Behövde inte redogöra för syfte för att slippa GDPR-sekretess

En sökande som kallade sig Faktakollen begärde ut uppgifter om namn, avdelning och datum för uppsägningar på SMHI under en viss period. Myndigheten vägrade med hänvisning till att det kunde antas att den sökande skulle använda de begärda uppgifterna i strid mot dataskyddsförordningen, GDPR.

SMHI trodde inledningsvis att Faktakollen syftade på SVT:s eller Dagens nyheters Faktakollen, det vill säga en journalistisk verksamhet som är undantagen GDPR:s regler, men förstod efterhand att man hade att göra med en annan Faktakollen. Myndigheten började då ställa frågor om syftet med begäran, men sökanden vägrade svara. Det var mot den bakgrunden som SMHI avslog begäran.

Men sökanden överklagade till kammarrätten och fick rätt. Uppgifter om datum och avdelning är inte personuppgifter, konstaterade domstolen. När det gällde namnen bakom uppsägningarna menade domstolen att det inte fanns några konkreta omständigheter i målet som tydde på att uppgifterna skulle användas i strid mot GDPR.

E-postadresser till lärare hemlighölls på fel grund

Skolverket hade inte stöd för att avslå ett företags begäran om att få ut e-postadresser till lärare på den grunden att företaget planerade att använda adresserna i strid mot marknadsföringslagen. Det slog HFD fast i denna dom. Sekretessregeln i OSL 21:7 kan bara tillämpas i fall där det kan antas att uppgifter kommer att användas i strid mot personuppgiftslagen eller föreskrifter som meddelats med stöd av personuppgiftslagen.

HFD_6121_15

Fackförbund fick rätt till adresser för utskick

Fackförbundet ST hade rätt att få ut bostadsadresser till nyanställda på CSN. Det slog kammarrätten fast i den här domen. Fackförbundet uppgav att adresserna skulle användas för att vid ett tillfälle skicka ut information om medlemskap i förbundet till nyanställda vid myndigheten. ST lovade att radera adresserna efter genomfört utskick. Kammarrätten konstaterade att det inte var känsliga personuppgifter och att den planerade marknadsföringen inte hade ett sådant innehåll eller en sådan omfattning att den kunde ses som integritetskränkande.

KR_Sundsvall_2539_15

Fel att sekretessbelägga personuppgifter

När Samhällsnämnden i Härnösands kommun lämnade ut bygglovshandlingar till en kommuninvånare maskerade nämnden personnummer, telefonnummer, adresser, och e-postadresser som förekom i handlingarna. Det här med motiveringen att de berörda personerna skulle kunna utsättas för våld eller hot om uppgifterna lämnades ut samt att det kunde antas att mottagaren skulle använda uppgifterna i strid mot GDPR. Sökanden överklagade och kammarrätten ändrad nämndens beslut och bestämde att de aktuella handlingarna skulle lämnas ut i sin helhet.

Fick inte ut uppgifter för att bygga eget register

Ett företag begärde att få ut uppgifter om samtliga legitimerade läkare, tandläkare och sjuksköterskor med uppgifter om deras utbildningskoder, examensår, eventuella specialisering, förskrivningsrätt och tiosiffrigt personnummer ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret).

Socialstyrelsen gjorde bedömningen att företaget skulle använda uppgifterna i strid med GDPR om dessa lämnades ut, av den anledningen sekretessbelade Socialstyrelsen uppgifterna.

Företaget överklagade men fick avslag även i kammarrätten. Företaget hade uppgett marknadsföring som ändamål för den tänka personuppgiftsbehandlingen. Det kan i och för sig vara ett berättigat intresse, konstaterade domstolen. Men i det här fallet tänkte företaget använda uppgifterna för att bygga upp ett eget register över all vårdpersonal, vid sidan av det så kallade HOSP-registret som förs av Socialstyrelsen. Det är uttömmande reglerat vad Socialstyrelsen får använda HOSP-registret till – en reglering som skulle bli meningslös om en annan aktör kunde begära ut samtliga uppgifter och skapa ett eget register, ansåg kammarrätten.

Fjärrvärmekostnad inte hemlig

En av de boende i ett radhusområde begärde ut antal mejl från fjärrvärmeleverantören Göteborg Energi. När bolaget lämnade ut mejlen hade det bland annat sekretessbelagt uppgifter i mejlen om enskildas telefonnummer. Den boende överklagade beslutet till kammarrätten som slog fast att bolaget inte hade haft stöd för detta. Enligt domstolen fanns det inget som talade för att kunden tänkte använda telefonnumren i strid mot personuppgiftslagen. Bolaget hade vidare sekretessbelagt uppgifter i mejlen om radhusens förbrukning, den totala fakturerade kostnad under 2014, kostnaden för samma förbrukning med ett privatavtal samt mellanskillnaden mellan dessa kostnader. Bolaget hade inte stöd för det heller, enligt kammarrätten. Domstolen pekade på att den boende kunde räkna ut den totala kostnaden utifrån sina egna fjärrvärmefakturor. Kostnaden enligt privatavtalet var en uppgift som framgick av  bolagets marknadsföring mot allmänheten. Bolaget hade inte heller förklarat hur det skulle kunna lida skada av att uppgifterna lämnades ut. Bolaget hade däremot stöd för att sekretessbelagda uppgifter i e-postmeddelandet som avsåg de priser som bolaget kunde erbjuda ägaren till den undercentral som försåg radhusen med fjärrvärme. Det var uppgifter som typiskt sett skulle kunna gynna en konkurrent på bolagets bekostnad om de offentliggjordes, enligt domstolen.

KR_GBG_2800_16

Foderproducent fick ut mjölkbönders adresser

Dåvarande Regeringsrätten konstaterade att Jordbruksverkets adressregister över mjölkproducenter kunde lämnas ut till Danisco Sugar AB som ville använda uppgifterna för att marknadsföra sina foderprodukter. Enligt domstolen fanns det inte skäl att tro att bolaget skulle använda uppgifterna i strid mot personuppgiftslagen, PUL. Domstolen konstaterade att bolagets behov av att marknadsföra sina produkter var ett berättigad intresse enligt personuppgiftslagen. Och det intresset vägde över mjölkproducenternas integritetsintresse. Det här eftersom det var fråga om marknadsföring riktad till näringsidkare, att uppgifterna i fråga inte kunde bedömas som känsliga och att mjölkproducenterna kunde motsätta sig att personuppgifterna användes för direktmarknadsföring.

RA_2001_ref_68

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

GDPR-sekretess skyddade provskrivares personuppgifter

En person begärde ut förnamn och initial i efternamnet på ett fyrtiotal personer som hade fått sina resultat på högskoleprovet återkallade. Personen sade sig behöva uppgifterna för en utredning gällande grov utpressning från en person som hade skrivit högskoleprovet.

Universitets- och högskolerådet avslog begäran med hänvisning till att det kunde antas att personen skulle använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Bedömningen grundade sig på att personen hade lämnat knapphändiga uppgifter om syftet med begäran och att liknande uppgifter tidigare hade spridits på internet.

Personen överklagade och intygade att han inte tänkte sprida uppgifterna på nätet. Kammarrätten gjorde en avvägning mellan personens intresse av att använda uppgifterna för en förundersökning om grov utpressning och provskrivarnas intresse av att skydda sina personuppgifter. Domstolen dömde till de senares fördel och avslog överklagandet.

Hade rätt till studentadresser för reklamutskick

Dåvarande Regeringsrätten bestämde att ett utdrag ur Centrala studiestödsnämndens register över mottagare av studiemedel (namn och adress) kunde lämnas ut till Mecenat AB. Bolaget tänkte använda uppgifterna för att skicka ett rabattkort avsett för studenter. Bolaget hade ett berättigat intresse av att behandla personuppgifterna på det aktuella sättet, konstaterade domstolen. Det intresset vägde också över integritetsintresset för de berörda mottagarna av studiemedel. Vid den avvägningen tog domstolen hänsyn till att bolaget bara tänkte göra ett utskick per termin, att det inte fanns något som tydde på att innehållet i utskicken skulle vara integritetskränkande, att uppgifterna som bolaget begärde ut inte var känsliga och att studiemedelsmottagarna hade rätt att säga nej till direktmarknadsföring om de så önskade.

RA_2002_ref_54