Hade rätt till studentadresser för reklamutskick

Dåvarande Regeringsrätten bestämde att ett utdrag ur Centrala studiestödsnämndens register över mottagare av studiemedel (namn och adress) kunde lämnas ut till Mecenat AB. Bolaget tänkte använda uppgifterna för att skicka ett rabattkort avsett för studenter. Bolaget hade ett berättigat intresse av att behandla personuppgifterna på det aktuella sättet, konstaterade domstolen. Det intresset vägde också över integritetsintresset för de berörda mottagarna av studiemedel. Vid den avvägningen tog domstolen hänsyn till att bolaget bara tänkte göra ett utskick per termin, att det inte fanns något som tydde på att innehållet i utskicken skulle vara integritetskränkande, att uppgifterna som bolaget begärde ut inte var känsliga och att studiemedelsmottagarna hade rätt att säga nej till direktmarknadsföring om de så önskade.

RA_2002_ref_54

Ingen PUL-sekretess för cv

Länsstyrelsen i Halland avslog en begäran från en person som ville ha ut cv för en av myndighetens enhetschefer. Länsstyrelsen hänvisade till att personen bakom begäran tidigare hade publicerat uppgifter om offentligt anställd djurskyddspersonal på Facebookgruppen ”Djurskyddsinspektörerna – den dolda sanningen”. I den aktuella Facebookgruppen hade enskilda personer som arbetar med djurskyddsfrågor beskrivits som klandervärda, brottsliga och inkompetenta, menade länsstyrelsen. Myndigheten befarade mot den bakgrunden att personen skulle använda den begärda handlingen i strid med personuppgiftslagen. Personen överklagade till kammarrätten som upphävde länsstyrelsens beslut. Domstolen konstaterade att personen inte hade begärt ett massuttag eller uppgifter för något särskilt känsligt urval av personer. Hon hade uppgett att hon inte tänkte publicera handlingen i sociala medier och att hon inte hade någon koppling till den Facebooksida som länsstyrelsen refererade till. Vid en samlad bedömning ansåg kammarrätten att det inte fanns någon konkret omständighet som talade för att personen tänkte behandla den begärda handlingen i strid med personuppgiftslagen. Domstolen skickade tillbaka ärendet till länsstyrelsen för prövning av om den begärda handlingen var hemlig enligt någon annan sekretessbestämmelse.

KR_Goteborg_953_17

Fick inte ut lista med fuskare

Universitets- och högskolerådet, UHR, vägrade lämna ut en lista med 51 personer som hade skrivit högskoleprovet men blivit utan resultat på grund av fusk. Myndigheten hänvisade till vad som hände senast myndigheten lämnad ut liknande uppgifter – då blev fuskarna uthängda på nätforumet Flashback. Det spelade ingen roll att sökanden i det nu aktuella fallet uppgav att han skulle använda uppgifterna för privat bruk. Sökanden överklagade till kammarrätten som fastställde UHR:s sekretessbeslut. Kammarrätten bedömde, i likhet med UHR, att uppgifterna skulle komma att användas i strid mot personuppgiftslagen och därmed var sekretessbelagda.

Sökanden hade uppgett att han var bosatt i Norge, vilket hade betydelse för om han omfattades av personuppgiftslagen. Lagen gäller bara personuppgiftsansvariga som är etablerade i Sverige. Men kammarrätten tyckte inte att det fanns bevis för att sökanden verkligen var bosatt i Norge och  inte i Sverige.

KR_Sthlm_8316_16

Utgivningsbevis trumfade PUL

Ett företag begärde hos Chalmers tekniska högskola att få ut uppgifter om samtliga studenter som genomgått en ingenjörs- eller civilingenjörsutbildning från 1980 och framåt. Chalmers avslog med hänvisning till uppgifterna antagligen skulle användas i strid med personuppgiftslagen om de lämnades ut. Företaget överklagade till kammarrätten och påpekade att det hade ett utgivningsbevis för den databas där uppgifterna skulle publiceras. Kammarrätten gav företaget rätt eftersom en behandling av personuppgifterna inom ramen för utgivingsbeviset inte kunde anses stå i strid med personuppgiftslagen.

KR_Goteborg_288_17

Patientuppgifter röjdes för privata läkarsekreterare

JO utdelade allvarlig kritik mot två landsting för att ha röjt sekretessbelagda patientuppgifter genom att lämna ut dem till läkarsekreterare vid ett privat företag. De berörda landstingen anlitade företaget vid arbetstoppar när de egna läkarsekreterare hade svårt att hinna med journalföringen. Arbetet var upplagt så att de privata läkarsekreterare loggade in i landstingets journalsystem via en säker anslutning där de kunde lyssna på inlästa diktat från landstingets läkare och sedan skriva in uppgifterna i patienternas journaler. Uppgifterna lagrades därför aldrig utanför landstingens IT-system.  JO konstaterade att de privata läkarsekreterarna visserligen hade en slags tystnadsplikt som följde av ett avtal med deras arbetsgivare samt de regler som styr personuppgiftsbehandling. Men det var inte tillräckligt eftersom uppgifterna var så integritetskänsliga att bara en straffsanktionerad tystnadsplikt kunde ge ett tillräckligt skydd för patienterna. Enligt JO fanns det inte heller några sekretessbrytande regler som gav landstinget rätt att lämna ut uppgifterna.

JO_3032_2011

Toppbetalda på AP-fond offentliga

En journalist på Tidningen Publikt hade rätt att få ut en lista över de 20 högst betalda medarbetarna på Första AP-fonden. Listan innehöll uppgifter om namn, personnummer (alternativt födelsedatum och kön), heltidslön, tjänstgöringsgrad, titel/befattning, BESTA-kod, tjänstgöringsort, anställningsform samt uppgifter om eventuell tjänstledighet. Första AP-fonden hävdade att listan var hemlig eftersom myndighetens konkurrenter kunde använda den för att identifiera nyckelpersoner på myndigheten och locka dem till sig. Myndigheten hänvisade också till att syftet med dess verksamhet var närmast identiskt med ett aktiebolags. Kammarrätten slog fast att att uppgifter om offentliganställdas löner och anställningsvillkor enligt etablerad praxis är offentliga. Domstolen kunde inte heller se att myndighetens konkurrenter skulle gynnas av att listan lämnades ut.

KR_Sthlm_1845_16

 

E-postadresser till lärare hemlighölls på fel grund

Skolverket hade inte stöd för att avslå ett företags begäran om att få ut e-postadresser till lärare på den grunden att företaget planerade att använda adresserna i strid mot marknadsföringslagen. Det slog HFD fast i denna dom. Sekretessregeln i OSL 21:7 kan bara tillämpas i fall där det kan antas att uppgifter kommer att användas i strid mot personuppgiftslagen eller föreskrifter som meddelats med stöd av personuppgiftslagen.

HFD_6121_15

HD Ö 6229-14 och HD Ö 2345-15

En person begärde att få ut en fil från Svea hovrätt med samtliga dagboksblad i mål inkomna under 2013. Domstolen vägrade och personen överklagade. Högsta domstolen, HD, avslog överklagandet med hänvisning till att uppgifterna skulle användas i strid mot personuppgiftslagen. Undantaget för personuppgiftsbehandling av rent privat natur var inte tillämpligt enligt HD, trots att personen uppgett att han bara tänkte lagra uppgifterna lokalt i sin egen dator för att kunna söka efter intressanta rättsfall. Domstolen tog hänsyn till att det var fråga om ett massuttag samt att filen innehöll personuppgifter om brottslighet och personnummer.

HD_O_6229_14

Samma person begränsade senare sin begäran till till att gälla enbart dagboksblad ”…med så många personuppgifter som omfattas av undantaget för privat behandling av personuppgifter i personuppgiftslagen”. HD avslog även denna gång. Domstolen konstaterade att mängden personuppgifter inte har någon självständig betydelse för om behandlingen omfattas av undantaget för verksamhet av rent privat natur. Men om begäran avser ett stort antal personuppgifter kan detta i sig tala mot ett undantag. HD tog hänsyn till att den aktuella begäran handlade om att i elektronisk form, få ut dagboksblad i största allmänhet, och då så många som möjligt. Det personen berättat om hur han tänkte använda dagboksbladen tydde inte på att det rörde sig om en verksamhet av rent privat natur, enligt domstolen.

HD_O_2345_15

HFD 3695-14

Högsta förvaltningsdomstolen, HFD, gav ett norskt företag rätt att få ut Socialstyrelsens register över samtliga legitimerade sjuksköterskor. Socialstyrelsen och kammarrätten menade att uppgifterna var sekretessbelagda eftersom det norska företaget tänkte använda dem på ett sätt som strider mot personuppgiftslagen, PUL. Men HFD konstaterar att PUL inte gäller för företag som är etablerade i utlandet. Därmed kan inte det norska företagets kommande behandling av uppgifterna strida mot den lagen.

HFD_3695_14

JO 4171-11

En person begärde hos Försvarsmakten, bl.a. Ledningsregementet och Livgardet, att få en sammanställning av vissa anställdas namn, grad, befattning och lön. JO kritiserade Försvarsmakten för att ha dröjt för länge med att lämna ut sammanställningen. Dessutom tvingades personen identifiera sig för att hämta ut handlingen, vilket var fel enligt JO. Det här eftersom Försvarsmakten redan konstaterat att sammanställning var offentlig i sin helhet. JO slog också fast att en myndighet inte får efterfråga en persons syfte med en begäran bara för att det är personuppgifter som begärs ut. Enligt JO krävs det att det finns någon konkret omständighet som gör att det kan antas att personuppgiften efter utlämnandet kommer att behandlas på ett sätt som omfattas av personuppgiftslagen.

Däremot tyckte inte JO att Försvarsmakten var skyldig att lämna ut sammanställningen i elektronisk form via e-post. Personen som begärt ut sammanställningen hade inte heller rätt till ett överklagbart avslagsbeslut i frågan om formen för utlämnandet.

JO_4171_11