HFD 2015 not 1

Personuppgifter i enkla digitala dokument ansågs visserligen strukturerade men inte för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter varför behandling av personuppgifterna omfattades av undantagsregeln i 5 a § första stycket personuppgiftslagen

Not 1. Överklagande av Gothia Protection Group AB (bolaget) ang. tillämpning av personuppgiftslagen (1998:204), PUL. - Bolaget driver verksamhet som bl.a. omfattar utredningar i form av bakgrundskontroller på uppdrag av företag som avser att rekrytera personal. Uppdragsgivaren tillhandahåller grunddata om den person som ska kontrolleras varefter bolaget verifierar uppgifterna om studier och hämtar in information från myndigheter, domstolar och företag genom internetsökningar. Informationen kan avse personuppgifter, inkomstuppgifter, kreditupplysningar, betalningsanmärkningar, kontroll av skulder och körkortsinnehav samt kontroller från domstolar om personen i fråga är dömd för brott eller, såvitt avser förvaltningsdomstolar, varit aktuell i mål där. - Datainspektionen genomförde i mars 2011 en inspektion hos bolaget i syfte att kontrollera hur bolaget behandlade personuppgifter i samband med bakgrundskontrollerna av arbetssökande. Datainspektionen förelade i beslut den 30 november 2011 bolaget att upphöra med att tillhandahålla tjänsten Bakgrundskontroll vid anställning eller skapa en rutin för att informera den arbetssökande om behandlingen enligt 23-24 §§ PUL, att på visst sätt ändra sin rutin att registrera andra ekonomiska uppgifter än inkomst samt att upphöra med sin rutin att registrera uppgifter om den arbetssökande dömts för brott. I skälen för beslutet fann inspektionen bl.a. att undantaget i 5 a § PUL inte var tillämpligt. - Bolaget överklagade Datainspektionens beslut men Förvaltningsrätten i Stockholm avslog överklagandet i dom den 25 mars 2013. Sedan bolaget fullföljt sin talan avslog Kammarrätten i Stockholm överklagandet i dom den 9 januari 2014. - Gothia Protection Group AB överklagade domen och yrkade att Högsta förvaltningsdomstolen skulle upphäva underinstansernas avgöranden. Bolaget anförde bl.a. följande. En viktig fråga är vad som avses med automatiserad databehandling. Vid bakgrundskontroller utförs inga arbetsuppgifter automatiskt utan det är ett manuellt arbete. Materialet har inte och ska inte infogas i en databas med personuppgiftsanknuten struktur. Det är inte heller skapat för att påtagligt underlätta sökning. Den information som hanteras inom tjänsten bakgrundskontroll hanteras på papper, i ordbehandlingsdokument, pdf-dokument eller som handbrev men inte i något dokumenthanteringssystem eller databassystem. - Datainspektionen bestred bifall till överklagandet. - Högsta förvaltningsdomstolen (2015-01-08, Melin, Nord, Rynning, Askersjö, Baran) : Skälen för avgörandet . Rättslig reglering m.m. Personuppgiftslagen systematiserades från början efter en hanteringsmodell. Med detta begrepp avsågs att lagen skulle reglera själva hanteringen av personuppgifter oavsett om hanteringen i det enskilda fallet kunde betecknas som harmlös eller känslig från integritetssynpunkt (prop. 1997/98:44 s. 36 ff. och prop. 2005/06:173 s. 11). - Från och med den 1 januari 2007 innehåller personuppgiftslagen två alternativa regelsystem; dels de ursprungliga hanteringsreglerna, dels den nu aktuella undantagsregeln i 5 a § PUL. Av första stycket i undantagsregeln följer att hanteringsreglerna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 §§ inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I andra stycket anges att sådan behandling som avses i första stycket inte får utföras, om den innebär en kränkning av den registrerades personliga integritet. - Frågan i målet . Frågan i målet är om undantagsregeln i 5 a § första stycket PUL ska tillämpas på bolagets behandling av personuppgifterna i det material som omfattas av Datainspektionens beslut. - Högsta förvaltningsdomstolens bedömning . Av utredningen i målet framgår att personuppgifterna behandlas och sparas digitalt i en word-fil. Härigenom sker en automatiserad behandling och personuppgiftslagen är därmed enligt 5 § PUL tillämplig. I målet är ostridigt att materialet inte ingår i eller utgör en del av ett mer kvalificerat dokument- eller ärendehanteringssystem. - Av 5 a § första stycket PUL framgår att bedömningen av vad som ska anses omfattas av undantaget kan beskrivas som en prövning i två steg. Först ska avgöras om personuppgifterna ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats. Om så anses vara fallet ska i det andra steget avgöras i vad mån strukturen påtagligt underlättar sökning efter eller sammanställning av personuppgifterna. - Mot bakgrund av den i lagen valda avgränsningen inverkar det inte på bedömningen vilken typ av personuppgifter som behandlas eller i vilket medium de förekommer, t.ex. i text, ljud, bild eller annat (prop. 2005/06:173 s. 18 f. och 58). Av samma skäl kan det inte heller ha någon betydelse att den verksamhet som Gothia Protection Group AB bedriver innefattar en omfattande och systematisk kartläggning av den arbetssökande. Det avgörande är i stället hur materialet har strukturerats. - Lagtexten ger inte någon närmare vägledning i frågan om vad som kan anses ligga i uttrycket ”en samling av personuppgifter som strukturerats”. Av utredningen i målet framgår att de personuppgifter som samlats in av bolaget har tagits in i digitala dokument och behandlats under särskilda rubriker såsom personalia, brottmål, ekonomi och bolagsengagemang. Ett sådant dokument måste anses utgöra en samling av personuppgifter som har strukturerats. - Fråga är dock om samlingen har strukturerats i den mening som avses i 5 a § första stycket PUL, dvs. för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Inte heller i detta avseende ger lagtexten någon närmare ledning. I förarbetena ges exempel på tre typer av personuppgiftsanknuten struktur som är avsedd att undantas (prop. 2005/06:173 s. 20 ff.). Det första exemplet är när datorteknikens fördelar i fråga om strukturering i förhållande till manuell hantering egentligen inte har använts, t.ex. när en lista med personuppgifter skrivs i bokstavsordning i ett ordbehandlingsprogram eller på en webbsida (enkel personuppgiftsanknuten strukturering). Det andra avser vanlig användning av datorns filsystem, t.ex. att filer, mappar eller kataloger i datorns filsystem namnges med hjälp av personuppgifter. Det tredje exemplet gäller vanlig användning av datorstödd kommunikation. - Enligt Högsta förvaltningsdomstolens mening ger utredningen i målet vid handen att personuppgifterna är strukturerade endast på så sätt att de är listade i vad som utgör enkla digitala dokument i ordbehandlingsprogram. Datorteknikens fördelar har således visserligen utnyttjats, men inte i fråga om strukturering i förhållande till manuell hantering. - Mot denna bakgrund kan personuppgifterna inte anses ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Bolagets behandling av personuppgifterna omfattas därför av undantagsregeln i 5 a § första stycket PUL. - Överklagandet ska således bifallas och underinstansernas avgöranden upphävas. - Högsta förvaltningsdomstolens avgörande . Högsta förvaltningsdomstolen bifaller överklagandet och upphäver underinstansernas avgöranden. - (mål nr 571-14, fd Byström)