GDPR-sekretess underkändes

En person begärde att få personnummer och examensuppgifter för samtliga examina som har utfärdats på grundnivå och avancerad nivå vid Malmö universitet fram till och med september 2021. Universitetet avslog med hänvisning till GDPR-sekretess trots att personen hade utgivningsbevis för den databas där han hade tänkt behandla uppgifterna.

Personen överklagade och kammarrätten underkände den sekretessgrund som universitetet hade tillämpat.

CV kunde inte hemlighållas med GDPR-sekretess

En person vände sig till Kommunstyrelsen i Vänersborgs kommun och begärde att få ta del av CV och ansökningsbrev i omaskerat skick för den person som kommunen hade anställt som kommunarkivarie. Kommunen avslog begäran med hänvisning till att utlämnande kunde antas leda till att uppgifterna användes i strid med GDPR.

Personen överklagade till kammarrätten som upphävde kommunens beslut. Domstolen hänvisade till att kommunen inte hade redogjort för någon omständighet som talade för att uppgifterna skulle användas i strid med GDPR. Kammarrätten återförvisade ärendet till kommunen för prövning av om uppgifterna i stället omfattades av personalsekretess.

Ingen GDPR-sekretess för klasslistor

En person hade rätt att få ut vissa klasslistor och betyg från Kils kommun. Till skillnad från kommunen tyckte kammarrätten inte att det fanns skäl att anta att personen skulle använda uppgifterna i strid mot GDPR. Domstolen pekade på att förordningen inte avser privatpersoners behandling av personuppgifter.

Fick inte ut gravrättsinnehavares personnummer

En person begärde hos kyrkogårdsförvaltningen i Stockholm att få ut personnummer och till detta kopplat gravnummer, på alla gravrättsinnehavare i förvaltningens gravbok. Enligt förvaltningen handlade det om över 100.000 personnummer. Förvaltningen avslog med hänvisning till GDPR-sekretess. Personen överklagade till kammarrätten men fick avslag även där.

Riksarkivet fick dubbel bakläxa på GDPR-sekretess plus JO-kritik

Kammarrätten upphävde Riksarkivet beslut att sekretessbelägga källhistoriskt material med stöd av GDPR-sekretess. Företaget som hade begärt ut materialet avsåg att publicera det på en webbplats med utgivningsbevis. Den avsedda personuppgiftsbehandlingen var alltså undantagen GDPR. Kammarrätten skickade tillbaka ärendet till Riksarkivet för prövning av om materialet var sekretessbelagt på någon annan grund.

Riksarkivet överklagade domen. HFD avvisade överklagandet eftersom bara sökanden är behörig att överklaga ett beslut angående rätten att ta del av allmänna handlingar. Riksarkivet hade därför inte rätt att överklaga kammarrättens dom.

Riksarkivet fattade ett nytt beslut där myndigheten återigen avslog företagets begäran med hänvisning till GDPR-sekretess. Myndigheten tyckte att kammarrätten hade ”lämnat motstridiga skäl” och sade sig var skyldig att tillämpa sekretess ”om det finns skäl både för och emot”. Företaget överklagade till kammarrätten som återigen upphävde Riksarkivets beslut.

Domstolen konstaterade att företaget i stort sett är undantagen regleringen i GDPR genom sitt utgivningsbevis, men att det finns ett undantag. Det är bestämmelsen i 1 kap. 20 § yttrandefrihetsgrundlagen som säger att grundlagen inte hindrar förbud mot databaser där man kan söka på känsliga personuppgifter som till exempel etniskt ursprung, hudfärg och religiös övertygelse. Kammarrätten skickade tillbaka ärendet till Riksarkivet för att myndigheten skulle pröva om undantagsbestämmelsen var tillämplig i ärendet.

Efter att kammarrätten för andra gången återförvisat ärendet till Riksarkivet lät myndigheten det ligga utan några åtgärder. Företaget JO-anmälde då myndigheten. JO riktade allvarlig kritik mot Riksarkivet eftersom myndighetens agerande närmast fick betecknas som domstolstrots.

Ingen GDPR-sekretess för lönelista

En anställd vid Region Stockholm begärde ut en lönelista för personalen vid regionarkivet, men fick avslag. Regionen skrev: ”Den bedömning vi gör är att anställda inte har rätt att utföra lönekartläggningar bland sina kollegor på grundval av individuppgifter av integritetsskäl”. Regionen hänvisade till OSL 21:7 (GDPR-sekretess).

Den anställde överklagade och fick rätt i kammarrätten. Domstolen tyckte inte att det hade kommit fram någon konkret omständighet som talade för att den anställde tänkte använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Listan skulle därför lämnas ut inklusive namnen på de anställda.

GDPR-sekretess skyddade provskrivares personuppgifter

En person begärde ut förnamn och initial i efternamnet på ett fyrtiotal personer som hade fått sina resultat på högskoleprovet återkallade. Personen sade sig behöva uppgifterna för en utredning gällande grov utpressning från en person som hade skrivit högskoleprovet.

Universitets- och högskolerådet avslog begäran med hänvisning till att det kunde antas att personen skulle använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Bedömningen grundade sig på att personen hade lämnat knapphändiga uppgifter om syftet med begäran och att liknande uppgifter tidigare hade spridits på internet.

Personen överklagade och intygade att han inte tänkte sprida uppgifterna på nätet. Kammarrätten gjorde en avvägning mellan personens intresse av att använda uppgifterna för en förundersökning om grov utpressning och provskrivarnas intresse av att skydda sina personuppgifter. Domstolen dömde till de senares fördel och avslog överklagandet.

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

Lista med konsulter var hemlig

En person begärde ut en förteckning över samtliga personer som har konsultkontrakt med Trafikverket och har e-postadresser av typen n.n@trafikverket.se. Han ville även ha ut konsultkontrakt avseende dessa personer. Syftet med begäran var att han som medborgare ville kunna ta reda på om de som säger sig vara anställda av Trafikverket verkligen är det.

Trafikverket konstaterade att det rörde sig om 3.476 personer och avslog både begäran om en förteckning och begäran om de enskilda konsultkontrakten. Det här med hänvisning till personuppgiftssekretess. Personen överklagade.

Kammarrätten bedömde att syftet med begäran var att skapa ett register över en stor del av Trafikverkets personal. Enligt domstolen kunde det inte ses som en behandling av personuppgifter för rent privata ändamål.

Kammarrätten tyckte också att de berörda konsulternas intresse av integritetsskydd vägde tyngre än syftet bakom begäran. Därför var den begärda förteckningen sekretessbelagd, liksom de delar av konsultkontrakten som innehöll personuppgifter. Domstolen skickade tillbaka ärendet till Trafikverket för en prövning av om även andra uppgifter i kontrakten omfattades av sekretess, enligt någon annan regel.

Inget stöd för att gallra personuppgifter

En intagen begärde att vissa personuppgifter i Kriminalvårdsregistret skulle raderas. Uppgifterna handlade om att mannen hade varit misstänkt för misskötsamhet efter att ha återvänt sent från en permission. Misstankarna avskrevs senare eftersom han kom med en godtagbar förklaring till förseningen.

Kriminalvården avslog hans begäran om radering av uppgifterna och den intagna överklagade. Förvaltningsrätten och kammarrätten fastställde Kriminalvårdens beslut. Domstolarna hänvisade till att uppgifterna förekom i sådana allmänna handlingar som ska bevaras enligt gällande arkivbestämmelser. Det saknades därmed lagstöd för att radera dem.