Generell information till registrarer om Dataskyddsförordningen (GDPR) vid utlämnande av personuppgifter - Kunskapsbas / Juridik - Support Portal | Registry Services

Generell information till registrarer om Dataskyddsförordningen (GDPR) vid utlämnande av personuppgifter

Uppdaterad 17 May, 2020

Denna text är framtagen av Internetstiftelsen som en generell beskrivning av vilka krav som Dataskyddsförordningen (GDPR) ställer vid utlämnande av personuppgifter. Eftersom ansvaret ligger på den personuppgiftsansvarige att göra bedömningen ska särskild bedömning göras i varje enskilt fall och vid osäkerhet råder vi er att vända er till ett juridiskt ombud.

Bakgrund 
Som registrar händer det att olika aktörer (till exempel myndigheter och privatpersoner) begär ut uppgifter kopplade till ett domännamn. 

Registrarens verksamhet styrs av olika regler. Särskilt relevant för registrarens verksamhet är GDPR, som reglerar hur personuppgifter ska behandlas. 

Personuppgifter är bland annat namn, personnummer och e-postadresser. Som personuppgifter räknas dock alla uppgifter som kan kopplas till en levande fysisk person. Om t.ex. ett domännamn består av ett för- och efternamn, kan själva domännamnet också vara en personuppgift då det kan användas för att identifiera en fysisk person. 

GDPR är tillämplig när personuppgifter behandlas helt eller delvis automatiskt samt vid annan behandling av personuppgifter om personuppgifterna ska ingå eller ingår i ett register. En personuppgiftsbehandling är varje åtgärd som vidtas avseende personuppgifter. 

Detta innebär att begreppet behandling i GDPR omfattar bland annat insamling, lagring och utlämnande av personuppgifter. När registraren behandlar personuppgifter i verksamheten är registraren själv ansvarig för att behandlingen av personuppgifterna sker i enlighet med GDPR. Om de uppgifter som efterfrågas kan vara personuppgifter behöver registraren därför göra vissa överväganden innan uppgifterna kan lämnas ut, för att registraren ska agera i enlighet med GDPR. 

Rättsligt stöd för att lämna ut personuppgifter 
Ett grundläggande krav som GDPR ställer är att det måste finnas ett rättsligt stöd för att få behandla någons personuppgifter. De rättsliga stöden är bland annat att samtycke har lämnats från den aktuella personen, att det finns en rättslig förpliktelse att behandla personuppgifterna eller att det finns ett berättigat intresse att behandla personuppgifterna. Grunderna för rättsligt stöd för behandling finns i artikel 6 GDPR. 

Ett samtycke kan användas som stöd för att lämna ut personuppgifter, men eftersom ett samtycke kan vara krävande att inhämta samt kan återkallas och då det finns en faktisk risk att samtycket inte bedöms som giltigt, 1 bör samtycke som stöd för att lämna ut personuppgifter främst användas i sista hand eller tillsammans med ett annat rättsligt stöd. 

De rättsliga stöd som är bäst lämpade vid utlämnande av personuppgifter är därför de som kallas för rättslig förpliktelse respektive berättigat intresse. Den främsta skillnaden mellan dem är att medan en rättslig förpliktelse innebär att registraren måste lämna ut vissa personuppgifter, innebär ett berättigat intresse att registraren får lämna ut de personuppgifter som är nödvändiga för att uppnå syftet. 

Rättslig förpliktelse 
Det finns lagar, regler och officiella myndighetsbeslut vid sidan av GDPR som anger att en registrar ska lämna ut personuppgifter till den som efterfrågar dem. Detta kan till exempel vara att en lag anger att en näringsidkare är skyldig att lämna ut personuppgifter till en myndighet eller domstol. 

En rättslig förpliktelse att lämna ut personuppgifter är främst aktuellt om den som efterfrågar uppgifterna representerar en myndighet. Om ett företag eller en privatperson har gått till domstol och domstolen har beslutat att registraren är skyldig att lämna ut vissa personuppgifter, kan det också vara fråga om en rättslig förpliktelse. 

Ett exempel på en rättslig förpliktelse att lämna ut personuppgifter finns i 42 § marknadsföringslagen. 42 § marknadsföringslagen anger att på uppmaning av Konsumentombudsmannen ska var och en lämna de upplysningar som behövs i ett ärande om tillämpningen av marknadsföringslagen. Om Konsumentombudsmannen därmed efterfrågar vissa personuppgifter med stöd av 42 § marknadsföringslagen, ska registraren lämna ut de uppgifter som efterfrågas. Liknande bestämmelser finns i 8 § lagen om avtalsvillkor i konsumentförhållanden och 37 kap. 9 § skatteförfarandelagen. 

Även om många av de svenska myndigheterna kan uppge en lag som innebär en rättslig skyldighet för registraren att lämna ut personuppgifter, är det alltid bra att kontrollera och läsa igenom den regel som myndigheten har uppgett. Om ingen lag eller regel nämns och en myndighet efterfrågar uppgifter, kan registraren för säkerhets skull be myndigheten specificera om det finns en rättslig förpliktelse till grund för myndighetens begäran. Detta på grund av att det i slutändan är registraren som är ansvarig inför Datainspektionen och ska kunna visa på att GDPR efterlevs. 

Berättigat intresse 
En registrar får även lämna ut personuppgifter om det föreligger ett berättigat intresse, under förutsättning att det berättigade intresset väger tyngre än intressen och grundläggande fri- och rättigheterna för den vars personuppgifter behandlas. Vilket intresse som väger tyngst ska avgöras genom en intresseavvägning i varje enskilt fall. Om registraren efter intresseavvägningen kommer fram till att den som efterfrågar uppgifterna har ett intresse som väger tyngre än den vars personuppgifter behandlas, kan de personuppgifter som är nödvändiga för att uppnå syftet lämnas ut. 

Att göra en intresseavvägning för att undersöka vilka personuppgifter får lämnas ut kan vara aktuellt oavsett om det är en myndighet, en privatperson eller ett företag som efterfrågar personuppgifterna. Det viktiga är att en konkret intresseavvägning görs i varje enskilt fall. 

För att få använda grunden berättigat intresse som stöd för att lämna ut personuppgifter behöver registraren veta syftet hos den som efterfrågar personuppgifterna och vad personuppgifterna ska användas till. Ett sådant berättigat intresse kan vara att förhindra bedrägerier eller utreda brott. Ett berättigat intresse kan också föreligga om den som efterfrågar uppgifterna vill komma i kontakt med innehavaren i syfte att ta över domännamnet eller för att inleda en tvist om bättre rätt till domännamnet, men en bedömning behöver göras av registraren i varje enskilt fall. 

I praktiken ska intresseavvägningen innebära att man på ett medvetet sätt väger intresset hos den som efterfrågar personuppgifterna mot intresset och rättigheterna hos den vars personuppgifter efterfrågas. Om registraren kommer fram till att intresset väger tyngre hos den som efterfrågar uppgifterna, kan uppgifterna lämnas ut. 

Det är viktigt att registraren endast lämnar ut de personuppgifter som faktiskt behövs för att den som efterfrågar uppgifterna ska kunna förverkliga syftet. Om till exempel en privatperson efterfrågar uppgifter om en innehavares namn, telefonnummer, e-postadress och personnummer i syfte att komma i kontakt med innehavaren, är det troligen tillräckligt att registraren enbart lämnar ut innehavarens e-postadress för att syftet ska uppnås. 

När personuppgifter har lämnats ut efter en intresseavvägning är det viktigt att registraren dokumenterar den bedömning som har gjorts, för att visa på att GDPR efterlevs. Detta underlag kan nämligen komma att efterfrågas om Datainspektionen gör en tillsyn. 

Avslutande synpunkter 
GDPR ställer upp vissa krav på hur registraren ska hantera personuppgifter i verksamheten. 

I takt med att Datainspektionen utövar tillsyn och genomför utredningar kommer ytterligare information att ges om grunderna rättslig förpliktelse och berättigat intresse att lämna ut personuppgifter. På Datainspektionens hemsida publiceras nya vägledningar om GDPR med jämna mellanrum. 

Till dess handlar en stor del av arbetet med GDPR om att tänka till innan man vidtar åtgärder som rör personuppgifter och att alltid ha i beaktande att personuppgifter ska behandlas på ett skyddsvärt sätt.