Skydd av personnummer och adress

Start Forum Öppenhetsforum Skydd av personnummer och adress

Detta ämne innehåller 4 svar, har 2 deltagare, och uppdaterades senast av  DC 1 vecka, 4 dagar sedan.

Visar 5 inlägg - 1 till 5 (av 5 totalt)
  • Författare
    Inlägg
  • #28079

    annonym

    Hej

    Vi har skilda åsikter på min arbetsplats gällade GDPR och allmänna handlingar. Om tredje part begär ut avtal, i det här fallet är de enda som finns anställningsavtal, ska vi skydda personnummer och hemadress till våra anställda då dessa återfinns på avtalet? Jag kan inte hitta någon grund för det enligt OSL men säger GDPR något annat. Vi behöver ha uppgifterna för att du personen ska få lön.

    Här om dagen fick vi en fråga från tredje part som ville att vi skulle bekräfta hemadress till en person i kommunen. Nu var det en anställd hos oss så vi har dessa uppgifter i personalregister. Uppgiftslämnaren hade bifogat födelsedata och namn till personen. Då personen är anställd så borde hans uppgifter vara en del i våra allmänna offentliga handlingaroch då finns inga hinder att lämna ut eller tänker jag fel.

    Hur står det till med utlämnande av personnummer, telefonnummer och adresser nu när GDPR gäller? Som sagt, jag kan inte hitta stöd i OSL för att skydda dessa men jag kan ju ha missat någonting.

    #28080

    annonym

    Förtydligande: Jag arbetar i kommunal verksamhet

    #28083

    DC

    Hej.
    Det finns sekretess som rör personuppgifter för de som arbetar i en myndighet. Den hittar du i 39 kap 3 § OSL. Det är stark sekretess med omvänt skaderekvisit. Beroende på var de anställda jobbar kan även deras personnr ansetts omfattas.

    Det finns även en sekretess vad gäller personuppgifter enligt GDPR. Den är svag och kan endast användas när man anser att uppgifterna kommer användas i strid med gällande lagstiftning. Den hittar du i 21 kap 7§
    Exempel på de som inte anses hantera uppgifterna i strid med dataskyddsförordningen är t.ex. journalister.

    Med det sagt – rekommenderar jag ju alltid att man tar kontakt med sina jurister innan utlämning om man är osäker.
    Man kan också fundera på formerna för utlämning – om personuppgifterna kan anses vara möjliga att maila eller ej.

    #28116

    Per Hagström
    Moderator

    Som DC påpekar i inlägget ovan gäller olika sekretessregler för hemadresser respektive personnummer. Hemadresser har ett starkt skydd enligt 39 kap. 3 § 2 st offentlighets- och sekretesslagen, OSL. Utgångspunkten är att de inte kan lämnas ut om inte sökanden kan ge en trovärdig förklaring till varför hans eller hennes tänkta användning av är harmlös.

    Personnummer är däremot som utgångspunkt offentliga om inte den anställda jobbar inom en särskilt utsatt verksamhet, t.ex. socialtjänsten i en kommun. Vilka verksamheter som räknas som särskilt utsatta framgår av 10 § offentlighets- och sekretessförordningen.

    GDPR innehåller inte sekretessregler som en myndighet kan åberopa för att hemlighålla uppgifter i allmänna handlingar. Att lämna ut allmänna handlingar med personuppgifter enligt offentlighetsprincipen är i sig en laglig personuppgiftsbehandling för myndigheten. Däremot finns det en sekretessregel i OSL med koppling till GDPR. Det är 21 kap. 7 § OSL. Som DC påpekar i sitt inlägg är det en bestämmelse med svag sekretess. Det som ska prövas enligt 21 kap. 7 § är om sökanden kan antas komma att använda uppgifterna i strid med GDPR efter att dessa uppgifter har lämnats ut till honom eller henne. JO har gjort följande uttalande om hur myndigheter ska tillämpa denna bestämmelse (dnr 1102-2004). JO:s uttalande gäller sekretessregeln som den såg ut innan GDPR trädde i kraft men den var formulerad på samma sätt då förutom att den då hänvisade till personuppgiftlagen.

    Det står klart att myndigheten inte får börja ställa frågor om
    sökandens tilltänkta användning bara för att en personuppgift begärs
    utlämnad. Det krävs för det första att det finns någon konkret omständighet
    som gör att det kan antas att personuppgiften efter utlämnandet
    kommer att behandlas på ett sätt som omfattas av personuppgiftslagen.
    Sådana omständigheter kan – förutom de upplysningar
    som sökanden på eget initiativ kan ha lämnat om sin tilltänkta
    användning av uppgifterna – vara att sökanden begär att få ut uppgifter
    om väldigt många personer från ett register (ett s.k. massuttag) eller
    uppgifter om ett urval av personer med vissa karakteristika, t.ex.
    inkomst, språktillhörighet, politisk tillhörighet osv. (s.k. selekterade
    uppgifter). Först om det på grund av någon konkret omständighet
    finns skäl att anta att sökanden kommer att behandla uppgifterna på
    ett sätt som omfattas av personuppgiftslagen, t.ex. därför att begäran
    omfattar uppgifter om många personer, finns det anledning att genom
    frågor till sökanden försöka ta reda på hur och till vad sökanden ska
    använda uppgifterna för att kunna bedöma om den tilltänkta behandlingen
    strider mot personuppgiftslagen. Myndigheten får dock enligt
    2 kap. 14 § tredje stycket tryckfrihetsförordningen inte ställa mer
    inträngande eller fler frågor än som behövs för att göra en sekretessbedömning.

    JO:s uttalande gällde sekretessregeln som den såg ut innan GDPR trädde i kraft men enda skillnaden var att regeln då hänvisade till personuppgiftslagen i stället för GDPR.

    #28154

    DC

    Vad jag tycker kan vara värt att tänka på är att tjänstemän sitter klämd mellan två lagstiftningar. Den ena med ibland direkt straffansvar om man lämnar ut uppgifter som omfattas av sekretess, den andra om kravet att lämna ut.
    Man ska nog inte vara förvånad att vid omvänt skaderekvisit – tjänstemän ändå bestämmer sig för att avslå och låta kammarrätten vid de fallen ändra beslutet.
    Det är att anta att adresser just därför antagligen inte kommer lämnas ut. Särskild med tanke på att lagen är så ny – och att det därför inte prövats ordentligt.

Visar 5 inlägg - 1 till 5 (av 5 totalt)
Svar till: Skydd av personnummer och adress
Din information: