HFD: Handlings offentlighet påverkar inte registrerads rätt till personuppgifter

Det finns inget hinder i tryckfrihetsförordningen mot att lämna ut personuppgifter ur handlingar som inte är allmänna till en person vars personuppgifter förekommer i handlingarna. Inte heller dataskyddsförordningens (GDPR) föreskrifter om rätten för en registrerad person att ta del av personuppgifter påverkas av om handlingen är allmän eller inte. Det beslutar Högsta förvaltningsdomstolen, som därmed river upp ett tidigare beslut i Kammarrätten i Jönköping.

Bakgrunden är en begäran från en person som har velat ta del av flera dokument i ett antal mål om allmän handling där hans egna personuppgifter förekom, med stöd av artikel 15 i GDPR. Men kammarrätten betraktade inte de berörda handlingarna som formellt inkomna till domstolen, och därmed inte som allmänna. Att lämna ut dem, eller uppgifter ur dem, skulle därmed strida mot tryckfrihetsförordningen och gå utöver vad som är den enskildes rätt enligt GDPR, bedömde domstolen. HFD underkänner alltså den bedömningen och skickar tillbaka målet för ett omtag i frågan. Samtidigt konstaterar HFD att ”rätten till tillgång till personuppgifter enligt EU:s dataskyddsförordning inte innebär en rätt att få del av den handling där personuppgifterna förekommer”.

I en efterföljande dom har HFD gjort samma bedömning i en snarlik fråga.

HD: Nyhetsbyrå får ut brottmålshandlingar med förbehåll

Nyhetsbyrån Siren och rättsdatabasen Trobar ska få ut brottmålshandlingar från domstolar med förbehåll som innebär att de inte får förmedla handlingarna inklusive personuppgifter vidare till betalande kunder eller allmänheten, eller ge utomstående sökmöjligheter till personuppgifter i handlingarna. Det har Högsta domstolen beslutat i två prejudicerande beslut, där EU:s dataskyddsförordning bedöms väga tyngre än Sveriges mediegrundlagar. Beslutet innebär ett underkännande av svensk lag, i dataskyddslagen 1 kap. 7 § första stycket föreskrivs att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. HD var oenig, två skiljaktiga justitieråd gjorde motsatt bedömning i knäckfrågan och ytterligare ett var skiljaktig avseende lämpligheten i utlämnande med förbehåll.

Bakgrunden till HD:s beslut är i Sirens fall ett tidigare meddelat förbehåll från Hovrätten för Övre Norrland efter en begäran om allmän handling. I och med uppfattningen att unionsrätten trumfar grundlagen – och det faktum att nyhetsbyrån systematiskt har begärt ut brottmålshandlingar – blir den sammanfattande bedömningen att personuppgifterna kommer att behandlas i strid med GDPR, varför de omfattas av sekretess. Samtidigt konstaterar HD att Siren främst kommer att använda personuppgifterna för journalistiska ändamål, varför ett utlämnande med förbehåll anses vara en rimlig avvägning mellan intresset att skydda den personliga integriteten och att kunna bedriva journalistisk verksamhet. Därmed får Siren använda personuppgifterna i redaktionellt bearbetade nyhetstexter och nyhetsunderlag. I målet som gäller Trobar är resonemanget och den sammanfattande bedömningen snarlik, med det ytterligare förbehållet att databasen inte får använda personuppgifterna för att avisera andra om handlingarnas innehåll.

HFD: Sammanställning av personuppgifter förenligt med GDPR

Det är tillräckligt att kammarrätten lämnar ut sammanställningar av de personuppgifter som behandlas i ett antal sekretessprövade mål vid domstolen, kopplat till en persons utlämnandeärenden. Den bedömningen gör Högsta förvaltningsdomstolen efter att personen överklagat och begärt ut handlingarna i sin helhet. HFD utgår från formuleringarna i EU:s dataskyddsförordning, som stadgar att en registrerad person ska ha möjlighet att säkerställa att berörda personuppgifter är korrekta och behandlas enligt lagen. I sammanhanget räcker det alltså med en sammanställning för att slå vakt om de grundläggande rättigheterna enligt GDPR, anser domstolen.

Måste utreda GDPR-sekretess i utfärdade p-böter

Kommunägda Stockholms Stads Parkerings AB nekade tidigare i år en persons begäran om att få ut uppgifter över utfärdade p-böter under en angiven period. Bakgrunden är att personen, efter ett eget tvistemålsärende, vill kartlägga parkeringsavgifterna för att utröna om p-böter återkommande utfärdas på felaktiga grunder.

Men domstolen underkänner nu kommunbolagets sekretessgrunder på flera punkter. Det finns inget stöd i OSL för påståendet att det skulle lida affärsmässig skada vid ett utlämnande, och inte heller någon grund för sekretess för enskild baserat på en förmodad hotbild för fordonsägare, enligt domstolen. Enligt bolaget skulle uppgifter över registreringsnummer kunna användas för att spåra var en bilägare ”kan tänkas befinna sig, tillfälligt eller vid återkommande tillfällen i framtiden”. Slutligen sätter kammarrätten frågetecken för bedömningen att samtliga utfärdade kontrollavgifter är en sammanställning av personuppgifter enligt dataskyddsförordningen (GDPR). Bolaget har inte heller styrkt varför personen bakom begäran skulle kunna komma att bryta mot någon bestämmelse i förordningen, anser rätten. Ärendet skickas nu tillbaka till Stockholms Stads Parkering för en ny rond i GDPR-frågan.

Söktjänst får inte publicera känsliga personuppgifter i mål om missbruksvård

EU:s dataskyddsförordning (GDPR) är en sådan lag som medför ett förbud mot publicering av personuppgifter om bland annat hälsa, enligt vad som avses i en undantagsbestämmelse i den svenska yttrandefrihetsgrundlagen. Den bedömningen gör Högsta förvaltningsdomstolen. Bakgrunden är söktjänsten Verifieras överklagande efter beslutet att stoppa offentliggörandet av domar med sökbara personuppgifter i LPT- och LVM-mål, det vill säga tvångspsykiatrisk vård och missbruksvård. HFD prövade inte målet i övrigt, med följden att Integritetsskyddsmyndighetens beslut i ärendet står fast.

Underinstanserna har tryckt på att Verifiera visserligen har ett utgivningsbevis, men att personuppgiftsbehandlingen i fråga inte kan anses ha skett för journalistiska ändamål. Söktjänsten har samtidigt – i strid med GDPR – publicerat en sådan sökbar uppgiftssamling med integritetskänsliga uppgifter som undantagsbestämmelsen i YGL tar sikte på.

Domstol nekar utgivare brottmålsuppgifter med stöd av GDPR

Kammarrätten instämmer i Åklagarmyndighetens bedömning och nekar nyhetsbyrån Vivalto Informations begäran om brottmålsuppgifter i flera ärenden. Detta utifrån bedömningen att uppgifterna i de begärda handlingarna kommer att behandlas i strid med dataskyddsförordningen, GDPR, och att de registrerade personernas intresse väger tyngre än motpartens intresse av att få ta del av dem. Att neka en aktör med utgivningsbevis handlingar utifrån bedömningen att grundlagsskyddet måste stå tillbaka till förmån
för dataskyddsförordningen måste visserligen göras med stor försiktighet, resonerar kammarrätten. Dataskyddsförordningen uppställer dock samtidigt tydliga krav på medlemsstaterna i sammanhanget, enligt domstolen.

Beslut som begränsar nyhetsrapportering om domstolshandlingar fryses

Kammarrätten fryser ett beslut från förvaltningsrätten i Stockholm om att villkora utlämningen av allmänna handlingar från domstolen till Nyhetsbyrån Siren. Förvaltningsrätten beslutade nyligen – med hänvisning till EU:s dataskyddsförordning (GDPR) – att lämna ut handlingarna till Siren med förbehållet att handlingar innehållande personuppgifter kopplade till brott eller hälsa inte fick delas med kunder, som andra medier, via en databas. Nyhetsbyrån menade att detta gjorde att dess verksamhet inte kunde utföras, då den går ut på att dela nyheter med andra medier genom nyhetsbyråns publiceringssystem, som i sin tur är en databas. Siren överklagade beslutet till kammarrätten i Stockholm, som nu beslutar att inskränkningen i nyhetsbyråns rätt att förfoga över innehållet i handlingarna inhiberas – det vill säga inte ska gälla – i väntan på att överklagandet prövas i sak av kammarrätten.

GDPR stoppar utlämnande av valkandidaters personuppgifter

Uppgifter om namn, personnummer och kandidatnummer för samtliga kandidater vid valen 2022 lämnas inte ut till en person som har begärt ut datan för att bygga upp en kommersiell tjänst, med intentionen att bistå i första hand finansiella institut med information. Kammarrätten, som går på Valmyndighetens linje i målet, lyfter fram att syftet med begäran – utvecklandet av den aktuella tjänsten – visserligen kan sägas vara ett sådant berättigat intresse som inryms i dataskyddsförordningen (GDPR). De registrerades intresse bedöms dock väga tyngre. Domstolen tar särskilt fasta på att avsikten är att kunna lämna ut uppgift om politisk tillhörighet, samt att lagstadgade gallringsrutiner inte skulle gälla efter ett utlämnande. Därmed kan det antas att uppgifterna kommer att behandlas i strid med dataskyddsförordningen, varför de omfattas av sekretess enligt 21 kap. 7 § OSL, enligt domstolen.

Enligt framställan i ärendet skulle den kommersiella tjänsten bland annat underlätta för finansiella institut att ta reda på huruvida en individ är en person i så kallad politiskt utsatt ställning (PEP) enligt penningtvättslagen.

GDPR väger tyngre än frivilligt utgivningsbevis i nytt avgörande

Ett bolag som arbetar med bakgrundskontroller nekas få ut allmänna handlingar, då det enligt kammarrätten kan antas att de begärda personuppgifterna kommer att behandlas i strid med EU:s dataskyddsförordning. Bakgrunden är att bolaget, som innehar ett så kallat frivilligt utgivningsbevis, inte fick ta del av uppgifter i två brottmålsärenden hos Åklagarmyndigheten. Kammarrätten – som har prövat relationen mellan dataskyddsförordningen och den svenska yttrandefrihetsgrundlagen – bedömer att de registrerade personernas rättigheter väger tyngre än de grundlagsskyddade rättigheter som innehavare av frivilliga utgivningsbevis åtnjuter. Rätten betonar att uppgifterna i ärendena avser lagöverträdelser, och att bolagets redan etablerade rekryteringsverksamhet framstår som det egentliga syftet med behandlingen av personuppgifterna. Detta särskilt då bolaget ansökte om ett utgivningsbevis först efter Åklagarmyndighetens avslag och av allt döma inte har påbörjat någon journalistisk verksamhet, enligt utslaget. Kammarrättens slutsats blir därmed att de begärda uppgifterna omfattas av sekretess enligt OSL.

Regionnämnd får inte hemlighålla löneuppgifter utifrån GDPR

Det var fel av Region Stockholm att neka en begäran om att få ta del av en sammanställning med namn och löneuppgifter på en vårdvalsenhet utifrån dataskyddsförordningen GDPR. Det konstaterar kammarrätten, som betonar att sekretess enligt 21 kap. 7 § i OSL inte gäller eftersom regionen inte har visat prov på någon konkret omständighet som talar för att löneuppgifterna ska komma att hanteras i strid med GDPR.

Regionens hälso- och sjukvårdsnämnd skrev i sitt avslagsbeslut att ”anställda inte har rätt att utföra lönekartläggning bland sina kollegor på grundval av individuppgifter av integritetsskäl”. Detta då namn är en personuppgift enligt GDPR och när dessa sammanställs i en lista blir det fråga om en kartläggning, enligt beslutet, som nu alltså har upphävts.

Kammarrätten skickar nu tillbaka ärendet till den ansvariga nämnden för att pröva frågan om någon annan sekretessbestämmelse hindrar ett utlämnande i fallet.