Fråga om tillämpning av undantagsregeln i 5 a personuppgiftslagen.



Relevanta dokument
HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Lagrum: 11 kap. 3 regeringsformen; 25 förordningen (1996:381) med tingsrättsinstruktion; 5 a personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Frågor & svar om nya PuL

Tillsyn enligt personuppgiftslagen (1998:204) Katrineholms kommuns användning av s.k. sociala medier

Tillsyn enligt personuppgiftslagen (1998:204) Aktiebolaget Gröna Lunds Tivolis användning av Facebook

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Skyldigheten att lämna registerutdrag blir mindre betungande

Avdelning Meddelad i Stockholm. KLAGANDE Johan Gunnarsson. SAKEN.. ' -. Rätt att ta del av allmän handling KAMMARRATTENS AVGÖRANDE

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

HFD 2013 ref 63. Arbetslöshetskassan bestred bifall till överklagandet.

HFD 2014 ref 11. Försäkringskassan vidhöll sitt beslut.

H ö g s t a f ö r v a l t n i n g s d o m s t o l e n

Fråga om vad som avses med sjukperiod enligt socialförsäkringsbalken.

Lagrum: 39 kap. 4, 5 första stycket 1 och 9 första stycket 1 skatteförfarandelagen (2011:1244)

Regeringsrätten RÅ 2002 ref. 54. Målnummer: Avdelning: 1. Avgörandedatum:

Fråga om vad som avses med permanentbostad vid beräkningen av en persons förmögenhet när dennes rätt till bostadstillägg prövas.

9 kap. 17 och 10 kap. 8 kommunallagen (1991:900) Högsta förvaltningsdomstolen meddelade den 8 november 2016 följande dom (mål nr ).

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

DOM Meddelad i Stockholm

Rätten till daglig verksamhet enligt lagen om stöd och service till vissa funktionshindrade upphör vid 67 års ålder.

Vid fastställelse av arbetsskadelivränta ska semesterlön eller semesterersättning inte beräkna enligt schablon.

Riktlinjer för hantering av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

HFD 2016 Ref 54. Kommunfullmäktiges beslut att återkalla samtliga förtroendevaldas

Högsta förvaltningsdomstolen meddelade den 25 juni 2018 följande dom (mål nr ).

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

HFD 2015 ref 61. Datainspektionen vidhöll sitt beslut.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Yttrande i Förvaltningsrätten i Stockholms mål

Svar på medborgarförslag om webbsända nämndsammanträden

Fastighetsmäklarlagen och dess krav på god fastighetsmäklarsed

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

En förskola har inte ansetts bedriva sådan skolverksamhet som medför att den är ett allmänt undervisningsverk enligt inkomstskattelagen.

En leverantör har rätt att få en upphandling överprövad endast om denne har eller har haft ett intresse av att tilldelas kontrakt i upphandlingen.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Fråga om rätt till arbetslöshetsersättning enligt inkomstbortfallsförsäkringen. under en pågående period av arbetslöshet.

HFD 2015 ref 21. Lagrum: 47 a lagen (1997:238) om arbetslöshetsförsäkring

HFD 2013 ref 1 Förvaltningsprocess övriga frågor

HFD 2013 ref 14 Allmän försäkring

HFD 2016 Ref 53. Högsta förvaltningsdomstolen meddelade den 1 juli 2016 följande dom (mål nr ).

meddelad i Stockholm MOTPART Uddevalla kommun Uddevalla SAKEN Tillsyn enligt personuppgiftslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

HFD 2014 ref 61. Lagrum: 34 lagen (1997:238) om arbetslöshetsförsäkring

5 kap. 9 och 12 första stycket, 15 kap. 2, 16 kap. 2 och 18 kap. 2 socialförsäkringsbalken

R e g e r i n g s r ä t t e n RÅ 2006 ref. 15

11 kap. 22 inkomstskattelagen (1999:1229), 4 lagen (1991:586) om särskild inkomstskatt för utomlands bosatta

A.N. överklagade hos förvaltningsrätten det beslut som Försäkringskassans skrivelse den 18 juli 2011 ansågs innefatta.

HFD 2014 ref 5. Lagrum: 2 a kap. 8 socialtjänstlagen (2001:453)

34 lagen (1997:238) om arbetslöshetsförsäkring, 5 e förordningen. enligt lagen (1997:238) om arbetslöshetsförsäkring.

Fråga om en bostadsrättsförening ska beskattas för utdelning på andelar i en värdepappersfond. Inkomsttaxering 2008 och 2009.

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

En funktionshindrad persons behov av transport har inte ansetts utgöra ett sådant annat personligt behov som ger rätt till personlig assistans.

Fortsatta beslut om tvångsvård av en patient som dömts. men som varit avviken sedan mycket lång tid, har inte ansetts proportionerliga.

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Det förhållandet att giltighetstiden för ett uppehållstillstånd understiger ett år utgör inte hinder mot folkbokföring.

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Högsta förvaltningsdomstolen meddelade den 2 maj 2018 följande dom (mål nr ).

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Fråga om en persons behov av hjälp avseende personlig hygien är av sådan karaktär och omfattning att det kan grunda rätt till personlig assistans.

Fråga om rätt till utbetalning enligt lagen om förfarandet vid skattereduktion för hushållsarbete när arbetet har betalats av annan än köparen.

HFD 2013 ref. 5 Offentlig upphandling; Förvaltningsprocess övriga frågor

Ett körkort kan inte återkallas enbart med hänvisning till att körkortshavaren gjort sig skyldig till grovt sjöfylleri.

Frågan i målen är om de aktuella fordonen utgör sådana specialfordon som är undantagna från tillsynsavgift.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Lagrum: 5 och 6 lagen (1998:703) om handikappersättning och vårdbidrag

Fråga om det finns tillräckliga skäl för att hemlighålla ett barns vistelseort för en förälder.

6 kap. 1 lagen (1994:1776) om skatt på energi, 43 kap. 1 skatteförfarandelagen (2011:1244)

Lagrum: 3 kap. 3 2 lagen (1976:380) om arbetsskadeförsäkring; 40 kap. 11 första stycket 2 socialförsäkringsbalken

4 kap. 1 socialtjänstlagen (2001:453), 1 andra stycket lagen (1994:137) om mottagande av asylsökande m.fl.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

HFD 2014 ref 72. Lagrum: 8 kap. 7, 18 och 11 kap. 14 regeringsformen

PERSONUPPGIFTSLAGEN (PUL)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

HFD 2015 ref 10. Lagrum: 16 a kap. lagen (1962:381) om allmän försäkring

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

En ägare till ett aktieförvaltande bolag har inte ansetts som företagare i arbetslöshetsförsäkringens mening.

Avdelning Meddelad i Stockholm. KLAGANDE Per Hagström Nyhetsbyrån Siren Björns Trädgårdsgränd l Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

HFD 2013 ref 81. Lagrum: 3 lagen (1993:389) om assistansersättning

HFD 2015 ref 51. Lagrum: 4 kap. 3 och 4 äktenskapsbalken

Det har i visst fall inte ansetts oskäligt att ta ut skattetillägg trots att tillägget uppgick till ett högt belopp.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

DOM Meddelad i Stockholm

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HFD 2014 ref 60. Lagrum: 12 kap. 12 och 15, 13 kap. 31 a socialförsäkringsbalken

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Transkript:

HFD 2015 ref 3 Fråga om tillämpning av undantagsregeln i 5 a personuppgiftslagen. Lagrum: 5 a personuppgiftslagen (1998:204) 2Secure Screening AB (bolaget) tillhandahöll en tjänst som gav företag, organisationer och myndigheter möjlighet att bl.a. få arbetssökande kontrollerade inför en anställning, s.k. bakgrundskontroll. Bolaget erbjöd två olika bakgrundskontrolltjänster; en enklare kontroll (screening) och en mer omfattande undersökning (bakgrundskontroll). Datainspektionen förelade den 30 november 2011 bolaget att antingen upphöra med att registrera personuppgifter inom ramen för tjänsterna screening och bakgrundskontroll av arbetssökande eller vidta vissa specifika åtgärder enligt hanteringsreglerna i personuppgiftslagen (1998:204), PUL. Som skäl anfördes att undantagsregeln i 5 a PUL inte var tillämplig. Enligt Datainspektionens mening kunde det inte ha varit lagstiftarens avsikt att en sådan omfattande och systematisk kartläggning av individer, som de aktuella tjänsterna innebar, skulle omfattas av undantaget för vardaglig behandling av personuppgifter. Bolaget överklagade Datainspektionens beslut hos förvaltningsrätten och yrkade att beslutet skulle upphävas. Bolaget anförde bl.a. följande. Av bestämmelserna i PUL framgår att det är den personuppgiftsansvarige som har en skyldighet att lämna information till den registrerade. Avseende tjänsten screening agerar bolaget endast på uppdragsgivarens uppdrag och för uppdragsgivarens räkning, och är därför att se som personuppgiftsbiträde och inte som personuppgiftsansvarig. Att någon utvecklat och/eller tillhandahåller en tjänst som omfattar personuppgiftsbehandling medför inte per automatik att denne bestämmer ändamålen med och medlen för behandlingen. I stället bör en helhetsbedömning göras av omständigheterna i varje enskilt fall. Ändamålet med tjänsten är att på en extern uppdragsgivares uppdrag verifiera uppgifter som den arbetssökande uppgett. En uppdragsgivare kan skräddarsy omfattningen av personuppgiftsbehandlingen. Det är även uppdragsgivaren som styr när och hur samt för vem redovisningen ska ske och vem som ska få tillgång till uppgifterna. PUL:s hanteringsregler är inte tillämpliga på bolagets tjänster bakgrundskontroll och screening, eftersom den hantering av personuppgifter som bolaget handhar är ostrukturerad och som sådan undantagen i enlighet med 5 a PUL samt förarbetsuttalanden. Materialet som de behandlade uppgifterna ingår i finns inte i någon databas eller något register och ingår inte heller i något dokument- eller ärendehanteringssystem. Rapporten skrivs i ett vanligt word-dokument som inte är utformat på sådant sätt att sökning efter eller sammanställning av personuppgifter påtagligt underlättas. Dessutom vidtar bolaget åtgärder för att försvåra sökning efter personuppgifter genom att rapporten krypteras. Datainspektionen bestred bifall till överklagandet.

2 Förvaltningsrätten i Stockholm (2013-03-25, ordförande Eriksson) yttrade: Den första frågan i målet är om bolaget är personuppgiftsansvarig för den behandling av personuppgifter som genomförs inom ramen för tjänsten screening. Personuppgiftsansvarig är enligt 3 PUL den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. Enligt samma paragraf är ett personuppgiftsbiträde den person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Av redogörelsen för tillsynsärendet [som fogats det överklagade beslutet] framgår en beskrivning av tjänsten screening. Förvaltningsrätten anser att eftersom det är bolaget som tillhandahåller tjänsten och därmed ytterst bestämmer över ändamålen och medlen för behandlingen av personuppgifterna, är bolaget att anse som personuppgiftsansvarig. Förvaltningsrätten gör således samma bedömning som Datainspektionen i denna del. Den omständigheten att det finns en uppdragsgivare som beställt rapporten och kan skräddarsy omfattningen av personuppgiftsbehandlingen medför inte en annan bedömning. Frågan är då om bolagets behandling av personuppgifterna avseende tjänsterna screening och bakgrundskontroll omfattas av bestämmelsen i 5 a PUL. Bolaget anser att de personuppgifter som behandlas ingår i ett ostrukturerat material varför hanteringsreglerna i PUL inte är tillämpliga. Behandlingen av personuppgifter är som Datainspektionen konstaterat automatiserad. Sammanställningarna innebär en systematisk kartläggning av en enskild person. Det kan med hänsyn härtill inte anses vara fråga om en sådan vardaglig behandling av personuppgifter som bestämmelsen syftar på. Förvaltningsrätten anser med hänsyn härtill, i likhet med Datainspektionen, att undantaget i 5 a PUL inte är tillämpligt. Hanteringsreglerna i lagen är därför tillämpliga för den personuppgiftsbehandling som görs inom ramen för de aktuella tjänsterna. Överklagandet ska således avslås. Förvaltningsrätten avslår överklagandet. Bolaget överklagade förvaltningsrättens dom och yrkade i första hand att kammarrätten skulle återförvisa målet till förvaltningsrätten för förnyad handläggning. I andra hand yrkade bolaget att kammarrätten skulle bifalla överklagandet och upphäva Datainspektionens beslut. Bolaget anförde bl.a. följande. Personuppgiftsansvar avseende tjänsten screening Bolaget är inte personuppgiftsansvarigt för den behandling av personuppgifter som genomförs inom ramen för tjänsten screening. Förvaltningsrätten har överhuvudtaget inte gjort någon bedömning av om bolaget i förevarande fall, utifrån de omständigheter som anges i Datainspektionens beslut och som bolaget argumenterat kring, kan anses bestämma över ändamålen med och medlen för behandlingen av personuppgifter. Förhållandet att ett bolag tillhandahåller en viss tjänst är inte en omständighet som ska beaktas vid bedömningen av vem som är personuppgiftsansvarig. Än mindre kan omständigheten att ett bolag tillhandahåller en viss tjänst i sig innebära att bolaget är personuppgiftsansvarigt. Det finns inget som helst stöd i PUL för en sådan slutsats. Datainspektionen har anfört att bolaget har en självständig ställning gentemot uppdragsgivaren och därför har ett sådant inflytande över personuppgiftsbehandlingen att bolaget ska anses som

personuppgiftsansvarig. Datainspektionen har gjort en jämförelse med den personuppgiftsbehandling som utförs av exempelvis advokatbyråer och inkassobyråer. Datainspektionens jämförelse saknar relevans. I de av myndigheten anförda exemplen torde exempelvis såväl advokatbyråer som inkassobyråer inom ramen för sina uppdrag, som normalt är mer generellt specificerade än bolagets uppdrag, ha större frihet att själva bestämma såväl vilka uppgifter som behöver behandlas som hur de ska behandlas för att nå det uppsatta målet med uppdraget. Beskrivningen av bolagets tjänster som ges på bolagets webbplats, avser endast tjänsten bakgrundskontroll och inte tjänsten screening. Fråga om undantagsbestämmelsen i 5 a PUL är tillämplig För det fall kammarrätten anser att bolaget är personuppgiftsansvarigt för behandlingen, ska de personuppgifter som behandlas anses ingå i ostrukturerat material varför hanteringsreglerna i PUL inte ska tillämpas. Bolaget har argumenterat för att undantaget i 5 a PUL är tillämpligt på bolagets personuppgiftsbehandling avseende tjänsterna screening och bakgrundskontroll. Datainspektionen har byggt sin bedömning på en ändamålstolkning av bestämmelsen, en tolkning som enligt bolagets uppfattning är alltför extensiv och som saknar stöd i lagstiftning och förarbeten. Förvaltningsrätten har överhuvudtaget inte gjort någon bedömning av om personuppgiftsbehandlingen ingår i ostrukturerat material eller inte. I förvaltningsrättens dom anger domstolen avseende frågan om bolagets behandling av personuppgifter omfattas av undantagsbestämmelsen i 5 a PUL: Sammanställningarna innebär en systematisk kartläggning av en enskild person. Det kan med hänsyn härtill inte vara fråga om en sådan vardaglig behandling som bestämmelsen syftar på. Av citatet framgår att förvaltningsrätten anser att 5 a PUL inte är tillämplig för att kartläggningen av personen är systematisk. Frågan om kartläggningen är systematisk eller inte har ingen som helst relevans för frågan om det material som personuppgifterna i fråga ingår i är strukturerat eller ostrukturerat. Även om en systematisk kartläggning har genomförts, kan resultatet av denna kartläggning naturligtvis sammanställas i material som är att anses som ostrukturerat enligt 5 a PUL. Vad avser tillämpningen av 5 a PUL framgår uttryckligen av prop. 2005/06:173 s. 58 att det är strukturen på materialet, där uppgifterna ingår, som avgör om paragrafen är tillämplig eller inte. Bolaget noterar att det på s. 22 i nämnda proposition anges att även om personuppgifter används för att systematiskt t.ex. namnge filer eller mappar i ett datoriserat filsystem, så innebär denna användning inte en sådan personuppgiftsanknuten strukturering som medför att hanteringsreglerna behöver tillämpas. Förvaltningsrättens slutsats, att 5 a PUL inte är tillämplig på grund av att den kartläggning som bolaget gör av en enskild person är att betrakta som systematisk, saknar stöd i PUL. Det sätt på vilket bolaget utför personuppgiftsbehandling inom ramen för tjänsterna screening och bakgrundskontroll är mycket vanligt förekommande inom bolagets bransch. Inom ramen för tjänsterna i fråga skrivs rapporter i ett vanligt word-dokument och materialet som de behandlade uppgifterna ingår i är inte någon databas eller något register och ingår inte heller i något dokument- eller ärendehanteringssystem. Datainspektionen har också i beslutet anfört bl.a. att såvitt framkommit ingår inte uppgifterna i ett mer kvalificerat dokument- eller ärendehanteringssystem. Bolaget vidtar dessutom åtgärder för att 3

4 försvåra sökning efter personuppgifter och att värna om den registrerades identitet, genom att rapporten krypteras. Sammantaget är personuppgiftshanteringen inom ramen för de aktuella tjänsterna inte av den art som PUL är avsedd att reglera. Datainspektionen ansåg att överklagandet skulle avslås och anförde i huvudsak följande. Datainspektionen bestrider att bolaget inte är personuppgiftsansvarigt avseende tjänsten screening. Datainspektionen anser att bolaget har en självständig ställning gentemot uppdragsgivaren. Denna bedömning står i överensstämmelse med tidigare avgöranden där andra självständiga uppdragstagare såsom advokater och inkassobolag ansetts vara personuppgiftsansvariga för den personuppgiftsbehandling som sker inom ramen för respektive specialistuppdrag. Datainspektionen anser att bolagets självständiga ställning kommer till uttryck bl.a. genom vad som sägs på bolagets webbplats under rubriken Bakgrundskontroller. Datainspektionen anser därmed att det står klart att bolaget är personuppgiftsansvarigt för personuppgiftsbehandlingen i fråga. Vad gäller tillämpligheten av undantagsbestämmelsen i 5 a PUL saknas skäl att göra en annan bedömning än den myndigheten gjort i sitt tidigare beslut i ärendet. Kammarrätten i Stockholm (2014-01-09, Wahlqvist, Linder, Axelsson, referent) yttrade: Personuppgiftsansvar avseende tjänsten screening Kammarrätten har inledningsvis att ta ställning till om bolaget kan anses vara personuppgiftsansvarigt för tjänsten screening. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter (3 PUL). Bolaget erbjuder sig inom ramen för tjänsten screening att verifiera olika uppgifter som lämnas till uppdragsgivaren från arbetssökande. Det är bolaget som har utarbetat metoden för vilka uppgifter som ska samlas in för detta ändamål och varifrån de ska hämtas samt hur det ska ske. Den av bolaget utarbetade arbetsmetoden bör rimligen utgöra skälet till att uppdragsgivarna anlitar bolaget för utförande av uppdraget. Även om uppdragsgivarna tillhandahåller grundinformation och har möjlighet att skräddarsy omfattningen av personuppgiftsbehandlingen, innebär det sagda att bolaget har en sådan självständig ställning och kan bestämma ändamålen med och medlen för behandlingen av personuppgifter på ett sådant sätt att bolaget är att betrakta som personuppgiftsansvarigt för tjänsten screening. Fråga om undantagsbestämmelsen i 5 a PUL är tillämplig Kammarrätten har därefter att ta ställning till om bolagets behandling av personuppgifter avseende tjänsterna screening och bakgrundskontroll omfattas av de s.k. hanteringsreglerna i PUL eller om undantagsbestämmelsen i 5 a i lagen är tillämplig. Hanteringsreglerna i PUL (9, 10, 13 19, 21 26, 28, 33, 34 och 42 ) behöver inte tillämpas på behandling av personuppgifter som inte ingår eller är avsedda att ingå i en samling av personuppgifter som strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (5 a första stycket PUL). För sådan behandling gäller i stället endast den s.k. missbruksregeln, nämligen att behandlingen inte får utföras om den innebär en kränkning av den registrerades personliga integritet (andra stycket samma paragraf). Avgränsningen av den

5 personuppgiftsbehandling som undantas från hanteringsreglernas tillämpningsområde bör knytas till materialets struktur och det bör krävas att det finns en tydlig personuppgiftsanknuten struktur för att hanteringsreglerna ska bli tillämpliga. Enkel personuppgiftsanknuten strukturering som t.ex. en lista med personuppgifter som skrivits in i bokstavsordning i ett ordbehandlingsdokument eller ett sedvanligt utnyttjande av allmänt använda funktioner som t.ex. e-postprogram, bör inte medföra att hanteringsreglerna måste tillämpas. Avsikten med missbruksregeln är att undanta typiskt sett mindre riskfylld behandling från hanteringsreglernas tillämpningsområde och i stället skapa enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter. Det kan gälla exempelvis löpande text i ordbehandlingsprogram, löpande text på internet eller e-postkorrespondens, under förutsättning att materialet inte ingår eller ska infogas i en databas med en personuppgiftsanknuten struktur (prop. 2005/06:173 s. 19 ff.). Bolagets behandling av personuppgifter inom ramen för tjänsterna screening och bakgrundskontroll är automatiserad eftersom rapporterna behandlas och sparas digitalt. Det insamlande av uppgifter och den sammanställning av desamma som bolaget gör, såväl inom ramen för tjänsten screening som för tjänsten bakgrundskontroll, innebär en systematisk kartläggning av enskilda individer. Personuppgiftsbehandlingen kan inte anses omfattas av undantaget från hanteringsreglernas tillämpning för sådan vardaglig behandling av personuppgifter som typiskt sett är harmlös eller utgöra ett sedvanligt utnyttjande av vardagsfunktioner där det med hänsyn till informations- och yttrandefrihetsintressena inte är rimligt att hanteringsreglerna ska behöva tillämpas. Samlingen av personuppgifter måste i stället anses ha en sådan påtagligt personuppgiftsanknuten struktur att hanteringsreglerna ska tillämpas på bolagets automatiserade behandling av personuppgifter inom ramen för de aktuella tjänsterna. Överklagandet ska därför avslås. Kammarrätten avslår överklagandet. Bolaget överklagade kammarrättens dom hos Högsta förvaltningsdomstolen och yrkade att Datainspektionens beslut skulle upphävas. Bolaget anförde bl.a. följande. Inom ramen för tjänsterna screening och bakgrundskontroll sparas inhämtade uppgifter i en excelfil och därefter skrivs rapporter i ett vanligt word-dokument. Materialet som de behandlade uppgifterna ingår i är inte någon databas eller något register och ingår inte heller i något dokument- eller ärendehanteringssystem. Bolaget vidtar ett antal åtgärder för att försvåra sökning efter personuppgifter och för att värna den registrerades integritet genom bl.a. kryptering och förvaring av rapporten. Av underinstansernas avgöranden framgår tydligt att en omständighet som tillmätts väsentlig betydelse för frågan om 5 a PUL är tillämplig, är att bolaget företar en systematisk kartläggning av enskilda. Om kartläggningen av enskilda är systematisk eller inte har inte någon relevans för frågan om det material som personuppgifterna i fråga ingår i är strukturerat eller ostrukturerat. Även om en systematisk kartläggning har genomförts kan resultatet av denna naturligtvis sammanställas i ett material som är att anse som ostrukturerat enligt 5 a PUL. Datainspektionen bestred bifall till överklagandet.

6 Högsta förvaltningsdomstolen (2015-01-08, Melin, Nord, Rynning, Askersjö, Baran) yttrade: Skälen för avgörandet Rättslig reglering m.m. Personuppgiftslagen systematiserades från början efter en hanteringsmodell. Med detta begrepp avsågs att lagen skulle reglera själva hanteringen av personuppgifter oavsett om hanteringen i det enskilda fallet kunde betecknas som harmlös eller känslig från integritetssynpunkt (prop. 1997/98:44 s. 36 ff. och prop. 2005/06:173 s. 11). Från och med den 1 januari 2007 innehåller personuppgiftslagen två alternativa regelsystem; dels de ursprungliga hanteringsreglerna, dels den nu aktuella undantagsregeln i 5 a PUL. Av första stycket i undantagsregeln följer att hanteringsreglerna i 9, 10, 13 19, 21 26, 28, 33, 34 och 42 inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I andra stycket anges att sådan behandling som avses i första stycket inte får utföras, om den innebär en kränkning av den registrerades personliga integritet. Frågan i målet Frågan i målet är om undantagsregeln i 5 a första stycket PUL ska tillämpas på bolagets behandling av personuppgifterna i det material som omfattas av Datainspektionens beslut, dvs. i excelfil och i wordfil. Högsta förvaltningsdomstolens bedömning I målet är ostridigt att materialet i fråga inte ingår i eller utgör en del av ett mer kvalificerat dokument- eller ärendehanteringssystem. Av 5 a första stycket PUL framgår att bedömningen av vad som ska anses omfattas av undantaget kan beskrivas som en prövning i två steg. Först ska avgöras om personuppgifterna ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats. Om så anses vara fallet ska i det andra steget avgöras i vad mån strukturen påtagligt underlättar sökning efter eller sammanställning av personuppgifterna. Mot bakgrund av den i lagen valda avgränsningen inverkar det inte på bedömningen vilken typ av personuppgifter som behandlas eller i vilket medium de förekommer, t.ex. i text, ljud, bild eller annat (prop. 2005/06:173 s. 18 f. och 58). Av samma skäl kan det inte heller ha någon betydelse att den verksamhet som 2Secure Screening AB bedriver innefattar en omfattande och systematisk kartläggning av den arbetssökande. Det avgörande är i stället hur materialet har strukturerats.

7 Lagtexten ger inte någon närmare vägledning i frågan om vad som kan anses ligga i uttrycket en samling av personuppgifter som strukturerats. Av utredningen i målet framgår att de personuppgifter som samlats in av bolaget har tagits in i digitala dokument och behandlats utifrån sex ämnesområden: persondata, ekonomi, bolagsengagemang, rättsärenden, media/internet och CV-kontroll. Ett sådant dokument måste anses utgöra en samling av personuppgifter som har strukturerats. Fråga är dock om samlingen har strukturerats i den mening som avses i 5 a första stycket PUL, dvs. för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Inte heller i detta avseende ger lagtexten någon närmare ledning. I förarbetena ges exempel på tre typer av personuppgiftsanknuten struktur som är avsedd att undantas (prop. 2005/06:173 s. 20 ff.). Det första exemplet är när datorteknikens fördelar i fråga om strukturering i förhållande till manuell hantering egentligen inte har använts, t.ex. när en lista med personuppgifter skrivs i bokstavsordning i ett ordbehandlingsprogram eller på en webbsida (enkel personuppgiftsanknuten strukturering). Det andra avser vanlig användning av datorns filsystem, t.ex. att filer, mappar eller kataloger i datorns filsystem namnges med hjälp av personuppgifter. Det tredje exemplet gäller vanlig användning av datorstödd kommunikation. Enligt Högsta förvaltningsdomstolens mening ger utredningen i målet vid handen att personuppgifterna är strukturerade endast på så sätt att de är listade i vad som utgör enkla digitala dokument i kalkyl- och ordbehandlingsprogram. Datorteknikens fördelar har således visserligen utnyttjats, men inte i fråga om strukturering i förhållande till manuell hantering. Mot denna bakgrund kan personuppgifterna inte anses ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Bolagets behandling av personuppgifterna omfattas därför av undantagsregeln i 5 a första stycket PUL. Överklagandet ska således bifallas och underinstansernas avgöranden upphävas. Högsta förvaltningsdomstolens avgörande Högsta förvaltningsdomstolen bifaller överklagandet och upphäver underinstansernas avgöranden. Anm. Samma dag avgjordes mål nr 571-14 med samma frågeställning och utgång. Mål nr 642-14, föredragande Anne-Therése Byström

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss