Fick inte ut uppgifter för att bygga eget register

Ett företag begärde att få ut uppgifter om samtliga legitimerade läkare, tandläkare och sjuksköterskor med uppgifter om deras utbildningskoder, examensår, eventuella specialisering, förskrivningsrätt och tiosiffrigt personnummer ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret).

Socialstyrelsen gjorde bedömningen att företaget skulle använda uppgifterna i strid med GDPR om dessa lämnades ut, av den anledningen sekretessbelade Socialstyrelsen uppgifterna.

Företaget överklagade men fick avslag även i kammarrätten. Företaget hade uppgett marknadsföring som ändamål för den tänka personuppgiftsbehandlingen. Det kan i och för sig vara ett berättigat intresse, konstaterade domstolen. Men i det här fallet tänkte företaget använda uppgifterna för att bygga upp ett eget register över all vårdpersonal, vid sidan av det så kallade HOSP-registret som förs av Socialstyrelsen. Det är uttömmande reglerat vad Socialstyrelsen får använda HOSP-registret till – en reglering som skulle bli meningslös om en annan aktör kunde begära ut samtliga uppgifter och skapa ett eget register, ansåg kammarrätten.

Friskola fick ut adresser för utskick

Friskoleföretaget Framtidsgymnasiet begärde hos Helsingborgs stad att få ut kontaktuppgifter till drygt 1.500 elever som hade sökt till olika yrkesgymnasier i Skåne. Företaget uppgav att syftet med begäran var att kunna skicka brev till vårdnadshavarna och erbjuda karriärvägledning och stöd.

Helsingborgs stad avslog begäran med hänvisning till att det rörde sig om skyddsvärda personuppgifter. Staden misstänkte att karriärvägledningen mest skulle bestå av information om Framtidsgymnasiets utbildningar, och att det skulle påverka elevernas fria gymnasieval på ett olämpligt sätt.

Företaget överklagade till kammarrätten och fick rätt. Domstolen såg ingen risk att den planerade marknadsföringen skulle ha kränkande inslag. Därmed stod den inte i strid med dataskyddsreglerna. Domstolen skickade tillbaka ärendet till Helsingborgs stad för att staden skulle pröva om det fanns någon annan sekretessregel som hindrade ett utlämnande.

Dygnslistor innehöll mer än enstaka personuppgifter

Enligt polisdatalagen kan polisen lämna ut enstaka personuppgifter på medium för automatiserad behandling. Men så kallade dygnslistor över dagens begångna brott som polisen dagligen lämnade ut till massmedia kunde inte ses som utlämnande av enstaka uppgifter. Det menade Datainspektionen i ett vägledande yttrande till polisen. Datainspektionen pekade på mängden personuppgifter i varje enskild dygnslista, samt till att listorna lämnades ut regelbundet och systematiskt. Dygnslistorna innehöll bland annat diarienummer (K-nummer), vilket Datainspektionen menar är en personuppgift. Utöver K-nummer innehöll listorna även brottskod, län, kommun och brottsdatum. Listorna skrevs ut från Rationell anmälningsrutin, RAR.

DI_1808_16

Toppbetalda på AP-fond offentliga

En journalist på Tidningen Publikt hade rätt att få ut en lista över de 20 högst betalda medarbetarna på Första AP-fonden. Listan innehöll uppgifter om namn, personnummer (alternativt födelsedatum och kön), heltidslön, tjänstgöringsgrad, titel/befattning, BESTA-kod, tjänstgöringsort, anställningsform samt uppgifter om eventuell tjänstledighet. Första AP-fonden hävdade att listan var hemlig eftersom myndighetens konkurrenter kunde använda den för att identifiera nyckelpersoner på myndigheten och locka dem till sig. Myndigheten hänvisade också till att syftet med dess verksamhet var närmast identiskt med ett aktiebolags. Kammarrätten slog fast att att uppgifter om offentliganställdas löner och anställningsvillkor enligt etablerad praxis är offentliga. Domstolen kunde inte heller se att myndighetens konkurrenter skulle gynnas av att listan lämnades ut.

KR_Sthlm_1845_16

 

JO 4171-11

En person begärde hos Försvarsmakten, bl.a. Ledningsregementet och Livgardet, att få en sammanställning av vissa anställdas namn, grad, befattning och lön. JO kritiserade Försvarsmakten för att ha dröjt för länge med att lämna ut sammanställningen. Dessutom tvingades personen identifiera sig för att hämta ut handlingen, vilket var fel enligt JO. Det här eftersom Försvarsmakten redan konstaterat att sammanställning var offentlig i sin helhet. JO slog också fast att en myndighet inte får efterfråga en persons syfte med en begäran bara för att det är personuppgifter som begärs ut. Enligt JO krävs det att det finns någon konkret omständighet som gör att det kan antas att personuppgiften efter utlämnandet kommer att behandlas på ett sätt som omfattas av personuppgiftslagen.

Däremot tyckte inte JO att Försvarsmakten var skyldig att lämna ut sammanställningen i elektronisk form via e-post. Personen som begärt ut sammanställningen hade inte heller rätt till ett överklagbart avslagsbeslut i frågan om formen för utlämnandet.

JO_4171_11