760 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 kommer vi att redogöra för och analysera hur EU:s dataskyddsreglering hanteras och appliceras i Sverige och de problem och utmaningar som detta kan medföra. Vi kommer även att analysera och förklara hur det svenska systemet, som vi ser det, strider mot individers EU-baserade rättighet till dataskydd och dignitet, samt rätten till privatliv.
    Vidare saknas en proportionalitetsbedömning av huruvida den svenska regleringen är proportionerlig när det gäller balansen mellan olika rättigheter. Som vi kommer att visa i denna artikel så brister Sverige när det gäller individens EU-konstitutionella rättighet till dataskydd. Medan tidningar och andra medier är under en strikt redaktionell granskning och intern pressetik gäller för dem, lämnas utgivningsbevisen från Patent- och registreringsverket till andra intressenter utan större granskning, som med stöd av dessa publicerar personlig information på internet på ett sätt som annars hade varit otillåtet.
    Artikeln är strukturerad enligt följande. Vi kommer först kort redogöra för Sveriges relation till EU, EU:s dataskyddsreglering, GDPR och den svenska tillämpningen av den, för att sedan redogöra för problematiken med den svenska regleringen. Detta följt av en analys över det rådande rättsläget och slutligen en avslutande diskussion. Det finns självklart utöver GDPR även instrument inom EU-straffrätten och säkerhetsfrågor som hanterar dataskyddsfrågor, t.ex. om hantering av personuppgifter i straffrättsligt sammanhang.3 Dessa kommer inte behandlas inom ramen för denna artikel.

2 Sveriges relation till EU — en överblick
Sverige har onekligen haft en komplicerad relation till EU sedan länge. Sverige lämnade så tidigt som 1961 in en associationsansökan (men uteslöt dock ett medlemskap) till dåvarande EG, men turerna har sedan dess varit många. Redan 1963 föll förhandlingarna om associationsavtalet samman, men 1967 lämnade Sverige in en ny ansökan och framhöll i samband med det att Sverige inte avsåg utesluta någon av formerna för anslutning.4 Till skillnad från 1961 uteslöts således inte medlemskap. Sverige ändrade även den då gällande regeringsformen från 1809 med ett införande av den s.k. EG-paragrafen, som möjliggjorde för överlåtelser av konstitutionella befogenheter till internationella organisationer.5 Det dröjde dock ända fram till 1995 innan Sverige slutligen blev EU-medlem.
    Trots att Sverige blev EU-medlem på 90-talet har synen på den grundläggande principen om EU-rättens företräde och tillämpning av

3 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 4 https://www.regeringen.se/sa-styrs-sverige/regeringens-arbete-pa-eu-niva/ sveriges-vag-till-eu-medlemskap/ 5 Se prop. 1972:135 samt avsnitt 4 i prop. 1993/94:114 för en mer utförlig beskrivning av de historiska turerna.

SvJT 2022 Tvivelaktig svensk tillämpning… 761 EU-rätt, som vid det laget varit gällande i flera decennier, inte varit okomplicerad i Sverige. Exempelvis har detta manifesterat sig i att EUkommissionen inlett en fördragsbrottstalan mot Sverige med anledning av svenska domstolars ovilja att begära förhandsavgöranden från EU-domstolen.6 Värt att notera är att antalet begärda förhandsavgöranden sedan dess inte har ökat utan hållit sig tämligen konstant över tid, i snitt fem avgöranden per år.7 Det kan även här nämnas att Sverige tillsammans med Polen, Tjeckien, Ungern och Rumänien är de EU-länder som varken har euron som valuta eller har en fast växelkurs gentemot den, trots en skyldighet att ansluta till denna när förutsättningarna för detta är uppfyllda. Här kan dessutom påpekas att Danmark har en fast växelkurs gentemot euron,8 trots att de som enda EU-land undantagits från kravet på att införa euron som valuta. Sverige saknar formellt undantag från att införa euron som valuta och valde heller inte att be om ett sådant undantag på liknande sätt som Danmark. Istället valde Sverige att 2003 hålla en folkomröstning om euron skulle införas som valuta i Sverige — vilket i praktiken var en folkomröstning om huruvida Sverige skulle följa sina egna åtaganden och förpliktelser gentemot övriga EUmedlemmar.9 Ett annat exempel är Europeiska åklagarmyndigheten, EPPO, där Sverige inte ville gå med tills vi i princip var sista medlemsstat tillsammans med Polen och Ungern att stå utanför.10 Sammanfattningsvis kan sägas att Sverige har, och sedan länge har haft, ett restriktivt förhållningssätt gentemot sitt EU-medlemskap på ett sätt som inte alltid varit förenligt med de åtaganden som följer av medlemskapet eller den retorik som drivs på det politiska planet. Sverige har dock inte signalerat något ”Swexit”, utan vill framstå som en viktig medlemsstat inom EU.

3 Kort om EU:s dataskyddsreglering
3.1 En EU-konstitutionell rättighet
Som nämndes i inledningen är skyddet för fysiska personer vid behandling av personuppgifter en grundläggande rättighet. Enligt

6 Regeringen bestred förvisso EU-kommissionens påstående om fördragsbrott, men valde till följd av överträdelseärendet att förtydliga domstolarnas skyldighet att begära förhandsavgöranden genom att för riksdagen föreslå det som skulle bli lagen (2006:502) med vissa bestämmelser om förhandsavgörande från Europeiska unionens domstol. 7 Under en tidsrymd av 26 år, från 1995 till och med 2020, meddelade EU-domstolen totalt 130 förhandsavgöranden på begäran av svensk domstol. Bernitz Ulf, Förhandsavgöranden av EU-domstolen 1995–2020, Genomslag och betydelse i Sverige, Sieps 2021:2 s. 49. 8 Danmark deltar i Europeiska växelkursmekanismen, ERM II, där danska kronans (DKK) centralkurs mot euron är satt till 746,038 DKK per 100 euro, https://www.nationalbanken.dk/da/pengepolitik/implementering 9 Lag (2003:83) om folkomröstning om införande av euron. 10 SOU 2020:74, En europeisk åklagarmyndighet i Sverige. Se även Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten.

762 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 artikel 8 Stadgan och artikel 16 FEUF ska medlemsstaterna tillförsäkra att varje EU-medborgare garanteras dataskydd. Dessa utgör fördragsbaserade rättigheter för individer och stipulerar att medlemsstaterna måste garantera dataskydd. Reglerna är formulerade som fundamentala rättigheter för individer och som allmänna principer.
    Vad innebär då dessa bestämmelser mer konkret? Som redan nämnts så klargör artikel 8 Stadgan att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Vidare stadgar artikel 8 att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Därutöver har enskilda rätt att få tillgång till insamlade uppgifter att få rättelse av dessa uppgifter. Slutligen anger artikel 8 att en oberoende myndighet ska kontrollera att reglerna efterlevs. Artikel 16 FEUF i sin tur stipulerar att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.11 Rätten till skydd för personuppgifter är således en EU-konstitutionell rättighet som kommer till uttryck på flera håll inom EU:s primärrätt.

3.2 Dataskyddsförordningen — GDPR
Den 25 maj 2018 började GDPR att gälla i syfte att säkerställa artikel 8 Stadgan och artikel 16 FEUF. Som framgår av GDPR:s fullständiga namn,12 upphävde den även Dataskyddsdirektivet 95/46/EG, som införlivats i Sverige genom den tidigare gällande personuppgiftslagen (1998:204, ”PuL”).
    Av skäl 9 GDPR framgår att målen och principerna för Dataskyddsdirektivet fortfarande är giltiga; uttalanden och praxis gällande Dataskyddsdirektivet torde därför vara fortsatt relevanta vad gäller GDPR i delar med motsvarande innebörd. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter har ansetts kunna förhindra det fria flödet av personuppgifter över hela unionen, vilket bedömts kunna utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. Dataskyddsdirektivet ersattes därför med en direkt tillämplig förordning, istället för ett nytt

11 Vidare föreskrivs i artikel 16 FEUF att: Europaparlamentet och rådet ska i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Oberoende myndigheter ska kontrollera att dessa bestämmelser följs. De bestämmelser som antas på grundval av denna artikel ska inte påverka tillämpningen av de särskilda bestämmelser som anges i artikel 39 FEU. 12 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

SvJT 2022 Tvivelaktig svensk tillämpning… 763 direktiv; för att skapa en harmoniserad rättslig ram med gemensam uppsättning och en enhetlig tillämpning av regler.
    Av artikel 51 GDPR framgår att varje medlemsstat ska utse (minst) en offentlig myndighet för ansvaret att övervaka tillämpningen av densamma. Tillsynsmyndigheterna ska samarbeta såväl sinsemellan som med kommissionen för att bidra till en enhetlig tillämpning av GDPR i hela unionen. Vidare ska enligt artikel 55 varje tillsynsmyndighet inom sin medlemsstats territorium vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt GDPR. I Sverige är Integritetsskyddsmyndigheten (IMY) tillsynsmyndighet för GDPR.

3.3 EU-dataskyddets hierarkiska ställning och praxis
En grundprincip inom EU-rätten är att den har företräde framför nationell rätt, Costa mot ENEL.13 Endast i fall där nationell rätt kan rättfärdiga icke-diskriminerande och proportionerliga avsteg från EU-rätten kan detta åsidosättas.14 I flertalet domar såsom exempelvis C-293/12 Digital Rights Ireland har EU-domstolen påpekat vikten av dataskydd och proportionalitet. EU-domstolen har återkommande stipulerat ett väldigt långtgående dataskydd både inom EES och i samband med tredjelandsavtal, mål C-362/14 Schrems 1 och mål C-311/18 Schrems 2.15 Vidare är C-623/17 Privacy International16 och C 520/18 La Quadrature du Net,17 exempel på andra rättsfall angående rätten till dataskydd och vikten av en strikt proportionalitetsbedömning vid eventuella avsteg p.g.a. public policy och säkerhetsfrågor.

3.4 GDPR:s tillämpningsområde och dess svenska implementering
GDPR har ett mycket omfattande tillämpningsområde och ska tillämpas på behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register, artikel 2.1. Tilllämpningsområdet är dock inte oändligt, och GDPR ska t.ex. inte tilllämpas på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, artikel 2.1(c).
    Enligt artikel 85.2 ska medlemsstaterna även fastställa undantag eller avvikelser från GDPR för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantagen ska vara nödvändiga för att förena rätten till integritet med

13 Mål C-6/64, Costa v ENEL avgörande den 15 juli 1964. 14 Se tex E Herlin-Karnell, G Conway & A Ganesh, European Union Law in Context (Hart publishing 2021), kapitel 2. 15 Mål C-362/14, Schrems, avgörande meddelat 6 oktober 2015. Mål C-311/18, Data
Protection Commissioner v Maximillian Schrems (Schrems II) EU:C:2020:559. 16 Mål C-623/17 Privacy International v Secretary of State for Foreign and Commonwealth
Affairs and Others, avgörande den 6 oktober 2020. 17 Förenade målen C-511/18, C-512/18 och C-520/18, La Quadrature du Net, avgörande den 6 oktober 2020.

764 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 yttrande- och informationsfriheten. Detta regleras i Sverige genom 1 kap. 7 § 2 st. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) där det framgår att delar av GDPR och dataskyddslagen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
    Vidare ska enligt artikel 85.1 medlemsstaterna i lag förena rätten till integritet i enlighet med GDPR med yttrande- och informationsfriheten (inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande). Detta regleras i Sverige genom 1 kap. 7 § 1 st. dataskyddslagen där det framgår att GDPR och dataskyddslagen ”inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.” I förarbetena till dataskyddslagen motiveras detta med att ”[b]estämmelsen tydliggör att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför [GDPR:s] och [dataskyddslagens] bestämmelser.” Där framgår även att bestämmelsen rättfärdigas genom skyldigheten för medlemsstaterna att i lag förena rätten till integritet med yttrande- och informationsfriheten.18 Genom bestämmelsen förefaller svenska staten hävda att det är möjligt att göra stora undantag från GDPR, eftersom GDPR under vissa omständigheter tillåter nationella avvikelser såsom respekt för grundlagsbestämmelser som fokuserar på säkerhetshänsyn samt journalistisk frihet och yttrandefrihet.
    GDPR kan begränsas med hänsyn till exempelvis transparens och informationsskyldighet när det gäller behandling och kontroll av data. I artikel 23 GDPR föreskrivs att unions- eller medlemsstatslagstiftningen som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av får begränsa omfattningen av skyldigheterna och rättigheterna i GDPR när en sådan begränsning respekterar kärnan i de grundläggande rättigheterna och friheterna och är en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle. Dessa restriktioner gäller bland annat nationell säkerhet, försvar eller allmän säkerhet, andra viktiga mål av allmänt allmänintresse för unionen eller en medlemsstat, inklusive monetära, budget- och skattefrågor, folkhälsa och social trygghet. Vad som anses såsom nödvändigt och proportionerligt agerande i ett demokratiskt samhälle är här av avgörande betydelse.
    Dessutom är skäl 153 GDPR intressant när det gäller den politiska viljan bakom skapandet av GDPR. Där anges att medlemsstaterna bör anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna

18 Prop. 2017/18:105 s. 187.

SvJT 2022 Tvivelaktig svensk tillämpning… 765 principer, de registrerades rättigheter, personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i denna frihet, som till exempel journalistik.
    GDPR tar således hänsyn till journalistik frihet. Utgivningsbevisen — som i flera fall inte handlar om journalistisk frihet — utnyttjar detta undantag och skapar en obalans där det ekonomiska värdet att sälja personuppgifter står över enskildas rättigheter, utan att det handlar om journalistisk frihet. Det kan i detta sammanhang ifrågasättas vilket värde den fördragsstadgade rätten till dataskydd i så fall har om den samtidigt tillåts underordnas privata vinstintressen utan journalistiska ändamål. Det ska också påpekas att GDPR är en del av EU:s sekundärrätt. Rätten till dataskydd så som den kommer till uttryck i artikel 8 Stadgan och artikel 16 FEUF är fortfarande den överordnade normen då den utgör en del av EU:s primärrätt.

4 Problematik med dataskyddslagsens bestämmelse
Tryckfrihetsförordningen och yttrandefrihetsgrundlagen möjliggör genom utgivningsbevis för betydligt mer långtgående personuppgiftspubliceringar än vad som varit möjligt under GDPR. Exempelvis så publicerar hemsidorna Ratsit.se och MrKoll.se med hjälp av sina utgivningsbevis uppgift om att en person t.ex. har en särskild postadress på en kriminalvårdsanstalt, en kvinnojour, ett LVM-hem, eller ett ungdomshem. Värt att särskilt notera är att publiceringarna således även inkluderar känsliga uppgifter om personer under 18 år (ungdomshem).
    Det kan frågas på vilket sätt denna möjlighet tillgodoser rätten till skydd av personuppgifter och integritet men även också rätten till privatliv som stadgas i såväl artikel 7 Stadgan som artikel 8 EKMR, då den medger så omfattande och integritetskränkande publiceringar. Det förefaller snarare vara fråga om en nästintill full exkludering av rätten till integritet i situationer där det förekommer utgivningsbevis. Det torde därför inte kunna hävdas att rätten till integritet och privatliv blir fullt tillgodosedd då det samtidigt är möjligt att göra publiceringar av sådana typer av känsliga uppgifter som nämnts ovan, särskilt sett i ljuset av rättigheten så som den är förskriven i Stadgan och FEUF. Mot denna bakgrund kan tryckfrihetsförordningen och yttrandefrihets-

766 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 grundlagen inte sägas leva upp till de krav som artikel 85.1 GDPR föreskriver, och de är således i denna aspekt oförenliga med GDPR.
    Som ovan nämnts så framgår av 1 kap. 7 § 1 st. dataskyddslagen att GDPR och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, vilket motsvaras av tidigare 7 § PuL. Denna reglering av GDPR:s tillämplighet i Sverige får till följd att de svenska mediegrundlagarna ges företräde framför en direkt tillämplig EU-reglering, vilket är oförenligt med principen om EU-rättens företräde, se bl.a. mål 6/64
Costa mot ENEL och mål 11/70 Internationale Handelsgesellschaft mot
Einfuhr- und Vorratsselle Getreide.
    Att EU-rätten har företräde framför nationell rätt var något som belystes redan i samband med grundlagsändringarna inför det svenska medlemskapet i EU. I förarbetet uttrycks att en ”grundläggande princip är att EG-rätt har företräde framför nationell rätt. Om en lagbestämmelse i ett land strider mot en EG-regel är det landets domstolar och myndigheter skyldiga att tillämpa EG-regeln framför den inhemska lagen. Detta gäller i princip även om den inhemska normen tillhör landets konstitution.”19 Det var bl.a. mot denna bakgrund som man i regeringsformen valde att införa en möjlighet för riksdagen att överlåta beslutanderätt, då det ansågs nödvändigt för att möjliggöra för Sverige att som fullvärdig medlemsstat fullt ut delta i det gemensamma integrationsarbetet, utan att varje förändring i det arbetet skulle kräva en grundlagsändring.20 Problematiken med dataskyddslagens bestämmelse om mediegrundlagarnas företräde påtalades även av IMY (dåvarande Datainspektionen) som tillsammans med Kommerskollegium inför införandet av bestämmelsen ställde sig frågande till dess förenlighet med just principen om EU-rättens företräde.21 Bestämmelsen i dataskyddslagen har även ifrågasatts av EUkommissionen. I en skrivelse till justitieministern Morgan Johansson rörande den svenska implementeringen av GDPR skrev EU-kommissionären Věra Jourová i april 2019 bl.a. att ”I have doubts about the conformity of the principle of precedence of the constitutional provisions of the Freedom of the Press Act and the Fundamental Law on Freedom of Expression over the GDPR, as well as about the blanket and systematic exclusion of processing for journalistic purposes or the purpose of academic, artistic or literary expression from the application of a large number of GDPR provisions without a balancing between the right to the protection of personal data and the freedom of expression and information.”22 Skrivelsen föranledde en fortsatt

19 Prop. 1993/94:114 s. 13. 20 Prop. 1993/94:114 s. 15. 21 Prop. 2017/18:105 s. 40 f. 22 Skrivelse om dataskyddsförordningen, daterad 2019-04-17, Ju2019/01709.

SvJT 2022 Tvivelaktig svensk tillämpning… 767 brevväxling samt ett flertal möten mellan representanter från EUkommissionen och justitiedepartementet, som än idag fortgår.
    Som EU-domstolen påpekat; ”[i] enlighet med principen om unionsrättens företräde får nationella rättsregler inte undergräva unionsrättens enhetlighet och effektivitet, och detta inte ens om de har rang av grundlag”, punkt 53, mål C273/15 ZS ”Ezernieki” mot Lauku atbalsta dienests. Vad gäller specifikt tryckfrihetsförordningens och yttrandefrihetsgrundlagens förhållande till EU-rättsakter har f.d. rättschefen Olle Abrahamsson och justitierådet Henrik Jermsten uttryckt i SvJT 2014 s. 201 (på s. 206) att ”[f]rån strikt juridisk synpunkt är det egentligen fel att tala om en konflikt i förhållande till TF och YGL i de fall då en direkt tillämplig EU-rättsakt beslutas, eftersom en sådan rättsakt gäller och skall tilllämpas oberoende av vad som stadgas i medlemsstaternas grundlagar. Resultatet av en sådan ’konflikt’ blir bara att konträra bestämmelser i dessa lagar inte får tillämpas.” Vidare kan nämnas att bestämmelsen i 1 kap. 7 § 1 st. dataskyddslagen motsvaras av tidigare 7 § PuL, där även Lagrådet uttryckt sig frågande till bestämmelsens förenlighet med EU-rätten. Lagrådet skrev i sitt remissyttrande till PuL att ”det, med en försiktig formulering, får anses tveksamt om EG-domstolen skulle acceptera att de bestämmelser i direktivet som införlivas med svensk rätt genom personuppgiftslagen får vika för de svenska grundlagsreglerna i vidare mån än som medges enligt ordalagen av artikel 9 i direktivet.” Lagrådets slutsats blev följaktligen att ett sådant undantag inte borde tas in i PuL med hänvisning till tillämpningsproblemen vad gäller frågan om offentlighetsprincipens förenlighet med direktivet.23 (Regeringen gjorde dock bedömningen att direktivet medgav ett handlingsutrymme som möjliggjorde regleringen. Vidare bedömde regeringen att det inte fanns någon beaktansvärd risk för att EG-domstolen skulle göra en annan bedömning.24) Slutligen leder även bestämmelsen till att kravet i artikel 51 GDPR att varje medlemsstat ska utse (minst) en offentlig myndighet för ansvaret att övervaka tillämpningen av GDPR inte fullt uppfylls. Inte heller uppfylls kravet i artikel 55 GDPR då tillsynsmyndigheten enligt denna ska vara behörig att inom sin medlemsstats territorium utföra de uppgifter och utöva de befogenheter som tilldelas den genom GDPR.
    Bestämmelsen i dataskyddslagen möjliggör således en kränkning av svenska medborgares rätt till skydd för fysiska personer vid behandling av personuppgifter enligt GDPR, men eftersom, som nämnts ovan, skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet enligt Stadgan och FEUF så blir bestämmelsen i dataskyddslagen även problematisk i situationer där publiceringar

23 Prop. 1997/98:44 s. 235. 24 Prop. 1997/98:44 s. 50.

768 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 inkluderar andra EU-medborgare boende i Sverige på basis av sin fria rörlighet, då Sverige genom detta inte säkerställer denna rättighet för dessa medborgare.
    Mot denna bakgrund kan bestämmelsen i 1 kap. 7 § 1 st. dataskyddslagen inte sägas vara förenlig med de åtaganden som gjorts med anledning av det svenska EU-medlemskapet.

4.1 Svensk praxis
Trots de ifrågasättanden som nämnts ovan har bestämmelsen i rättspraxis hittills inte bedömts som problematisk. Praxis avseende GDPR:s tillämplighet i ljuset av 1 kap. 7 § 1 st. dataskyddslagen är för visso mycket begränsad, men ett avgörande av intresse är Kammarrätten i Stockholms dom den 17 april 2019 i mål nr 9604-18, jämte det föregående beslutet från Förvaltningsrätten i Stockholm och efterföljande beslutet i Högsta förvaltningsdomstolen. Målet, i vilket en av författarna till denna artikel var klagande, avsåg ett klagomål avseende personuppgiftsbehandling i vilket Datainspektionen (numera IMY) meddelat att den inte kommer att vidta åtgärder med hänvisning till dataskyddslagen. Frågan var om detta agerande var något som kunde överklagas. I förarbetena till dataskyddslagen uppmärksammade regeringen att det enligt hitintills rådande svensk rättspraxis inte varit möjligt att överklaga Datainspektionens beslut att inte vidta någon åtgärd med anledning av en anmälan eller att avskriva ett tillsynsärende, men att GDPR förefaller förutsätta att den enskilde ska ha en generell rätt att överklaga tillsynsmyndighetens beslut att t.ex. inte vidta någon åtgärd med anledning av ett klagomål.25 Regeringen anförde dock att det emellertid också finns omständigheter som talar emot en sådan tolkning, och överlämnade till domstolarna att ta ställning i frågan om svensk rättspraxis fortsatt var relevant eller om GDPR förändrat rättsläget.26 Förvaltningsrätten i Stockholm avvisade överklagandet med hänvisning till att meddelandet inte kunde anses utgöra ett beslut men resonerade obiter dictum att en möjlighet att överklaga Datainspektionens beslut (i det fall meddelandet skulle anses vara ett sådant) att inte inleda tillsyn med anledning av en anmälan skulle inskränka myndighetens oberoende och utrymme för diskretion på ett sätt som inte är förenligt med GDPR. Förvaltningsrätten ansåg därför att tidigare rättspraxis alltjämt är relevant.
    Förvaltningsrättens avvisningsbeslut överklagades till Kammarrätten i Stockholm som meddelade prövningstillstånd. I målet fann kammarrätten mot bakgrund av 1 kap. 7 § dataskyddslagen att GDPR och kompletterande svenska bestämmelser inte ska tillämpas på verksamheter med frivilliga utgivningsbevis, och att Datainspektionen saknar behörighet att utöva tillsyn över sådana verksamheter. Mot denna

25 Prop. 2017/18:105 s. 164. 26 Prop. 2017/18:105 s. 165.

SvJT 2022 Tvivelaktig svensk tillämpning… 769 bakgrund ansågs förvaltningsrätten ha haft fog för att avvisa överklagandet. Kammarrätten avslog därför överklagandet.
    Kammarrättens avgörande överklagades till Högsta förvaltningsdomstolen (HFD). I överklagandet ifrågasattes dels bestämmelsen i dataskyddslagens förenlighet med principen om EU-rättens företräde, dels huruvida GDPR medgav en rätt att överklaga Datainspektionens beslut att inte inleda tillsyn. I överklagandet yrkades även att ett förhandsavgörande skulle inhämtas från EU-domstolen. HFD gav inte prövningstillstånd och avslog yrkandet att inhämta förhandsavgörande med hänvisning till att ”den väckta unionsrättsliga frågan saknar betydelse för avgörandet av målet”. Kammarrättens avgörande står därmed fast.
    Domstolarnas bedömning av frågorna i målet är intressesant av flera skäl. Dels väcker kammarrättens bedömning frågan vilka gränser som finns avseende en medlemsstats möjligheter att själv göra gränsdragningar för när direkt tillämpliga EU-rättsakter inte ska vara tillämpliga inom det egna territoriet, dels signalerar HFD:s beslut att inte inhämta förhandsavgörande en stark ovilja att ifrågasätta den svenska lagstiftaren, ens när regleringens förenlighet med överordnade rättsakter och förpliktelser till följd av EU-medlemskapet ifrågasatts av flera tunga instanser.
    Än mer anmärkningsvärt blir HFD:s avgörande då frågan om överklagbarhet utifrån EU-förordningen uttryckligen överlämnats till domstolarna av regeringen med hänvisning till dess oklarhet, samtidigt som HFD i egenskap av sista instans vid oklara rättslägen har en skyldighet att begära ett förhandsavgörande.27 Detta problematiseras ytterligare dels av EU-kommissionens tidigare inledda överträdelseärende (se ovan), dels av att GDPR antagits i syfte att säkerställa en grundläggande rättighet under Stadgan och FEUF: den av rätten till skydd för fysiska personer vid behandling av personuppgifter.

5 Analys av rådande rättsläge
Det svenska EU-medlemskapet är en följd av att Sveriges riksdag 1994 i enlighet med dåvarande 10 kap. 5 § regeringsformen överlåtit delar av sin beslutanderätt genom antagandet av lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen. Sedan dess har även det svenska EU-medlemskapet blivit grundlagsstadgat, bl.a. i syfte att regeringsformen ska spegla de faktiska politiska förhållandena i landet, under vilka unionsrätten på de områden där överlåtelse skett av svensk beslutanderätt har företräde framför konkurrerande nationella bestämmelser.28

27 CILFIT-doktrin, mål 283/81 Srl CILFIT och Lanificio di Gavardo SpA mot Ministero della santà (bekräftad 2021 genom C-561/19 Consorzio Italian Management och Catania
Multiservizi SpA mot Rete Ferroviaria Italiana SpA.), och artikel 267 FEUF. 28 Prop. 2009/10:80 s. 194.

770 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 Det kan givetvis finnas legitima skäl att ifrågasätta tillämpning av en EU-rättsakt, som exempelvis vid oklarhet huruvida rättsakten faller inom EU:s beslutskompetens, eller om rättsakten skulle strida mot Europakonventionen eller Stadgan. Sådana typer av invändningar torde dock inte vara aktuella vad gäller GDPR. Snarare förefaller det röra sig om en fullt legitim rättsakt inom EU:s beslutskompetens som säkerställer en grundläggande rättighet som Sverige ensidigt valt att med stora effekter begränsa tillämpningen av — helt utan proportionalitetsbedömning. Att ett sådant agerande till synes helt obehindrat kan passera genom samtliga svenska domstolsinstanser visar på ett djupt problematiskt förhållningssätt till Sveriges EU-medlemskap och principen om EU-rättens företräde, men är även problematiskt ur ett konstitutionellt perspektiv.
    Eftersom mediegrundlagarna, riksdagens möjlighet att överlåta beslutanderätt, och det svenska EU-medlemskapet är grundlagsfästa uppstår även indirekt en konstitutionell problematik. Indirekt då det inte är mediegrundlagarna själva som begränsar EU-rättens företräde, utan dataskyddslagen, som är en ordinarie lag. Detta väcker ytterligare en fråga: kan en ordinarie lag inskränka en grundlagsbestämmelse? Ett sådant möjliggörande skulle, milt uttryckt, riskera att underminera grundlagarnas överordnade roll över ordinarie lagar.
    Istället bör frågan om vilken grundlagsbestämmelse som bör ges företräde vid en eventuell konflikt lämpligen behandlas i enlighet med allmänna juridiska tolkningsprinciper, d.v.s. EU-rättens företräde utifrån lex superior och att i vart fall mänskliga rättigheter under EKMR bör ges en särskild vikt vid konflikt med inhemska lagbestämmelser.29 Inom ramen för den ovan beskrivna konflikten så kan återigen påpekas att regeringsformen ändrats i syfte att möjliggöra för riksdagen att överlåta beslutanderätt inom ramen för EU-samarbetet. En slutsats annan än en som bekräftar principen om EU-rättens företräde även över grundlag, torde därför inte vara möjlig utan att samtidigt ifrågasätta den av riksdagen överlåtna beslutanderätten, vilket i sin tur skulle påverka det svenska EU-medlemskapets giltighet, då EU-rätten, i vart fall historiskt, ansetts hämta sin rättsverkan ur det förhållandet att Sverige har överlåtit viss normgivningsmakt till EU.30 Då bestämmelsen i 1 kap. 7 § dataskyddslagen undergräver GDPR:s enhetlighet och effektivitet får den enligt 11 kap. 14 § och 12 kap. 10 § regeringsformen inte tillämpas av vare sig myndigheter eller dom-

29 Se t.ex. Högsta domstolens remissvar till lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, prop. 1993/94:117, s. 38. Det kan också här nämnas att personuppgifter även skyddas av Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll, SÖ 1982:50. 30 Prop. 2009/10:80 s. 141.

SvJT 2022 Tvivelaktig svensk tillämpning… 771 stolar.31 Inte heller utifrån principen om EU-rättens företräde får bestämmelsen tillämpas. Detta skulle få följden att personuppgiftsbehandling även i verksamheter med utgivningsbevis blev föremål för GDPR:s tillämpning i den del där behandlingen inte är tillåten utifrån GDPR själv och således även var föremål för IMY:s tillsyn. Då Sverige även brustit i att fastställa undantag eller avvikelser från GDPR som är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten, hamnar det på domstolarna att göra dessa avvägningar och utveckla gränsdragningarna i rättspraxis.

6 Avslutning: ”The rule of law”-debatten och Sverige
En viktig dimension verkar ha glömts bort i den svenska debatten, nämligen om grundlagen är ”fit for purpose” när det gäller internet och dataskydd. Polen och Ungern har brutit mot EU:s värden och rättsstatsprincipen under en längre tid, vilket även kritiserats av bl.a. den svenska regeringen.32 Frågan är om Sverige själv verkligen lever upp till rättsstatsprincipen? Våra domstolar är, trots den tidigare inledda fördragsbrottstalan, fortsatt kända för att i mycket liten utsträckning be om förhandsavgöranden från EU-domstolen. Myndigheterna tillämpar inte självmant EU-rätten, ens i situationer när de själva påtalat svenska regleringars bristande förenlighet med den, utan väntar istället på politiska beslut — trots att EU-rätten har företräde och att det utifrån den och regeringsformen inte är tillåtet att tillämpa underordnade föreskrifter i strid med EU-rätten. Rättsstatsprincipen i EU handlar om att medborgare ska tillförsäkras samma skydd av EU-rätten oavsett vilket EU-land de bor i och att EU:s värden ska efterlevas. Dataskydd är en fundamental rättighet, som är tydligt både i Stadgan och i EU-domstolens praxis, t.ex. C-362/14 Schrems 1 och C-311/18 Schrems 2.
    Trots att det nu gått mer än 25 år sedan det svenska EU-medlemskapet är således Sveriges engagemang i EU fortsatt kraftigt begränsat och visar på stora brister även i centrala delar av EU-medlemskapet. Svenska politikers reserverade och avståndstagande förhållningssätt till EU förefaller även följas av det svenska rättsväsendet och av andra offentliga organ. Utifrån de åtaganden som följer av det svenska EUmedlemskapet finns därför betydligt mer att önska av såväl politiken som av myndigheter och domstolar.

31 Som nämndes i föregående stycke har EU-rätten förvisso tidigare inte ansetts ingå i den svenska normhierarkin. Lagprövningsreglerna i regeringsformen har därför inte ansetts gälla vid situationer där svensk rätt varit i strid med EU-rätt. Detta synsätt kan dock ifrågasättas i ljuset av att EU-medlemskapet genom grundlagsändringen 2010 stadfästes i kapitel 1 avseende ’statsskickets grunder’, kombinerat med att lagprövningsreglerna, så som de är uttryckta, avser bestämmelser i grundlag eller annan överordnad författning. 32 Se t.ex. Statsrådsberedningens pressmeddelande 22 juli 2021 med anledning av att regeringen stödjer EU-kommissionen i mål mot Polen, samt regeringens beslut den 20 maj 2021 att ge stöd i EU-domstolen för nya regler som villkorar EU-pengar till respekt för rättsstatens principer.

772 Walter Guldbrandzén & Ester Herlin-Karnell SvJT 2022 Även utifrån ett konstitutionellt perspektiv är det svårt att förstå den svenska linjen. Om man exempelvis tittar på icke-dominansteorin ska det konstitutionella systemet vara tillämpat för alla som fria och jämlika (”free and equal”).33 Enlig icke-dominansteorin är en person ofri om det finns godtycklighet och obalans i ett maktförhållande.34 Likaså har filosofen Rainer Forst utarbetat en teori om rätten till motivering (the right to justification).35 I juridiskt sammanhang betyder detta att lagstiftaren måste kunna motivera sina val och sitt agerande när individers valfrihet berörs samt att lagen inte ger upphov till godtycklighet. Vilken roll har domstolar här? I 11 kap. 14 § regeringsformen stipuleras att ”[f]inner en domstol att en föreskrift står i strid med en bestämmelse i grundlag eller annan överordnad författning får föreskriften inte tillämpas.” Likaså om svensk rätt strider mot EU-rätt, ska svensk rätt inte tillämpas och detta gäller omedelbart, d.v.s. en lägre instans kan förklara svensk rätt som EU-stridig och behöver inte vänta på att de högsta domstolarna ska meddela sin syn på saken. Hela poängen med EU-rätten är att individen ska slippa långa segdragna domstolsprocesser. Hur GDPR hanterats i Sverige visar på en avsaknad av EU-engagemang i svenska domstolar och myndigheter.
    En rad frågor behöver belysas och utgör ett förslag till agenda för framtida forskning. Artikel 47 Stadgan samt artikel 6 EKMR föreskriver rätten till domstolsprövning. Varför är det så svårt för svenska domstolar att axla rollen som europeiska nationella domstolar? Dessa frågor berör den juridiska kulturen i Sverige. Vi efterlyser ett mer positivt förhållningsätt till EU-rätten samt ett utökat kritiskt tänkande som omfattar det vi kallar svensk rätt.

33 Philip Pettit, On the People’s Terms: A Republican Theory and Model of Democracy (Cambridge, Cambridge University Press, 2012). 34 ibid. 35 Rainer Forst, Justification and Critique: Towards a Critical Theory of Politics (Cambridge-Malden MA, Polity Press, 2014).