Fick inte ut uppgifter för att bygga eget register

Ett företag begärde att få ut uppgifter om samtliga legitimerade läkare, tandläkare och sjuksköterskor med uppgifter om deras utbildningskoder, examensår, eventuella specialisering, förskrivningsrätt och tiosiffrigt personnummer ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret).

Socialstyrelsen gjorde bedömningen att företaget skulle använda uppgifterna i strid med GDPR om dessa lämnades ut, av den anledningen sekretessbelade Socialstyrelsen uppgifterna.

Företaget överklagade men fick avslag även i kammarrätten. Företaget hade uppgett marknadsföring som ändamål för den tänka personuppgiftsbehandlingen. Det kan i och för sig vara ett berättigat intresse, konstaterade domstolen. Men i det här fallet tänkte företaget använda uppgifterna för att bygga upp ett eget register över all vårdpersonal, vid sidan av det så kallade HOSP-registret som förs av Socialstyrelsen. Det är uttömmande reglerat vad Socialstyrelsen får använda HOSP-registret till – en reglering som skulle bli meningslös om en annan aktör kunde begära ut samtliga uppgifter och skapa ett eget register, ansåg kammarrätten.

Lista med underläkare var hemlig

En person begärde ut personuppgifter för samtliga underläkare som hade sökt AT-tjänst i Region Östergötland. Personen uppgav att han gjorde begäran som en del av ett fackligt uppdrag att studera väntetider för AT-tjänstgöring.

Regionen avslog begäran med hänvisning till GDPR-sekretess och försvarssekretess. Regionen bedömde att personen skulle använda uppgifterna i strid med GDPR, eftersom han inte skulle kunna uppnå det uppgivna syftet med hjälp av de begärda uppgifterna. Regionen menade också att uppgifterna skulle ge en så tydlig bild av regionens resurser i form av AT-läkare att det skulle innebära en fara för rikets säkerhet och försvar.

Personen överklagade till kammarrätten som fastställde regionens beslut. Något stöd för försvarssekretess fanns visserligen inte, men kammarrätten delade regionens bedömning att det kunde antas att uppgifterna skulle användas i strid med GDPR vid ett utlämnande.

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

Lista med konsulter var hemlig

En person begärde ut en förteckning över samtliga personer som har konsultkontrakt med Trafikverket och har e-postadresser av typen n.n@trafikverket.se. Han ville även ha ut konsultkontrakt avseende dessa personer. Syftet med begäran var att han som medborgare ville kunna ta reda på om de som säger sig vara anställda av Trafikverket verkligen är det.

Trafikverket konstaterade att det rörde sig om 3.476 personer och avslog både begäran om en förteckning och begäran om de enskilda konsultkontrakten. Det här med hänvisning till personuppgiftssekretess. Personen överklagade.

Kammarrätten bedömde att syftet med begäran var att skapa ett register över en stor del av Trafikverkets personal. Enligt domstolen kunde det inte ses som en behandling av personuppgifter för rent privata ändamål.

Kammarrätten tyckte också att de berörda konsulternas intresse av integritetsskydd vägde tyngre än syftet bakom begäran. Därför var den begärda förteckningen sekretessbelagd, liksom de delar av konsultkontrakten som innehöll personuppgifter. Domstolen skickade tillbaka ärendet till Trafikverket för en prövning av om även andra uppgifter i kontrakten omfattades av sekretess, enligt någon annan regel.