Är uppgiftsskyldigheten i OSL förenlig med GDPR?

Den 19 februari 2021 meddelade Högsta förvaltningsdomstolen (HFD) en dom i fråga om bestämmelsen om uppgiftsskyldighet mellan myndigheter i offentlighets- och sekretesslagen, OSL, är förenlig med EU:s dataskyddsförordning och om vilken prövning som ska göras då en myndighet begär att få ta del av personuppgifter med stöd av bestämmelsen. Vår jurist och rådgivare Gustaf von Essen redogör för domen.

JP Infonets juridiska rådgivare Gustaf von Essen.

Bakgrunden var att en region hade vänt sig till Socialstyrelsen och begärt ut uppgifter ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP). De uppgifter regionen begärde ut avsåg förskrivarkoder. Syftet med begäran var att kontrollera vissa personers identitet och behörighet för att kunna förhindra obehörig förskrivning av läkemedel och felaktiga utbetalningar av läkemedelsförmåner. Regionen grundade sin begäran på bestämmelsen om uppgiftsskyldighet mellan myndigheter i 6 kap. 5 § OSL. Socialstyrelsen sa nej med hänvisning till att ett utlämnande förutsatte att såväl Socialstyrelsens som regionens behandling av uppgifterna omfattades av något av de ändamål som anges i HOSP-förordningen, vilket Socialstyrelsen uppfattade att regionens behandling inte gjorde.

Ett utlämnande av personuppgifter innebär i sig att personuppgifter behandlas. Utlämnande av allmänna handlingar är undantagna från dataskyddsregleringen men detta gäller inte utlämnande av uppgifter från en myndighet utan GDPR:s principer gäller då fullt ut, bland annat finalitetsprincipen. Principen innebär bland annat att vid en behandling av redan insamlade personuppgifter som inte omfattas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ursprungliga ändamålen eller inte. I Sverige har sedan lång tid tillbaka behandlingen av personuppgifter inom framför allt den offentliga sektorn reglerats genom så kallade registerförfattningar. I författningen anges ofta de ändamål för vilka personuppgifterna får behandlas. Detta är tillåtet förutsatt att registerförfattningen uppfyller vissa grundläggande krav i GDPR.

HFD konstaterar i domen att genom sekretessbestämmelser hindras myndigheterna från att lämna bland annat integritetskänsliga uppgifter till andra myndigheter. När det i lag eller förordning föreskrivs att uppgifter ska lämnas har lagstiftaren tagit ställning till att det dels är så viktigt att det ska införas en skyldighet att lämna information, dels att eventuell sekretess ska brytas (jfr 10 kap. 28 § OSL). Lagstiftaren får då också anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och proportionerligt. Skyldigheten att lämna uppgifter till andra myndigheter enligt 6 kap. 5 § OSL är bara tillämplig när uppgifterna inte omfattas av sekretess. Härigenom får lagstiftaren anses ha tagit ställning till när ett uppgiftslämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Utöver sekretessprövningen ska den personuppgiftsansvariga myndigheten således inte göra någon kontroll av förenligheten med finalitetsprincipen i samband med lämnande av uppgifter.

HFD:s uttalande torde kunna tolkas som att i de fall där det i en författning finns en uppgiftsskyldighet har lagstiftaren redan på förhand gjort de avväganden som, enligt GDPR, krävs för att en vidarebehandling i form av ett utlämnande ska vara förenligt med GDPR:s allmänna principer. Att så är fallet medför en markant förenkling för myndigheterna i det dagliga arbetet. I sak kan det tyckas som att domen inte medför någon förändring i hur myndigheterna redan arbetar. Detta är nog till viss del sant men beror troligtvis på att kollisionen mellan bestämmelserna om uppgiftsutlämnande och personuppgiftsbehandling inte har uppmärksammats till den grad som borde skett.

Publicerad 4 maj 2021