så länge finns få ideella organisationer som är verksamma inom dataskyddsområdet.88 Detta argument är inte övertygande. Förmodligen är avsaknaden på en sådan talerätt en av anledningarna till att denna typ av verksamhet hittills är liten i Sverige.
    Avslutningsvis kan man fråga sig hur rättsföljderna i dataskyddsförordningen förhåller sig till rättsmedel, ansvarsregler och sanktioner enligt nationell rätt som inte faller under artikel 84. Det kan hävdas att rättsföljderna i kapitel VIII är uttömmande med anledning av överträdelser mot dataskyddsförordningen och således har spärrverkan i förhållande till övriga nationella rättsmedel, ansvarsregler och sanktioner.89 Åtminstone ett ytterligare rättsmedel som ligger nära till hands mot den personuppgiftsansvarige är en förbudstalan enligt 23 § marknadsföringslagen (MFL) av de enligt 47 § MFL taleberättigade, främst Konsumentombudsmannen samt konkurrenter.90 En sådan talan skulle kunna grundas på den s.k. lagstridighetsprincipen enligt 5 § MFL, som innebär att marknadsföring ska vara laglig, vilket betyder att den inte får strida mot annan lag.91 Om personuppgifter behandlas i marknadsföringssyfte skulle en överträdelse av dataskyddsförordningen samtidigt kunna vara oförenlig med god marknadsföringssed (lagstridighetsprincipen) och följaktligen utgöra en otillbörlig affärsmetod i den mening som avses i MFL.92 8 Avslutande kommentarer
Dataskyddsförordningen väcker frågor som inte alla slutgiltigt kan besvaras vid denna tidpunkt. Frågorna är inte bara av rent teoretisk natur, utan handlar om den konkreta tolkningen och tillämpningen

87 Prop. 2017/18:105 s. 166 f. 88 Se prop. 2017/18:105 s. 167. 89 Artikel 79.1 i dataskyddsförordningen talar bl.a. om att den inte påverkar rättsmedel utanför domstol, vilket kan tolkas som att den utgör ett hinder för andra rättsmedel i domstol. För spärrverkan argumenterar Kreße i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 79, punkt 29 f. Dataskyddsförordningen bör däremot inte påverka anspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt, jfr skäl 146, fjärde meningen. 90 Innan en förbudstalan i Patent- och marknadsdomstolen kommer ett föreläggande av Konsumentombudsmannen eller ett varningsbrev av en konkurrent i fråga. 91 Se omfattande Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120 ff. 92 Utöver spärrverkan borde denna fråga bero på huruvida den överträdda bestämmelsen i dataskyddsförordningen avser att reglera marknadsbeteende eller inte.

264 Hajo Michael Holtz SvJT 2018 av åtskilliga bestämmelser i förordningen. Här kommer det krävas förtydligande praxis av de nationella tillsynsmyndigheterna, EUdomstolen samt den nya Europeiska dataskyddsstyrelsen. Det återstår dessutom att se hur medlemsstaterna använder det utrymme som dataskyddsförordningen lämnar för att komplettera den med nationell lagstiftning. Det stora antalet öppningsklausuler framkallar risken för betydelsefulla skillnader mellan medlemsstaternas kompletterande dataskyddslagstiftning och således för ett fortsatt oenhetligt dataskydd i hela EU. Den svenska lagstiftningen bör så snart som möjligt utvärderas i fråga om utnyttjandet av förordningens olika öppningsklausuler. Förslaget på en ny svensk dataskyddslag är relativt blygsamt vad gäller användningen av öppningsklausuler och inte heller övertygande i samtliga detaljer.93 Lagförslaget syftar givetvis inte till att reglera annat än då dataskyddsförordningen ger ett lagstiftningsuppdrag,94 men missar samtidigt chansen att använda det utrymme som förordningen ger i många relevanta avseenden.
    För personuppgiftsansvariga gäller fram till den 25 maj 2018 att bringa sina behandlingar i överensstämmelse med dataskyddsförordningen, jfr skäl 171, första meningen. Grundar behandlingar sig på samtycke behöver dock nya samtycken endast inhämtas om det sätt på vilket samtycke gavs inte överensstämmer med villkoren i förordningen, se skäl 171, andra meningen. I övrigt handlar förberedelserna om att skapa de organisatoriska och tekniska förutsättningarna för att kunna respektera de registrerades rättigheter samt för att kunna leva upp till de skyldigheter som följer av personuppgiftsansvaret.

93 I skrivande stund har den senaste versionen lämnats i prop. 2017/18:105. 94 Jfr redan SOU 2017:39 s. 59.