Behövde inte redogöra för syfte för att slippa GDPR-sekretess

En sökande som kallade sig Faktakollen begärde ut uppgifter om namn, avdelning och datum för uppsägningar på SMHI under en viss period. Myndigheten vägrade med hänvisning till att det kunde antas att den sökande skulle använda de begärda uppgifterna i strid mot dataskyddsförordningen, GDPR.

SMHI trodde inledningsvis att Faktakollen syftade på SVT:s eller Dagens nyheters Faktakollen, det vill säga en journalistisk verksamhet som är undantagen GDPR:s regler, men förstod efterhand att man hade att göra med en annan Faktakollen. Myndigheten började då ställa frågor om syftet med begäran, men sökanden vägrade svara. Det var mot den bakgrunden som SMHI avslog begäran.

Men sökanden överklagade till kammarrätten och fick rätt. Uppgifter om datum och avdelning är inte personuppgifter, konstaterade domstolen. När det gällde namnen bakom uppsägningarna menade domstolen att det inte fanns några konkreta omständigheter i målet som tydde på att uppgifterna skulle användas i strid mot GDPR.

E-postadresser till lärare hemlighölls på fel grund

Skolverket hade inte stöd för att avslå ett företags begäran om att få ut e-postadresser till lärare på den grunden att företaget planerade att använda adresserna i strid mot marknadsföringslagen. Det slog HFD fast i denna dom. Sekretessregeln i OSL 21:7 kan bara tillämpas i fall där det kan antas att uppgifter kommer att användas i strid mot personuppgiftslagen eller föreskrifter som meddelats med stöd av personuppgiftslagen.

HFD_6121_15

Fackförbund fick rätt till adresser för utskick

Fackförbundet ST hade rätt att få ut bostadsadresser till nyanställda på CSN. Det slog kammarrätten fast i den här domen. Fackförbundet uppgav att adresserna skulle användas för att vid ett tillfälle skicka ut information om medlemskap i förbundet till nyanställda vid myndigheten. ST lovade att radera adresserna efter genomfört utskick. Kammarrätten konstaterade att det inte var känsliga personuppgifter och att den planerade marknadsföringen inte hade ett sådant innehåll eller en sådan omfattning att den kunde ses som integritetskränkande.

KR_Sundsvall_2539_15

Fel att sekretessbelägga personuppgifter

När Samhällsnämnden i Härnösands kommun lämnade ut bygglovshandlingar till en kommuninvånare maskerade nämnden personnummer, telefonnummer, adresser, och e-postadresser som förekom i handlingarna. Det här med motiveringen att de berörda personerna skulle kunna utsättas för våld eller hot om uppgifterna lämnades ut samt att det kunde antas att mottagaren skulle använda uppgifterna i strid mot GDPR. Sökanden överklagade och kammarrätten ändrad nämndens beslut och bestämde att de aktuella handlingarna skulle lämnas ut i sin helhet.

Fick inte ut gravrättsinnehavares personnummer

En person begärde hos kyrkogårdsförvaltningen i Stockholm att få ut personnummer och till detta kopplat gravnummer, på alla gravrättsinnehavare i förvaltningens gravbok. Enligt förvaltningen handlade det om över 100.000 personnummer. Förvaltningen avslog med hänvisning till GDPR-sekretess. Personen överklagade till kammarrätten men fick avslag även där.

Fick inte ut uppgifter för att bygga eget register

Ett företag begärde att få ut uppgifter om samtliga legitimerade läkare, tandläkare och sjuksköterskor med uppgifter om deras utbildningskoder, examensår, eventuella specialisering, förskrivningsrätt och tiosiffrigt personnummer ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret).

Socialstyrelsen gjorde bedömningen att företaget skulle använda uppgifterna i strid med GDPR om dessa lämnades ut, av den anledningen sekretessbelade Socialstyrelsen uppgifterna.

Företaget överklagade men fick avslag även i kammarrätten. Företaget hade uppgett marknadsföring som ändamål för den tänka personuppgiftsbehandlingen. Det kan i och för sig vara ett berättigat intresse, konstaterade domstolen. Men i det här fallet tänkte företaget använda uppgifterna för att bygga upp ett eget register över all vårdpersonal, vid sidan av det så kallade HOSP-registret som förs av Socialstyrelsen. Det är uttömmande reglerat vad Socialstyrelsen får använda HOSP-registret till – en reglering som skulle bli meningslös om en annan aktör kunde begära ut samtliga uppgifter och skapa ett eget register, ansåg kammarrätten.

Fjärrvärmekostnad inte hemlig

En av de boende i ett radhusområde begärde ut antal mejl från fjärrvärmeleverantören Göteborg Energi. När bolaget lämnade ut mejlen hade det bland annat sekretessbelagt uppgifter i mejlen om enskildas telefonnummer. Den boende överklagade beslutet till kammarrätten som slog fast att bolaget inte hade haft stöd för detta. Enligt domstolen fanns det inget som talade för att kunden tänkte använda telefonnumren i strid mot personuppgiftslagen. Bolaget hade vidare sekretessbelagt uppgifter i mejlen om radhusens förbrukning, den totala fakturerade kostnad under 2014, kostnaden för samma förbrukning med ett privatavtal samt mellanskillnaden mellan dessa kostnader. Bolaget hade inte stöd för det heller, enligt kammarrätten. Domstolen pekade på att den boende kunde räkna ut den totala kostnaden utifrån sina egna fjärrvärmefakturor. Kostnaden enligt privatavtalet var en uppgift som framgick av  bolagets marknadsföring mot allmänheten. Bolaget hade inte heller förklarat hur det skulle kunna lida skada av att uppgifterna lämnades ut. Bolaget hade däremot stöd för att sekretessbelagda uppgifter i e-postmeddelandet som avsåg de priser som bolaget kunde erbjuda ägaren till den undercentral som försåg radhusen med fjärrvärme. Det var uppgifter som typiskt sett skulle kunna gynna en konkurrent på bolagets bekostnad om de offentliggjordes, enligt domstolen.

KR_GBG_2800_16

Foderproducent fick ut mjölkbönders adresser

Dåvarande Regeringsrätten konstaterade att Jordbruksverkets adressregister över mjölkproducenter kunde lämnas ut till Danisco Sugar AB som ville använda uppgifterna för att marknadsföra sina foderprodukter. Enligt domstolen fanns det inte skäl att tro att bolaget skulle använda uppgifterna i strid mot personuppgiftslagen, PUL. Domstolen konstaterade att bolagets behov av att marknadsföra sina produkter var ett berättigad intresse enligt personuppgiftslagen. Och det intresset vägde över mjölkproducenternas integritetsintresse. Det här eftersom det var fråga om marknadsföring riktad till näringsidkare, att uppgifterna i fråga inte kunde bedömas som känsliga och att mjölkproducenterna kunde motsätta sig att personuppgifterna användes för direktmarknadsföring.

RA_2001_ref_68

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

GDPR-sekretess för gravrättsinnehavare

En företagare vände sig till Svenska kyrkan och begärde ut en lista med namn, folkbokföringsadress och gravrättsnummer till alla gravrättsinnehavare för samtliga gravplatser på Kvibergs kyrkokård. Kyrkogården har 30.000 gravar. Företagaren uppgav att han ville kontakta gravrättsinnehavare för att erbjuda dem gravvårdstjänster till bättre villkor än dem som kyrkogårdsförvaltningen erbjuder.

Svenska kyrkan avslog begäran med hänvisning till GDPR-sekretess. Kyrkan ansåg att integritetsintresset vägde tyngre än företagares kommersiella intresse eftersom det i detta fall handlade om en mycket stor mängd personuppgifter.

Företagare överklagade men fick avslag även i kammarrätten.