HFD 2014:66
Sekretessbestämmelsen i 21 kap. 7 § offentlighets- och sekretesslagen är inte tillämplig när den personuppgiftsansvarige inte är etablerad i Sverige.
Accurate Care AS begärde hos Socialstyrelsen att från Socialstyrelsens register över hälso- och sjukvårdspersonal få ut uppgifter om namn samt datum för utfärdande och upphörande av legitimation avseende samtliga legitimerade sjuksköterskor. Bolaget uppgav att uppgifterna skulle användas för legitimationskontroll och uppdatering av en databas.
Socialstyrelsen avslog i beslut den 6 december 2013 bolagets begäran med i huvudsak följande motivering. Det har inte framkommit att bolagets behandling av personuppgifterna omfattas av något av de ändamål som anges i förordningen (2006:196) om register över hälso- och sjukvårdspersonal. Mot denna bakgrund bedömer Socialstyrelsen att det kan antas att ett utlämnande kan medföra att personuppgifterna behandlas i strid med bestämmelserna i personuppgiftslagen (1998:204), PuL. Sekretess gäller därmed för uppgifterna enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400), OSL.
Kammarrätten i Stockholm
Accurate Care AS överklagade Socialstyrelsens beslut hos kammarrätten. Bolaget vidhöll sin begäran samt yrkade även att få ut uppgifter om beslut om prövotid och återkallelse av legitimation för legitimerade sjuksköterskor i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret). Bolaget anförde bl.a. följande. Bolaget är etablerat i Norge och PuL gäller således inte för bolagets behandling av personuppgifterna enligt 4 § PuL. Bolagets behandling av de begärda personuppgifterna kan därför inte hamna i strid med PuL, och sekretess enligt 21 kap. OSL föreligger inte. Socialstyrelsen har i det överklagade beslutet inte redovisat något resonemang avseende 4 § PuL. En analog tillämpning av PuL och 21 kap. 7 § OSL skulle stå i strid med 2 kap. 2 § tryckfrihetsförordningen. Om PuL och 21 kap. 7 § OSL ska tillämpas framhåller bolaget följande. Bolaget har ett berättigat intresse att behandla uppgifter om sjuksköterskors namn och legitimation. De begärda uppgifterna är förhållandevis harmlösa. Det är inte någon integritetskränkning för den enskilde att uppgifterna används vid själva rekryteringen. Det är inte heller någon nämndvärd integritetskränkning att uppgifterna används i marknadsföringssyfte i begränsad omfattning för att erbjuda personen arbete. Bolagets behandling av personuppgifterna är därmed förenligt med 9 § f och 10 § f PuL, om PuL hade varit tillämplig. Bolaget behandlar sedan tidigare en stor mängd personuppgifter avseende sjuksköterskor. I slutet av 2012 fick bolaget tillgång till liknande uppgifter från norska Helsedirektoratet. Bolaget avser inte att i rekryteringssyfte vända sig till personer för vilka legitimationen har återkallats. Det är dock ett legitimt syfte att ha tillgång till en sådan uppgift i samband med rekrytering av sjuksköterskor. Socialstyrelsen lämnar regelmässigt ut uppgifter från HOSP-registret. Bestämmelsen i 21 kap. 7 § OSL ger inte stöd för att göra en bedömning i förhållande till norsk lagstiftning. Om bedömningen ändå ska ske mot den norska regleringen om personuppgiftsbehandling kan det inte antas att ett utlämnande av uppgifterna skulle stå i strid med den norska lagstiftningen.
Socialstyrelsen vidhöll sitt beslut och anförde bl.a. följande. Bestämmelsen i 21 kap. 7 § OSL ska tillämpas. I vart fall bör bestämmelsen tillämpas analogt. Det föreligger sekretess för de personuppgifter från Socialstyrelsens HOSP-register som bolaget begär utlämnade för att genomföra legitimationskontroll och uppdatering av en databas. Tydliga förarbetsuttalanden eller rättspraxis som klargör om och i så fall hur bestämmelsen i 21 kap. 7 § OSL ska tillämpas i den här situationen saknas. Om bestämmelsen inte ska tillämpas skulle det innebära att personuppgifter som lämnas ut till personuppgiftsansvariga som inte är etablerade i Sverige saknar det skydd som bestämmelsen ger. Detta medför vidare att svenska personuppgiftsansvariga missgynnas jämfört med utländska. Det innebär också att bestämmelsen lätt kan kringgås genom att uppgifter begärs utlämnade av en personuppgiftsansvarig som PuL inte gäller för. Om bedömningen ska ske mot den norska regleringen om personuppgiftsbehandling behöver det klarläggas att uppgifterna kommer att behandlas på ett sätt som inte strider mot denna. Bolaget har i kammarrätten även begärt ut uppgifter om prövotid och återkallelse av legitimation. Det kan antas att uppgifterna kommer att behandlas på ett sätt som strider mot 9 § f PuL. Uppgifterna kan även i vissa fall anses vara av integritetskänslig art. Att uppgifterna även ska användas för marknadsföringsändamål har kommit fram först hos kammarrätten. Socialstyrelsen har således inte i det överklagade beslutet haft skäl att ta ställning till denna fråga och har inte heller haft anledning att inhämta kompletterande utredning innan beslutet fattades. Underlaget är inte tillräckligt för att det ska kunna bedömas om behandlingen kan antas strida mot PuL. Bland annat framstår det som oklart om rätten enligt 11 § PuL att motsätta sig behandling av personuppgifter för ändamål som rör direkt marknadsföring kommer att tillvaratas. Bolagets yrkande om att personuppgifter ska lämnas ut från HOSP-registret för marknadsföringsändamål bör överlämnas till Socialstyrelsens prövning.
Domskäl
Kammarrätten i Stockholm (2014-06-12, Jagander, Brege, Edwardsson, referent) yttrade: Uppgifter om prövotid och återkallelse av legitimation - Bolaget har först hos kammarrätten begärt att få ta del av beslut om prövotid och återkallelse av legitimation för legitimerade sjuksköterskor i HOSP-registret. Eftersom detta inte har prövats av Socialstyrelsen i det överklagade beslutet är kammarrätten förhindrad att som första instans ta ställning till bolagets begäran i den delen. Detta yrkande ska därför avvisas. - Uppgifter för legitimationskontroll och uppdatering av en databas - PuL gäller för sådana personuppgiftsansvariga som är etablerade i Sverige (jfr 4 § första stycket samma lag). Socialstyrelsen är en svensk statlig myndighet och PuL gäller därför för behandlingen av personuppgifterna i HOSP-registret. - Socialstyrelsen har i sitt beslut gjort bedömningen att bolagets efterföljande behandling av personuppgifterna kan antas strida mot bestämmelserna i PuL. Socialstyrelsen har därför vägrat att lämna ut uppgifterna med hänvisning till 21 kap. 7 § OSL. Frågan i målet är om Socialstyrelsen har haft fog för sin bedömning. - Enligt 9 § första stycket PuL får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (c). Av samma bestämmelse framgår att personuppgifter inte heller får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (d). Vidare gäller enligt bestämmelsen att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (f). HOSP-registrets ändamål framgår av förordningen (2006:196) om register över hälso- och sjukvårdspersonal. Personuppgifterna får enligt förordningen behandlas för att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (4 §). Förordningen innehåller också en uttömmande uppräkning av registrets övriga ändamål (5 §). Bland de senare kan i detta sammanhang nämnas ändamålen att utöva tillsyn över hälso- och sjukvården och dess personal (5 § 1) och att lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal (5 § 3). - Av utredningen i målet framgår att bolagets syfte med sin behandling av de begärda personuppgifterna är dels legitimationskontroll, dels uppdatering av en befintlig databas som i dagsläget innehåller uppgifter om ca 24 000 sjuksköterskor med svensk legitimation. Bolagets begäran gäller personuppgifter rörande samtliga de ca 185 000 sjuksköterskor som HOSP-registret omfattar. - Det av bolaget först uppgivna ändamålet, att kunna kontrollera enskilda sjuksköterskors legitimation, kan inte uppnås genom att bolaget får del av uppgifterna ur HOSP-registret. Strax efter att bolaget har fått ut uppgifterna kan informationen om en enskild sjuksköterskas legitimationsinnehav visa sig ha blivit inaktuell. Ett utlämnande av uppgifter om namn och datum för utfärdande av legitimation avseende samtliga legitimerade sjuksköterskor i HOSP-registret till bolaget skulle därför medföra att fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till syftet. Socialstyrelsen har därför haft fog för sin bedömning att bolagets efterföljande behandling skulle medföra att uppgifterna behandlas i strid med PuL. - Inom ramen för vad kammarrätten kan pröva är det andra uppgivna ändamålet att bolaget önskar uppdatera sin egen databas. Denna önskan kan inte i sig anses utgöra ett berättigat ändamål. Socialstyrelsen har därmed även i denna del haft fog för att anta att ett utlämnande av de begärda personuppgifterna till bolaget skulle medföra att uppgifterna behandlas i strid med PuL. Sekretess enligt 21 kap. 7 § OSL gäller därmed för uppgifterna. Överklagandet ska därför avslås i denna del. - Uppgifter för marknadsföringsändamål - Bolaget har först hos kammarrätten kommit in med uppgiften att de begärda personuppgifterna ska behandlas för marknadsföringsändamål. Det framgår av 10 § f PuL att behandling av personuppgifter är tillåten bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. - Med hänvisning till instansordningsprincipen bör Socialstyrelsen ta ställning till om det föreligger samtycke hos de registrerade eller, om så inte är fallet, göra avvägningen mellan bolagets intresse och intresset av skydd mot kränkning av den personliga integriteten hos dem som finns i HOSP-registret. Målet visas därför åter i denna del till Socialstyrelsen för en förnyad prövning av bolagets begäran. - Kammarrätten avvisar yrkandet om att uppgifter om prövotid och återkallelse av legitimation i Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal ska lämnas ut. - Kammarrätten avslår överklagandet i den del det avser bolagets begäran att uppgifter i registret ska lämnas ut för att behandlas för legitimationskontroll och uppdatering av en databas. - Kammarrätten visar i övrigt målet åter till Socialstyrelsen för förnyad prövning i enlighet med vad som framgår av skälen för avgörandet.
Högsta förvaltningsdomstolen
Accurate Care AS överklagade kammarrättens dom hos Högsta förvaltningsdomstolen och yrkade att uppgifterna skulle lämnas ut.
Domskäl
Högsta förvaltningsdomstolen (2014-10-29, Jermsten, Almgren, Saldén Enérus, Bull, Classon) yttrade:
Skälen för avgörandet
Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Den prövning som ska göras avser uppgiftens behandling efter utlämnandet (jfr RÅ 2001 ref. 68 och RÅ 2002 ref. 54).
Accurate Care AS är etablerat i Norge. Personuppgiftslagen gäller därför inte för bolaget (4 § PuL). Bolagets behandling av de aktuella uppgifterna kan följaktligen inte stå i strid med den lagen. Sekretess enligt 21 kap. 7 § OSL gäller således inte gentemot bolaget.
Det har inte framkommit att det föreligger sekretess för uppgifterna på någon annan grund. Överklagandet ska därför bifallas.
Domslut
Högsta förvaltningsdomstolens avgörande
Högsta förvaltningsdomstolen bifaller överklagandet och beslutar att Socialstyrelsen ska lämna ut de begärda uppgifterna till Accurate Care AS.