Det kan ibland vara svårt att bedöma när dataskyddsreglerna tillåter att personuppgifter görs tillgängliga för vidareutnyttjande på internet. Men många gånger är sådant tillgängliggörande inte tillåtet.

Det är därför klokt att prioritera informationsresurser som inte innehåller personuppgifter och informationsresurser som är lätta att rensa från personuppgifter. På så sätt kan en myndighet främja vidareutnyttjande utan att försenas av komplexa rättsliga utredningar och manuella granskningar.

Det är viktigt att notera att det är svårt att ”tvätta” en informationssamling från personuppgifter, något som sammanhänger med att begreppet personuppgift har en mycket vid definition. Det räcker inte att ta bort uppgifter som direkt kan användas för att identifiera en person, t.ex. namn. Så länge det indirekt är möjligt att koppla uppgifterna som finns kvar i handlingen till personen de rör, t.ex. genom ett dokumentnummer eller liknande, är det fortfarande fråga om personuppgifter. Det faktum att man tar bort direkt identifierande personuppgifter kan dock ibland påverka bedömningen av om det enligt dataskyddslagstiftningen är tillåtet att tillgängliggöra övriga personuppgifter (se nedan).

I takt med att allt fler myndigheter gör handlingar som innehåller anonymiserade personuppgifter tillgängliga på nätet ökar risken för att det genom samkörning av olika dataset blir möjligt att återidentifiera vem uppgifterna avser. Om en myndighet avser att sprida personuppgifter som anonymiserats på detta sätt är det därför viktigt att göra en noggrann konsekvensanalys.

I andra fall är det relativt enkelt att se till att en uppgiftssamling inte innehåller personuppgifter. Exempelvis kan det räcka om namn på t.ex. handläggare avlägsnas från ett register med företagsuppgifter. Företagsuppgifter räknas i sig inte som personuppgifter, med undantag för uppgifter om ”enskild firma” eller uppgifter om fysiska personer som företräder företaget etc.

Dataskyddslagstiftningen förbjuder inte varje tillgängliggörande av personuppgifter på internet. Här beskriver vi i vilken utsträckning personuppgifter faktiskt får göras tillgängliga på en myndighets webbplats.

Det bör framhållas att rättsläget enligt den nya dataskyddsförordningen fortfarande är osäkert. Varje myndighet måste göra en självständig bedömning i det aktuella fallet.  Här kan endast några mer allmänna påpekanden göras.

Möjligheterna att göra personuppgifter tillgängliga beror på vilka bestämmelser som gäller i det aktuella fallet.

Vissa personuppgifter är särskilt reglerade i en registerförfattning. Då finns det ofta tydliga villkor för att myndigheten ska få lämna ut dem elektroniskt genom s.k. direktåtkomst. Om en registerförfattning innehåller regler om direktåtkomst måste författningen tillåta s k allmän direktåtkomst för att uppgifterna ska få läggas ut på internet. Sådana regler är ovanliga, men det förekommer i registerförfattningar som reglerar s.k. publicitetsregister, t.ex. register över bolag, immateriella rättigheter eller viss finansiell information. Det är också ovanligt att en registerförfattning inte alls reglerar utlämnandefrågan, men om så är fallet blir i första hand bestämmelser om registrets ändamål styrande. Sammanfattningsvis kan man säga att personuppgifter som regleras av en registerförfattning sällan får läggas ut på nätet för vidareutnyttjande.

Om tillämpliga specialregler saknas, regleras behandlingen av EU:s dataskyddsförordning och den kompletterande svenska dataskyddslagen.  En prövning måste göras enligt flera av förordningens bestämmelser. Myndigheten som avser att lägga ut handlingar måste bl.a. tillämpa de grundläggande kraven (artikel 5), ha rättsligt stöd för den aktuella behandlingen (artikel 6) och beakta de särskilda begränsningarna för vissa uppgiftstyper, t.ex. känsliga personuppgifter (artikel 9) och personnummer (3 kap. 10 § dataskyddslagen). De bedömningar som måste göras är ofta svåra och osäkra. Myndigheten bör därför försäkra sig om att den har tillgång till kvalificerat stöd och att den dokumenterar sina överväganden.

Ändamålskoppling

Personuppgifter får som huvudregel inte behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades. Här gäller det att bedöma varje enskilt fall för att kunna veta om syftet med insamlingen av uppgifterna. I många fall är publicering på nätet oförenlig med det ursprungliga syftet. En del uppgifter samlas dock in för flera ändamål, t.ex. både för att handlägga ett ärende och för att de ska hamna i ett offentligt register över sådana ärenden. Det kan också hända att personuppgifterna inte är insamlade för att tillgängliggöras på internet, men att en sådan behandling ändå inte anses oförenlig med det ursprungliga ändamålet. Det kan t.ex. handla om situationer när tillgängliggörandet har ett naturligt samband med ändamålet med insamlingen (jfr artikel 6.4 i dataskyddsförordningen).

Rättsligt stöd

Myndigheten måste dessutom visa att en rättslig grund som nämns i artikel 6 är tillämplig på tillgängliggörandet. I ett fåtal fall finns det en direkt rättslig skyldighet för myndigheten att lägga ut vissa personuppgifter på nätet. Då utgör den rättsliga skyldigheten en sådan grund. Den vanligaste grunden för publicering av personuppgifter är dock att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. För att denna grund ska ge rätt att lägga ut vissa personuppgifter måste myndigheten dels visa att den enligt författning har en uppgift att sprida information av visst slag om sin verksamhet, dels visa att det är nödvändigt att i detta sammanhang sprida just de aktuella personuppgifterna. Uppgiften att sprida information om sin verksamhet kan framgå av olika författningar. Vid bedömningen av om det inom ramen för denna verksamhet är nödvändigt att lägga ut de aktuell personuppgifterna måste en helhetsbedömning göras. I detta sammanhang kan det konstateras att begreppet ”nödvändigt” enligt EU-domstolen praxis snarast ska tolkas som ”proportionerligt och väl avvägt”. Myndigheten ska t.ex. överväga om uppgiften av allmänt intresse kan utföras utan att personuppgifter görs tillgängliga. Rent harmlösa uppgifter, t.ex. om beslutsfattare eller offentliga personer, kan många gånger göras tillgängliga. Om direkt identifierande personuppgifter, såsom namn, avlägsnas före tillgängliggörandet kan det göra att vissa typer av handlingar som rör andra personer också kan spridas, trots att det fortfarande är fråga om personuppgifter. Rör personuppgifterna ekonomiska eller sociala förhållanden kan de dock sällan spridas på nätet med denna rättsliga grund. Enligt dataskyddsförordningen kan en myndighet troligen inte längre åberopa den s.k. intresseavvägningen för sin behandling av personuppgifter på nätet.

Känsliga personuppgifter m.m.

Uppgifter om hälsa, politisk uppfattning, etniskt ursprung m.m eller om personnummer (alla siffror) får i praktiken inte tillgängliggöras på detta sätt.

Information m.m. 

En myndighet som lämnar ut personuppgifter måste också informera den registrerade om detta. Detta görs lämpligen redan i samband med att uppgifterna samlas in. Tidigare fanns en mer generös reglering för tillgängliggörande av personuppgifter i ostrukturerad form – den s.k. missbruksregeln. Genom övergången till EU:s dataskyddsförordning försvann denna ordning. Det kan därför vara nödvändigt för myndigheter att se över sina tidigare bedömningar av vilka personuppgifter som kan tillgängliggöras på nätet.