JO dnr 822-2009

Fråga om myndighets kommunicering med personer med sekretessmarkerade personuppgifter

I en anmälan till JO framförde AA kritik mot Statens pensionsverk (SPV). Enligt anmälan hade SPV skickat avgiftsbesked till AA:s arbetsgivare och inte till AA personligen, vilket lett till att AA:s personuppgifter, som var skyddade, hade röjts för ett antal personer på arbetsplatsen.

SPV anmodades att yttra sig över anmälan. I sitt remissvar anförde SPV bl.a. följande.

– – –

Aktuella sekretessregler

Anmälaren (AA) har en sekretessmarkering i folkbokföringsregistret. Av Skatteverkets Vägledning för hantering av sekretessmarkerade personer samt Information om skyddade personuppgifter framgår bl.a. följande. Sekretessmarkeringen ska fungera som en varningssignal. Av en sekretessmarkering framgår inte vilken uppgift om en person som kan vara känslig. Varje myndighet ska göra en självständig sekretessprövning. Vidare framgår det att en myndighet bör ha enhetliga och säkra rutiner för att kommunicera med och om personer med sekretessmarkerade personuppgifter. Förutom möjligheten att använda sig av Skatteverkets förmedlingskontor kan en myndighet vända sig till den enskilde eller t.ex. andra myndigheter via en säker kommunikationskanal. Som exempel på en säker kommunikationskanal anges brev.

Den sekretessbestämmelse som är tillämplig är 7 kap. 15 § sekretesslagen ( 1980:100 ) (jämte 1 b § sekretessförordningen [1980:657]). ( Numera 22 kap. 1 § offentlighets- och sekretesslagen [2009:400] och 6 § offentlighets- och sekretessförordningen [2009:641], JO:s anm. ) Sekretess gäller för uppgift omenskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

Avgiftsbeskedet

SPV skickar årligen ut avgiftsbesked rörande den individuella ålderspensionen till alla anställda som omfattas av pensionsavtalet PA 03. Av beskedet framgår hur mycket arbetsgivaren betalat in under det föregående året. I det aktuella ärendet har SPV skickat ut avgiftsbeskeden avseende inbetalda avgifter för 2008 i februari i år. SPV utgår ifrån att det är ett sådant besked som anmälan avser.

Bedömning

SPV saknar kännedom om vilken handläggare på verket som anmälaren AA haft samtal med. SPV beklagar att AA upplevt samtalet som negativt men såvitt SPV kan se har AA dock inte fått några felaktiga upplysningar.

SPV har skickat avgiftsbeskedet till AA:s arbetsgivare som är en myndighet. AA:s adress framgår inte av beskedet. Det som kan utläsas av beskedet om det öppnas är AA:s namn, personnummer samt de avgifter som arbetsgivaren betalat in för AA under 2008 avseende individuell ålderspension. Ingetdera av dessa uppgifter torde vara okänt för arbetsgivaren. Det är givetvis mycket beklagligt att AA har upplevt obehag på grund av att avgiftsbeskedet skickats till arbetsgivaren. SPV kan dock inte se att verket lämnat ut några uppgifter där det kan bedömas att det föreligger sekretess gentemot arbetsgivaren. SPV kan inte heller ansvara för hur försändelsen hanterats hos arbetsgivaren. Det måste ankomma på arbetsgivaren att hantera uppgifter rörande en anställd på ett tillförlitligt sätt, särskilt när det gäller en anställdvars personuppgifter är sekretessmarkerade.

SPV har fr.o.m. år 2006 delvis ändrat systemet för hämtning av adresser vid automatiska utskick avseende individuell ålderspension. Valpaket m.m. skickas numera direkt till hemadressen även till en person som har en sekretessmarkering. De i ärendet aktuella avgiftsbeskeden skickas dock fortfarandetill arbetsgivaren. SPV har ansett att de uppgifter som kommer till arbetsgivaren i dessa fall redan är kända av denne. Det har tidigare inte kommit in några synpunkter till SPV på detta förfarande. Efter överväganden anser SPV dock att det kan anses lämpligare att skicka även avgiftsbeskeden direkt till den person det berör. SPV kommer därför att göra en ändring i systemen, så att den adress som hämtas är den anställdes egen adress i stället för arbetsgivarens.

AA gavs tillfälle att yttra sig över remissvaret.

Utredningen i ärendet ger inte stöd för att SPV genom att skicka avgiftsbesked till AA:s arbetsgivare röjt sekretessbelagda uppgifter om AA. Det valda tillvägagångssättet framstår ändå som olämpligt. En sekretessmarkering i folkbokföringsregistret är, som anförs i SPV:s remissvar, en varningssignal, och det framgår inte av den vilka personuppgifter som kan vara känsliga. En myndighet som känner till sekretessmarkeringen bör således utgå från att inte endast uppgifter om adress utan även om t.ex. namn och personnummer kan omfattas av skydd på grund av sekretess. Om en handling som innehåller sådana uppgifter sänds till ett företag eller en myndighet för vidarebefordran till den som uppgifterna rör, finns en uppenbar risk att uppgifterna läcker ut under befordringen. Den avsändande myndigheten får således inte utgå från att försändelsen hos andra företag eller myndigheter behandlas på ett säkert sätt. Ansvaret för att kommuniceringen med den enskilde sker på ett säkert sätt vilar i stället enligt min mening helt på den avsändande myndigheten.

Enligt min mening bör en myndighets kommunicering med personer med sekretessmarkerade personuppgifter i första hand ske genom att myndigheten

använder den adressuppgift som myndigheten själv förfogar över. Försändelsen kan även överlämnas till ett skattekontor som i sin tur sänder den vidare till berörd person i Skatteverkets tjänstekuvert.

Jag avslutar ärendet med den kritik som ligger i det anförda.