HFD 2015 ref 61. Datainspektionen vidhöll sitt beslut.



Relevanta dokument
HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Högsta förvaltningsdomstolen meddelade den 25 juni 2018 följande dom (mål nr ).

Lagrum: 11 kap. 3 regeringsformen; 25 förordningen (1996:381) med tingsrättsinstruktion; 5 a personuppgiftslagen (1998:204)

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

H ö g s t a f ö r v a l t n i n g s d o m s t o l e n

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

5 kap. 9 och 12 första stycket, 15 kap. 2, 16 kap. 2 och 18 kap. 2 socialförsäkringsbalken

HFD 2014 ref 11. Försäkringskassan vidhöll sitt beslut.

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

HFD 2013 ref 63. Arbetslöshetskassan bestred bifall till överklagandet.

Fråga om tillämpning av undantagsregeln i 5 a personuppgiftslagen.

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Lagrum: 5 och 6 lagen (1998:703) om handikappersättning och vårdbidrag

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HFD 2013 ref 14 Allmän försäkring

Högsta förvaltningsdomstolen meddelade den 20 mars 2018 följande dom (mål nr ).

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

HFD 2014 ref 60. Lagrum: 12 kap. 12 och 15, 13 kap. 31 a socialförsäkringsbalken

KLAGANDE Mats Berglund c/o Sveriges Snöskoterägares Riksorganisation (SNOFED) Hågesta Sollefteå. SAKEN Rätt art ta del av allmän handling

Fråga om vad som avses med sjukperiod enligt socialförsäkringsbalken.

HFD 2015 ref 21. Lagrum: 47 a lagen (1997:238) om arbetslöshetsförsäkring

HFD 2014 ref 5. Lagrum: 2 a kap. 8 socialtjänstlagen (2001:453)

108 kap. 2 och 110 kap. 46 socialförsäkringsbalken. Högsta förvaltningsdomstolen meddelade den 13 november 2017 följande dom (mål nr ).

HFD 2016 Ref kap. 1 socialtjänstlagen (2001:453), 4 lagen (1993:387) om stöd och service till vissa funktionshindrade

Högsta förvaltningsdomstolen meddelade den 8 juni 2017 följande dom (mål nr ).

HFD 2015 ref 10. Lagrum: 16 a kap. lagen (1962:381) om allmän försäkring

Svensk författningssamling

DOM Meddelad i Göteborg. ÖVERKLAGAT AVGÖRANDE Styrelsen för NU-sjukvårdens beslut den 10 februari 2009, dm 2008/92:347, se bilaga A

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Användandet av E-faktura inom den Summariska processen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Högsta förvaltningsdomstolen meddelade den 28 juni 2017 följande dom (mål nr ).

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Förutsättningar för samtycke från enskilda när socialnämnden behöver uppgifter från Arbetsförmedlingen i ett ärende om ekonomiskt bistånd

9 kap. 17 och 10 kap. 8 kommunallagen (1991:900) Högsta förvaltningsdomstolen meddelade den 8 november 2016 följande dom (mål nr ).

Vid fastställelse av arbetsskadelivränta ska semesterlön eller semesterersättning inte beräkna enligt schablon.

Högsta förvaltningsdomstolen meddelade den 4 december 2018 följande dom (mål nr och ).

Regeringsrätten RÅ 2002 ref. 54. Målnummer: Avdelning: 1. Avgörandedatum:

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

4 kap. 9, 13, 14, 15, 16 och 19 taxeringslagen (1990:324) Högsta förvaltningsdomstolen meddelade den 16 november 2016 följande dom (mål nr 24-16).

Användandet av E-faktura inom verksamheten betalningsföreläggande

HFD 2016 Ref 54. Kommunfullmäktiges beslut att återkalla samtliga förtroendevaldas

DOM Meddelad i Stockholm

11 kap. 22 inkomstskattelagen (1999:1229), 4 lagen (1991:586) om särskild inkomstskatt för utomlands bosatta

Det förhållandet att giltighetstiden för ett uppehållstillstånd understiger ett år utgör inte hinder mot folkbokföring.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Svensk författningssamling

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Det förhållandet att en handling inte omfattas av handlingsoffentlighet

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

A.N. överklagade hos förvaltningsrätten det beslut som Försäkringskassans skrivelse den 18 juli 2011 ansågs innefatta.

Direktåtkomst och utlämnande på medium för automatiserad behandling. En rapport från E-delegationen

HFD 2014 ref 61. Lagrum: 34 lagen (1997:238) om arbetslöshetsförsäkring

Lagrum: 3 kap. 3 2 lagen (1976:380) om arbetsskadeförsäkring; 40 kap. 11 första stycket 2 socialförsäkringsbalken

Högsta förvaltningsdomstolen meddelade den 16 februari 2018 följande dom (mål nr ).

Handlingar som utväxlats mellan en kommun och kommunens juridiska ombud i en pågående rättsprocess har inte ansetts vara allmänna handlingar.

Rätten till daglig verksamhet enligt lagen om stöd och service till vissa funktionshindrade upphör vid 67 års ålder.

En person som är registrerad på en universitetsutbildning har ansetts delta i utbildning i den mening som avses i lagen om arbetslöshetsförsäkring.

2 kap. 3 första stycket vapenförordningen (1996:70) Högsta förvaltningsdomstolen meddelade den 2 juli 2018 följande dom (mål nr ).

Högsta förvaltningsdomstolen meddelade den 20 december 2016 följande dom (mål nr ).

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HFD 2013 ref 81. Lagrum: 3 lagen (1993:389) om assistansersättning

DOM Meddelad i Stockholm

Såväl avgångsvederlag som arbetsinkomst under ramtiden ska medräknas i underlaget för beräkning av dagsförtjänsten inom arbetslöshetsförsäkringen.

HFD 2013 ref 64. Lagrum: 23 förordningen (1996:1100) om aktivitetsstöd

Skyldigheten att lämna registerutdrag blir mindre betungande

Lagrum: 4 kap studiestödslagen (1999:1395); artiklarna 18 och 21 i fördraget om Europeiska unionens funktionssätt

HÖGSTA DOMSTOLENS BESLUT

HFD 2013 ref 44. Lagrum: 7 kap. 1 lagen (1962:381) om allmän försäkring

Rättsligt yttrande. Utredning

En enskild har inte haft rätt till ny prövning av sin återbetalningsskyldighet

16 kap. 52 och 28 kap. 5 2 skollagen (2010:800), 10 kap. 1 och 3 kommunallagen (1991:900)

Lagrum: 106 kap. 24 och 25 socialförsäkringsbalken; 18 kap. 30 skollagen (2010:800)

Sekretess för uppgifter i utländska databaser

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

DOM. Meddelad i Stockholm. SAKEN Rätt att ta del av allmän handling KAMMARRÄTTENS AVGÖRANDE. 2. Kammarrätten avslår överklagandet.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Utdrag ur protokoll vid sammanträde

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Assistansersättning - hjälp med andra personliga behov

4 kap. 1 socialtjänstlagen (2001:453), 1 andra stycket lagen (1994:137) om mottagande av asylsökande m.fl.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Delegation kan ske till socialnämndens ordförande att i brådskande fall fatta beslut enligt LVU att inte röja den

En förskola har inte ansetts bedriva sådan skolverksamhet som medför att den är ett allmänt undervisningsverk enligt inkomstskattelagen.

En funktionshindrad persons behov av transport har inte ansetts utgöra ett sådant annat personligt behov som ger rätt till personlig assistans.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Fråga om vad som avses med permanentbostad vid beräkningen av en persons förmögenhet när dennes rätt till bostadstillägg prövas.

Fråga om avräkning från dagar med föräldrapenning för tidigare utgiven motsvarande förmån i Norge.

Ett mål om utfående av allmän handling har inte kunnat inledas när talan förs anonymt.

Fråga om rätt till arbetslöshetsersättning enligt inkomstbortfallsförsäkringen. under en pågående period av arbetslöshet.

HFD 2015 ref 49. Lagrum: 5 kap. 1 andra stycket lagen (1988:1385) om Sveriges riksbank; 10 kap. 8 första stycket 4 kommunallagen (1991:900)

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Svensk författningssamling

Transkript:

HFD 2015 ref 61 Innebörden av begreppet direktåtkomst i socialförsäkringsbalken ska bestämmas med utgångspunkt i bestämmelserna i 2 kap. 3 andra stycket tryckfrihetsförordningen. Lagrum: 114 kap. 22 socialförsäkringsbalken; 11 kap. 11 socialtjänstlagen (2001:453); 3 b förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration; 3 förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) Datainspektionen beslutade den 1 april 2011 att förelägga Försäkringskassan att upphöra med att medge socialnämnderna åtkomst till uppgifterna ur socialförsäkringsdatabasen via LEFI Online till dess att Försäkringskassan försäkrat sig om att handläggare hos socialnämnderna bara kunde ta del av uppgifter om personer som var aktuella i ärenden hos nämnden. Som skäl för beslutet angavs bl.a. att socialnämndernas tillgång till uppgifterna genom LEFI Online innebär att nämnderna har direktåtkomst till socialförsäkringsdatabasen. Enligt 114 kap. 22 socialförsäkringsbalken får en socialnämnd ha direktåtkomst först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Försäkringskassan har inte inhämtat någon försäkran från socialnämnderna i enlighet med 114 kap. 22 socialförsäkringsbalken. Försäkringskassan överklagade Datainspektionens beslut hos förvaltningsrätten och yrkade att beslutet skulle upphävas. Kassan anförde bl.a. följande. Datainspektionens beslut förutsätter att LEFI Online är ett system som innebär direktåtkomst. LEFI Online är ett system som innebär att uppgifter lämnas ut på medium. Socialnämnderna ges inte direktåtkomst till uppgifter ur socialförsäkringsdatabasen. Försäkringskassan har full kontroll över vilka uppgifter som lämnas ut och det sker en automatiserad prövning i varje enskilt fall innan uppgifterna lämnas ut till kommunen. Datainspektionen vidhöll sitt beslut. Förvaltningsrätten i Stockholm (2012-12-19, ordförande Benndorf) yttrade: Den grundläggande frågan i målet är om Försäkringskassans datasystem LEFI Online innebär direktåtkomst till kassans socialförsäkringsdatabas och i så fall om 114 kap. 22 socialförsäkringsbalken därför är tillämplig. I Försäkringskassans redogörelse anges att LEFI Online är ett system som fungerar på följande sätt. 1. Kommunen begär att få information om en person i socialförsäkringsdatabasen genom att ställa en elektronisk fråga till Försäkringskassan. 2. Vid begäran legitimerar sig kommunen med sitt organisationsnummer via ett elektroniskt certifikat. 3 4. Efter att behörighetskontrollen är gjord kontrollerar

Försäkringskassans IT-system att det i begäran endast efterfrågas sådan information som kommunen med hänsyn till sekretessregler är behörig att få ut. 5. Utifrån kommunens begäran hämtar Försäkringskassans IT-system sedan in informationen från olika interna källor. 6 7. Försäkringskassans IT-system sammanställer sedan svaret och en ytterligare kontroll görs så att uppgifter som omfattas av sekretess inte lämnas till kommunen (utifrån det krav på behörighet som är uppsatt för tjänsten). 8. Under förutsättning att den ytterligare kontrollen visar att de efterfrågade uppgifterna kan lämnas ut fattas ett automatiskt beslut och uppgifterna lämnas ut/expedieras till kommunen. Gränsdragningen mellan direktåtkomst och utlämnande av uppgifter genom utlämnade på medium för automatiserad behandling framgår inte av några bestämmelser. Av förarbetena kan dock utläsas att direktåtkomst i regel innebär att informationen är tillgänglig för en användare för att på egen hand söka eller få svar på frågor utan att denne själv ska kunna påverka innehållet. Vidare anges att direktåtkomsten kan ge användare en möjlighet att också hämta hem informationen till sitt eget system och bearbeta den där, samt att direktåtkomst traditionellt sett har ansetts innebära att uppgifter lämnas ut utan att den utlämnande myndigheten har kontroll över vilka uppgifter som lämnas ut (prop. 2007/08:160 s. 56). Vidare avser direktåtkomsten framförallt de uppgifter som varje aktör i informationsutbytet har rätt att inhämta med stöd av en författningsregel och någon sekretessprövning ska därmed inte göras vid utlämnande av uppgifterna (a. prop. s 61). Bestämmelser som reglerar socialnämndernas informationsutbyte med Försäkringskassan återfinns i flera författningar. Av 11 kap. 11 socialtjänstlagen (2001:453), SoL, framgår att socialnämnderna har rätt att ta del av uppgifter om förmån, ersättning eller annat stöd åt enskild hos bl.a. Försäkringskassan. Bestämmelsen i 114 kap 22 socialförsäkringsbalken om socialnämndernas möjlighet att få direktåtkomst till uppgifter i socialförsäkringsdatabasen tillkom bl.a. för att göra informationsutbytet mellan socialnämnderna och Försäkringskassan snabbare och mer effektivt (a. prop. s 154). För att säkerställa integritetsskyddet tillkom ett tredje stycke, som stadgar att direktåtkomst endast kan komma ifråga efter att Försäkringskassan försäkrat sig om att handläggare bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Enligt förvaltningsrättens mening måste en myndighet som lämnar ut uppgifter, oavsett om det gäller direktåtkomst till fördefinierade uppgifter eller vid utlämnande på medium för automatiserad behandling, vid någon tidpunkt besluta om vilken typ av uppgifter som ska lämnas ut och vilka mottagande myndigheter som ska kunna få ut uppgifterna elektroniskt. Att Försäkringskassan vid varje begäran av uppgifter fattar någon form av beslut att bereda en socialnämnd tillgång till vissa uppgifter är, enligt rättens mening, inte en omständighet som nödvändigtvis innebär att ett utlämnande är att anse som ett utlämnande på medium för automatiserad behandling. För att det ska vara fråga om utlämnande på medium för automatiserad behandling, så att 114 kap. 22 socialförsäkringsbalken inte är tillämplig, måste det enligt förvaltningsrättens mening vara fråga om ett beslut som baseras på en reell prövning i det enskilda fallet. Det bör krävas att en sådan prövning inte endast innebär i princip detsamma 2

3 som en på förhand genomförd prövning vid direktåtkomst till fördefinierade uppgifter. En ordning där en åtskillnad mellan begreppen direktåtkomst och medium för automatiserad behandling möjliggörs på det sätt som Försäkringskassan förespråkar, skulle i praktiken innebära att olika grader av integritetsskydd införs, vilket inte kan anses ha varit lagstiftarens avsikt. Förvaltningsrätten instämmer således i Datainspektionens bedömning att socialnämndernas åtkomst till socialförsäkringsdatabasen är att anse som direktåtkomst. Vidare framgår i målet att LEVI Online inte innebär att kontroll görs för försäkran om att den socialnämnd som efterfrågar uppgifter om en viss person har ett ärende, avseende personen ifråga, vilket strider mot bestämmelsen i 114 kap 22 socialförsäkringsbalken. Sammantaget finner förvaltningsrätten att det saknas anledning att invända mot Datainspektionens föreläggande. Överklagandet ska således avslås. Förvaltningsrätten avslår överklagandet. Försäkringskassan överklagade förvaltningsrättens dom och yrkade att kammarrätten med ändring av domen skulle upphäva Datainspektionens beslut. Försäkringskassan anförde bl.a. följande. Myndighetens informationsutlämning via LEFI Online är inte att betrakta som direktåtkomst utan ett utlämnande på medium för automatiserad behandling. Av den ingivna beskrivningen avseende LEFI Online sker en prövning i det enskilda fallet och det kan inte vara en förutsättning att detta beslutsfattande sker manuellt. Även ett elektroniskt beslutsfattande som föregåtts av en prövning i det enskilda fallet måste kunna ses som ett utlämnande på medium. Vidare framgår det att LEFI Online inte möjliggör för utomstående att på egen hand söka efter information utan det är Försäkringskassan som söker och tar fram informationen. Även det förhållandet gör att systemet inte kan ses som ett system som innebär direktåtkomst. Datainspektionen vidhöll sitt beslut och grunderna för detta och yrkade att överklagandet skulle avslås. Datainspektionen anförde bl.a. följande. 114 kap. 22 socialförsäkringsbalken är tillämplig vid Försäkringskassans utlämnande av uppgifter genom direktåtkomst till fördefinierade uppgifter. Försäkringskassan vidtar inte någon sådan reell prövning i det enskilda fallet som skulle kunna medföra att bestämmelsen inte anses tillämplig. Om ovan nämnda lagrum inte skulle anses vara tillämpligt på utlämnande av uppgifter till socialnämnder via LEFI Online, skulle det få till följd att det integritetsskydd som lagstiftaren avsett att ge enskilda genom införandet av den aktuella bestämmelsen sätts ur spel. Kammarrätten i Stockholm (2014-02-14, Wahlqvist, Brege Gefvert, referent, Axelsson) yttrade: Frågan i målet är om Datainspektionen haft fog för att förelägga Försäkringskassan att upphöra med att ge socialnämnderna åtkomst till uppgifter ur socialförsäkringsdatabasen via datasystemet LEFI Online, till dess att Försäkringskassan försäkrat sig om att handläggare hos socialnämnderna bara kan ta del av uppgifter som är aktuella i ärenden hos nämnden. Det grundläggande vid denna

bedömning är om socialnämndernas åtkomst till LEFI Online är att anse som direktåtkomst eller inte. Av utredningen i målet framgår att LEFI Online är en automatiserad onlinetjänst som bl.a. ger socialnämnder åtkomst till viss information som behövs i handläggningen av ärenden vid nämnderna. Det är en fråga/svarstjänst med fördefinierade frågor och svar. Mottagaren skickar en frågefil avseende en person i taget som innehåller uppgifter om personnummer och efterfrågade förmåner för en viss period. Det finns inga tekniska begränsningar i systemet som begränsar sökbarheten till personer som ingår i pågående ärenden hos mottagaren. Försäkringskassans IT-system hämtar in information från olika interna källor och sammanställer ett svar. En behörighetskontroll och två sekretesskontroller genomförs under processen. En svarsfil skickas sedan till mottagaren. Tillämpliga bestämmelser m.m. Om en myndighet utbyter personuppgifter avseende en fysisk person elektroniskt med en annan myndighet är det fråga om behandling enligt den definition av begreppet som följer av 3 personuppgiftslagen (1998:204) oavsett i vilken form utbytet sker. Datainspektionen har som tillsynsmyndighet enligt 32 personuppgiftslagen att i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta enligt 31 samma lag. Försäkringskassan är i egenskap av personuppgiftsansvarig för uppgifterna i socialförsäkringsdatabasen skyldig att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Av 114 kap. 22 socialförsäkringsbalken framgår att en socialnämnd kan få ha direktåtkomst till socialförsäkringsdatabasen först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Enligt motivuttalanden avses att handläggarna rent tekniskt inte ska ha möjlighet att söka på andra personer än sådana som är aktuella i ett ärende hos den aktuella nämnden. Vidare räcker det med att värdmyndigheten inhämtar en försäkran från socialnämnden om att kraven är uppfyllda (prop. 2007/08:160 s. 150 och 170). Enligt 11 kap. 11 SoL har en socialnämnd rätt att ta del av uppgifter om förmån, ersättning eller annat stöd åt enskild hos bland annat Försäkringskassan. Olika former av elektroniskt utlämnande av uppgifter Direktåtkomst Personuppgifter kan lämnas ut i elektronisk form via medium för automatiserad behandling eller direktåtkomst. Det finns inte någon legaldefinition av dessa begrepp. Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (jfr prop. 2004/05:164 s. 83 och prop. 2011/12:45 s. 133). Vid direktåtkomst fattas beslut om överföring i varje enskilt fall av mottagaren. Sekretessprövningen måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av uppgifter i varje enskilt fall. I stället måste en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de 4

uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt (prop. 2011/12:45 s. 132 f.). Vidare måste den mottagande myndigheten rent tekniskt ha tillgång till uppgifter om alla personer som är registrerade i databasen eftersom det inte i förväg går att veta vilka personer som kommer att bli aktuella i ärenden hos den mottagande myndigheten. I praktiken innebär direktåtkomsten därför att myndigheten har teknisk tillgång till uppgifter om alla registrerade personer, men att myndigheten inte har rätt att söka efter uppgifter om en person förrän den personen är aktuell i ett ärende hos myndigheten (prop. 2011/12:157 s. 6). Utlämnande på medium för automatiserad behandling Med begreppet utlämnande på medium för automatiserad behandling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring, exempelvis diskett, CD-rom, DVD, USB-minne, mejl eller mellan två myndigheters datasystem. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen (prop. 2007/08:126 s. 77 och prop. 2009/10:85 s. 169). Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om och vilka uppgifter som kan lämnas ut. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet (prop. 2011/12:45 s. 132). Den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg blivit så små att det kan vara svårt att dra en gräns mellan dem. Det sist nämnda begreppet har ibland fått en vidare innebörd. I förarbetsuttalanden har som exempel på sådant utlämnande pekats på s.k. batch-körningar, ett automatiskt utlämnande efter sökningar och sammanställningar där svar lämnas med viss tidsfördröjning. Den fördröjning i uppgiftslämnandet som är inbyggt i en sådan teknik innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. En eventuell sekretessprövning, eller prövning av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas utan någon sekretessprövning, sker dock i praktiken i samband med att förbindelsen upprättas. Någon ytterligare prövning av uppgifterna i samband med utlämnandet sker alltså inte i realiteten (prop. 2000/01:129 s. 76 och prop. 2007/08:160 s. 58 f.). Försäkringskassans elektroniska utlämnande av uppgifter Vid handläggningen av ärenden om ekonomiskt bistånd hade socialnämnderna tidigare ett elektroniskt informationsutbyte med Försäkringskassan. Av den nu upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration framgick att personuppgifter i socialförsäkringsdatabasen fick lämnas ut på medium för automatiserad behandling. Informationsutbytet fungerade på så sätt att den aktuella kommunen skickade en frågefil via Internet till Försäkringskassan som dagen efter återsände en svarsfil med de uppgifter 5

6 som efterfrågats. Under utredningen till den nu aktuella bestämmelsen framfördes det synpunkter på att detta informationsutbyte skulle fungera ännu bättre med direktåtkomst som skulle kunna bidra till en snabbare och mer effektiv handläggning samt till att handläggarna ständigt skulle ha tillgång till aktuella uppgifter (prop. 2007/08:160 s. 154). Försäkringskassan ifrågasatte här om ett förfarande som innefattar tekniska begränsningar och där frågorna och svaren är fördefinierade och begränsade till sin omfattning bör falla in under begreppet direktåtkomst. Regeringens svar på detta var att den föreslagna regleringen innebär att förfarandet är att betrakta som direktåtkomst (prop. 2007/08:160 s. 150). Försäkringskassan har anfört att myndighetens informationsutlämning via LEFI Online inte är att betrakta som direktåtkomst utan ett utlämnande på medium för automatiserad behandling. Försäkringskassan, som söker och tar fram informationen, har enligt kassan full kontroll över vilka uppgifter som lämnas ut och det sker en automatiserad prövning i varje enskilt fall. Kammarrättens bedömning För att det ska vara fråga om ett utlämnande på medium för automatiserad behandling krävs antingen att det är fråga om en s.k. batch-körning, som utgörs av ett automatiskt utlämnande efter en sökning och sammanställning där svaret lämnas med viss tidsfördröjning, eller att utlämnandet baseras på en reell prövning i det enskilda fallet. Med en reell prövning avses att den utlämnande myndigheten i varje enskilt fall gör en sekretessprövning av om uppgifter kan lämnas ut. Kammarrätten konstaterar att det vid ett utlämnande av de i målet aktuella uppgifterna inte är fråga om en batch-körning som sker med en viss tidsfördröjning mellan mottagarens frågefil och Försäkringskassans svarsfil i LEFI Online. Vad gäller frågan om en reell sekretessprövning görs vid utlämnande av uppgifterna, har Försäkringskassan anfört dels att det i praktiken fattas ett automatiserat förvaltningsbeslut i varje enskilt fall, dels att det sker en automatiserad prövning i varje enskilt fall. Av handlingarna i målet framgår emellertid att Försäkringskassan inte fattar något individuellt beslut, automatiserat eller inte, för varje enskild begäran. Kammarrätten anser vid en sammantagen bedömning att de behörighetsoch de sekretesskontroller som utförs i systemet LEFI Online av de fördefinierade uppgifterna inte kan anses tillräckliga för att det ska anses som att det sker ett utlämnande på medium för automatiserad behandling, utan att det elektroniska utlämnandet via LEFI Online sker genom direktåtkomst. Det förhållandet att Försäkringskassan inte har förvissat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden strider mot bestämmelsen i 114 kap. 22 socialförsäkringsbalken. Kammarrätten kommer, med beaktande av det anförda, till samma slutsats som förvaltningsrätten, dvs. att Datainspektionen har haft fog för sitt föreläggande. Kammarrätten avslår överklagandet. Försäkringskassan överklagade kammarrättens dom till Högsta förvaltningsdomstolen och yrkade att Datainspektionens beslut skulle upphävas. Kassan anförde bl.a. följande. LEFI Online har utvecklats för att följa den systematik för prövning av en begäran om utlämnande av allmänna handlingar som följer av tryckfrihetsförordningen och

7 offentlighets- och sekretesslagen (2009:400). Tjänsten är konstruerad så att en begäran om att få ta del av vissa specifika uppgifter lämnas in till Försäkringskassan. Därefter sker genom ett automatiserat förfarande en prövning och kontroll av att uppgifterna i det enskilda fallet kan lämnas ut. Eftersom det finns en sekretessbrytande uppgiftsskyldighet består sekretessprövningen i att kontrollera att de formella förutsättningarna för utlämnande är uppfyllda. En ansluten socialnämnd har således inte direkt tillgång till Försäkringskassans IT-system och kan inte heller fritt söka information. Sättet för utlämnande kan därför inte definieras som direktåtkomst. Datainspektionen bestred bifall till överklagandet och anförde bl.a. följande. Försäkringskassan gör inte någon reell prövning i det enskilda fallet. De kontroller som Försäkringskassan gör är en förutsättning för direktåtkomst. Vid direktåtkomst måste nämligen den utlämnande myndigheten ha kontroll över att den som begär åtkomst till vissa uppgifter har rätt att få det. Högsta förvaltningsdomstolen (2015-10-29, Melin, Almgren, Silfverberg, Baran, Andersson) yttrade: Skälen för avgörandet Rättslig reglering Av 114 kap. 22 socialförsäkringsbalken följer att en socialnämnd får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. SoL. En socialnämnd får ha direktåtkomst först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling om det behövs som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. SoL (114 kap. 24 socialförsäkringsbalken). Enligt 11 kap. 11 SoL har socialnämnden rätt att ta del av uppgifter om förmån, ersättning eller annat stöd åt enskild hos Försäkringskassan. I 3 förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) specificeras de uppgifter socialnämnden har rätt att ta del av hos Försäkringskassan. Att en socialnämnd under de förutsättningar som anges i 114 kap. 22 socialförsäkringsbalken får ha direktåtkomst till dessa uppgifter framgår av 3 b förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration. Vad målet gäller

8 Frågan i målet gäller om socialnämndernas åtkomst till uppgifter i socialförsäkringsdatabasen genom datasystemet LEFI Online är att anse som direktåtkomst i socialförsäkringsbalkens mening. Detta är avgörande för bedömningen av om Datainspektionen haft fog för sitt beslut att förelägga Försäkringskassan att upphöra med att ge socialnämnderna åtkomst till uppgifterna till dess att en sådan försäkran som avses 114 kap. 22 socialförsäkringsbalken har hämtats in. Högsta förvaltningsdomstolens bedömning Elektronisk överföring av uppgifter mellan myndigheter sker i form av direktåtkomst eller utlämnande på medium för automatiserad behandling. Någon legaldefinition av dessa begrepp finns inte. Bestämmelsen om att socialnämnden får ha direktåtkomst till uppgifter i socialförsäkringsdatabasen infördes ursprungligen i lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration. Regleringen syftade till att öka det elektroniska informationsutbytet mellan vissa myndigheter bl.a. för att minska felaktiga utbetalningar från välfärdssystemen (prop. 2007/08:160 s. 39). Lagen upphävdes i samband med tillkomsten av socialförsäkringsbalken. Regler med motsvarande innehåll finns nu i 114 kap. socialförsäkringsbalken. Med direktåtkomst avses enligt förarbetena till lagen om behandling av personuppgifter inom socialförsäkringens administration att den som använder registret på egen hand kan söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet, samt att uppgifter i registret på det beskrivna sättet lämnas ut utan att den ansvariga myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut (prop. 2002/03:135 s. 88). I samma proposition uttalas vidare att vad begreppet utlämnande på medium för automatiserad behandling innefattar inte är helt klarlagt. Syftet med de olika reglerna om utlämnande av uppgifter är i regel att med hänsyn till medborgarnas integritet inskränka möjligheterna för utomstående att genom överföring av uppgifter i personregister kunna upprätta egna personregister. Den tekniska metoden för överföring av uppgifter är i det sammanhanget ointressant. Även överföring av uppgifter via internet till en persondator som i regel innebär att uppgifterna på något sätt lagras i persondatorn trots att huvudsyftet är att innehavaren ska ta del av dem på skärmen bör ofta vara att anse som utlämnande av uppgifter på medium för automatiserad behandling (a. prop. s. 88 f.). Osäkerheten vad gäller begreppsbildningen speglas också i förarbetena till bestämmelserna om socialnämndernas direktåtkomst i socialförsäkringsbalken. Där uttalas att den tekniska utvecklingen hade lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg är så små att det är svårt att dra en gräns mellan direktåtkomst och andra former av utlämnande. Såväl vid direktåtkomst som vid sådant utlämnande på automatiserad väg som sker via telenätet

9 sker sekretessprövningen, eller prövningen av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, i samband med att förbindelsen upprättas. Någon ytterligare prövning av uppgifterna i samband med utlämnandet sker inte vid överföringar över telenätet, även om det är teoretiskt möjligt (prop. 2007/08:160 s. 58). Det framgår vidare att lagstiftaren var medveten om avsaknaden av entydiga begrepp men att utgångspunkten i lagstiftningsärendet var att inte frångå den begreppsbildning som fanns på området. Beskrivningarna av begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ger således inte några tydliga hållpunkter för hur begreppen ska förstås när det gäller helt automatiserade system för utbyte av uppgifter mellan myndigheter. Det kan noteras att beskrivningar av begreppet direktåtkomst, motsvarande det tidigare återgivna, även finns i senare förarbeten till författningar som reglerar registerfrågor, se t.ex. prop. 2011/12:45 s. 133 och prop. 2014/15:63 s. 95. Informationshanteringsutredningen anser i ett nyligen avlämnat betänkande (SOU 2015:39 s. 389 ff.) att direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 andra stycket tryckfrihetsförordningen. Kammarrätten har ansett att de behörighets- och sekretesskontroller som utförs i systemet LEFI Online inte kan anses tillräckliga för att det ska anses ske ett utlämnande på medium för automatiserad behandling. Den prövning som kan krävas av Försäkringskassan vid ett utlämnande enligt SoL och förordningen om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) är emellertid enbart av formell art att den efterfrågade uppgiften omfattas av uppgiftsskyldigheten och kan enligt Högsta förvaltningsdomstolens mening inte ligga till grund för att ange en skiljelinje mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Något annat särskiljande drag som kännetecknar direktåtkomst måste användas för att bestämma innebörden i begreppet. De allmänna handlingar hos en myndighet som en annan myndighet genom direktåtkomst får tillgång till utgör allmänna handlingar även hos denna myndighet (prop. 2002/03:135 s. 90). Av 2 kap. 3 andra stycket tryckfrihetsförordningen framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Den avgränsning som på detta sätt görs av begreppet direktåtkomst genom tillämpning av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 socialförsäkringsbalken. Det avgörande blir om upptagningen kan anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening.

10 Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken. Datainspektionen har därför inte haft fog för sitt föreläggande. Överklagandet ska således bifallas och underinstansernas avgöranden upphävas. Högsta förvaltningsdomstolens avgörande Högsta förvaltningsdomstolen bifaller överklagandet och upphäver underinstansernas avgöranden. Mål nr 1356-14, föredragande Emily Alfvén Nickson

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss