Lista med underläkare var hemlig

En person begärde ut personuppgifter för samtliga underläkare som hade sökt AT-tjänst i Region Östergötland. Personen uppgav att han gjorde begäran som en del av ett fackligt uppdrag att studera väntetider för AT-tjänstgöring.

Regionen avslog begäran med hänvisning till GDPR-sekretess och försvarssekretess. Regionen bedömde att personen skulle använda uppgifterna i strid med GDPR, eftersom han inte skulle kunna uppnå det uppgivna syftet med hjälp av de begärda uppgifterna. Regionen menade också att uppgifterna skulle ge en så tydlig bild av regionens resurser i form av AT-läkare att det skulle innebära en fara för rikets säkerhet och försvar.

Personen överklagade till kammarrätten som fastställde regionens beslut. Något stöd för försvarssekretess fanns visserligen inte, men kammarrätten delade regionens bedömning att det kunde antas att uppgifterna skulle användas i strid med GDPR vid ett utlämnande.

Ingen GDPR-sekretess för lönelista

En anställd vid Region Stockholm begärde ut en lönelista för personalen vid regionarkivet, men fick avslag. Regionen skrev: “Den bedömning vi gör är att anställda inte har rätt att utföra lönekartläggningar bland sina kollegor på grundval av individuppgifter av integritetsskäl”. Regionen hänvisade till OSL 21:7 (GDPR-sekretess).

Den anställde överklagade och fick rätt i kammarrätten. Domstolen tyckte inte att det hade kommit fram någon konkret omständighet som talade för att den anställde tänkte använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Listan skulle därför lämnas ut inklusive namnen på de anställda.

GDPR-sekretess skyddade provskrivares personuppgifter

En person begärde ut förnamn och initial i efternamnet på ett fyrtiotal personer som hade fått sina resultat på högskoleprovet återkallade. Personen sade sig behöva uppgifterna för en utredning gällande grov utpressning från en person som hade skrivit högskoleprovet.

Universitets- och högskolerådet avslog begäran med hänvisning till att det kunde antas att personen skulle använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Bedömningen grundade sig på att personen hade lämnat knapphändiga uppgifter om syftet med begäran och att liknande uppgifter tidigare hade spridits på internet.

Personen överklagade och intygade att han inte tänkte sprida uppgifterna på nätet. Kammarrätten gjorde en avvägning mellan personens intresse av att använda uppgifterna för en förundersökning om grov utpressning och provskrivarnas intresse av att skydda sina personuppgifter. Domstolen dömde till de senares fördel och avslog överklagandet.

Behövde inte redogöra för syfte för att slippa GDPR-sekretess

En sökande som kallade sig Faktakollen begärde ut uppgifter om namn, avdelning och datum för uppsägningar på SMHI under en viss period. Myndigheten vägrade med hänvisning till att det kunde antas att den sökande skulle använda de begärda uppgifterna i strid mot dataskyddsförordningen, GDPR.

SMHI trodde inledningsvis att Faktakollen syftade på SVT:s eller Dagens nyheters Faktakollen, det vill säga en journalistisk verksamhet som är undantagen GDPR:s regler, men förstod efterhand att man hade att göra med en annan Faktakollen. Myndigheten började då ställa frågor om syftet med begäran, men sökanden vägrade svara. Det var mot den bakgrunden som SMHI avslog begäran.

Men sökanden överklagade till kammarrätten och fick rätt. Uppgifter om datum och avdelning är inte personuppgifter, konstaterade domstolen. När det gällde namnen bakom uppsägningarna menade domstolen att det inte fanns några konkreta omständigheter i målet som tydde på att uppgifterna skulle användas i strid mot GDPR.

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

Lista med konsulter var hemlig

En person begärde ut en förteckning över samtliga personer som har konsultkontrakt med Trafikverket och har e-postadresser av typen n.n@trafikverket.se. Han ville även ha ut konsultkontrakt avseende dessa personer. Syftet med begäran var att han som medborgare ville kunna ta reda på om de som säger sig vara anställda av Trafikverket verkligen är det.

Trafikverket konstaterade att det rörde sig om 3.476 personer och avslog både begäran om en förteckning och begäran om de enskilda konsultkontrakten. Det här med hänvisning till personuppgiftssekretess. Personen överklagade.

Kammarrätten bedömde att syftet med begäran var att skapa ett register över en stor del av Trafikverkets personal. Enligt domstolen kunde det inte ses som en behandling av personuppgifter för rent privata ändamål.

Kammarrätten tyckte också att de berörda konsulternas intresse av integritetsskydd vägde tyngre än syftet bakom begäran. Därför var den begärda förteckningen sekretessbelagd, liksom de delar av konsultkontrakten som innehöll personuppgifter. Domstolen skickade tillbaka ärendet till Trafikverket för en prövning av om även andra uppgifter i kontrakten omfattades av sekretess, enligt någon annan regel.

Journalistiskt ändamål trumfade GDPR-sekretess

En person begärde ut antagningslistor till förskoleklasserna i Stockholms kommunala skolor för höstterminen 2018 men fick avslag av kommunen. Personen hade tagit fram ett system för att placera barn rättvist i skolor enligt den relativa närhetsprincipen och ville använda de begärda uppgifterna för att kontrollera om kommunens skolplaceringar gjordes enligt lag.

Kommunen avslog begäran med hänvisning till att det rörde sig om ett massuttag gällande 11.000 elever och att det kunde antas att uppgifterna skulle behandlas i strid med dåvarande personuppgiftslagen, numera GDPR. Det uppgivna ändamålet för behandlingen var inte av rent privat natur och utgjorde inte heller ett berättigat intresse, bedömde kommunen.

Personen överklagade till kammarrätten och framställde ett alternativt yrkande om att namn och personnummer på barnen kunde ersättas av en unik kod som kunde användas för att identifiera samma elev i olika skolors antagningslistor.

Kammarrätten bedömde att det uppgivna ändamålet var ett berättigat intresse, enligt GDPR, men att de registrerade barnens intresse av skydd för namn och personnummer vägde tyngre. Domstolen prövade även om kommunen var skyldig att sammanställa en lista där namn och personnummer hade ersatts av en unik kod men fann att en sådan sammanställning inte kunde göras med rutinbetonade åtgärder.

Senare begärde samma person ut motsvarande listor från Barn- och utbildningsförvaltningen i Huddinge kommun. Det blev avslag även där med hänvisning till GDPR-sekretess. När personen överklagade beslutet lade kommunen till en avslagsgrund i sitt yttrande till kammarrätten, nämligen att de begärda listorna inte var allmänna handlingar eftersom de inte kunde sammanställas med rutinbetonade åtgärder.

Klaganden bemötte detta på följande sätt: “Enligt instruktionsvideor för den systemlösning som kommunen använder för skolplaceringar har systemlösningen en exportfunktion som innebär att information enkelt kan exporteras till Excel. Handlingarna är därför allmänna.”

Vad gällde sekretessfrågan invände klaganden att hon begärde ut listorna för journalistiska ändamål eftersom hon tänkte publicera resultatet av sin granskning på hemsidan relativnarhet.se som hon drev tillsammans med sin man.

Kammarrätten gick på klagandens linje och bedömde att listorna var allmänna handlingar och att GDPR-sekretessen inte var tillämplig eftersom begäran avsåg ett journalistiskt ändamål. Domstolen återförvisade ärendet till kommunen för prövning av om det fanns någon annan sekretessgrund.



Fel att sekretessbelägga personuppgifter

När Samhällsnämnden i Härnösands kommun lämnade ut bygglovshandlingar till en kommuninvånare maskerade nämnden personnummer, telefonnummer, adresser, och e-postadresser som förekom i handlingarna. Det här med motiveringen att de berörda personerna skulle kunna utsättas för våld eller hot om uppgifterna lämnades ut samt att det kunde antas att mottagaren skulle använda uppgifterna i strid mot GDPR. Sökanden överklagade och kammarrätten ändrad nämndens beslut och bestämde att de aktuella handlingarna skulle lämnas ut i sin helhet.

Inte okej att hänvisa sökande till hemsidan

När en journalist vände sig till Finspångs kommun och begärde ut listor över alla förtroendevalda i kommunen inklusive personnummer blev det avslag. Kommunen hänvisade journalisten till hemsidan där han kunde sammanställa de önska listorna själv. På hemsidan fanns visserligen inte de förtroendevaldas personnummer men det spelade ingen roll för de var ändå sekretessbelagda, enligt kommunen. Det här eftersom man inte kunde utesluta att journalisten tänkte använda uppgifterna i strid med GDPR. Journalisten överklagade och kammarrätten gav kommunen bakläxa. Domstolen konstaterade att kommunen inte hade uppfyllt sina skyldigheter genom att hänvisa till hemsidan och att den åberopade sekretessregeln inte kan tillämpas på personuppgifter som begärs ut av en journalist. Domstolen skickade tillbaka ärendet till kommunen för ny prövning.

Ingen GDPR-sekretess för ledighetsansökningar

En förälder vände sig till sin dotters skola och begärde ut alla inkomna ledighetsansökningar för elever i årskurs två som hade kommit in under en viss termin. Bildningsnämnden i den aktuella kommunen avslog med hänvisning till “kapitel 21 offentlighets- och sekretesslagen”. Föräldern överklagade till kammarrätten som prövade överklagandet mot den sekretessregel i kapitlet som säger att en myndighet kan vägra lämna ut personuppgifter om det kan antas att mottagaren kommer att använda dem i strid med dataskyddsförordningen (GDPR). Kammarrätten tyckte inte att det fanns något skäl att göra ett sådant antagande och skickade tillbaka ärendet till bildningsnämnden för att den skulle pröva om det fanns någon annan sekretessregel som stod i vägen för ett utlämnande.

KR_Goteborg_5040_18