Inledning

Myndigheter samlar in och lagrar stora mängder personuppgifter. För att skydda den personliga integriteten finns detaljerad lagstiftning om hur personuppgifter får behandlas. PSI-lagen begränsar inte dessa bestämmelser. Bestämmelser i dataskyddslagstiftningen reglerar både tillgängliggörandet av personuppgifter (för vidareutnyttjande) och själva vidareutnyttjandet.

Förutsättningarna för utlämnande av personuppgifter skiljer sig kraftigt åt beroende på den rättsliga grunden för utlämnandet. När allmän handling lämnas ut enligt 2 kap. TF utgör dataskyddslagstiftningen ingen direkt begränsning. (Dock gäller sekretess för personuppgifter om mottagarens behandling kan antas strida mot dataskyddsförordningen.) Lämnas personuppgifterna däremot ut genom att publiceras på nätet eller i digital form på begäran är dataskyddsreglerna fullt tillämpliga.

Ett företag eller en organisation som ska vidareutnyttja handlingar som innehåller personuppgifter måste försäkra sig om att det är tillåtet. Detta gäller oavsett i vilken form uppgifterna har lämnats ut. De rättsliga förutsättningarna för olika typer av vidareutnyttjande diskuteras inte närmare i denna vägledning.

EU:s dataskyddsförordning och dataskyddslagen

Sedan den 25 maj 2018 regleras behandlingen av personuppgifter framförallt av EU:s dataskyddsförordning (2016/679). Kompletterande nationella bestämmelser finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”dataskyddslagen”) och i s.k. särskilda registerförfattningar, som reglerar personuppgiftsbehandlingen i vissa (i huvudsak offentliga) verksamheter.

Dataskyddsförordningen syftar bl.a. till att genomföra den grundläggande rättigheten som enskilda har till sina personuppgifter enligt EU:s rättighetsstadga. Förordningen är mycket omfattande och komplex. I denna korta introduktion berörs endast vissa aspekter som är centrala för en grundläggande förståelse av förhållandet till vidareutnyttjande av myndighetsinformation.

Det är normalt den myndighet som behandlar personuppgifter, t.ex. gör dem tillgängliga på webbplatsen, som är personuppgiftsansvarig och som därmed har en skyldighet att se till att förordningens bestämmelser efterlevs.

Myndighetshandlingar som är efterfrågade för vidareutnyttjande innehåller ofta personuppgifter. Enligt dataskyddsförordningen är en personuppgift ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. I praktiken kan det handla om uppgifter som avser enskilda medborgare, tjänstemän, politiker eller andra. Även en handling utan t.ex. namn eller personnummer kan anses innehålla personuppgifter, om det med rimliga ansträngningar går att knyta informationen till en fysisk person. Även om direkt identifierande uppgifter, såsom namn, tas bort är dataskyddsförordningen därför ofta ändå tillämplig. En sådan maskering av direkt identifierande uppgifter kan dock påverka bedömningen av om behandlingen är tillåten enligt förordningens materiella bestämmelser.

Dataskyddförordningen innehåller olika typer av bestämmelser som anger under vilka förutsättningar personuppgifter får behandlas. Den som ska behandla personuppgifter måste för det första ha en laglig grund för behandlingen (artikel 6). Den viktigaste grunden när det gäller tillgängliggörande för vidareutnyttjande är att behandlingen är nödvändigt för att fullgöra en uppgift om allmänt intresse, t.ex. en författningsreglerad uppgift att informera om myndighetens verksamhet.

För det andra måste den personuppgiftsansvarige se till att vissa grundläggande krav på behandlingen (artikel 5) är uppfyllda. Fler personuppgifter än som är nödvändigt för det aktuella ändamålet får t.ex. inte behandlas och uppgifterna ska vara korrekta.

För det tredje ställs högre krav för att behandling av vissa typer av personuppgifter ska vara tillåten. Det gäller exempelvis s.k. känsliga personuppgifter, t.ex. uppgifter om hälsa och politisk uppfattning (artikel 9) och uppgifter om personnummer eller samordningsnummer (3 kap. 10 § dataskyddslagen). Dessa typer av uppgifter kan sällan göras tillgängliga för vidareutnyttjande på annat än enligt TF.

Därutöver ger dataskyddslagstiftningen enskilda personer relativt långtgående rättigheter i samband med att deras personuppgifter behandlas. Exempelvis måste den personuppgiftsansvarige informera om sin behandling (artikel 12-15). En person har också vissa möjligheter att motsätta sig behandling sina uppgifter och i vissa fall begära att personuppgifter raderas (artikel 17 och 21).

Personuppgifter får endast överföras till ett tredje land, dvs. ett land utanför EU eller EES, om vissa förutsättningar är uppfyllda (artikel 44-50). Överföringsreglerna aktualiseras emellertid inte när personuppgifter publiceras på en server inom EU eller EES.

När en myndighet tillgängliggör personuppgifter i elektronisk form (t.ex. för vidareutnyttjande) måste den alltså följa dataskyddslagstiftningens bestämmelser. Myndigheten måste t.ex. ha rättsligt stöd för behandlingen och se till att de grundläggande kraven på behandlingen uppfylls. Längre fram ser vi närmare på tillämpningen av personuppgiftslagstiftningens regler i samband med tillgängliggörande av information i elektronisk form, se huvudalternativet respektive andrahandsalternativet.

Särskilda registerförfattningar

Behandlingen av personuppgifter hos myndigheter är många gånger särreglerad i registerförfattningar som uttryckligen begränsar för vilka ändamål de aktuella uppgifterna får behandlas och vem uppgifterna får lämnas ut till. Ibland regleras även avgifter. I praktiken begränsar sådana bestämmelser ofta en myndighets möjlighet att göra uppgifterna tillgängliga i elektronisk form för vidareutnyttjande. Däremot begränsar de inte enskilda personers eller företags rätt att ta del av allmänna handlingar enligt 2 kap TF, dvs. i form av utskrifter. Registerförfattningars regler om sök- och sammanställningsbegränsningar kan däremot i vissa fall påverka vad som anses vara en förvarad och därmed allmän handling hos en myndighet (TF 2:3 tredje stycket).