GDPR och utlämning av allmän handling i form av sammanställningar med personuppgifter
Det uppkommer frågor kring förhållandet mellan offentlighetsprincipens rätt att ta del av allmänna handlingar och skyddet för personuppgifter när sammanställningar med personuppgifter begärs ut från till exempel kommuner. I denna analys redogör Anders Vedin, rådgivare i vår dataskyddsgrupp, för två mer allmänna sekretessgrunder för personuppgifter.
BAKGRUND
Det förekommer ofta när kommuner och myndigheter tar emot en begäran om utlämning av allmän handling från allmänheten att de ställs inför frågor om gränsdragningen mellan dataskyddsreglerna och reglerna om utlämnande av allmän handling. Frågor kan uppkomma när någon har begärt ut handlingar med personuppgifter i, men framför allt uppkommer kanske frågorna när någon begär ut en sammanställning av uppgifter där det förekommer personuppgifter. Ibland handlar det om direkta personuppgifter som namn, e-postadress, telefonnummer med mera, men det kan även handla om indirekta personuppgifter som till exempel fastighetsbeteckningar.
Lagstiftaren, både på EU-nivå och i Sverige, har reglerat situationen genom artikel 86 i förordning (EU) 2016/679 (GDPR) och 1 kap. 7 § i lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Genom denna reglering har tryckfrihetsförordningen (1949:105) (TF) företräde framför GDPR. Det innebär att det inte går att vägra att lämna ut en allmän handling bara för att den innehåller personuppgifter.
Vid en begäran om utlämnande av en handling som innehåller personuppgifter måste det först göras en prövning av om det som begärs ut är en handling och om handlingen i så fall är allmän. Om det är en allmän handling behöver en prövning ske för att bedöma om uppgifterna i handlingen är offentliga eller om vissa uppgifter är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400) (OSL). Om det finns vissa uppgifter som omfattas av någon sekretessbestämmelse ska ett beslut om att avslå begäran om att ta del av uppgifterna fattas. Observera att ett beslut om att avslå en begäran om att ta del av uppgifter i en allmän handling innefattar myndighetsutövning och måste fattas av en person som är behörig enligt delegationsordningen samt medföljas av en besvärshänvisning när det skickas ut.
SAMMANSTÄLLNINGAR AV UPPGIFTER OCH SEKRETESS FÖR PERSONUPPGIFTER
Ofta är det ganska enkelt att bedöma om en handling är en allmän handling. Handlingen kan vara inkommen till myndigheten utifrån eller så har den upprättats på myndigheten och skickats ut från myndigheten till någon annan, till exempel i form av brev eller olika skrivelser som skickats per post eller som e-postmeddelanden. Om handlingen förvaras hos myndigheten är det en allmän handling. De olika situationerna regleras i 2 kap. TF. Det är inte ovanligt att myndigheter ombeds att göra sammanställningar av uppgifter från ett eller flera IT-system, som på ett eller annat sätt innehåller personuppgifter. Sammanställningar som ännu inte finns brukar i detta sammanhang kallas för potentiella handlingar. Sammanställningar av uppgifter anses förvarade hos myndigheten om de kan tas fram med rutinbetonade åtgärder. Detta framgår av 2 kap. 6 § andra stycket TF. Bestämmelsen är ett uttryck för den så kallade likställighetsprincipen som innebär att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten. Om det tar fyra till sex timmar eller mer att göra en sammanställning kan det enligt Högsta förvaltningsdomstolen inte ske med rutinbetonade åtgärder, och det går då att avslå en begäran om att ta del av uppgifterna av den anledningen (se HFD 2015 ref. 25).
Om det går att ta fram handlingen med rutinbetonade åtgärder går processen vidare till prövning enligt OSL. I OSL finns det flera olika sekretessregler som berör personuppgifter inom till exempel personaladministration, hälso- och sjukvårdsområdet och skolområdet. Men det finns även två mer allmänna sekretessgrunder för personuppgifter. Den första sekretessgrunden är 21 kap. 3 § OSL där enstaka uppgifter som begärs ut beläggs med sekretess. Den andra är 21 kap. 7 § OSL som innebär i princip att alla uppgifter som begärs ut beläggs med sekretess. 21 kap. 7 § OSL är enligt praxis bland annat tillämplig vid massuttag av uppgifter och vid selekterade uppgifter om ett fåtal individer.
21 kap. 3 § offentlighets- och sekretesslagen
Om de uppgifter som begärs ut är tämligen harmlösa personuppgifter som till exempel namn, adress, telefonnummer och e-postadress omfattas de normalt sett inte av några sekretessregler. Men då finns det en regel i 21 kap. 3 § OSL som medför att i vart fall vissa typer av personuppgifter hänförliga till personer som är förföljda på något sätt, omfattas av sekretess. Observera att sekretessen inte gäller för uppgift om beteckning på fastighet eller tomträtt. Sekretess gäller uppgifter om den enskilde och den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Om vissa uppgifter i en sammanställning omfattas av denna sekretess vid en begäran om att ta del av allmän handling, ska ett formellt beslut om att avslå begäran avseende dessa uppgifter fattas.
21 kap. 7 § offentlighets- och sekretesslagen – dataskyddssekretess
I 21 kap. 7 § OSL stadgas att sekretess gäller för uppgifter som efter utlämnandet kommer att behandlas i strid med GDPR:
7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med
- Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen
- lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller
- 6 § lagen (2003:460) om etikprövning av forskning som avser människor. En första fråga att bedöma är om den tänkta behandlingen omfattas av GDPR. Det finns till exempel ett undantag för privat behandling av personuppgifter och de flesta paragraferna i dataskyddsregelverket gäller inte vid behandling för ”journalistiska ändamål”. Om GDPR är tillämplig på den tänkta behandlingen och det finns någon form av konkret misstanke om att uppgifterna kommer att behandlas i strid med GDPR efter utlämnandet, går det att bryta det efterforskningsförbud som finns vid begäran om allmänna handlingar. Enligt 2 kap. 18 § TF får myndigheten börja ställa frågor om syftet med att handlingar begärs ut och vem sökanden är endast i den utsträckning det är nödvändigt för att genomföra sekretessprövningen och avgöra om handlingen omfattas av sekretess.
För att hantera förfrågan och göra en sekretessbedömning enligt 21 kap. 7 § OSL behöver en bedömning göras av om den tänkta behandlingen av personuppgifter efter utlämnandet är laglig i enlighet med GDPR, till exempel att de grundläggande principerna i artikel 5 i GDPR är uppfyllda. Om den tillämpliga lagliga grunden för den framtida behandlingen är ett berättigat intresse ska en bedömning av personens ändamål med att behandla personuppgifterna vägas mot de registrerades intresse av skydd mot kränkning av den personliga integriteten, enligt artikel 6 f i GDPR.
Här ges några exempel på vad som i normalfallet kan behöva utredas och bedömas för att göra prövningen enligt 21 kap. 7 § OSL.
- Vilka uppgifter som omfattas av begäran är personuppgifter?
- Ingår känsliga personuppgifter bland de uppgifter som begärts ut?
- Vad är ändamålet med den tänkta personuppgiftsbehandlingen som ska genomföras efter ett utlämnande?
- Är den tänkta personuppgiftsbehandlingen nödvändig för att tillgodose ändamålet bakom begäran?
- Om det är flera uppgifter som begärs för respektive person kan det vara relevant att fråga om mängden eller antalet personuppgifter är nödvändig för att tillgodose syftet bakom begäran. Är uppgifterna tillsammans nödvändiga för att uppnå ändamålet? Kan det räcka med en mindre mängd eller ett mindre antal personuppgifter?
- Hur (rent praktiskt) kommer personuppgifterna att behandlas efter utlämnandet?
När frågorna har besvarats behöver en bedömning av om uppgifterna kommer att behandlas i strid med GDPR efter utlämnandet göras. Om bedömningen resulterar i att uppgifterna inte lämnas ut ska ett formellt beslut fattas om att avslå begäran om att ta del av uppgifterna.
AVSLUTNING
TF och GDPR är två olika regelverk, med olika syften. Även om de vid en första anblick kan verka motstående, är det vid en närmre granskning tydligt att lagstiftaren har löst deras samexistens på ett bra sätt. Genom TF:s regler kan även sammanställningar med stora mängder personuppgifter lämnas ut som allmänna handlingar. Vid en prövning av uppgifterna i en sammanställning, blir en framtida behandling i strid med GDPR en möjlig sekretessgrund bland andra sekretessgrunder i OSL.
Avslutningsvis är det värt att påpeka att det är viktigt att tänka på hur utlämnandet av uppgifterna sker. Själva utlämnandet av handlingar som innehåller personuppgifter är en egen behandling enligt GDPR och måste som sådan uppfylla alla GDPR:s regler. Av den anledningen kan det i vissa fall vara lämpligt att lämna ut sammanställningar i pappersform.
Av Anders Vedin, rådgivare och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 30 jan 2023
Rådgivare, jurist