Uppgifter om jaktledare var hemliga

En person vände sig till länsstyrelsen och begärde ut information om jaktledarna vid jakten på de åtta björnar som dittills fällts under årets licensjakt på björn. Myndigheten avslog med hänvisning till den sekretess som gäller för uppgifter i jaktkorts- respektive jägarexamensregistret, samt med hänvisning till GDPR-sekretess.

Personen överklagade till kammarrätten. Domstolen underkände länsstyrelsens första grund för sekretess. De begärda uppgifterna hade inte sitt ursprung i de aktuella registren, konstaterade domstolen.

Däremot såg domstolen en risk att uppgifterna skulle komma att användas i strid med GDPR. Sökanden hade uppgett att han tänkte använda uppgifterna i en rättsprocess mot jaktledarna. Enligt kammarrätten kunde det vara ett berättigat intresse, men sökanden hade ”dock inte angett några egentliga skäl till varför han ska driva en process mot jaktledarna eller på vilket sätt det skulle finnas grund för någon sådan process”. Jaktledarna intresse av att få sina personuppgifter skyddade vägde därför över, enligt domstolen.

GDPR-sekretess för enstaka personuppgift underkändes

En person begärde att få ta del av ett anonymt mejl som hade skickats till Södertörns högskola i samband med ett då pågående anställningsärende och som innehöll negativa uppgifter om honom. Avsändaren hade angett två andra personer med namn och kontaktuppgifter i mejlet. Högskolan maskerade det ena namnet med tillhörande kontaktuppgifter när mejlet lämnades ut. Det här med hänvisning till GDPR-sekretess.

Personen överklagade och kammarrätten upphävde högskolans beslut. Det rörde sig om en enstaka personuppgift och domstolen kunde inte se att det uppgivna ändamålet med begäran, att överväga en polisanmälan om förtal, skulle strida mot GDPR.

Fick inte ut uppgifter för att bygga eget register

Ett företag begärde att få ut uppgifter om samtliga legitimerade läkare, tandläkare och sjuksköterskor med uppgifter om deras utbildningskoder, examensår, eventuella specialisering, förskrivningsrätt och tiosiffrigt personnummer ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret).

Socialstyrelsen gjorde bedömningen att företaget skulle använda uppgifterna i strid med GDPR om dessa lämnades ut, av den anledningen sekretessbelade Socialstyrelsen uppgifterna.

Företaget överklagade men fick avslag även i kammarrätten. Företaget hade uppgett marknadsföring som ändamål för den tänka personuppgiftsbehandlingen. Det kan i och för sig vara ett berättigat intresse, konstaterade domstolen. Men i det här fallet tänkte företaget använda uppgifterna för att bygga upp ett eget register över all vårdpersonal, vid sidan av det så kallade HOSP-registret som förs av Socialstyrelsen. Det är uttömmande reglerat vad Socialstyrelsen får använda HOSP-registret till – en reglering som skulle bli meningslös om en annan aktör kunde begära ut samtliga uppgifter och skapa ett eget register, ansåg kammarrätten.

GDPR-sekretess skyddade provskrivares personuppgifter

En person begärde ut förnamn och initial i efternamnet på ett fyrtiotal personer som hade fått sina resultat på högskoleprovet återkallade. Personen sade sig behöva uppgifterna för en utredning gällande grov utpressning från en person som hade skrivit högskoleprovet.

Universitets- och högskolerådet avslog begäran med hänvisning till att det kunde antas att personen skulle använda uppgifterna i strid mot dataskyddsförordningen (GDPR). Bedömningen grundade sig på att personen hade lämnat knapphändiga uppgifter om syftet med begäran och att liknande uppgifter tidigare hade spridits på internet.

Personen överklagade och intygade att han inte tänkte sprida uppgifterna på nätet. Kammarrätten gjorde en avvägning mellan personens intresse av att använda uppgifterna för en förundersökning om grov utpressning och provskrivarnas intresse av att skydda sina personuppgifter. Domstolen dömde till de senares fördel och avslog överklagandet.

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

Lista med konsulter var hemlig

En person begärde ut en förteckning över samtliga personer som har konsultkontrakt med Trafikverket och har e-postadresser av typen n.n@trafikverket.se. Han ville även ha ut konsultkontrakt avseende dessa personer. Syftet med begäran var att han som medborgare ville kunna ta reda på om de som säger sig vara anställda av Trafikverket verkligen är det.

Trafikverket konstaterade att det rörde sig om 3.476 personer och avslog både begäran om en förteckning och begäran om de enskilda konsultkontrakten. Det här med hänvisning till personuppgiftssekretess. Personen överklagade.

Kammarrätten bedömde att syftet med begäran var att skapa ett register över en stor del av Trafikverkets personal. Enligt domstolen kunde det inte ses som en behandling av personuppgifter för rent privata ändamål.

Kammarrätten tyckte också att de berörda konsulternas intresse av integritetsskydd vägde tyngre än syftet bakom begäran. Därför var den begärda förteckningen sekretessbelagd, liksom de delar av konsultkontrakten som innehöll personuppgifter. Domstolen skickade tillbaka ärendet till Trafikverket för en prövning av om även andra uppgifter i kontrakten omfattades av sekretess, enligt någon annan regel.

Inte okej att hänvisa sökande till hemsidan

När en journalist vände sig till Finspångs kommun och begärde ut listor över alla förtroendevalda i kommunen inklusive personnummer blev det avslag. Kommunen hänvisade journalisten till hemsidan där han kunde sammanställa de önska listorna själv. På hemsidan fanns visserligen inte de förtroendevaldas personnummer men det spelade ingen roll för de var ändå sekretessbelagda, enligt kommunen. Det här eftersom man inte kunde utesluta att journalisten tänkte använda uppgifterna i strid med GDPR. Journalisten överklagade och kammarrätten gav kommunen bakläxa. Domstolen konstaterade att kommunen inte hade uppfyllt sina skyldigheter genom att hänvisa till hemsidan och att den åberopade sekretessregeln inte kan tillämpas på personuppgifter som begärs ut av en journalist. Domstolen skickade tillbaka ärendet till kommunen för ny prövning.

Ingen GDPR-sekretess för ledighetsansökningar

En förälder vände sig till sin dotters skola och begärde ut alla inkomna ledighetsansökningar för elever i årskurs två som hade kommit in under en viss termin. Bildningsnämnden i den aktuella kommunen avslog med hänvisning till ”kapitel 21 offentlighets- och sekretesslagen”. Föräldern överklagade till kammarrätten som prövade överklagandet mot den sekretessregel i kapitlet som säger att en myndighet kan vägra lämna ut personuppgifter om det kan antas att mottagaren kommer att använda dem i strid med dataskyddsförordningen (GDPR). Kammarrätten tyckte inte att det fanns något skäl att göra ett sådant antagande och skickade tillbaka ärendet till bildningsnämnden för att den skulle pröva om det fanns någon annan sekretessregel som stod i vägen för ett utlämnande.

KR_Goteborg_5040_18

Lönelista hos bostadsbolag var offentlig

En person hade rätt att få ut en förteckning över anställda vid det kommunala bostadsbolaget MKB med uppgifter om namn, personalkategori och lön. Det slog kammarrätten fast i det här fallet. Bolaget hade bland annat hävdat att uppgifterna var affärshemligheter och att det kunde antas att personen bakom begäran skulle använda förteckning i strid mot personuppgiftslagen. Kammarrätten underkände samtliga argument för sekretess och biföll personens överklagande.

KR_Goteborg_2035_18

Dygnslistor innehöll mer än enstaka personuppgifter

Enligt polisdatalagen kan polisen lämna ut enstaka personuppgifter på medium för automatiserad behandling. Men så kallade dygnslistor över dagens begångna brott som polisen dagligen lämnade ut till massmedia kunde inte ses som utlämnande av enstaka uppgifter. Det menade Datainspektionen i ett vägledande yttrande till polisen. Datainspektionen pekade på mängden personuppgifter i varje enskild dygnslista, samt till att listorna lämnades ut regelbundet och systematiskt. Dygnslistorna innehöll bland annat diarienummer (K-nummer), vilket Datainspektionen menar är en personuppgift. Utöver K-nummer innehöll listorna även brottskod, län, kommun och brottsdatum. Listorna skrevs ut från Rationell anmälningsrutin, RAR.

DI_1808_16