GDPR-sekretess för gravrättsinnehavare

En företagare vände sig till Svenska kyrkan och begärde ut en lista med namn, folkbokföringsadress och gravrättsnummer till alla gravrättsinnehavare för samtliga gravplatser på Kvibergs kyrkokård. Kyrkogården har 30.000 gravar. Företagaren uppgav att han ville kontakta gravrättsinnehavare för att erbjuda dem gravvårdstjänster till bättre villkor än dem som kyrkogårdsförvaltningen erbjuder.

Svenska kyrkan avslog begäran med hänvisning till GDPR-sekretess. Kyrkan ansåg att integritetsintresset vägde tyngre än företagares kommersiella intresse eftersom det i detta fall handlade om en mycket stor mängd personuppgifter.

Företagare överklagade men fick avslag även i kammarrätten.

Fick inte ut gravrättsinnehavares personnummer

En person begärde hos kyrkogårdsförvaltningen i Stockholm att få ut personnummer och till detta kopplat gravnummer, på alla gravrättsinnehavare i förvaltningens gravbok. Enligt förvaltningen handlade det om över 100.000 personnummer. Förvaltningen avslog med hänvisning till GDPR-sekretess. Personen överklagade till kammarrätten men fick avslag även där.

Universitetsanställdas personnummer var hemliga

En person vände sig till Uppsala universitet och begärde att få ta del av namn, personnummer, avdelning, e-postadress och befattning för samtliga närmare 7.500 anställda. Personen ville inte uppge vad som var syftet med begäran och svarade inte på frågan om han kunde tänka sig att få ut uppgifterna med sekretessförbehåll. Universitet vägrade lämna ut uppgifterna.

Personen överklagade till kammarrätten som avslog. Domstolen skrev bland annat: “Automatiserad behandling av personnummer är förenat med stora
integritetsrisker. Med hänsyn till det och till att Haro de Grauw inte velat
redogöra för sitt syfte med behandlingen kan det antas att de anställdas
personnummer kommer att behandlas i strid med den allmänna
dataskyddsförordningen”.

Riksarkivet fick dubbel bakläxa på GDPR-sekretess

Kammarrätten upphävde Riksarkivet beslut att sekretessbelägga källhistoriskt material med stöd av GDPR-sekretess. Företaget som hade begärt ut materialet avsåg att publicera det på en webbplats med utgivningsbevis. Den avsedda personuppgiftsbehandlingen var alltså undantagen GDPR. Kammarrätten skickade tillbaka ärendet till Riksarkivet för prövning av om materialet var sekretessbelagt på någon annan grund.

Riksarkivet överklagade domen. HFD avvisade överklagandet eftersom bara sökanden är behörig att överklaga ett beslut angående rätten att ta del av allmänna handlingar. Riksarkivet hade därför inte rätt att överklaga kammarrättens dom.

Riksarkivet fattade ett nytt beslut där myndigheten återigen avslog Arkiv digitals begäran med hänvisning till GDPR-sekretess. Myndigheten tyckte att kammarrätten hade “lämnat motstridiga skäl” och sade sig var skyldig att tillämpa sekretess “om det finns skäl både för och emot”. Företaget överklagade till kammarrätten som återigen upphävde Riksarkivets beslut.

Domstolen konstaterade att Arkiv Digital i stort sett är undantagen regleringen i GDPR genom sitt utgivningsbevis, men att det finns ett undantag. Det är bestämmelsen i 1 kap. 20 § yttrandefrihetsgrundlagen som säger att grundlagen inte hindrar förbud mot databaser där man kan söka på känsliga personuppgifter som till exempel etniskt ursprung, hudfärg och religiös övertygelse. Kammarrätten skickade tillbaka ärendet till Riksarkivet för att myndigheten skulle pröva om undantagsbestämmelsen var tillämplig i ärendet.

Fick inte ut uppgifter för att bygga eget register

Ett företag begärde att få ut uppgifter om samtliga legitimerade läkare, tandläkare och sjuksköterskor med uppgifter om deras utbildningskoder, examensår, eventuella specialisering, förskrivningsrätt och tiosiffrigt personnummer ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret).

Socialstyrelsen gjorde bedömningen att företaget skulle använda uppgifterna i strid med GDPR om dessa lämnades ut, av den anledningen sekretessbelade Socialstyrelsen uppgifterna.

Företaget överklagade men fick avslag även i kammarrätten. Företaget hade uppgett marknadsföring som ändamål för den tänka personuppgiftsbehandlingen. Det kan i och för sig vara ett berättigat intresse, konstaterade domstolen. Men i det här fallet tänkte företaget använda uppgifterna för att bygga upp ett eget register över all vårdpersonal, vid sidan av det så kallade HOSP-registret som förs av Socialstyrelsen. Det är uttömmande reglerat vad Socialstyrelsen får använda HOSP-registret till – en reglering som skulle bli meningslös om en annan aktör kunde begära ut samtliga uppgifter och skapa ett eget register, ansåg kammarrätten.

Lista med underläkare var hemlig

En person begärde ut personuppgifter för samtliga underläkare som hade sökt AT-tjänst i Region Östergötland. Personen uppgav att han gjorde begäran som en del av ett fackligt uppdrag att studera väntetider för AT-tjänstgöring.

Regionen avslog begäran med hänvisning till GDPR-sekretess och försvarssekretess. Regionen bedömde att personen skulle använda uppgifterna i strid med GDPR, eftersom han inte skulle kunna uppnå det uppgivna syftet med hjälp av de begärda uppgifterna. Regionen menade också att uppgifterna skulle ge en så tydlig bild av regionens resurser i form av AT-läkare att det skulle innebära en fara för rikets säkerhet och försvar.

Personen överklagade till kammarrätten som fastställde regionens beslut. Något stöd för försvarssekretess fanns visserligen inte, men kammarrätten delade regionens bedömning att det kunde antas att uppgifterna skulle användas i strid med GDPR vid ett utlämnande.

Ingen GDPR-sekretess för lönelista

En anställd vid Region Stockholm begärde ut en lönelista för personalen vid regionarkivet, men fick avslag. Regionen skrev: “Den bedömning vi gör är att anställda inte har rätt att utföra lönekartläggningar bland sina kollegor på grundval av individuppgifter av integritetsskäl”. Regionen hänvisade till OSL 21:7 (GDPR-sekretess).

Den anställde överklagade och fick rätt i kammarrätten. Domstolen tyckte inte att det hade kommit fram någon konkret omständighet som talade för att den anställde tänkte använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Listan skulle därför lämnas ut inklusive namnen på de anställda.

GDPR-sekretess skyddade provskrivares personuppgifter

En person begärde ut förnamn och initial i efternamnet på ett fyrtiotal personer som hade fått sina resultat på högskoleprovet återkallade. Personen sade sig behöva uppgifterna för en utredning gällande grov utpressning från en person som hade skrivit högskoleprovet.

Universitets- och högskolerådet avslog begäran med hänvisning till att det kunde antas att personen skulle använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Bedömningen grundade sig på att personen hade lämnat knapphändiga uppgifter om syftet med begäran och att liknande uppgifter tidigare hade spridits på internet.

Personen överklagade och intygade att han inte tänkte sprida uppgifterna på nätet. Kammarrätten gjorde en avvägning mellan personens intresse av att använda uppgifterna för en förundersökning om grov utpressning och provskrivarnas intresse av att skydda sina personuppgifter. Domstolen dömde till de senares fördel och avslog överklagandet.

Behövde inte redogöra för syfte för att slippa GDPR-sekretess

En sökande som kallade sig Faktakollen begärde ut uppgifter om namn, avdelning och datum för uppsägningar på SMHI under en viss period. Myndigheten vägrade med hänvisning till att det kunde antas att den sökande skulle använda de begärda uppgifterna i strid mot dataskyddsförordningen, GDPR.

SMHI trodde inledningsvis att Faktakollen syftade på SVT:s eller Dagens nyheters Faktakollen, det vill säga en journalistisk verksamhet som är undantagen GDPR:s regler, men förstod efterhand att man hade att göra med en annan Faktakollen. Myndigheten började då ställa frågor om syftet med begäran, men sökanden vägrade svara. Det var mot den bakgrunden som SMHI avslog begäran.

Men sökanden överklagade till kammarrätten och fick rätt. Uppgifter om datum och avdelning är inte personuppgifter, konstaterade domstolen. När det gällde namnen bakom uppsägningarna menade domstolen att det inte fanns några konkreta omständigheter i målet som tydde på att uppgifterna skulle användas i strid mot GDPR.

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.