Personuppgiftsbehandling stred mot principen om uppgiftsminimering

dataskydd-personuppgiftsbehandling-stred-mot-principen-om-uppgiftsminimering.jpg

En stadsbyggnadsnämnd hade tillgängliggjort ett bygglovsärende med känsliga personuppgifter via stadsbyggnadskontorets självbetjäningsdatorer. IMY bedömer att personuppgiftsbehandlingen har skett i strid med principen om uppgiftsminimering och nämnden får därför en reprimand.

Bakgrund

Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot en stadsbyggnadsnämnd med anledning av ett klagomål. Den klagande menade att känsliga personuppgifter hade tillgängliggjorts via stadsbyggnadskontorets självbetjäningsdatorer. Detta genom att ett bygglovsärende som innehöll hälsouppgifter hade gått att söka fram och spara ned såsom en allmän handling.

Rättslig reglering

Den personuppgiftsansvarige ansvarar för, och ska kunna visa, att de grundläggande principerna i artikel 5 i förordning (EU) 2016/679 (dataskyddsförordningen) följs. Enligt principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Av skäl 39 i dataskyddsförordningen följer att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Personuppgifter får enbart behandlas om det finns en rättslig grund, som framgår av artikel 6 i dataskyddsförordningen, för behandlingen. En rättslig grund är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Uppgifter om hälsa är så kallade känsliga personuppgifter, se artikel 9.1 i dataskyddsförordningen och 3 kap. 1 § dataskyddslagen. Det är förbjudet att behandla sådana personuppgifter såvida behandlingen inte omfattas av något av undantagen i artikel 9.2 i dataskyddsförordningen.

Ett undantag, enligt artikel 9.2 g i dataskyddsförordningen, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Vidare framgår det av 3 kap. 3 § 1. p dataskyddslagen att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Denna bestämmelse möjliggör exempelvis behandling av känsliga personuppgifter i den mån det krävs för att kunna ta emot e-post eller diarieföra handlingar, se prop. 2017/18:105 s. 194.

Integritetsskyddsmyndigheten

IMY konstaterar inledningsvis att det är stadsbyggnadsnämnden som är personuppgiftsansvarig för personuppgiftsbehandlingen i ärendet. Personuppgifterna behandlades när handlingarna tillgängliggjordes på stadsbyggnadskontorets självbetjäningsdatorer. Ändamålet med personuppgiftsbehandlingen var att ge allmänheten insyn i den kommunala verksamheten.

Att känsliga personuppgifter varit synliga för samtliga användare innebär enligt IMY en spridning av fler personuppgifter än vad som varit nödvändigt med hänsyn till ändamålet med personuppgiftsbehandlingen. Behandling av känsliga personuppgifter kan innebära betydande risker för den personliga integriteten. Mot denna bakgrund bedömer IMY att behandlingen har skett i strid med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. För överträdelsen får stadsbyggnadsnämnden en reprimand enligt artikel 58.2 b i dataskyddsförordningen.

Av Karin Forsman, redaktör och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 28 nov 2022

Karin Forsman

Redaktör, jurist

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

I denna analys redogör Anders Vedin, rådgivare i vår dataskyddsgrupp, för två mer allmänna sekretessgrunder för personuppgifter.

30 jan 2023

Vår expert Monika Wendleby analyserar frågan.

20 jan 2023

IMY utfärdar en sanktionsavgift mot en region som skickat kallelser till patienter med känsliga personuppgifter synliga i fönsterkuvert.

19 jan 2023