GDPR och offentlighetsprincipen – hur förhåller de sig till varandra?
När någon begär att få ut allmänna handlingar från en myndighet är det inte GDPR som i första hand styr hanteringen – utan offentlighetsprincipen. Denna princip är grundlagsskyddad enligt tryckfrihetsförordningen och har företräde framför dataskyddsförordningen i de flesta fall.
Men hur ska ni som offentlig aktör tänka när en begäran rör personuppgifter? Vad säger lagen – och var går gränsen mellan insyn och integritetsskydd?
Här nedan besvarar vi tre vanliga frågor baserat på verkliga exempel från vår juridiska rådgivningstjänst Privacy Expert.
Får en kommun lämna ut klasslistor till ett företag?
Experten svarar:
Utgångspunkten är att offentlighetsprincipen går före GDPR, vilket framgår av artikel 86 i dataskyddsförordningen. Kommunen kan alltså lämna ut klasslistor efter sedvanlig sekretessprövning – förutsatt att uppgifterna inte skyddas av offentlighets- och sekretesslagen (OSL).
Det finns dock en viktig begränsning i 21 kap. 7 § OSL, som säger att personuppgifter i en allmän handling inte ska lämnas ut om det finns skäl att tro att uppgifterna kommer att behandlas i strid med GDPR. Det innebär att kommunen behöver göra en rimlighetsbedömning: finns det indikationer på att mottagaren kommer att använda uppgifterna på ett otillåtet sätt?
Gör kommunen rätt som lämnar ut adresser och fastighetsbeteckningar från lantmäteriets register?
Experten svarar:
Om uppgifterna är att betrakta som allmänna handlingar enligt tryckfrihetsförordningen, ska de som regel lämnas ut – så länge de inte omfattas av sekretess.
För att något ska räknas som en allmän handling krävs att:
-
Den är en handling enligt 2 kap. 3 § TF
-
Den förvaras hos myndigheten
-
Den är upprättad eller har inkommit dit (2 kap. 6–7 §§ TF)
Om handlingen dessutom inte omfattas av sekretess enligt OSL, är utgångspunkten att den ska lämnas ut vid begäran.
Får en förälder som blivit fråndömd vårdnaden begära ut uppgifter om barnets frånvaro?
Experten svarar:
Även om en förälder som saknar vårdnad inte har rätt till registerutdrag enligt GDPR, kan uppgifterna ändå behöva lämnas ut enligt offentlighetsprincipen.
Men även här gäller att uppgifterna kan vara skyddade av sekretess enligt OSL, beroende på vad som står i handlingen och hur barnets situation ser ut. Bedömningen måste alltså alltid göras från fall till fall, med hänsyn till både insynsrätt och integritetsskydd.
Navigera rätt i gränslandet mellan GDPR och offentlighetsprincipen
Det är inte alltid lätt att avgöra när personuppgifter ska lämnas ut – och när de ska skyddas. Offentlighetsprincipen ger en stark rätt till insyn, men kräver också att ni som myndighet hanterar gränsdragningsfrågorna korrekt och rättssäkert.
Att ha en uppdaterad och korrekt registerförteckning enligt artikel 30 i GDPR är en viktig grund – både för att kunna visa att ni har kontroll, och för att snabbt kunna bedöma risker, syften och kategorier av behandling.
Stärk ert dataskyddsarbete med Privacy as a Service
Med vår tjänst Privacy as a Service får ni:
-
Hjälp att skapa och uppdatera er registerförteckning
-
Stöd att hantera gränsdragningar mellan GDPR och offentlighetsprincipen
-
Tillgång till juridisk rådgivning och vägledning i praktiska situationer
-
En systematisk arbetsmetod som bygger långsiktigt dataskydd i hela organisationen
Vi kombinerar verktyg, expertis och struktur – så att ni kan fokusera på verksamheten med trygghet i att dataskyddsarbetet håller.
