Skyldigheten att återskapa handlingar
Att en myndighets handlingar kan begäras ut känner de flesta till, men vad gäller för handlingar som hamnar i gränslandet mellan förvarade och gallrade? Tryckfrihetsförordningen innehåller ett undantag för säkerhetskopior, vilket gör att dessa inte ska ses som allmän handling. Olika tekniska lösningar i myndigheternas verksamhetssystem har dock gjort att det inte är glasklart vad som är en säkerhetskopia och inte. I denna analys kommer vår expert Sigrid Arnamo titta närmare på frågan om var gränsen går för när en handling övergår i en säkerhetskopia.
Vad är en säkerhetskopia?
Myndigheter har enligt tryckfrihetsförordningen (TF) en skyldighet att lämna ut uppgifter och handlingar som myndigheten förvarar. Denna skyldighet är dock långt ifrån absolut. Ett undantag som flera gånger varit uppe till prövning gäller gallrade handlingar i form av säkerhetskopior som behöver återskapas för att lämnas ut. I 2 kap. 13 § TF framgår att säkerhetskopior som en myndighet förvarar endast i syfte att kunna återskapa information som gått förlorad i en myndighets ordinarie system för automatiserad behandling av information, inte utgör allmän handling. Myndigheten behöver alltså inte lämna ut handlingar ur säkerhetskopior eftersom de inte är allmänna, men vad är egentligen en säkerhetskopia och när övergår en handling från en myndighets ordinarie system till en säkerhetskopia?
För att något ska anses utgöra en säkerhetskopia i tryckfrihetsförordningens mening är det avgörande att säkerhetskopian skapats i syfte att återskapa information som gått förlorad på grund av tekniska fel, sabotage, extraordinära händelser som brand eller översvämning etcetera. Det ska alltså vara fråga om en ofrivillig förlust av information (prop. 2009/10:58 s. 25). En säkerhetskopia kan vara både en konventionell framställning i skrift eller bild eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel (prop. 2009/10:58 s. 37 f). Enkelt uttryckt kan det handla om vanliga fysiska handlingar eller olika typer av elektroniska handlingar. I den här analysen kommer fokus ligga på den sistnämnda kategorin.
Varför används säkerhetskopior?
När vi talar om en elektronisk säkerhetskopia idag talar vi ofta om en så kallad backup, vilket innebär att information som vid en viss given tidpunkt finns i ett datasystem kopieras (prop. 2009/10:58 s. 12). Eftersom myndigheternas uppgifter och handlingar idag till övervägande del är elektroniska är det mycket viktigt att uppgifter säkerhetskopieras för att kunna återskapas om de skulle gå förlorade. Att information säkerhetskopieras är ofta ett krav som framgår direkt eller indirekt i lagstiftning som ska tillgodose kontinuiteten i viktiga system och tjänster, exempelvis Dataskyddsförordningen (EU 2016/679) och NIS2-direktivet (EU 2022/2555). Kravet på säkerhetskopiering kommer även till uttryck i mer verksamhetsnära föreskrifter, som exempelvis Riksarkivets föreskrifter (5 § RA-FS 2009:1) som slår fast att myndigheter regelbundet ska framställa säkerhetskopior av elektroniska handlingar och att dessa säkerhetskopior ska omfatta samtliga allmänna handlingar. I samma föreskrift framkommer även andra krav som ökar säkerheten hos säkerhetskopiorna, till exempel 6 § som säger att utrustning och programvara som används för säkerhetskopiorna ska förvaras geografiskt åtskilda från de ursprungliga handlingarna.
Vikten av att ha fungerande och uppdaterade säkerhetskopior har på senare tid aktualiserats i samband med de ransomeware-attacker som drabbat vissa myndigheter och stora systemleverantörer. Under efterdyningarna av attackerna har det blivit tydligt att fungerande backuper varit avgörande för att snabbt kunna återställa system och viktig samhällsservice. I de fall backuper saknats eller inte fungerat som de ska har informationen helt enkelt ansetts förlorad med stora konsekvenser som följd, både för myndigheterna och medborgarna.
Varför inte återskapa handlingar ur säkerhetskopiorna?
När en myndighets handlingar säkerhetskopieras kommer även handlingar som nyligen gallrats finnas kvar i säkerhetskopian till dess att den skrivs över. Det kan då ligga nära till hands att tänka att dessa handlingar de facto fortfarande förvaras hos myndigheten och därför ska kunna begäras ut. Säkerhetskopiorna finns väl där just i syfte för att kunna återskapa information?
Frågan adresseras bland annat i förarbetena där man konstaterar att all information inte bör vara tillgänglig för allmänheten, trots att den i och för sig är tekniskt sett möjlig att tillgå. Man uttalar även att intresset av insyn i myndighetens verksamhet måste vägas mot intresset av att myndigheternas grundläggande uppgifter utförs på ett effektivt och rättssäkert sätt (prop. 2009/10:58 s. 17). Alla som arbetat på en myndighet känner förmodligen till de oerhörda mängder information som inkommer eller genereras hos de flesta myndigheter. Det är inte rimligt att tänka att myndigheten ska behöva förvalta all denna information i all evighet. Det är därför avgörande att myndigheten kan göra skillnad på handlingar som ska bevaras i slutarkiv och handlingar som kan gallras. Om så inte skedde skulle de krav som ställs på hanteringen av allmänna handlingar, exempelvis att det ska hållas ordnade och att de ska sekretessprövas vid begäran om utlämnande, bli mycket omfattande och betungande. Dessutom skulle förvarandet av all dessa handlingar bli mycket kostsamt och opraktiskt, oavsett om de var fysiska eller elektroniska.
I förarbetena fastställer man vidare att när en handling gallrats i laga ordning finns det inte längre något allmänt intresse för handlingen (prop. 2009/10:58 s. 19). Detta konstaterande är logiskt mot bakgrund av att en handling normalt ska gallras först när myndigheten bedömer att det inte längre finns något viktigt intresse att ta del av handlingen. Att raderade handlingar som fortfarande finns kvar i säkerhetskopior inte utgör allmän handling bekräftas även i praxis, bland annat i HFD mål nr 4144-23 och 4148-23. I ett annat HFD-mål konstaterades att även om handlingarna skulle ha gallrats av misstag, till exempel på grund av tekniska fel eller mänsklig faktor, finns det ingen rätt att ta del av handlingen. Domstolen uttalade dock att det får anses finnas en principiell skyldighet för en myndighet att försöka återskapa handlingar som gallrats felaktigt, för att på så sätt återställa deras status som allmänna handlingar (HFD mål nr 6644-14). Med andra ord bör myndigheterna i möjligaste mån återskapa handlingar som gallrats av misstag, med det innebär dock inte att en enskild eller domstolen kan tvinga myndigheten att göra det.
Det är inte heller bara praktiska hänsyn som ligger till grund för att myndigheternas handlingar behöver kunna gallras permanent, det finns även lagstiftning som kräver det. En sådan är Dataskyddsförordningen. En av de grundläggande principerna i Dataskyddsförordningen är den om lagringsminimering i artikel 5.1 e som i korthet säger att personuppgifter inte får lagras under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Att handlingar som innehåller personuppgifter gallras är därför en nödvändighet för att upprätthålla förordningen och tillgodose medborgarnas integritetsintresse.
När blir handlingen en säkerhetskopia?
En fråga som blir avgörande för om en handling utgör en säkerhetskopia, och därmed faller in under undantaget i tryckfrihetsförordningen, är om den gallrats och alltså inte längre finns i myndighetens ordinarie system för automatiserad behandling av information. Frågan torde oftast vara ganska lätt att besvara när det gäller fysiska handlingar, att de får anses gallrade när de kastats. På samma sätt kan det säkerligen vara okomplicerat i många fall gällande elektroniska handlingar i verksamhetssystem, då sådana system ofta har gallringsfunktioner i vilka behöriga användare permanent kan gallra handlingar. En sådan gallring torde som regel innebär att handlingen inte länge anses hanteras i myndighetens ordinarie system.
Det finns dock många fall som kan vara svåra att avgöra, exempelvis när det gäller e-post. I många e-postsystem sker borttagning av meddelanden i flera inbyggda steg. Ofta innebär ett raderande av handlingen att den hamnar i en ”Borttaget-mapp”. Frågan är om handlingen i detta steg kan ansett ha gallrats, i och med att den anställde tryckt ”ta bort”, sannolikt med avsikten att handlingen ska gallras. Ska handlingar i borttaget-mappen ses som en säkerhetskopia i lagens mening? Svaret är sannolikt nej. För att en säkerhetskopia ska omfattas av undantaget i tryckfrihetsförordningen krävs att den skapats i syfte att återskapa information som gått ofrivilligt förlorad (prop. 2009/10:58, s. 25). Det framstår som osannolikt att en borttaget-mapp skulle ha skapats med detta syfte, varför undantaget inte rimligtvis kan vara tillämpligt. I stället får man nog se det som att handlingen temporärt flyttats inför gallring men fortfarande finns tillgänglig för myndigheten på i stort sett samma sätt som tidigare. Handlingar som hamnat i papperskorgen, eller en borttaget-mapp får av den anledningen fortfarande anses utgöra allmän handling.
Det finns dock fler steg i raderingsprocessen för många e-postprogram. Ett sådant steg har prövats av Högsta förvaltningsdomstolen i två mål. Målen handlade om en kammarrätt var tvungen att använda sig av e-postsystemets funktion ”återskapa borttagna handlingar” för att på så sätt ta fram handlingar som raderats ur borttaget-mappen och hantera dem inom ramen för begäran om allmän handling. Domarna är sparsamt motiverade, men HFD sluter sig i alla fall till att de begärda handlingarna inte längre hanteras inom kammarrättens ordinarie system och därför utgör säkerhetskopia (HFD mål nr 4144-23 och 4148-23). HFD kommer till detta slut trots att de aktuella handlingarna fortfarande verkade förekomma i samma system som tidigare och skulle kunna ha återskapats av samma person som raderat dem. Handlingarna förefaller med andra ord inte vara avlägsnade från systemet som sådant, och inte heller avskilts rent geografiskt på det sätt som Riksarkivet kräver att en säkerhetskopia bör (RA-FS 2009:1).
Skillnaden mellan handlingar som hamnat i borttaget-mappen och handlingar som behöver återskapas till e-posten är inte glasklar. Skillnaden framstår vara att e-post i borttaget-mappen fortfarande finns tillgänglig på nästan samma sätt som handlingar i inkorgen. Dessa handlingar skulle ofta med lätthet kunna flyttas genom enkla knapptryck, eller så kallad drag-and-drop, tillbaka till sin ursprungsmapp. Det skulle med andra ord kunna lämnas ut direkt på begäran utan att det skulle krävas några vidare tekniska åtgärder. Handlingar som däremot tagits bort ur borttaget-mappen och därför endast finns tillgängliga genom funktionen ”återskapa borttagna handlingar” kan inte läsas direkt utan skulle behöva gå igenom någon form av teknisk behandling för att återställas till systemet. En sådan handling får i sådana fall anses inte längre ingå i myndighetens ordinarie system, utan bör ha fått karaktären av en säkerhetskopia, i enlighet med HFDs avgörande.
Sammanfattning
Som konstaterats ovan är det av avgörande vikt att myndigheter säkerställer kontinuiteten i sin verksamhet och har en rättssäker hantering av sin information genom att backa upp sin den i säkerhetskopior. För att dessa syften inte ska motarbetas har dock lagstiftaren undantagit säkerhetskopior från bestämmelserna om allmänna handlingar, så länge de skapats i syfte att återskapa information som gått ofrivilligt förlorad. Följaktligen kan en myndighet inte tvingas återskapa handlingar ur säkerhetskopior, exempelvis för att tillmötesgå en begäran om allmän handling. Däremot behöver myndigheten skapa sig en uppfattning om vad som är ett återskapande och vilka handlingar som i själva verket inte gallrats ännu.
En bedömning som i många fall kan vara svår gäller handlingar som ”mellanlandar” i papperskorgar eller borttaget-mappar. Om handlingarna fortfarande i själva verket finns tillgängliga för myndigheten på samma sätt som innan mellanlandningen kan handlingarna förmodligen inte anses ha övergått från myndighetens ordinarie system för automatiserad behandling av information till säkerhetskopia. Baserat på den praxis som finns idag framstår det som att det krävs något mer än att handlingen endast bytt plats i ett och samma system eller på en och samma server för att den ska anses ha övergått till säkerhetskopia eller lämnat myndighetens ordinarie system. Detta oavsett om den anställde menat gallra handlingen genom flytten. Den exakta gränsen har förmodligen inte dragits mellan förvarad i ordinarie system och säkerhetskopia, men det framstår ändå som att det krävs en större åtgärd än att helt enkelt ”dra tillbaka” den raderade filen från en mapp och åter till en annan, för att det ska handla om ett återskapande.
Om det rör sig om ett de facto återskapande ligger det nära till hands att se handlingen som en säkerhetskopia som ligger utanför myndighetens ordinarie system och därmed inte längre är allmän. Handlingar som däremot endast landat i ett mellanläge, där de i praktiken är lika tillgängliga för myndigheten som tidigare, kan förmodligen inte ses som en säkerhetskopia, varför undantaget inte är tillämpligt. Givetvis gäller som så ofta i juridiken att man måste göra en bedömning i varje enskilt fall, men som huvudregel torde inte finnas någon större skyldighet för myndigheter att återskapa handlingar i någon större utsträckning.
Analys av Sigrid Arnamo, kommunjurist, Järfälla kommun.
Ursprungligen publicerad i JP Förvaltningsnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 30 aug 2024