Är uppgiftsskyldigheten i OSL förenlig med GDPR?

Den 19 februari 2021 meddelade Högsta förvaltningsdomstolen (HFD) en dom i fråga om bestämmelsen om uppgiftsskyldighet mellan myndigheter i offentlighets- och sekretesslagen, OSL, är förenlig med EU:s dataskyddsförordning och om vilken prövning som ska göras då en myndighet begär att få ta del av personuppgifter med stöd av bestämmelsen. Vår jurist Gustaf von Essen, rådgivare inom socialjuridik och skoljuridik, redogör för domen.

gustaf_von_essen_artikel_16x9.jpg

JP Infonets juridiska rådgivare Gustaf von Essen.

Bakgrunden var att en region hade vänt sig till Socialstyrelsen och begärt ut uppgifter ur Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP). De uppgifter regionen begärde ut avsåg förskrivarkoder. Syftet med begäran var att kontrollera vissa personers identitet och behörighet för att kunna förhindra obehörig förskrivning av läkemedel och felaktiga utbetalningar av läkemedelsförmåner. Regionen grundade sin begäran på bestämmelsen om uppgiftsskyldighet mellan myndigheter i 6 kap. 5 § OSL. Socialstyrelsen sa nej med hänvisning till att ett utlämnande förutsatte att såväl Socialstyrelsens som regionens behandling av uppgifterna omfattades av något av de ändamål som anges i HOSP-förordningen, vilket Socialstyrelsen uppfattade att regionens behandling inte gjorde.

Ett utlämnande av personuppgifter innebär i sig att personuppgifter behandlas. Utlämnande av allmänna handlingar är undantagna från dataskyddsregleringen men detta gäller inte utlämnande av uppgifter från en myndighet utan GDPR:s principer gäller då fullt ut, bland annat finalitetsprincipen. Principen innebär bland annat att vid en behandling av redan insamlade personuppgifter som inte omfattas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ursprungliga ändamålen eller inte. I Sverige har sedan lång tid tillbaka behandlingen av personuppgifter inom framför allt den offentliga sektorn reglerats genom så kallade registerförfattningar. I författningen anges ofta de ändamål för vilka personuppgifterna får behandlas. Detta är tillåtet förutsatt att registerförfattningen uppfyller vissa grundläggande krav i GDPR.

HFD konstaterar i domen att genom sekretessbestämmelser hindras myndigheterna från att lämna bland annat integritetskänsliga uppgifter till andra myndigheter. När det i lag eller förordning föreskrivs att uppgifter ska lämnas har lagstiftaren tagit ställning till att det dels är så viktigt att det ska införas en skyldighet att lämna information, dels att eventuell sekretess ska brytas (jfr 10 kap. 28 § OSL). Lagstiftaren får då också anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och proportionerligt. Skyldigheten att lämna uppgifter till andra myndigheter enligt 6 kap. 5 § OSL är bara tillämplig när uppgifterna inte omfattas av sekretess. Härigenom får lagstiftaren anses ha tagit ställning till när ett uppgiftslämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Utöver sekretessprövningen ska den personuppgiftsansvariga myndigheten således inte göra någon kontroll av förenligheten med finalitetsprincipen i samband med lämnande av uppgifter.

HFD:s uttalande torde kunna tolkas som att i de fall där det i en författning finns en uppgiftsskyldighet har lagstiftaren redan på förhand gjort de avväganden som, enligt GDPR, krävs för att en vidarebehandling i form av ett utlämnande ska vara förenligt med GDPR:s allmänna principer. Att så är fallet medför en markant förenkling för myndigheterna i det dagliga arbetet. I sak kan det tyckas som att domen inte medför någon förändring i hur myndigheterna redan arbetar. Detta är nog till viss del sant men beror troligtvis på att kollisionen mellan bestämmelserna om uppgiftsutlämnande och personuppgiftsbehandling inte har uppmärksammats till den grad som borde skett.

Publicerad 4 maj 2021

Anmäl dig till vårt nyhetsbrev inom förvaltningsrätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP Förvaltningsnet

    Tjänsten för dig som arbetar med förvaltningsrättsliga frågor såväl inom privat som offentlig verksamhet.
  • JP RättsfallsnetKommunallagen

    Tjänsten ger dig tillgång till alla domar på området. För dig som arbetar med kommunalrättsliga frågor är tjänsten ett värdefullt stöd.
  • JP RättsfallsnetSekretess

    JP Rättsfallsnet–Sekretess ger dig tillgång till alla domar om sekretess som avgjorts med stöd av tryckfrihetsförordningen och OSL.

Nyheter

En arbetsgrupp bestående av åtta representanter har identifierat flera lösningar till digital samarbetsplattform.

30 nov 2021

En propositionssamanfattning om ökat skydd för väljares valhemlighet i vallokalen författad av JP Infonets Maria Bjurholm. 

30 nov 2021

En propositionssammanfattning om föreningsfrihet och terroristorganisationer författad av JP Infonets Sonya Friberg.

30 nov 2021