Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Personuppgiftsbehandling stred mot principen om uppgiftsminimering

dataskydd-personuppgiftsbehandling-stred-mot-principen-om-uppgiftsminimering.jpg

En stadsbyggnadsnämnd hade tillgängliggjort ett bygglovsärende med känsliga personuppgifter via stadsbyggnadskontorets självbetjäningsdatorer. IMY bedömer att personuppgiftsbehandlingen har skett i strid med principen om uppgiftsminimering och nämnden får därför en reprimand.

Bakgrund

Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot en stadsbyggnadsnämnd med anledning av ett klagomål. Den klagande menade att känsliga personuppgifter hade tillgängliggjorts via stadsbyggnadskontorets självbetjäningsdatorer. Detta genom att ett bygglovsärende som innehöll hälsouppgifter hade gått att söka fram och spara ned såsom en allmän handling.

Rättslig reglering

Den personuppgiftsansvarige ansvarar för, och ska kunna visa, att de grundläggande principerna i artikel 5 i förordning (EU) 2016/679 (dataskyddsförordningen) följs. Enligt principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Av skäl 39 i dataskyddsförordningen följer att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Personuppgifter får enbart behandlas om det finns en rättslig grund, som framgår av artikel 6 i dataskyddsförordningen, för behandlingen. En rättslig grund är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Uppgifter om hälsa är så kallade känsliga personuppgifter, se artikel 9.1 i dataskyddsförordningen och 3 kap. 1 § dataskyddslagen. Det är förbjudet att behandla sådana personuppgifter såvida behandlingen inte omfattas av något av undantagen i artikel 9.2 i dataskyddsförordningen.

Ett undantag, enligt artikel 9.2 g i dataskyddsförordningen, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Vidare framgår det av 3 kap. 3 § 1. p dataskyddslagen att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Denna bestämmelse möjliggör exempelvis behandling av känsliga personuppgifter i den mån det krävs för att kunna ta emot e-post eller diarieföra handlingar, se prop. 2017/18:105 s. 194.

Integritetsskyddsmyndigheten

IMY konstaterar inledningsvis att det är stadsbyggnadsnämnden som är personuppgiftsansvarig för personuppgiftsbehandlingen i ärendet. Personuppgifterna behandlades när handlingarna tillgängliggjordes på stadsbyggnadskontorets självbetjäningsdatorer. Ändamålet med personuppgiftsbehandlingen var att ge allmänheten insyn i den kommunala verksamheten.

Att känsliga personuppgifter varit synliga för samtliga användare innebär enligt IMY en spridning av fler personuppgifter än vad som varit nödvändigt med hänsyn till ändamålet med personuppgiftsbehandlingen. Behandling av känsliga personuppgifter kan innebära betydande risker för den personliga integriteten. Mot denna bakgrund bedömer IMY att behandlingen har skett i strid med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. För överträdelsen får stadsbyggnadsnämnden en reprimand enligt artikel 58.2 b i dataskyddsförordningen.

Av Karin Forsman, redaktör och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 28 nov 2022

Karin Forsman

Jurist

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

EU-domstolen har i ett förhandsavgörande redogjort för tolkningen av begreppet berättigat intresse enligt artikel 6.1 första stycket f i dataskyddsförordningen. Vår expert Ranja Bunni har analyserat avgörandet.  

3 dec 2024

Vår dataskyddsjurist Beata Rosvall svarar på frågan. 

2 dec 2024

Vår rådgivare och jurist Beata Rosvall berättar i detta JP play-avsnitt om vad som händer med NIS2 och CER-direktivet.

2 dec 2024