DOM 2013-10-14 Meddelad i Stockholm



Relevanta dokument
DOM Meddelad i Linköping

DOM Meddelad i Göteborg

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

BESLUT Meddelat i Karlstad

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

DOM Meddelad i Jönköping

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

DOM Mål nr FÖRVALTNINGSRÄTTEN I LULEÅ UTREDNINGEN I MÅLET

DOM Meddelad i Göteborg

DOM Meddelad i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

DOM Meddelad i Linköping

DOM Meddelad i Stockholm

DOM Meddelad i Linköping

DOM Meddelad i Falun

BESLUT Meddelat i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Uppsala

DOM Meddelad i Falun

DOM Meddelad i Jönköping

DOM Meddelad i Malmö

DOM Meddelad i Uppsala

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Linköping

DOM Meddelad i Malmö

DOM Meddelad i Jönköping

DOM Meddelad i Falun

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

DOM Meddelad i Göteborg

DOM Meddelad i Falun

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Jönköping

DOM Meddelad i Falun

DOM Meddelad i Göteborg

DOM Meddelad i Göteborg

DOM Meddelad i Göteborg

DOM Meddelad i Stockholm

BESLUT Meddelat i Växjö

DOM Meddelad i Falun

BESLUT Meddelat i Linköping

DOM Meddelad i Falun

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

BESLUT Meddelat i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

DOM. Meddelad i Malmö. KLAGANDE Ljud och Bildskolan LBS AB, Box Bromma

DOM Meddelad i Malmö

DOM Meddelad i Stockholm

BESLUT Meddelat i Karlstad

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm

BESLUT Meddelat i Göteborg. SÖKANDE Fresenius Medical Care Sverige AB,

FÖRVALTNINGSRÄTTENS AVGÖRANDE. Förvaltningsrätten bifaller Strålsäkerhetsmyndighetens ansökan och

DOM Meddelad i Karlstad

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

DOM Meddelad i Stockholm

DOM Meddelad i Göteborg

BESLUT Meddelat i Jönköping

DOM Meddelad i Jönköping

DOM Meddelad i Malmö

BESLUT Meddelat i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Göteborg

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Stockholm

DOM Meddelad i Malmö

DOM Meddelad i Linköping

DOM Meddelad i Stockholm

DOM Meddelad i Linköping

DOM Meddelad i Stockholm

DOM Meddelad i Uppsala

DOM Meddelad i Växjö

DOM Meddelad i Jönköping

Rättelse/komplettering

DOM Meddelad i Linköping

DOM Meddelad i Stockholm

DOM Meddelad i Falun

DOM Meddelad i Göteborg

Transkript:

Enhet 12 DOM 2013-10-14 Meddelad i Stockholm Mål nr 9987-12 1 KLAGANDE Göteborgs universitet Ombud: Advokaterna Christian Olofsson och Gustaf Dyrssen MAQS Law Firm Advokatbyrå AB Box 7009 103 86 Stockholm MOTPART Datainspektionen Box 8114 104 20 Stockholm ÖVERKLAGAT BESLUT Datainspektionens beslut 2012-04-18, se bilaga 1 SAKEN Tillämpning av personuppgiftslagen FÖRVALTNINGSRÄTTENS AVGÖRANDE Förvaltningsrätten avslår överklagandet. Dok.Id 321876 Postadress Besöksadress Telefon Telefax Expeditionstid Tegeluddsvägen 1 08-561 680 00 08-561 680 01 måndag fredag 115 76 Stockholm E-post: 09:00-15:00 forvaltningsrattenistockholm@dom.se

2 BAKGRUND, YRKANDE M.M. Göteborgs universitet bedriver verksamheten Svensk nationell datatjänst (SND) på uppdrag av Vetenskapsrådet. SND ska tillhandahålla material för forskning och vara ett stöd för forskare genom att underlätta deras tillgång till data. SND samlar in, bearbetar och tillgängliggör material från olika forskningsprojekt. SND är en organisatorisk enhet inom Göteborgs universitet. Datainspektionen har inspekterat personuppgiftsbehandlingen inom ramen för SND vid Göteborgs universitet och har i beslut konstaterat att styrelsen för Göteborgs universitet är personuppgiftsansvarig för den personuppgiftsbehandling som utförs inom ramen för SND samt att Göteborgs universitet saknar rättsligt stöd för behandlingen. Datainspektionen har vidare förelagt Göteborgs universitet att upphöra med insamling och övrig behandling av personuppgifter i material insamlat inom ramen för SND. Skälen för beslutet framgår av bilaga 1. Göteborgs universitet (nedan även kallat universitetet) yrkar att Datainspektionens beslut ska undanröjas. Till stöd för talan anförs huvudsakligen följande. SND har som uppdrag att på nationell nivå stödja forskarsamhället med framförallt bevarande och i förekommande fall tillgängliggörande av forskningsdata inom SND:s ämnesområden. I uppdraget ingår också att förse forskarsamhället med stöd och service för att bevara, organisera och tillgängliggöra forskningsdata. I uppdraget ingår därutöver att samla in information avseende redan etablerade forskningsdatabaser och andra forskningsdatasamlingar och på så sätt kunna anvisa den enskilde forskaren till andra för forskaren relevanta källor. SND ska även medverka till utveckling av standarder, metoder och verktyg för dokumentation och

3 tillgängliggörande av forskningsdata. SND har att utföra sitt uppdrag på sådant sätt att målet enligt uppdragsbeskrivningen mellan Vetenskapsrådet och universitetet uppnås. SND kan emellertid inte bestämma över uppdragets innehåll och omfattning. Åtskillnad måste göras mellan SND:s uppdrag som bl.a. regleras av denna överenskommelse och de specifika personuppgiftsbehandlingar som sker inom ramen för SND:s uppdrag som regleras av personuppgiftslagen (1998:204), PuL. Datainspektionen har inte gjort någon granskning av de enskilda samlingarna av forskningsdata i förhållande till PuL varför beslutet redan på denna grund bör undanröjas. Den avidentifiering av person kopplad till enskilda personuppgifter som ingår i SND:s rutiner innebär att SND tar bort ett antal variabler med syfte att det inte ska vara möjligt att identifiera en enskild individ. Vidare görs kontinuerliga kontroller för att se till att det inte är möjligt att genomföra bakvägsidentifikation. Endast ett fåtal samlingar av forskningsdata som hittills har överlämnats till SND innehåller personuppgifter enligt PuL. SND har i dessa fall att för uppdragsgivarens räkning vidta de av uppdragsgivaren önskade åtgärderna bl.a. i syfte att bevara och dokumentera samlingarna av forskningsdata. För forskning som sker inom ramen för annan huvudmans verksamhet är det den huvudman som har initierat den enskilda personuppgiftsbehandlingen som är personuppgiftsansvarig och är den huvudman som har att ta ställning till i vad mån det finns behov av att nyttja SND:s tjänster och anlita SND. I förekommande fall inträder universitetet som personuppgiftsbiträde, inte som personuppgiftsansvarig. Ändamålet med behandlingen av personuppgifter är inte framtida forskning enligt 9 PuL. SND råder inte över vilket ändamål för vilket den per-

4 sonuppgiftsansvarige väljer att samla in personuppgifter och samlar inte heller för egen del in några personuppgifter. SND bestämmer inte över vilken forskningsdata som ska bevaras utan får i uppdrag av uppdragsgivaren att möjliggöra bevarande av en specifik samling av forskningsdata. Det är uppdragsgivaren som genom att överlämna en samling forskningsdata till SND tar initiativet till den personuppgiftsbehandlingen och vilka däri ingående personuppgifter som ska behandlas. SND bestämmer inte heller i övrigt över den deponerade forskningsdatan. Behandlingen av personuppgifter inom ramen för SND:s verksamhet syftar bl.a. till att dokumentera forskningsdata för bevarande av forskningsdata och i förekommande fall för att kunna återanvändas för senare forskning. SND utför ingen egen forskning och tar inte heller ställning till om och i vilken utsträckning samlingarna av forskningsdata ska användas för framtida forskning. SND:s behandling av personuppgifterna är förenlig med det ändamål för vilka personuppgifterna ursprungligen samlades in. Den personuppgiftsbehandling som sker vid SND är en behandling för i vart fall historiska, statistiska och vetenskapliga ändamål som är att anse som förenlig med de ändamål som personuppgifterna ursprungligen samlades in för. SND har att behandla personuppgifterna för den personuppgiftsansvariges räkning på samma sätt som om den personuppgiftsansvarige själv skulle ha utfört uppdraget. Personuppgifter som samlas in för ett forskningsändamål kan återanvändas i ett annat forskningsprojekt även om den registrerade endast samtyckt till behandling av personuppgifter i det ursprungliga forskningsprojektet. SND:s uppdrag avser främst dokumentation av forskningsdata och metadata, därtill har SND att se till att dataformatet fortsatt går att återläsa och har att bedöma vilken datalagringsteknik som ska användas. I SND:s uppdrag ingår att göra forskningsdata tillgängliga för andra forskare i den utsträckning som huvudmannen/personuppgiftsansvarig ger

5 SND detta i uppdrag. I de fall denna forskningsdata blir föremål för återanvändning i ny forskning måste givetvis huvudmannen för den nya forskningen pröva i vad mån den efterföljande behandlingen av personuppgifterna är förenlig med det ursprungliga ändamålet eller om den är tillåten med stöd av 9 andra stycket PuL. Universitetet har till stöd för sin talan bl.a. gett in ett personuppgiftsbiträdesavtal. Datainspektionen bestrider bifall till överklagandet och tillägger bl.a. följande. Det som universitetet anför ger stöd för uppfattningen att universitetet är personuppgiftsansvarigt för den behandling av personuppgifter som sker inom ramen för SND:s verksamhet. Formuleringen av SND:s uppdrag stärker intrycket av att det är universitetet som bestämmer mål och medel när det gäller behandlingen av personuppgifter. SND:s uppdrag bestäms i allt väsentligt av överenskommelsen med Vetenskapsrådet, inte av instruktioner från de forskningshuvudmän som skickar in material till SND. Universitetets personuppgiftsansvar framgår även av SND:s rutiner för att skydda sekretessen i inskickat forskningsmaterial då det är SND som bestämmer exempelvis att vissa variabler ska tas bort. Universitetets behandling av personuppgifter inom ramen för SND:s verksamhet är inte förenlig med 9 andra stycket PuL. Denna bestämmelse undantar inte behandlingen från kravet på ett specificerat ändamål. Bestämmelsen möjliggör behandling av redan insamlade uppgifter för ett nytt ändamål i vissa fall, men även det nya ändamålet måste uppfylla kravet i 9 första stycket c PuL, dvs. att personuppgifterna bara används för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen måste även uppfylla en rad andra villkor för att vara laglig enligt PuL. För att en

6 behandling av känsliga personuppgifter för forskningsändamål ska få ske utan att samtycke inhämtas från de registrerade krävs att en etikprövningsnämnd godkänt att personuppgifterna behandlas utan samtycke. Att syftet med SND:s behandling av personuppgifterna är framtida forskning framgår bl.a. av det mallavtal som universitet upprättat och som de som skickar in material till SND förväntas underteckna. Även av Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur (11:2010) framgår att SND har till syfte att behandla personuppgifter för framtida forskning. SKÄLEN FÖR AVGÖRANDET Datainspektionens föreläggande innebär att Göteborgs universitet ska upphöra med insamling och övrig behandling av personuppgifter i material insamlat inom ramen för SND. Datainspektionens beslut omfattar däremot inte forskningsdata som inte innehåller personuppgifter i PuL:s mening. Parterna är överens om att det finns personuppgifter i en del av det material som behandlas av Göteborgs universitet inom ramen för SND. Frågan är därför inledningsvis om Göteborgs universitet är personuppgiftsansvarigt för behandlingen av personuppgifter som sker inom ramen för SND:s verksamhet. Är Göteborgs universitet personuppgiftsansvarigt? Datainspektionen menar att Göteborgs universitet är personuppgiftsansvarigt för samtliga personuppgifter inom ramen för SND. Universitetet har uppgett att det är den ursprunglige forskningshuvudmannen som är personuppgiftsanvarig för de samlingar av data som kommer från andra lärosäten än Göteborgs universitet och att universitetet då agerar som personuppgiftsbiträde. Universitetet har vidgått att Göteborgs universitet är per-

7 sonuppgiftsansvarigt för de samlingar av data som härstammar från det egna universitetet. Personuppgiftsansvarig är enligt 3 PuL den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Datainspektionen har i ett beslut från den 2 juli 2010 (dnr 686-2010) uttalat bl.a. följande. Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. hur behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgiften ska raderas. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har bestämt över behandlingen. Göteborgs universitet har överenskommits med Vetenskapsrådet om att SND är en inrättning vid universitetet som ska tillgodose tillgodose forskarsamhällets behov av data för empirisk forskning inom vissa ämnen samt att åtagandet innefattar att tillhandahålla tekniska, juridiska, kunskapsmässiga och övriga administrativa resurser för insamling, lagring och distribution av data för forskning. Åtagandet innefattar även att Göteborgs universitet ska vidareutveckla verksamheten med avseende på modern databasteknik. Förvaltningsrätten gör följande bedömning. SND utför självständigt sina åtaganden enligt avtalet med Vetenskapsrådet. Enligt det av universitetet ingivna dokumentet Hantering av

8 forskningsdata vid SND tar SND bl.a. emot material, kontrollerar om materialet går att läsa samt säkerställer att datafilen inte innehåller någon direkt identifierare. Om sådana finns tas dessa bort från originalfilen och ansvarig forskare meddelas om åtgärden. Filerna arkiveras sedan i ett skapat bibiliotek i SND:s arkiv varvid identifikationsnummer tilldelas. SND bearbetar materialet och bedömer även hur mycket bearbetning som ska utföras. Av handlingarna i målet framgår inte att SND hanterar personuppgifterna efter instruktioner från de forskningshuvudmän som skickar in material till SND. SND bedriver istället sin verksamhet, dvs. bearbetar, listar och bevarar materialet, utan inblandning av forskningshuvudmännen. Enligt förvaltningsrättens mening bestämmer universitetet därmed över ändamålen med och medlen för behandlingen. Förvaltningsrätten instämmer därför i Datainspektionens bedömning att Göteborgs universitet ska anses vara personuppgiftsansvarigt för den behandling av personuppgifter som görs inom ramen för SND. De avtal och avtalsutkast som Göteborgs universitet har gett in ändrar inte denna bedömning. Är personuppgiftsbehandlingen förenlig med 9 PuL? Datainspektionen har i sitt beslut anfört att SND:s behandling av personuppgifter inte är förenlig med 9 PuL, eftersom ändamålet med behandlingen framtida forskning är alltför opreciserat för att uppfylla lagens krav. Göteborgs universitet har å sin sida uppgett att SND:s behandling av personuppgifterna är förenlig med det ändamål för vilka personuppgifterna ursprungligen samlades in samt att den personuppgiftsbehandling som sker vid SND är en behandling för i vart fall historiska, statistiska och vetenskapliga ändamål som är att anse som förenlig med de ändamål som personuppgifterna ursprungligen samlades in för. Göteborgs universitet menar därför att ändamålet uppfyller kraven i 9 PuL.

9 Enligt 9 första stycket c PuL ska den personuppgiftsansvarige se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. I förarbetena till bestämmelsen anges att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen. Det finns inte något krav på att ändamålsangivelsen ska nedtecknas (prop. 1997/98:44 s. 63 f.). Att ändamålen ska vara särskilda innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Hur pass detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav på att vara särskild framgår inte av PuL. Viss ledning vid tolkning av begreppet särskilda kan dock hämtas i kraven i punkten e och f på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (se SOU 1999:109 s. 156 och 1998:80 s. 221 f.). Om inte ändamålet har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Kan man inte avgöra vilka personuppgifter som behövs för att ändamålet ska kunna uppfyllas, torde ändamålet inte vara särskilt utan allmänt. Vetenskapsrådet har vidare i en rapport angett att det enligt utredningens mening inte är möjligt att bygga en databasinfrastruktur med personuppgifter som inte är känsliga i personuppgiftslagens mening. Man har angett att genom de krav som ställs på preciseringar av innehållet och ändamålet med personuppgiftsbehandlingen och de bedömningar som ska göras framgår det att det finns förutsättningar i såväl personuppgiftslagen som i etikprövningslagen som innebär svårigheter att konstruera en databasinfrastruktur för forskning som innefattar personuppgifter för generella

10 forskningsändamål (Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapportserie 11:2010). Förvaltningsrätten kan inte finna annat än att handlingarna i målet visar att syftet med SND:s behandling av personuppgifter är att möjliggöra framtida forskning. Detta ändamål kan inte anses vara tillräckligt specificerat för att kravet i 9 första stycket c PuL ska anses vara uppfyllt. I och med att detta krav inte är uppfyllt saknas skäl att gå in på bedömningen av om övriga förutsättningar i 9 PuL är uppfyllda. Förvaltningsrättens uppfattning är således, liksom Datainspektionens, att universitetets personuppgiftsbehandling inom ramen för SND är otillåten. Överklagandet ska avslås. HUR MAN ÖVERKLAGAR Detta avgörande kan överklagas. Information om hur man överklagar finns i bilaga 2. (DV 3109/1a) Ann-Jeanette Eriksson Rådman I avgörandet har även nämndemännen Ulf Karlsson, Ebba Krumlinde och Marita Sörefjord deltagit. Föredragande var förvaltningsrättsfiskalen Anna Nordström.

Bilaga 2 Bilaga HUR MAN ÖVERKLAGAR - PRÖVNINGSTILLSTÅND DV 3109/1A 2013-06 Producerat av Domstolsverket Den som vill överklaga förvaltningsrättens beslut ska skriva till Kammarrätten i Stockholm. Skrivelsen ska dock skickas eller lämnas till förvaltningsrätten. För att kammarrätten ska kunna ta upp Ert överklagande måste Er skrivelse ha kommit in till förvaltningsrätten inom tre veckor från den dag då Ni fick del av domen/beslutet. Om beslutet har meddelats vid en muntlig förhandling, eller det vid en sådan förhandling har angetts när beslutet kommer att meddelas, ska dock överklagandet ha kommit in inom tre veckor från den dag domstolens beslut meddelades. Om sista dagen för överklagande infaller på lördag, söndag eller helgdag, midsommarafton, julafton eller nyårsafton räcker det att besvärshandlingen kommer in nästa vardag. Om klaganden är en part som företräder det allmänna, ska överklagandet alltid ha kommit in inom tre veckor från den dag beslut meddelades. För att ett överklagande ska kunna tas upp i kammarrätten fordras att prövningstillstånd meddelas. Kammarrätten lämnar prövningstillstånd om 1. det finns anledning att betvivla riktigheten av det slut som förvaltningsrätten har kommit till, 2. det inte utan att sådant tillstånd meddelas går att bedöma riktigheten av det slut som förvaltningsrätten har kommit till, 3. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt, eller 4. det annars finns synnerliga skäl att pröva överklagandet. Om prövningstillstånd inte meddelas står förvaltningsrättens beslut fast. Det är därför viktigt att det klart och tydligt framgår av överklagandet till kammarrätten varför man anser att prövningstillstånd bör meddelas. Skrivelsen med överklagande ska innehålla 1. Klagandens person-/organisationsnummer, postadress, e-postadress och telefonnummer till bostaden och mobiltelefon. Adress och telefonnummer till klagandens arbetsplats ska också anges samt eventuell annan adress där klaganden kan nås för delgivning. Om dessa uppgifter har lämnats tidigare i målet och om de fortfarande är aktuella behöver de inte uppges igen. Om klaganden anlitar ombud, ska ombudets namn, postadress, e-postadress, telefonnummer till arbetsplatsen och mobiltelefonnummer anges. Om någon person- eller adressuppgift ändras, ska ändringen utan dröjsmål anmälas till kammarrätten. 2. den dom/beslut som överklagas med uppgift om förvaltningsrättens namn, målnummer samt dagen för beslutet, 3. de skäl som klaganden anger till stöd för en begäran om prövningstillstånd, 4. den ändring av förvaltningsrättens dom/beslut som klaganden vill få till stånd, 5. de bevis som klaganden vill åberopa och vad han/hon vill styrka med varje särskilt bevis. Adressen till förvaltningsrätten framgår av domen/beslutet. www.domstol.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss