Kommer även svenska lagar underkännas efter EU-domstolens senaste dom?

Digital Law
RANJA BUNNI
15.08.2022

Kära dataskyddsvänner! Nu är det dags för många att lämna solstolen och börja jobba. Känslan av den nya terminen har i alla fall infunnit sig hos mig, även om solen skiner ute och det är sommar. Jag har ju nu redan arbetat i flera veckor hos en ny kund. För oss konsulter som arbetar hos flera verksamheter kan tre veckors arbete hos en ny kund ibland kännas som om man har varit i den verksamheten i flera år. Det är en av de saker jag uppskattar med att vara konsult. Att komma nära verksamheterna på kort tid.

Men idag har jag fått ägna mig åt något annat – nämligen att få grotta ner mig i en ny dom från EU-domstolen. Tänk er lyxen att få läsa domar på sin arbetstid och dessutom skriva blogginlägg om det.

Så för er som fortfarande inte hunnit gå genom mejlkorgen och kan ha missat sommarens kanske viktigaste dom, nämligen EU-domstolens senaste dom i målet Vyriausioji tarnybinės etikos komisija, C-184/20, få inte panik! För nu får ni en liten uppdatering i detta inlägg. Ni kommer även att läsa några av mina reflektioner om domen.

Nu till domen!

Målet handlar bland annat om förhållandet mellan GDPR och medlemsländernas nationella regleringar. Såsom många av er redan känner till så har medlemsländerna i EU utrymme att komplettera GDPR med egna nationella lagstiftningar.

Målet handlar i korthet om lagen i Litauen om intresseavstämning som avser kampen mot korruption och omfattar begreppet "personer som arbetar i offentlig tjänst".  Enligt denna lag ska varje person som arbetar i offentlig tjänst och varje person som önskar utföra uppgifter i offentlig tjänst anmäla sina privata intressen genom att inge en förklaring om enskilda intressen. Dessutom ska denna information för vissa kategorier av anställda offentliggöras. Bland annat avser offentliggörandet specifika uppgifter om varje anläggningschef (som tar emot allmänna medel) samt uppgifter om dennes make, sambo eller partner eller personer som är nära släktingar till denne eller är kända av denne och som kan ge upphov till en intressekonflikt eller avser transaktioner som genomförts under de senaste 12 kalendermånaderna och vars värde överstiger 3 000 euro. I EU-rätten finns det även en konvention om kamp mot korruption som tjänstemän är delaktiga i. Denna konvention tas även upp av EU-domstolen.

EU-domstolen svarade på två huvudfrågor i det aktuella målet.


Proportionalitetsbedömningar i nationella lagstiftningar

Första frågan som EU-domstolen besvarade handlade om förhållandet mellan litauisk lag och EU konventionen om korruption å ena sidan och GDPR å andra sidan. I korthet var frågan om den aktuella nationella lagstiftningen i Litauen hade uppfyllt kraven i GDPR.

Den andra frågan som EU-domstolen besvarade avsåg om uppgifter om för- och efternamn på make/maka, sambo eller partner kan anses utgöra känsliga personuppgifter enligt GDPR då dessa kan indirekt avslöja uppgifter om ens sexualliv eller sexuell läggning.

Även om den andra frågan rörande vad som utgör känsliga personuppgifter och den vida tolkningen som EU-domstolen gör gällande begreppet känsliga personuppgifter, kan vara den största nyheten i denna dom (se nedan), så handlar domen till största del om de proportionalitetsbedömningar som medlemsländernas nationella kompletterande lagstiftningar behöver uppfylla. Annars riskerar dessa regleringar att underkännas av EU-domstolen. I denna del av domen kan ni finna flera intressanta resonemang från EU-domstolen.

EU-domstolen anger bl. a. följande:

”Second, even if publication of the private data at issue in the main proceedings were to prove necessary in order to achieve the objectives pursued by the Law on the reconciliation of interests, it is to be noted that a potentially unlimited number of persons may consult the personal data at issue. However, it is not apparent from the documents before the Court that the Lithuanian legislature, when adopting that provision, examined whether publication of those data on the internet without any restriction of access is strictly necessary or whether the objectives pursued by the Law on the reconciliation of interests might be achieved just as effectively if the number of persons able to consult those data is limited.”

EU-domstolens slutsats blev att artikel 6.1 första stycket c och artikel 6.3 i GDPR ska tolkas så att de utgör hinder för den litauiska lagstiftningen enligt vilken det föreskrivs att en förklaring om enskilda intressen ska offentliggöras på internet.

För er som har läst IMY:s remissvar under de senaste åren, kan denna dom inte ha kommit som en överraskning. Då IMY har i de flesta av sina remissvar tagit upp just detta med vikten av proportionaliteten vid framtagande av nationell rätt som kompletterar GDPR. Eftersom översynen över de fler hundra registerförfattningar som finns i Sverige och som kan ge diverse stöd för myndigheterna att behandla personuppgifter, skedde i rekordfart innan GDPR trädde i kraft, så tror jag att det kan finnas flertal bestämmelser i Sverige, som vid prövning, skulle kunna underkännas av EU-domstolen.


Känsliga personuppgifter

När det gäller den andra frågan som EU-domstolen besvarade om att för- och efternamn på make/maka, sambo eller partner kan anses utgöra känsliga personuppgifter enligt GDPR då dessa indirekt kan avslöja uppgifter om ens sexualliv eller sexuell läggning, innebär det enligt mig en stor förändring på hur man ska se på de personuppgifter som ska omfattas av artikel 9 i GDPR. Med det sagt så behöver många verksamheter se över sina kategorier av känsliga personuppgifter efter den nya EU-domen.