Sök
Om oss
Allmän handling drivs av Panoptes Sweden AB, Sveriges ledande researchbolag. Våra övriga verksamheter är researchbolaget Acta Publica och Nyhetsbyrån Siren.
Meny
AVGÖRANDEN EFTER LAGRUM (KAPITEL:PARAGRAF I OSL)
Lagar
Etikett: OSL 21:7
GDPR-sekretess för enstaka personuppgift underkändes
En person begärde att få ta del av ett anonymt mejl som hade skickats till Södertörns högskola i samband med ett då pågående anställningsärende och som innehöll negativa uppgifter om honom. Avsändaren hade angett två andra personer med namn och kontaktuppgifter i mejlet. Högskolan maskerade det ena namnet med tillhörande kontaktuppgifter när mejlet lämnades ut. Det här med hänvisning till GDPR-sekretess.
Personen överklagade och kammarrätten upphävde högskolans beslut. Det rörde sig om en enstaka personuppgift och domstolen kunde inte se att det uppgivna ändamålet med begäran, att överväga en polisanmälan om förtal, skulle strida mot GDPR.
Personer med sociala kontrakt var hemliga
En person ville ha ut en lista med namn och personnummer på alla med bostadssociala kontrakt i Sundsvalls kommun, det vill säga personer som får hyra lägenheter i andra hand av kommunen därför att de har svårt att få en bostad på annat sätt. Personen vände sig till två olika kommunala nämnder för att få uppgifterna: kommunstyrelsen och individ- och arbetsmarknadsnämnden.
Kommunstyrelsen avslog med hänvisning till socialtjänstsekretess och GDPR-sekretess. Båda dessa grunder underkändes av kammarrätten efter att personen hade överklagat dit. Enligt domstolen hade det inte kommit fram något som tydde på att personen tänkte använda personuppgifterna för något annat än privat bruk. Därmed var GDPR-sekretessen inte tillämplig.
Enligt kammarrätten var inte heller socialtjänstsekretessen tillämplig, eftersom andrahandsuthyrningen genom bostadssociala kontrakt, är en verksamhet som bedrivs inom kommunstyrelsen:
”Även om uthyrningen sker till personer som förekommer inom socialtjänsten anser kammarrätten att kommunstyrelsens andrahandsuthyrning inte kan anses vara socialtjänstverksamhet”
Kammarrätten skickade tillbaka ärendet till kommunstyrelsen för en prövning av om uppgifterna i stället kunde hemlighållas med stöd av den sekretess som gäller kommunal bostadsuthyrningsverksamhet.
Kammarrätten fastställde däremot individ- och arbetsmarknadsnämndens beslut. Nämndens arbete med bostadssociala kontrakt var att betrakta som socialtjänst och uppgifterna där omfattades av socialtjänstsekretess.
P-vakts personuppgifter var hemliga
En person begärde ut namn och andra personuppgifter som fanns i ett anställningsavtal för en parkeringsvakt med nummer 301 vid Teknik- och fastighetsnämnden i Karlstads kommun. Nämnden avslog med motiveringen att personen bakom begäran sålde uppgifter om kommunens parkeringsvakter via sociala medier. Enligt nämnden fanns det en risk att parkeringsvakterna skulle utsättas för trakasserier, samt att uppgifterna skulle användas i strid med GDPR.
Personen överklagade men fick avslag av kammarrätten som delade nämndens bedömning. Domstolen konstaterade bland annat att begäran om parkeringsvaktens personuppgifter inte var kopplad till en viss parkeringsanmärkning. Om den hade varit det så hade parkeringsvaktens namn kunnat vara offentligt, enligt tidigare domstolspraxis.
GDPR-sekretess kunde inte åberopas mot reporter
En tidningsreporter begärde ut transaktionslistor för ett antal konton i kommunala bostadsbolaget Alingsåshems bokföring. Bolaget lämnade ut listorna men maskerade personuppgifterna i dessa med hänvisning till GDPR:s regler om dataskydd. Reportern överklagade och fick rätt i kammarrätten. Det här eftersom journalistisk verksamhet är undantagen GDPR.
GDPR-sekretess för lönelista
En person begärde en lönelista för samtliga cirka 500 anställda vid socialförvaltningen i Örebro kommun. Kommunen avslog med motiveringen att det kunde antas att personen skulle använda uppgifterna i strid med dataskyddsförordningen, GDPR. Uppgifterna omfattades alltså av GDPR-sekretessen i offentlighets- och sekretesslagen.
Personen överklagade till kammarrätten som avslog. Domstolen resonerade bland annat kring om personens användning av uppgifterna var av rent privat natur och därför inte omfattades av GDPR. Men eftersom personen inte hade redogjort för ändamålet med begäran tyckte domstolen inte att det fanns tillräckligt underlag för slutsatsen att det rörde sig om privat användning.
Ingen GDPR-sekretess för klasslistor
En person hade rätt att få ut vissa klasslistor och betyg från Kils kommun. Till skillnad från kommunen tyckte kammarrätten inte att det fanns skäl att anta att personen skulle använda uppgifterna i strid mot GDPR. Domstolen pekade på att förordningen inte avser privatpersoners behandling av personuppgifter.
GDPR-sekretess för gravrättsinnehavare
En företagare vände sig till Svenska kyrkan och begärde ut en lista med namn, folkbokföringsadress och gravrättsnummer till alla gravrättsinnehavare för samtliga gravplatser på Kvibergs kyrkokård. Kyrkogården har 30.000 gravar. Företagaren uppgav att han ville kontakta gravrättsinnehavare för att erbjuda dem gravvårdstjänster till bättre villkor än dem som kyrkogårdsförvaltningen erbjuder.
Svenska kyrkan avslog begäran med hänvisning till GDPR-sekretess. Kyrkan ansåg att integritetsintresset vägde tyngre än företagares kommersiella intresse eftersom det i detta fall handlade om en mycket stor mängd personuppgifter.
Företagare överklagade men fick avslag även i kammarrätten.
Fick inte ut gravrättsinnehavares personnummer
En person begärde hos kyrkogårdsförvaltningen i Stockholm att få ut personnummer och till detta kopplat gravnummer, på alla gravrättsinnehavare i förvaltningens gravbok. Enligt förvaltningen handlade det om över 100.000 personnummer. Förvaltningen avslog med hänvisning till GDPR-sekretess. Personen överklagade till kammarrätten men fick avslag även där.
Universitetsanställdas personnummer var hemliga
En person vände sig till Uppsala universitet och begärde att få ta del av namn, personnummer, avdelning, e-postadress och befattning för samtliga närmare 7.500 anställda. Personen ville inte uppge vad som var syftet med begäran och svarade inte på frågan om han kunde tänka sig att få ut uppgifterna med sekretessförbehåll. Universitet vägrade lämna ut uppgifterna.
Personen överklagade till kammarrätten som avslog. Domstolen skrev bland annat: ”Automatiserad behandling av personnummer är förenat med stora
integritetsrisker. Med hänsyn till det och till att Haro de Grauw inte velat
redogöra för sitt syfte med behandlingen kan det antas att de anställdas
personnummer kommer att behandlas i strid med den allmänna
dataskyddsförordningen”.
Riksarkivet fick dubbel bakläxa på GDPR-sekretess plus JO-kritik
Kammarrätten upphävde Riksarkivet beslut att sekretessbelägga källhistoriskt material med stöd av GDPR-sekretess. Företaget som hade begärt ut materialet avsåg att publicera det på en webbplats med utgivningsbevis. Den avsedda personuppgiftsbehandlingen var alltså undantagen GDPR. Kammarrätten skickade tillbaka ärendet till Riksarkivet för prövning av om materialet var sekretessbelagt på någon annan grund.
Riksarkivet överklagade domen. HFD avvisade överklagandet eftersom bara sökanden är behörig att överklaga ett beslut angående rätten att ta del av allmänna handlingar. Riksarkivet hade därför inte rätt att överklaga kammarrättens dom.
Riksarkivet fattade ett nytt beslut där myndigheten återigen avslog företagets begäran med hänvisning till GDPR-sekretess. Myndigheten tyckte att kammarrätten hade ”lämnat motstridiga skäl” och sade sig var skyldig att tillämpa sekretess ”om det finns skäl både för och emot”. Företaget överklagade till kammarrätten som återigen upphävde Riksarkivets beslut.
Domstolen konstaterade att företaget i stort sett är undantagen regleringen i GDPR genom sitt utgivningsbevis, men att det finns ett undantag. Det är bestämmelsen i 1 kap. 20 § yttrandefrihetsgrundlagen som säger att grundlagen inte hindrar förbud mot databaser där man kan söka på känsliga personuppgifter som till exempel etniskt ursprung, hudfärg och religiös övertygelse. Kammarrätten skickade tillbaka ärendet till Riksarkivet för att myndigheten skulle pröva om undantagsbestämmelsen var tillämplig i ärendet.
Efter att kammarrätten för andra gången återförvisat ärendet till Riksarkivet lät myndigheten det ligga utan några åtgärder. Företaget JO-anmälde då myndigheten. JO riktade allvarlig kritik mot Riksarkivet eftersom myndighetens agerande närmast fick betecknas som domstolstrots.