Sök
Om oss
Allmän handling drivs av Panoptes Sweden AB, Sveriges ledande researchbolag. Våra övriga verksamheter är researchbolaget Acta Publica och Nyhetsbyrån Siren.
Meny
AVGÖRANDEN EFTER LAGRUM (KAPITEL:PARAGRAF I OSL)
Lagar
Etikett: dataskyddsförordningen
Bolag nekas e-postadresser till tusentals skolanställda
E-postadresserna till drygt 4 000 anställda inom grund- och gymnasieskolan i Helsingborgs kommun ska inte lämnas ut, slår Kammarrätten i Göteborg fast. Utslaget följer på ett överklagande från ett personalutbildningsföretag som hade begärt att få tillgång till uppgifterna för att ”snabbt och effektivt” kunna skicka information till personalen, inom ramen för de pågående affärsrelationer som företaget har med kommunen. Den planerade personuppgiftsbehandlingen är inte förenlig med dataskyddsförordningen, konstaterar domstolen, med hänvisning till att personalens integritetsintresse väger tyngre än företagets intressen i sammanhanget. Personuppgifterna bedöms därmed, mot den angivna bakgrunden, omfattas av sekretess enligt OSL.
GDPR-sekretess kunde inte åberopas mot reporter
En tidningsreporter begärde ut transaktionslistor för ett antal konton i kommunala bostadsbolaget Alingsåshems bokföring. Bolaget lämnade ut listorna men maskerade personuppgifterna i dessa med hänvisning till GDPR:s regler om dataskydd. Reportern överklagade och fick rätt i kammarrätten. Det här eftersom journalistisk verksamhet är undantagen GDPR.
Ingen GDPR-sekretess för klasslistor
En person hade rätt att få ut vissa klasslistor och betyg från Kils kommun. Till skillnad från kommunen tyckte kammarrätten inte att det fanns skäl att anta att personen skulle använda uppgifterna i strid mot GDPR. Domstolen pekade på att förordningen inte avser privatpersoners behandling av personuppgifter.
Universitetsanställdas personnummer var hemliga
En person vände sig till Uppsala universitet och begärde att få ta del av namn, personnummer, avdelning, e-postadress och befattning för samtliga närmare 7.500 anställda. Personen ville inte uppge vad som var syftet med begäran och svarade inte på frågan om han kunde tänka sig att få ut uppgifterna med sekretessförbehåll. Universitet vägrade lämna ut uppgifterna.
Personen överklagade till kammarrätten som avslog. Domstolen skrev bland annat: ”Automatiserad behandling av personnummer är förenat med stora
integritetsrisker. Med hänsyn till det och till att Haro de Grauw inte velat
redogöra för sitt syfte med behandlingen kan det antas att de anställdas
personnummer kommer att behandlas i strid med den allmänna
dataskyddsförordningen”.
Riksarkivet fick dubbel bakläxa på GDPR-sekretess plus JO-kritik
Kammarrätten upphävde Riksarkivet beslut att sekretessbelägga källhistoriskt material med stöd av GDPR-sekretess. Företaget som hade begärt ut materialet avsåg att publicera det på en webbplats med utgivningsbevis. Den avsedda personuppgiftsbehandlingen var alltså undantagen GDPR. Kammarrätten skickade tillbaka ärendet till Riksarkivet för prövning av om materialet var sekretessbelagt på någon annan grund.
Riksarkivet överklagade domen. HFD avvisade överklagandet eftersom bara sökanden är behörig att överklaga ett beslut angående rätten att ta del av allmänna handlingar. Riksarkivet hade därför inte rätt att överklaga kammarrättens dom.
Riksarkivet fattade ett nytt beslut där myndigheten återigen avslog företagets begäran med hänvisning till GDPR-sekretess. Myndigheten tyckte att kammarrätten hade ”lämnat motstridiga skäl” och sade sig var skyldig att tillämpa sekretess ”om det finns skäl både för och emot”. Företaget överklagade till kammarrätten som återigen upphävde Riksarkivets beslut.
Domstolen konstaterade att företaget i stort sett är undantagen regleringen i GDPR genom sitt utgivningsbevis, men att det finns ett undantag. Det är bestämmelsen i 1 kap. 20 § yttrandefrihetsgrundlagen som säger att grundlagen inte hindrar förbud mot databaser där man kan söka på känsliga personuppgifter som till exempel etniskt ursprung, hudfärg och religiös övertygelse. Kammarrätten skickade tillbaka ärendet till Riksarkivet för att myndigheten skulle pröva om undantagsbestämmelsen var tillämplig i ärendet.
Efter att kammarrätten för andra gången återförvisat ärendet till Riksarkivet lät myndigheten det ligga utan några åtgärder. Företaget JO-anmälde då myndigheten. JO riktade allvarlig kritik mot Riksarkivet eftersom myndighetens agerande närmast fick betecknas som domstolstrots.
Ingen GDPR-sekretess för lönelista
En anställd vid Region Stockholm begärde ut en lönelista för personalen vid regionarkivet, men fick avslag. Regionen skrev: ”Den bedömning vi gör är att anställda inte har rätt att utföra lönekartläggningar bland sina kollegor på grundval av individuppgifter av integritetsskäl”. Regionen hänvisade till OSL 21:7 (GDPR-sekretess).
Den anställde överklagade och fick rätt i kammarrätten. Domstolen tyckte inte att det hade kommit fram någon konkret omständighet som talade för att den anställde tänkte använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Listan skulle därför lämnas ut inklusive namnen på de anställda.
GDPR-sekretess skyddade provskrivares personuppgifter
En person begärde ut förnamn och initial i efternamnet på ett fyrtiotal personer som hade fått sina resultat på högskoleprovet återkallade. Personen sade sig behöva uppgifterna för en utredning gällande grov utpressning från en person som hade skrivit högskoleprovet.
Universitets- och högskolerådet avslog begäran med hänvisning till att det kunde antas att personen skulle använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Bedömningen grundade sig på att personen hade lämnat knapphändiga uppgifter om syftet med begäran och att liknande uppgifter tidigare hade spridits på internet.
Personen överklagade och intygade att han inte tänkte sprida uppgifterna på nätet. Kammarrätten gjorde en avvägning mellan personens intresse av att använda uppgifterna för en förundersökning om grov utpressning och provskrivarnas intresse av att skydda sina personuppgifter. Domstolen dömde till de senares fördel och avslog överklagandet.
Journalistiskt ändamål trumfade GDPR-sekretess
En person begärde ut antagningslistor till förskoleklasserna i Stockholms kommunala skolor för höstterminen 2018 men fick avslag av kommunen. Personen hade tagit fram ett system för att placera barn rättvist i skolor enligt den relativa närhetsprincipen och ville använda de begärda uppgifterna för att kontrollera om kommunens skolplaceringar gjordes enligt lag.
Kommunen avslog begäran med hänvisning till att det rörde sig om ett massuttag gällande 11.000 elever och att det kunde antas att uppgifterna skulle behandlas i strid med dåvarande personuppgiftslagen, numera GDPR. Det uppgivna ändamålet för behandlingen var inte av rent privat natur och utgjorde inte heller ett berättigat intresse, bedömde kommunen.
Personen överklagade till kammarrätten och framställde ett alternativt yrkande om att namn och personnummer på barnen kunde ersättas av en unik kod som kunde användas för att identifiera samma elev i olika skolors antagningslistor.
Kammarrätten bedömde att det uppgivna ändamålet var ett berättigat intresse, enligt GDPR, men att de registrerade barnens intresse av skydd för namn och personnummer vägde tyngre. Domstolen prövade även om kommunen var skyldig att sammanställa en lista där namn och personnummer hade ersatts av en unik kod men fann att en sådan sammanställning inte kunde göras med rutinbetonade åtgärder.
Senare begärde samma person ut motsvarande listor från Barn- och utbildningsförvaltningen i Huddinge kommun. Det blev avslag även där med hänvisning till GDPR-sekretess. När personen överklagade beslutet lade kommunen till en avslagsgrund i sitt yttrande till kammarrätten, nämligen att de begärda listorna inte var allmänna handlingar eftersom de inte kunde sammanställas med rutinbetonade åtgärder.
Klaganden bemötte detta på följande sätt: ”Enligt instruktionsvideor för den systemlösning som kommunen använder för skolplaceringar har systemlösningen en exportfunktion som innebär att information enkelt kan exporteras till Excel. Handlingarna är därför allmänna.”
Vad gällde sekretessfrågan invände klaganden att hon begärde ut listorna för journalistiska ändamål eftersom hon tänkte publicera resultatet av sin granskning på hemsidan relativnarhet.se som hon drev tillsammans med sin man.
Kammarrätten gick på klagandens linje och bedömde att listorna var allmänna handlingar och att GDPR-sekretessen inte var tillämplig eftersom begäran avsåg ett journalistiskt ändamål. Domstolen återförvisade ärendet till kommunen för prövning av om det fanns någon annan sekretessgrund.
Ingen GDPR-sekretess för ledighetsansökningar
En förälder vände sig till sin dotters skola och begärde ut alla inkomna ledighetsansökningar för elever i årskurs två som hade kommit in under en viss termin. Bildningsnämnden i den aktuella kommunen avslog med hänvisning till ”kapitel 21 offentlighets- och sekretesslagen”. Föräldern överklagade till kammarrätten som prövade överklagandet mot den sekretessregel i kapitlet som säger att en myndighet kan vägra lämna ut personuppgifter om det kan antas att mottagaren kommer att använda dem i strid med dataskyddsförordningen (GDPR). Kammarrätten tyckte inte att det fanns något skäl att göra ett sådant antagande och skickade tillbaka ärendet till bildningsnämnden för att den skulle pröva om det fanns någon annan sekretessregel som stod i vägen för ett utlämnande.