Svar till: Skydd av personnummer och adress

Start Forum Öppenhetsforum Skydd av personnummer och adress Svar till: Skydd av personnummer och adress

#28116
Per Hagström
Moderator

Som DC påpekar i inlägget ovan gäller olika sekretessregler för hemadresser respektive personnummer. Hemadresser har ett starkt skydd enligt 39 kap. 3 § 2 st offentlighets- och sekretesslagen, OSL. Utgångspunkten är att de inte kan lämnas ut om inte sökanden kan ge en trovärdig förklaring till varför hans eller hennes tänkta användning av är harmlös.

Personnummer är däremot som utgångspunkt offentliga om inte den anställda jobbar inom en särskilt utsatt verksamhet, t.ex. socialtjänsten i en kommun. Vilka verksamheter som räknas som särskilt utsatta framgår av 10 § offentlighets- och sekretessförordningen.

GDPR innehåller inte sekretessregler som en myndighet kan åberopa för att hemlighålla uppgifter i allmänna handlingar. Att lämna ut allmänna handlingar med personuppgifter enligt offentlighetsprincipen är i sig en laglig personuppgiftsbehandling för myndigheten. Däremot finns det en sekretessregel i OSL med koppling till GDPR. Det är 21 kap. 7 § OSL. Som DC påpekar i sitt inlägg är det en bestämmelse med svag sekretess. Det som ska prövas enligt 21 kap. 7 § är om sökanden kan antas komma att använda uppgifterna i strid med GDPR efter att dessa uppgifter har lämnats ut till honom eller henne. JO har gjort följande uttalande om hur myndigheter ska tillämpa denna bestämmelse (dnr 1102-2004). JO:s uttalande gäller sekretessregeln som den såg ut innan GDPR trädde i kraft men den var formulerad på samma sätt då förutom att den då hänvisade till personuppgiftlagen.

Det står klart att myndigheten inte får börja ställa frågor om
sökandens tilltänkta användning bara för att en personuppgift begärs
utlämnad. Det krävs för det första att det finns någon konkret omständighet
som gör att det kan antas att personuppgiften efter utlämnandet
kommer att behandlas på ett sätt som omfattas av personuppgiftslagen.
Sådana omständigheter kan – förutom de upplysningar
som sökanden på eget initiativ kan ha lämnat om sin tilltänkta
användning av uppgifterna – vara att sökanden begär att få ut uppgifter
om väldigt många personer från ett register (ett s.k. massuttag) eller
uppgifter om ett urval av personer med vissa karakteristika, t.ex.
inkomst, språktillhörighet, politisk tillhörighet osv. (s.k. selekterade
uppgifter). Först om det på grund av någon konkret omständighet
finns skäl att anta att sökanden kommer att behandla uppgifterna på
ett sätt som omfattas av personuppgiftslagen, t.ex. därför att begäran
omfattar uppgifter om många personer, finns det anledning att genom
frågor till sökanden försöka ta reda på hur och till vad sökanden ska
använda uppgifterna för att kunna bedöma om den tilltänkta behandlingen
strider mot personuppgiftslagen. Myndigheten får dock enligt
2 kap. 14 § tredje stycket tryckfrihetsförordningen inte ställa mer
inträngande eller fler frågor än som behövs för att göra en sekretessbedömning.

JO:s uttalande gällde sekretessregeln som den såg ut innan GDPR trädde i kraft men enda skillnaden var att regeln då hänvisade till personuppgiftslagen i stället för GDPR.