Publikation och spridning av falska uppgifter om människor på internet är ett känt problem, inte minst när det gäller sexuella beteenden. En fråga som aktualiseras ur ett dataskyddsperspektiv är om sådana uppgifter utgör känsliga personuppgifter i dataskyddsförordningens (GDPR) mening.
Frågan diskuterades i EU-domstolens mål C-492/23 från den 2 december 2025. Målet handlade om en webbplats som tillät användare att publicera annonser om bland annat försäljning av varor och tillhandahållande av tjänster. En av användarna, som inte kunde identifieras, publicerade en annons med falska och skadliga uppgifter om en kvinna. I annonsen angavs att kvinnan erbjöd sexuella tjänster, vilket inte stämde. Vidare innehöll annonsen bland annat bilder av kvinnan samt hennes telefonnummer.
En fråga i målet var om den falska uppgiften om att kvinnan erbjöd sexuella tjänster utgjorde en känslig personuppgift i GDPR:s mening. EU-domstolen inledde sitt resonemang med att påminna om att begreppet personuppgifter har en vid innebörd och konstaterade att de uppgifter som publicerades i annonsen utgjorde personuppgifter i GDPR:s mening. I detta sammanhang underströk EU-domstolen att även åsikter eller bedömningar utgör personuppgifter, förutsatt att de avser den registrerade personen.
Därefter analyserade EU-domstolen GDPR:s särskilda regler om skydd av känsliga personuppgifter, vilka bland annat omfattar personuppgifter som avser en fysisk persons sexualliv eller sexuella läggning (artikel 9.1 GDPR). EU-domstolen påminde om att syftet med dessa regler är att säkerställa ett förstärkt skydd mot behandling som, på grund av uppgifternas särskilt känsliga natur, kan utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, såsom dessa garanteras genom rättighetsstadgan. Enligt EU-domstolen förutsätter ett sådant förstärkt skydd att begreppet känsliga personuppgifter ges en vid definition. Reglerna i artikel 9.1 GDPR är därför enligt EU-domstolen tillämpliga inte bara på behandling av uppgifter som i sig är känsliga, utan även på uppgifter som indirekt, efter en intellektuell slutledning eller avstämning, avslöjar information av detta slag.
Mot denna bakgrund fann EU-domstolen att den omständigheten att uppgifter om en fysisk persons sexualliv eller sexuella läggning är falska och skadegörande inte innebär att de ska fråntas sin klassificering som känsliga personuppgifter. Uppgifterna utgjorde således känsliga personuppgifter i GDPR:s mening.
EU-domstolens slutsats innebär att även andra uppgifter som indirekt rör en persons sexualliv eller sexuella läggning kan utgöra känsliga personuppgifter i GDPR:s mening, oavsett om uppgifterna är riktiga eller falska. Klassificeringen av uppgifterna har betydelse såväl för användaren som publicerar sådana uppgifter som för webbplatsen eller plattformen som sprider dem. Ur ett ansvarsperspektiv påverkar klassificeringen bland annat allvarlighetsgraden av en potentiell överträdelse av regelverket. Ur ett efterlevnadsperspektiv innebär klassificeringen skärpta krav på de åtgärder som ska vidtas av webbplatsen eller plattformen för att förhindra en olaglig behandling av uppgifterna.
TechLaw tillhandahåller ledande juridisk rådgivning inom dataskydd på digitala plattformar. Vi bistår med gap-analyser, riskbedömningar, åtgärder för regelefterlevnad och tillsynsärenden. Kontakta oss gärna för en konsultation.