GDPR:s tillämpningsområde omfattar enligt artikel 2.2c inte privatpersoners behandling av personuppgifter när sådan utförs som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll. Undantaget benämns i vardagligt tal hushållsundantaget eller privatundantaget. Detta blogginlägg syftar till att utreda undantagets tillämpningsområde och därmed klargöra när GDPR gäller för privatpersoners behandling av personuppgifter.
Vid vilka personuppgiftsbehandlingar GDPR är tillämplig styrs av det materiella tillämpningsområdet samt det territoriella (geografiska) tillämpningsområdet, vilket regleras i artikel 2 och 3 GDPR. För att en behandling ska omfattas av förordningen krävs det att behandlingen ryms inom båda tillämpningsområdena. Trots det kan däremot ett undantag såsom hushållsundantaget föreligga, vilket gör att förordningen inte är tillämplig. I ett tidigare blogginlägg (läs här) förklarar vi ingående både det materiella och territoriella tillämpningsområdet, därmed när GDPR är tillämplig.
Vad innebär hushållsundantaget?
Detta blogginlägg fokuserar på hushållsundantaget, även kallat privatundantaget i artikel 2.2 c. Det engelska namnet för hushållsundantaget är ”household exemption”. Undantaget innebär att GDPR inte omfattar privatpersoners behandling av personuppgifter som utförs som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll. Vad undantaget innebär mer konkret och därigenom när GDPR inte gäller för privatpersoners behandling av personuppgifter ska i det följande förklaras.
Behandling av ”rent privat natur eller som har samband med privatpersons hushåll”
Hushållsundantaget omfattar inte all behandling av personuppgifter som privatpersoner utför. Därför kan även privatpersoner omfattas av GDPR vilket är något inte alla är medvetna om. Behandling som undantas och är av privat natur eller har samband med privatpersonens hushåll omfattar enligt skäl 18 sådan behandling som saknar koppling till yrkes- eller affärsmässig verksamhet.
Konkret vad för uppgifter sådan privat behandling kan innefatta är exempelvis innehav av adresser, privat internetverksamhet och aktivitet i sociala nätverk. Notera att nyssnämnda exemplen kan utgöra behandling som undantas GDPR, det utgör därmed inte behandling som alltid ska undantas. För att tydliggöra redogörs nedan vägledning hämtad från EU-domstolen.
Syftet får inte vara att göra personuppgifterna tillgängliga för obestämt antal personer
I mål ”C-25/17 Jehovas vittnen” förklarade EU-domstolen undantagets innebörd närmre. Rent privat natur eller behandling som har samband med privatpersons hushåll innebär verksamhet som endast utgör del av enskildas privat- eller familjeliv. Verksamhet vars syfte är att göra personuppgifter tillgängliga för ett obestämt antal personer omfattas därför inte av undantaget. Inte heller kan verksamhet som delvis innefattar ett område dit allmänheten har intresse omfattas. Då uppfylls inte kravet på att personuppgifterna enbart ska behandlas inom privatpersonens privata krets.1
- Alltså, eftersom undantaget avser en privat behandling får man inte ha som avsikt att sprida personuppgifterna vidare.
Behandlingen får inte avse offentliggörande på internet till obestämt antal personer
Ett annat mål där privatundantaget tydliggjorts är ”C-101/01 Lindqvist”. En privatperson hade på sin egen webbplats publicerat personuppgifter hänförliga till dennes kollegor. EU domstolen konstaterade att sådan verksamhet inte omfattades av privatundantaget. Behandling av personuppgifter som innebär att de offentliggörs på internet för ett obestämt antal personer utgör uppenbarligen inte verksamhet som utgör en del av enskildas privat- eller familjeliv.2
- Då enbart syftet att sprida personuppgifterna vidare inte omfattas av undantaget gör inte heller en faktisk spridning det. Att som privatperson publicera personuppgifter på internet till ett obestämt antal läsare innebär därmed att GDPR är tillämplig.
Undantaget ska tillämpas restriktivt
EU-domstolen har vidare vid flera tillfällen konstaterat att undantaget ska tillämpas restriktivt, bland annat i målet ”C-345/17 Buivids”. Anledningen till en snäv tolkning av undantaget är att undantagen behandling innebär att förordningen inte ska tillämpas, vilket avviker från dess syfte. Syftet är att skydda grundläggande fri- och rättigheter såsom rätt till skydd för privat- och familjeliv, vilket rubbas när GDPR inte är tillämplig. I samma mål poängterades återigen vikten av begränsad tillgång och inte en spridning till obestämd krets för undantagets tillämplighet.3
- Slutligen innebär en restriktiv tolkning att undantaget enbart ska tillämpas i solklara situationer. Om man som privatperson är osäker på om GDPR gäller är det alltså troligt att så är fallet.
Sammanfattningsvis när undantaget gäller
- För det första får inte syftet vara att göra uppgifterna tillgängliga för ett obestämt antal personer.
- Du får därmed inte heller sprida personuppgifterna vidare till en obestämd krets.
- Undantaget ska tillämpas restriktivt, vilket innebär att enbart uppenbara situationer där varken 1) eller 2) är fallet omfattas. Om båda punkterna ä uppfyllda gäller undantaget och GDPR är inte tillämplig.
Personuppgiftsansvariga och personuppgiftsbiträden som tillhandahåller utrustning för behandling av personuppgifter
I skäl 18 förklaras att förordningen är tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som erbjuder utrustning för behandling av personuppgifter. Detta gäller även om utrustningen behandlar personuppgifter av ren privat natur eller som har samband med persons hushåll. Konkret exempel på vad detta kan innebära är exempelvis Facebook. Även om du som privatperson publicerar ett Facebookinlägg i en sluten grupp med din familj och omfattas av hushållsundantaget är GDPR fortfarande tillämplig för Facebook.
Exempel på behandlingar som inte ansetts omfattas av hushållsundantaget
Som ovan konstaterats får inte avsikten vara att sprida personuppgifterna till ett obestämt antal personer, då detta inte utgör en behandling av rent privat natur. För att ställa frågan på sin spets presenteras nedan aktuella exempel på vad som inte ansetts omfattas av privatundantaget.
Hot om spridning
I ett spanskt rättsfall menade den spanska domstolen att enbart ett hot om spridning gjorde att hushållsundantaget inte var tillämpligt. En tonåring (ansvarig) bad en minderårig (registrerad) att skicka lättklädda bilder via kanaler som Whatsapp och Instagram. När den ansvarige ville ha fler bilder skickade till sig och den registrerade inte ville göra det förekom hot. Tonåringen hotade med att bilderna skulle offentliggöras på sociala medier om inte den minderåriga skickade fler bilder. På grund av utpressningen skickade den registrerade ännu fler bilder. Även om bilderna inte rent faktiskt offentliggjordes ansåg den spanska domstolen att ett hot om offentliggörande var tillräckligt för att inte avse behandling av rent privat natur.4
Publicering på sociala medier
Ett rättsfall från Nederländerna behandlade situationen att en mormor publicerade bilder på sitt barnbarn på sociala medier utan samtycke av barnets föräldrar. Nederländernas implementering av GDPR krävde samtycke från förälder vid publicering av personuppgifter på barn, vilket mormoderns publicering saknade. Domstolen fann att sådant agerande, publicering på sociala medier inte med säkerhet kan rymmas inom hushållsudantaget och därmed ansågs GDPR tillämplig på sådan behandling.5
Den svenska tillsynsmyndigheten, Integritetsskyddmyndigheten (IMY), menar i enlighet med det ovan nämnda rättsfallet att publicering på sociala medier inte anses vara en behandling av rent privat natur (läs mer här).6
Exempel på behandling som omfattas av hushållsundantaget
För att göra det ännu tydligare för dig vad som avses med behandling av rent privat natur eller som har samband med personens hushåll kommer jag presentera konkreta exempel som omfattas av hushållsundantaget. Exemplen är hämtade från Europeiska dataskyddsstyrelsens vägledning.7
- En turist tar bilder med sin mobiltelefon för att dokumentera sin semesterresa. När personen kommit hem visas bilderna för familj och några vänner. Bilderna görs däremot inte tillgängliga för ett obestämt antal personer. Därmed faller detta inom tillämpningsområdet för hushållsundantaget.
- Du tar bilder tillsammans med din familj och publicerar dem i er slutna Facebookgrupp. Publiceringen offentliggörs inte till ett obestämt antal personer och undantaget är återigen för handen.
Avslutningsvis
Avslutningsvis kan alltså privatpersoners behandling av personuppgifter i stor utsträckning omfattas av GDPR, vilket många saknar kännedom om. Tänk också på att ni som har privatpersoner som kunder omfattas av GDPR även där hushållsundantaget gäller för privatpersonen i fråga! En bra utgångspunkt för allt GDPR-arbete är att ha ett register över behandlingar. Med hjälp av ett sådant register får ni en överblick över vilka personuppgifter ni behandlar/planerar att behandla samt vilka eventuella risker som finns.
GDPR är en omfattande förordning som är relativt ny vilket gör att mycket händer på området. Vår blogg fokuserar på vad som är aktuellt och vill du prenumerera på den kan du göra det här.
Fotnoter
- C-25/17, Jehovas vittnen, punkt 42.
- C-101/01, Lindqvist-domen, punkt 47.
- C-345/17, Buivids, punkt 41.
- AEPD-ps-00107-2022.
- RB Geberland – C/051368427.
- IMY, https://www.imy.se/vanliga-fragor-och-svar/ar-jag-ansvarig-for-det-jag-publicerar-pa-sociala-medier/.
- https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_sv.pdf s. 14.