Hej och välkommen till Molnguiden med mig Arman Borghem, Regulatory and Compliance Advisor på Cleura. Idag ska vi fortsätta tråden från förra veckan och prata om begreppet personuppgifter.
Myndigheters övervakning
Myndigheters övervakning är en ständigt aktuell fråga. Det gäller särskilt om vi överväger om det är möjligt att hantera personuppgifter hos en amerikansk molntjänstleverantör, som lyder under amerikansk lagstiftning för underrättelseinhämtning.
Här tycks en del vilja väga in hur pass känsliga de personuppgifter är som kan hämtas in av tredjelands myndigheter, eller hur uppgifterna kan komma att användas, eller om personer får utstå någon slags olägenhet på grund av inhämtningen och övervakningen.
Med det här synsättet är det alltså en skala, där mindre känsliga personuppgifter hamnar på den mildare delen av skalan. Kanske anses de rentav vara oskyldiga personuppgifter eller harmlösa personuppgifter. Syftet med ett sådant synsätt är att komma till slutsatsen att konsekvenserna är försumbara av att uppgifterna exponeras mot tredjelands underrättelselagstiftning. Med andra ord: att dessa situationer är fullt lagliga och ingenting att oroa sig över eller bry sig om.
Grundläggande rättigheter
Tittar vi på övervakningsperspektivet i EU-domstolspraxis så har EU domstolen sagt ungefär följande. Utlämnande av personuppgifter till tredjeman, så som en myndighet, är ett ingrepp i de grundläggande rättigheter som slås fast i artikel 7 och 8 i EU:s rättighetsstadga, alltså rätten till privatliv och rätten till skydd för personuppgifter.
Det är dessutom ett ingrepp oavsett hur de utlämnade uppgifterna senare används. Samma sak gäller vid lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem.
EU-domstolen anger dessutom att detta gäller oavsett om de uppgifter som avser privatlivet är känsliga. Och oavsett om de personer som berörs har fått utstå någon som helst olägenhet på grund av det här ingreppet i de grundläggande rättigheterna.
Om detta har vi skrivit mer om i avsnittet EU-domstolspraxis och synen på risk i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet.
Finns det harmlösa personuppgifter?
Finns då så kallat oskyldiga eller harmlösa personuppgifter? Det är mig veterligen inga rättsligt definierade termer. Jag tycker man ska vara försiktig med att använda dessa begrepp, för personuppgifter existerar aldrig i ett vakuum.
Låt oss ta en “enkel“ e-postadress som exempel, som ska användas för att logga in i en webbtjänst. Då är det lätt att tänka att just det här måste ju vara en harmlös personuppgift. Inte kan den väl avslöja något?
Ej uteslutet att användaren kan spåras
Men vid en närmare granskning, då skulle vi inse att de personuppgifter som behandlas skulle kunna vara:
- personens för och efternamn,
- personens arbetsgivare,
- när personens användarkonto lades till och togs bort från webbtjänsten,
- vid vilka tidpunkter personen loggar in och ut från webbtjänsten,
- vad personen gör i webbtjänsten vid vilka tidpunkter,
- personens typ av utrustning (exempelvis märke och modell av mobiltelefon), webbläsare och operativsystem,
- från vilka ungefärliga platser personen använder webbtjänsten, i de fall en personlig ip-adress exponeras, vilket i sin tur kan avslöja resmönster.
En del webbtjänster innehåller också tredjepartskakor eller anrop. Då kan inte heller uteslutas att personen kan spåras över nätet och att det är möjligt att identifiera andra webbplatser som personen har besökt.
Personuppgifter finns alltid i ett sammanhang
Exemplet visar att det som till en början tycks vara oskyldiga personuppgifter, eller så kallat harmlösa personuppgifter, existerar i princip alltid i ett sammanhang. Det sammanhanget kan tillföra mer information, alltså fler personuppgifter än vad man från början räknat med.
Det här är också ett skäl till varför det är så viktigt att göra det så enkelt som möjligt för de medarbetare som hanterar personuppgifter. En verksamhet kan säkert ha ärenden med både känslig och mindre känslig uppgiftshantering. Enklast är ju då såklart om medarbetarna inte ständigt behöver pröva om det rör sig om känsliga eller icke känsliga uppgifter. Och att medarbetarna slipper lägga vissa uppgifter i en viss lagringsyta eller ett visst system och andra uppgifter i en annan lagringsyta eller ett annat system.
Medarbetare ska slippa agera jurister
I den mån det går så vill vi givetvis att en vanlig medarbetare ska slippa att behöva agera jurist till vardags. Ibland kan det säkert behövas olika system eller lagringsytor för olika typer av information. Men kan man ordna ett system eller en lagringsyta som klarar allt ifrån okänsligt till det som är känsligt – då har man ju lyft bort en börda från medarbetarnas bord. Då minskar dessutom risken för misstag.
Det kan rentav bli mer kostnadseffektivt eftersom man slipper köpa in och administrera flera olika digitala ytor eller system.
3 viktiga saker att tänka på när det gäller personuppgifter
Så för att sammanfatta de här senaste två avsnitten om personuppgifter:
- Personuppgifter är mer än bara det som direkt pekar ut någon.
- Det är all information som relaterar till en person. Den personen behöver inte ens vara identifierad i detta nu. Det räcker att personen är identifierbar och för det räcker det att personen kan identifieras antingen nu eller att det rimligen kan ske i framtiden.
- Kontexten adderar information.
- En bra tumregel är att inte bara tänka personuppgifter. Tänk personuppgiftsbehandling. Vad gör vi med den här personuppgiften? En inloggningsuppgift, till exempel, den existerar inte i ett vakuum. Tänk igenom vad som händer med personuppgiften från att den skapas till hur den används till hur den till sist raderas. Vad mer tillkommer, som kan kopplas till den ursprungliga, kanske till en början ansedd oskyldiga eller harmlösa personuppgiften? Ofta är det mycket information som tillkommer.
- Gör det inte krångligare än nödvändigt.
- Någon eller några i verksamheten behöver tänka igenom den här juridiken, gärna efter en ordentlig dialog med sin verksamhet. Men medarbetarna i linjen mår bäst av att slippa vara jurister till vardags. De som har bedömt och förstått personuppgiftsbehandling bör då ta fram tydliga förhållningsregler som är enkla att följa där medarbetarna behöver fatta så få beslut som möjligt om var de ska hantera olika typer av information.
Hoppas att det här har gjort att du känner dig bättre rustad att förstå bredden i vad personuppgifter är och hur den utmaningen kan hanteras.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.