GDPR-sekretess för namn men inte personnummer

GDPR-sekretessen var inte ett hinder för att Trafikverket skulle lämna ut för- och efternamn, telefonnummer, e-postadress och beslutad behörighet för alla som hade beviljats mätbehörighet typ 1 eller typ 2. Det bedömde kammarrätten i denna dom. Uppgifterna fanns i ett register hos Trafikverket och hade begärts ut av en person som representerade ett rekryteringsföretag. Uppgifterna skulle användas för att hjälpa ett av företagets kunder att rekrytera personal med de aktuella behörigheterna.

Sökanden hade däremot inte rätt att få ut diarienummer, personnummer, anställning och adress för de registrerade, ansåg kammarrätten. Inte heller uppgifter om deras utbildning, referenser och praktiktid. Kammarrätten tyckte inte att dessa uppgifter var nödvändiga för att bolaget skulle kunna uppnå syftet med den tänka personuppgiftsbehandlingen, det vill säga att komma i kontakt med registrerade med rätt behörighet.

Kammarrätten återförvisade ärendet till Trafikverket för prövning av om någon annan sekretessregel hindrade ett utlämnande.

Utgivningsbevis satte GDPR-sekretess ur spel

En person vände sig till Domstolsverket och begärde ut e-postloggar som visade alla mejl som skickats från Sveriges domstolar till @expressen och @faktum. Syftet var att undersöka ur vilka mål som journalister på tidningarna Expressen och Faktum hade begärt uppgifter som rörde honom själv. Personen tänkte publicera uppgifterna i en databas för vilken han hade utgivningsbevis. Han önskade få loggarna utlämnande i elektronisk form.

Domstolsverket sekretessbelade alla personuppgifter i loggarna med hänvisning till GDPR-sekretess. Enligt myndigheten omfattade begäran minst 7 000 personuppgifter, exempelvis i form av personnamn i e-postadresser samt målnummer jämte uppgift om specifik domstol. Enligt myndigheten rörde det sig alltså om ett massuttag. Domstolsverket bedömde att personen inte hade något journalistiskt syfte med sin begäran. Sammanfattningsvis menad man att den planerade behandlingen av personuppgifter stred mot GDPR.

Personen överklagade och kammarrätten upphävde myndighetens beslut. Enligt domstolen var det ostridigt att databasen hade utgivningsbevis, därmed var GDPR-sekretessen inte tillämplig, och det fanns inte stöd för att vägra lämna ut handlingarna med de aktuella uppgifterna i ”fysisk form”. Huruvida uppgifterna skulle lämnas ut elektroniskt var en fråga för Domstolsverket att avgöra och kammarrätten återförvisade ärendet dit.

GDPR-sekretess underkändes

En person begärde att få personnummer och examensuppgifter för samtliga examina som har utfärdats på grundnivå och avancerad nivå vid Malmö universitet fram till och med september 2021. Universitetet avslog med hänvisning till GDPR-sekretess trots att personen hade utgivningsbevis för den databas där han hade tänkt behandla uppgifterna.

Personen överklagade och kammarrätten underkände den sekretessgrund som universitetet hade tillämpat.

Ingen GDPR-sekretess för personalregister

En person begärde ut personalregistret för kommunanställda i Lunds kommun 1997. Registret fanns bevarat i form av en utskrift där de anställda var förtecknade i alfabetisk ordning. Registret innehöll uppgifter om de anställdas namn, personnummer, befattning och anställningstid. Personens syfte med begäran var att fastställa identiteten på en lärare som var anställd vid kommunen det aktuella året. Personen avsåg att väcka enskilt åtal mot läraren för misshandel.

Kommunen avslog med hänvisning till GDPR-sekretess. Personen överklagade och kammarrätten upphävde kommunens beslut och återförvisade ärendet till kommunen för prövning av om någon annan sekretessregel var tillämplig på registret. Enligt kammarrätten fanns det inte skäl att tro att personen skulle använda registret i strid med GDPR.

Radhus elförbrukning inte hemlig

En person begärde ut uppgifter från ett kommunalt energibolag om historisk elförbrukning för ett radhus eftersom han misstänkte att energideklarationen för det aktuella huset var felaktig. Energibolaget avslog med motiveringen att det kunde antas att personen skulle använda uppgifterna i strid med GDPR, samt att uppgifterna utgjorde affärsförhållanden av en typ som omfattas av sekretess.

Personen överklagade till kammarrätten och fick rätt. Domstolen bedömde att personen skulle använda uppgifterna för privat bruk och tyckte inte att det fanns någon anledning att tro att han skulle använda dem i strid med GDPR. Domstolen ansåg inte heller att uppgifter om elförbrukning för en privatbostad avsåg sådant affärsförhållande som skyddas av sekretess.

Hemlighöll överenskommelser på fel grund

En journalist begärde ut samtliga överenskommelser om avslut av anställning mellan Kungsbacka kommun och arbetstagare under tiden den 1 januari 2020 – den 25 augusti 2021. Kommunen lämnade ut överenskommelserna men hade maskerat namn, personnummer och i vissa fall även adresser till de berörda personerna.

Vad gällde personnumren hänvisade kommunen till GDPR-sekretessen. Vad gällde övriga uppgifter hänvisade kommunen till den sekretess som gäller i personaladministrativ verksamhet för uppgifter som skulle kunna leda till våld och andra allvarliga men mot enskilda om de lämnades ut.

Journalisten överklagade till kammarrätten som underkände båda sekretessgrunderna med hänvisning till att de aktuella uppgifterna begärdes ut för journalistiska ändamål. Kammarrätten återförvisade ärendet till kommunen för en prövning av om någon annan sekretessregel var tillämplig på uppgifterna.

GDPR-sekretess för enstaka personuppgift underkändes

En person begärde att få ta del av ett anonymt mejl som hade skickats till Södertörns högskola i samband med ett då pågående anställningsärende och som innehöll negativa uppgifter om honom. Avsändaren hade angett två andra personer med namn och kontaktuppgifter i mejlet. Högskolan maskerade det ena namnet med tillhörande kontaktuppgifter när mejlet lämnades ut. Det här med hänvisning till GDPR-sekretess.

Personen överklagade och kammarrätten upphävde högskolans beslut. Det rörde sig om en enstaka personuppgift och domstolen kunde inte se att det uppgivna ändamålet med begäran, att överväga en polisanmälan om förtal, skulle strida mot GDPR.

CV kunde inte hemlighållas med GDPR-sekretess

En person vände sig till Kommunstyrelsen i Vänersborgs kommun och begärde att få ta del av CV och ansökningsbrev i omaskerat skick för den person som kommunen hade anställt som kommunarkivarie. Kommunen avslog begäran med hänvisning till att utlämnande kunde antas leda till att uppgifterna användes i strid med GDPR.

Personen överklagade till kammarrätten som upphävde kommunens beslut. Domstolen hänvisade till att kommunen inte hade redogjort för någon omständighet som talade för att uppgifterna skulle användas i strid med GDPR. Kammarrätten återförvisade ärendet till kommunen för prövning av om uppgifterna i stället omfattades av personalsekretess.

P-vakts personuppgifter var hemliga

En person begärde ut namn och andra personuppgifter som fanns i ett anställningsavtal för en parkeringsvakt med nummer 301 vid Teknik- och fastighetsnämnden i Karlstads kommun. Nämnden avslog med motiveringen att personen bakom begäran sålde uppgifter om kommunens parkeringsvakter via sociala medier. Enligt nämnden fanns det en risk att parkeringsvakterna skulle utsättas för trakasserier, samt att uppgifterna skulle användas i strid med GDPR.

Personen överklagade men fick avslag av kammarrätten som delade nämndens bedömning. Domstolen konstaterade bland annat att begäran om parkeringsvaktens personuppgifter inte var kopplad till en viss parkeringsanmärkning. Om den hade varit det så hade parkeringsvaktens namn kunnat vara offentligt, enligt tidigare domstolspraxis.

GDPR-sekretess kunde inte åberopas mot reporter

En tidningsreporter begärde ut transaktionslistor för ett antal konton i kommunala bostadsbolaget Alingsåshems bokföring. Bolaget lämnade ut listorna men maskerade personuppgifterna i dessa med hänvisning till GDPR:s regler om dataskydd. Reportern överklagade och fick rätt i kammarrätten. Det här eftersom journalistisk verksamhet är undantagen GDPR.