Begränsningar grundade i personuppgiftslagstiftningen

Det kan vara svårt att bedöma vad reglerna kring personuppgifter tillåter när det gäller att tillgängliggöra uppgifter på internet, men i många fall får personuppgifter inte finnas tillgängliga på detta sätt.

Det är klokt att prioritera informationsresurser som inte innehåller personuppgifter och informationsresurser som är lätta att rensa från personuppgifter. På så sätt kan en myndighet främja vidareutnyttjande utan att försenas av rättsliga utredningar och manuella granskningar.

Det är inte helt lätt att ”tvätta” en informationssamling från personuppgifter eftersom begreppet personuppgift omfattar så mycket. Det räcker inte att ta bort uppgifter som direkt kan användas för att identifiera en person, t.ex. namn. Så länge det indirekt direkt är möjligt att koppla uppgifterna som finns kvar till personen de rör, t.ex. genom ett dokumentnummer eller liknande, är det fråga om personuppgifter. Det faktum att man tar bort direkt identifierande personuppgifter kan dock ibland påverka bedömningen av om det är tillåtet att tillgängliggöra övriga personuppgifter (se nedan).

I andra fall är det relativt enkelt att se till att en uppgiftssamling inte innehåller personuppgifter. Exempelvis kan det räcka om namn på t.ex. handläggare avlägsnas från ett register med företagsuppgifter. Företagsuppgifter brukar i sig inte räknas som personuppgifter, med undantag för uppgifter om ”enskild firma”.

Begreppet personuppgift har en bred definition, och därför kan man knappast kräva att alla myndigheters webbplatser ska vara helt befriade från personuppgifter. Här beskriver vi i vilken utsträckning personuppgifter faktiskt får finnas tillgängliga på internet, enligt personuppgiftslagstiftningen.

Rättsläget är komplext när det gäller att tillgängliggöra personuppgifter i elektronisk form, och därför måste varje fall bedömas noga. Här nedan finns vissa riktlinjer för en sådan bedömning.

Möjligheterna att göra personuppgifter tillgängliga beror på vilka bestämmelser som gäller i det aktuella fallet.

  1. Vissa personuppgifter är särskilt reglerade i en registerförfattning,och då finns det ofta tydliga villkor för att få lämna ut dem elektroniskt genom s.k. direktåtkomst. Om en registerförfattning innehåller regler om direktåtkomst måste författningen tillåta allmän direktåtkomst för att uppgifterna ska gå att lägga ut på internet. Det är ovanligt, men det förekommer i registerförfattningar som reglerar s.k. publicitetsregister, t.ex. register över bolag, immateriella rättigheter eller viss finansiell information. Det är också ovanligt att en registerförfattning inte alls reglerar utlämnandefrågan, men om så är fallet blir i första hand bestämmelser om registrets ändamål styrande. Sammanfattningsvis kan man säga att personuppgifter som regleras av en registerförfattning sällan får läggas ut på nätet för vidareutnyttjande.”
  2. Om det inte finns några begränsande regler, t.ex. i en registerförfattning, får personuppgifter lämnas ut elektroniskt om det följer personuppgiftslagens regler. Det finns olika regler beroende på varifrån uppgifterna kommer och hur de är ordnade i den källan. Reglerna varierar alltså beroende på om det gäller uppgifter ur en databas med en personuppgiftsanknuten struktur som gör det lätt att söka efter eller sammanställa just personuppgifter, eller om det handlar om en informationsresurs som inte har en sådan personuppgiftsanknuten struktur, t.ex. fristående dokument med löpande text i vilken det förekommer personuppgifter.
    1. En del databaser är strukturerade för att det ska vara lätt att söka eller sammanställa personuppgifter, och då gäller alla de s.k. hanteringsreglerna i personuppgiftslagen. Därmed blir det svårt att göra personuppgifterna tillgängliga på internet. Ett skäl till detta är det ska finnas ett krav på ändamålskoppling, dvs. att uppgifterna inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades  (9 § c–d). Här gäller det att bedöma varje enskilt fall för att kunna veta om syftet med insamlingen av uppgifterna. I många fall är publicering på nätet oförenlig med det ursprungliga syftet. En del uppgifter samlas dock in för flera ändamål, t.ex. både för att handlägga ett ärende och för att de ska hamna i ett offentligt register över sådana ärenden. Det kan också hända att personuppgifterna inte är insamlade för att tillgängliggöras på internet, men att en sådan behandling ändå stämmer med det ursprungliga ändamålet. Det kan t.ex. handla om situationer när tillgängliggörandet har ett naturligt samband med ändamålet med insamlingen.En myndighet måste också ha rättsligt stöd för att få lämna ut personuppgifter ur en strukturerad samling (10 §). Det stödet finns om utlämnandet t.ex. är nödvändigt för att myndigheten ska kunna sköta sina uppdrag eller en arbetsuppgift som är av allmänt intresse. I de flesta fall är det den s.k. intresseavvägningen i punkt f i 10 § PUL som gör att harmlösa personuppgifter kan lämnas ut. Exempelvis går det att lämna ut namn på beslutsfattare i ett ärende eller andra uppgifter där riskerna för integritetskränkning är små (t.ex. för att uppgifterna vare sig direkt eller indirekt rör den registrerades privata sfär eller dennes sociala eller ekonomiska förhållanden). Förutsättningen är att det finns ett starkt intresse av den aktuella handlingen. Enligt rättspraxis går det däremot inte att sprida ekonomiska uppgifter om enskilda personers krav i en konkurs (RÅ 2010 ref. 19). Det finns många olika saker som spelar in när man ska bedöma om en behandling är tillåten efter en intresseavvägning. Det underlättar om personuppgifter som direkt pekar ut en viss person, t.ex. namn, avlägsnas innan uppgifterna lämnas ut.Känsliga personuppgifter (t.ex. uppgifter om hälsa) eller personnummer (alla siffror) kommer i praktiken inte att kunna lämnas ut på detta sätt. Detsamma gäller uppgifter om lagbrott. En myndighet som lämnar ut personuppgifter måste också informera den registrerade om detta. Detta görs lämpligen redan i samband med att uppgifterna samlas in.
    2. En del informationsresurser är ostrukturerade och då är det i stället den s.k. missbruksbestämmelsen (5 a §) som styr ifall uppgifterna får lämnas ut eller inte. Denna bestämmelse innebär att man inte behöver bry sig om de omfattande hanteringsreglerna, och uppgifterna får lämnas ut så länge man inte ”kränker den registrerades personliga integritet”. Det är dock inte helt klart när det ska räknas som kränkande att personuppgifter finns tillgängliga på en myndighets webbplats. Denna bestämmelse är dock något mer tillåtande än hanteringsreglerna när det gäller möjligheten att lämna ut personuppgifter, framför allt eftersom det inte finns något uttryckligt krav på en ändamålskoppling. Därför går det att lämna ut uppgifter som uppfattas som harmlösa, t.ex. för att de inte rör den registrerades privata sfär eller dennes sociala eller ekonomiska förhållanden. Däremot går det troligen inte om uppgifterna förekommer i ett känsligt sammanhang eller om det finns särskilda integritetsrisker, t.ex. en påtaglig risk för att de kan sammanställas med andra uppgifter på ett sätt som leder till en integritetskränkning. Enligt bestämmelsens förarbeten var syftet inte att skapa ett starkare skydd för t.ex. förtroliga uppgifter än det som redan gällde enligt andra bestämmelser, t.ex. bestämmelser om sekretess eller förtal (prop. 2005/06:173 s. 28). Datainspektionens praxis har emellertid varit något mer restriktiv. Exempelvis räknades det som en integritetskränkning när en myndighet publicerade namnen på skolelever som hade avstängts från undervisningen på grund av ordningsproblem. Ett annat exempel är namnet på en person som hade gjort en JO-anmälan.