Personuppgiftsbehandling stred mot principen om uppgiftsminimering
En stadsbyggnadsnämnd hade tillgängliggjort ett bygglovsärende med känsliga personuppgifter via stadsbyggnadskontorets självbetjäningsdatorer. IMY bedömer att personuppgiftsbehandlingen har skett i strid med principen om uppgiftsminimering och nämnden får därför en reprimand.
Bakgrund
Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot en stadsbyggnadsnämnd med anledning av ett klagomål. Den klagande menade att känsliga personuppgifter hade tillgängliggjorts via stadsbyggnadskontorets självbetjäningsdatorer. Detta genom att ett bygglovsärende som innehöll hälsouppgifter hade gått att söka fram och spara ned såsom en allmän handling.
Rättslig reglering
Den personuppgiftsansvarige ansvarar för, och ska kunna visa, att de grundläggande principerna i artikel 5 i förordning (EU) 2016/679 (dataskyddsförordningen) följs. Enligt principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Av skäl 39 i dataskyddsförordningen följer att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Personuppgifter får enbart behandlas om det finns en rättslig grund, som framgår av artikel 6 i dataskyddsförordningen, för behandlingen. En rättslig grund är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.
Uppgifter om hälsa är så kallade känsliga personuppgifter, se artikel 9.1 i dataskyddsförordningen och 3 kap. 1 § dataskyddslagen. Det är förbjudet att behandla sådana personuppgifter såvida behandlingen inte omfattas av något av undantagen i artikel 9.2 i dataskyddsförordningen.
Ett undantag, enligt artikel 9.2 g i dataskyddsförordningen, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Vidare framgår det av 3 kap. 3 § 1. p dataskyddslagen att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Denna bestämmelse möjliggör exempelvis behandling av känsliga personuppgifter i den mån det krävs för att kunna ta emot e-post eller diarieföra handlingar, se prop. 2017/18:105 s. 194.
Integritetsskyddsmyndigheten
IMY konstaterar inledningsvis att det är stadsbyggnadsnämnden som är personuppgiftsansvarig för personuppgiftsbehandlingen i ärendet. Personuppgifterna behandlades när handlingarna tillgängliggjordes på stadsbyggnadskontorets självbetjäningsdatorer. Ändamålet med personuppgiftsbehandlingen var att ge allmänheten insyn i den kommunala verksamheten.
Att känsliga personuppgifter varit synliga för samtliga användare innebär enligt IMY en spridning av fler personuppgifter än vad som varit nödvändigt med hänsyn till ändamålet med personuppgiftsbehandlingen. Behandling av känsliga personuppgifter kan innebära betydande risker för den personliga integriteten. Mot denna bakgrund bedömer IMY att behandlingen har skett i strid med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. För överträdelsen får stadsbyggnadsnämnden en reprimand enligt artikel 58.2 b i dataskyddsförordningen.
Av Karin Forsman, redaktör och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 28 nov 2022
Jurist
