5 tips på hur du ska tänka när någon begär ut allmänna handlingar som innehåller personuppgifter

Funderar du på hur GDPR hänger ihop med offentlighet och sekretess? I sådana fall är du inte ensam! En av de absolut vanligaste frågeställningarna vi har med våra kunder från den offentliga sektorn är hur man ska tänka när man får in en begäran om att lämna ut allmänna handlingar som innehåller personuppgifter.

Här kommer några tips:

1. Det finns en tydlig regel i artikel 86 GDPR som i korthet (för svensk del) säger att offentlighetsprincipens regler går före reglerna GDPR när det gäller vid vilka tillfällen en myndighet (eller kommunalt bolag) får lämna ut personuppgifter. Det innebär framförallt att den grundläggande principen om ändamålsbegränsning i artikel 5.1 b) GDPR inte blir aktuell att tillämpa vid en begäran om att lämna ut personuppgifter med stöd av offentlighetsprincipen. Vad myndigheten har för syften med att behandla personuppgifterna är alltså helt ointressant!
2. Däremot är det av stor betydelse vad mottagaren har tänkt sig att använda personuppgifterna till. Eftersom det påverkar sekretessbedömningen är det tillåtet att fråga den som begär ut uppgifterna vad de ska användas till. Det är en myt att man aldrig får fråga om det.
3. Börja med att kontrollera om det finns någon ”verksamhetssekretess” för personuppgifterna, till exempel 25 kap. för hälso- och sjukvården, 23 kap. för skolan och 39 kap. för personaladministrativ verksamhet.
4. Hittar du ingenting där så ska du inte glömma den allmänna regeln i OSL 21:7 som handlar just om utlämnande av personuppgifter. Där står det att personuppgifterna inte ska lämnas ut om man kan anta att de kommer att användas i strid med dataskyddslagstiftningen.
5. För att avgöra om OSL 21:7 är tillämplig måste du kunna en hel del om dataskyddslagstiftningen. Finns det en rättslig grund för mottagaren att behandla personuppgifterna? Är det några känsliga personuppgifter som begärs ut och finns det i sådana fall någon rättslig grund för mottagaren att behandla dem? Är dataskyddslagstiftningen överhuvudtaget tillämplig på den behandling av personuppgifterna som mottagaren har tänkt sig? Dataskyddslagstiftningen är ju inte tillämplig på journalistisk verksamhet och inte på behandlingar som sker för rent privat verksamhet. I de fallen kan OSL 21:7 aldrig bli aktuell att tillämpa.

Detta är faktiskt ganska komplicerad juridik. Se till att personer med rätt kunskaper avgör era sekretessfrågor. PrivacyWorks kan hjälpa till i många fall, vi har både dataskyddsjurister och en mycket kunnig kommunjurist i Christer Hjert.

Är du intresserad av frågor om dataskydd, offentlighet, sekretess och arkivering ska du gå vår kurs som går av stapeln den 8 november i Stockholm. Läs mer här!