Sekretess och rätten till tillgång

Published on: 1st July 2020

De flesta vet att det i GDPR finns en skyldighet för verksamheter lämna ut vilka personuppgifter de behandlar om en person om någon begär ut sina personuppgifter. Denna skyldighet gäller för myndigheter, företag och organisationer. Det är dock viktigt att komma ihåg att det finns andra regler än bara GDPR som kan vara tillämpliga i en viss situation. Till exempel har vi i Sverige offentlighets- och sekretesslagen, vilken bl.a. anger i vilka situationer uppgifter faktiskt inte får lämnas ut.

Offentlighetsprincipen

Offentlighetsprincipen innebär att allmänheten och massmedierna ska ha insyn i den offentliga förvaltningen hos staten och kommunerna och i viss enskilt bedriven verksamhet som innefattar offentliga förvaltningsuppgifter. Offentlighetsprincipen består av flera olika delar. Bland annat framkommer det av tryckfrihetsförordningen, en av Sveriges grundlagar, att var och en ska ha rätt att ta del av allmänna handlingar. Varje inskränkning i rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i lag. Främst regleras sådana inskränkningar i offentlighets- och sekretesslagen. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen går före GDPR och dataskyddslagen om dessa skulle stå i strid med varandra.

Rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen är dock inte absolut, men får endast begränsas om det krävs med hänsyn till vissa intressen, exempelvis skyddet för en enskilds personliga eller ekonomiska förhållanden. Rätten att ta del av allmänna handlingar begränsas därmed om det föreligger sekretess.

Sekretess

Om sekretess föreligger måste den offentliga parten inte lämna ut uppgiften. Det är till och med så att den offentliga parten inte får lämna ut handlingen eller uppgifter i handlingen. Sekretess föreligger i många olika situationer med hänsyn till olika intressen. Till exempel föreligger det sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen för en personuppgift om det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot GDPR. För att denna bestämmelse ska bli tillämplig krävs det att konkreta omständigheter som talar för att personuppgifterna kan komma att hanteras felaktigt framkommit.

Några andra sekretessbestämmelser som kan vara bra att ha koll på är:

21 kap. 1 § offentlighets- och sekretesslagen, som stadgar att sekretess gäller för uppgift som rör enskilds hälsa eller sexualliv, exempelvis uppgift om sjukdomar eller missbruk.
23 kap. 1 § offentlighets- och sekretesslagen, som stadgar att sekretess gäller i förskola om en enskilds personliga förhållanden.
26 kap. 1 § offentlighets- och sekretesslagen, som stadgar att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden.

Dataskyddsförordningen hindrar inte att personuppgifter som förekommer i allmänna handlingar lämnas ut för att uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Däremot kan svenska sekretessbestämmelser hindra att uppgifter lämnas ut till en enskild som begärt tillgång till sina personuppgifter med stöd av GDPR. Sekretessbestämmelser kan alltså medföra att rätten till tillgång sätts ur spel. Jag kommer beskriva rätten till tillgång i nästa stycke.

Notera dock att sekretessen ofta inte gäller mot den person som handlingen rör.

Rätten till tillgång

Enligt GDPR har varje person rätt att få tillgång till sina personuppgifter. Denna rättighet brukar benämnas rätten till tillgång eller rätt till registerutdrag. Det innebär att om någon begär ut sina personuppgifter ska den personuppgiftsansvarige lämna information om bl.a. följande:

– Ändamålet med den eller de behandlingar som omfattas.

– Vilka andra parter som kan tänkas ta del av personuppgifterna (mottagare).

– Hur länge personuppgifterna är planerade att sparas.

– Varifrån uppgifterna har hämtats, om de inte kommer från den registrerade.

Informationen, d.v.s. registerutdraget, ska som huvudregel lämnas inom en månad från det att begäran mottagits. Det finns ingen begränsning hur många gånger en person kan begära tillgång till sina personuppgifter och det får inte kosta något för den enskilde att utöva denna rättighet.

Den information som ska lämnas om någon utövar sin rätt till tillgång omfattar däremot inte information om vilken laglig grund som behandlingen baseras på eller vilka säkerhetsåtgärder som vidtagits för att uppfylla kraven på teknisk och organisatorisk säkerhet i GDPR. Rätten till tillgång omfattar inte heller personuppgifter i löpande text som utgör utkast eller minnesanteckningar.

Rätten till tillgång och offentlighetsprincipen kan verka väldigt lika varandra. Rätten till tillgång skiljer sig dock en del från offentlighetsprincipen. Det är till exempel bara den person som personuppgifterna rör som kan begära att få ut dem enligt rätten till tillgång, medan vem som helst kan begära ut handlingar i enlighet med offentlighetsprincipen. Vidare gäller rätten till tillgång enbart personuppgifter, det vill säga man har inte rätt att få ut handlingarna i vilka personuppgifterna förekommer. Vid offentlighetsprincipen är det ofta handlingarna som lämnas ut, men om de innehåller sekretessbelagda uppgifter kan dessa maskas (d.v.s. täckas över med svart markering). Slutligen gäller offentlighetsprincipen inte för de flesta privata verksamheter medan rätten till tillgång gäller för alla verksamheter: offentliga, privata, organisationer och föreningar.

Rätten till tillgång är inte absolut, utan begränsas precis som offentlighetsprincipen av svenska sekretessbestämmelser. En sekretessprövning ska därför göras innan personuppgifterna lämnas ut. Föreligger det sekretess för en viss personuppgift ska denna inte lämnas ut. Sekretessen måste i sådana fall föreligga även gentemot den enskilde som personuppgifter rör.

Läs mer om rätten till tillgång här.