HFD 2017:67
En vårdgivare som behandlar personuppgifter med stöd av patientdatalagen får inte ge ett ombud till en enskild direktåtkomst till vårdgivarens uppgifter om den enskilde.
Bakgrund
För att en behandling av personuppgifter ska vara tillåten enligt personuppgiftslagen (1998:204) måste den vara förenlig med vissa grundläggande krav och ha stöd i någon i lagen angiven grund.
Ett av de grundläggande kraven är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är den som är ansvarig för personuppgiftsbehandlingen som har att bestämma och ange de särskilda ändamålen för behandlingen.
I s.k. registerförfattningar, författningar som gäller personuppgiftsbehandling på särskilda områden, kan det finnas bestämmelser om ändamål för behandling enligt författningen i fråga.
Att lämna ut personuppgifter är - oavsett i vilken form det sker - ett sätt att behandla personuppgifter. Ett utlämnande måste alltså i sig vara tillåtet. Det får t.ex. inte vara oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in och det krav på att vidta lämpliga säkerhetsåtgärder som gäller vid all slags behandling gäller även vid ett utlämnande. Det förekommer därutöver att särskilda förutsättningar och restriktioner kan gälla för utlämnande av personuppgifter i elektronisk form enligt olika registerförfattningar.
Ett sätt att lämna ut personuppgifter i elektronisk form är genom s.k. direktåtkomst. Begreppet direktåtkomst är inte definierat i lag. Med direktåtkomst menas vanligen att någon har direkt tillgång till någon annans databas eller register och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i databasen eller registret. Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten utlämnade i och med att åtkomsten medges. Från integritetssynpunkt brukar det därför anses som angeläget att frågor om tillgång till uppgifter genom direktåtkomst regleras genom bestämmelser i registerförfattningar.
Sådana bestämmelser finns t.ex. i patientdatalagen (2008:355). Den lagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen föreskrivs bl.a. att en vårdgivare under vissa förutsättningar får göra en patientjournal tillgänglig för patienten själv genom direktåtkomst.
Landstinget i Uppsala län erbjuder patienter direktåtkomst till landstingets personuppgifter om dem genom en digital tjänst på internet, Journalen. Tjänsten nås genom inloggning med godkänd elektronisk identifiering. I tjänsten kan patienten välja att "dela" sin journal med någon annan, ett s.k. ombud. Patienten anger i sådant fall ombudets personnummer och väljer om ombudet ska ges tillgång till hela journalen eller delar av den. Ombudet får sedan ett meddelande som ombudet kan acceptera. Ombudet får då direktåtkomst till uppgifterna om patienten och når dessa genom att själv logga in i Journalen med godkänd elektronisk identifiering. Funktionen är tänkt att användas exempelvis när en patient som ska läggas in på sjukhus vill att anhöriga ska kunna följa vad som händer.
Datainspektionen förelade landstinget att upphöra med att ge ombud direktåtkomst med hänvisning till att sådan åtkomst enligt lag uttryckligen endast kan ges till den enskilde själv, inte till dennes ombud.
Landstinget överklagade beslutet och anförde att vårdgivaren med stöd av en särskild bestämmelse om samtycke i patientdatalagen får ge ombud direktåtkomst om patienten ger sitt samtycke till det. Förvaltningsrätten avslog överklagandet med motiveringen att syftet med den särskilda bestämmelsen är att reglera för vilka ändamål personuppgifter får behandlas. Eftersom direktåtkomst till personuppgifter inte kan anses vara ett ändamål för behandlingen kan inte vårdgivaren ge direktåtkomst med stöd av den enskildes samtycke.
Kammarrätten biföll landstingets överklagande. Kammarrätten ansåg i motsats till förvaltningsrätten att bestämmelsen om den enskildes samtycke innebär att den enskilde kan samtycka till sådan personuppgiftsbehandling som annars inte är tillåten enligt lagen. Den enskildes uttryckliga samtycke ger därmed rättsligt stöd åt att vårdgivare ger direktåtkomst till ombud under samma förutsättningar som till den enskilde själv. Det fanns därmed enligt kammarrätten inte grund för Datainspektionen att kräva att landstinget ska upphöra med den aktuella personuppgiftsbehandlingen.
Yrkanden m.m.
Datainspektionen yrkar att Högsta förvaltningsdomstolen ska upphäva kammarrättens dom och fastställa förvaltningsrättens domslut. Inspektionen anför bl.a. följande. Kammarrätten har inte gjort en åtskillnad mellan ändamål och behandling. Ett ändamål svarar på frågan varför en behandling av personuppgifter får utföras, inte på frågan hur behandlingen ska utföras. Direktåtkomst är en fråga om hur en behandling får utföras och är uttömmande reglerad i patientdatalagen. Bestämmelserna om ändamål och samtycke i lagen ska läsas tillsammans. Det som den enskilde kan samtycka till är att uppgifter får behandlas för andra ändamål än de som räknas upp i lagen. I personuppgiftslagen finns grundläggande krav på hur behandling får ske. Den enskilde kan inte samtycka till att landstinget bryter mot dessa krav.
Landstinget bestrider bifall till överklagandet och anför bl.a. att det inte finns något i lagstiftningen som hindrar att en patient genom ett samtycke ger ett ombud tillgång till patientens journal genom direktåtkomst.
Skälen för avgörandet
Frågan i målet
Frågan i målet är om en vårdgivare som behandlar personuppgifter med stöd av patientdatalagen får ge ombud direktåtkomst till vårdgivarens uppgifter om en enskild under samma förutsättningar som till den enskilde själv.
Rättslig reglering m.m.
Enligt personuppgiftslagen - som bygger på dataskyddsdirektivet (95/46/EG) - måste en behandling av personuppgifter för att vara tillåten vara förenlig med vissa i 9 § angivna grundläggande krav och ha stöd i någon i 10 § angiven rättslig grund. Enligt 9 § första stycket c gäller som ett av de grundläggande kraven att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Rättslig grund för en behandling kan vara att den registrerade har lämnat sitt samtycke till behandlingen eller att den är nödvändig för något eller några särskilt angivna syften, exempelvis att en arbetsuppgift av allmänt intresse ska kunna utföras (10 § d).
Med samtycke avses enligt 3 § personuppgiftslagen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.
Bestämmelserna i 9 och 10 §§personuppgiftslagen motsvarar artikel 6 och 7 i dataskyddsdirektivet. Från den 25 maj 2018 gäller motsvarande reglering enligt artikel 5 och 6 i dataskyddsförordningen (EU) 2016/679.
Enligt 1 kap. 4 § patientdatalagen gäller personuppgiftslagen om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen. Det innebär bl.a. att de begrepp som används i patientdatalagen har den innebörd som framgår av definitionerna i 3 § personuppgiftslagen.
Av 2 kap. 4 § första stycket patientdatalagen framgår att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för ett antal uppräknade ändamål, bl.a. för att fullgöra skyldigheten att föra patientjournal.
I motiven anges att ändamålsbestämningen utgör preciseringar i förhållande till bestämmelsen i 9 § första stycket c personuppgiftslagen. Syftet med ändamålsbestämningen är att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Regleringen är uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten, i vart fall inte utan den registrerades samtycke (prop. 2007/08:126 s. 56).
Enligt 2 kap. 3 § första stycket första meningen patientdatalagen får behandling av personuppgifter som inte är tillåten enligt lagen ändå ske om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller enligt andra meningen dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.
Av 6 kap. 5 § framgår att en patient inte kan samtycka till att en vårdgivare tar del av uppgifter om patienten som är tillgängliga genom s.k. sammanhållen journalföring annat än under förutsättningar som anges i vissa andra paragrafer.
I motiven till 2 kap. 3 § anges att paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Huvudregeln enligt paragrafen innebär således exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i lagens ändamålsbestämning om den enskilde har lämnat ett uttryckligt samtycke till detta (prop. 2007/08:126 s. 227).
Enligt 5 kap. 4 § första stycket är utlämnande genom direktåtkomst till personuppgifter tillåten endast i den utsträckning som anges i lag eller förordning. Av andra stycket framgår att olika myndigheter som bedriver hälso- och sjukvård inom samma landsting får ha direktåtkomst till varandras personuppgifter och i tredje stycket anges var i lagen det finns ytterligare bestämmelser om utlämnande genom direktåtkomst, däribland 5 kap. 5 §.
Enligt den sistnämnda bestämmelsens första stycke får en vårdgivare medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för vissa av de ändamål som anges i 2 kap. 4 § första stycket, bl.a. för journalföringen.
I motiven uttalas bl.a. följande. Direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården. Det finns därför anledning att genom reglering i lagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör bara få ske i den utsträckning som medges i lag eller förordning. I framtiden kan det bli aktuellt att tillåta direktåtkomst i andra situationer. Det är den som är personuppgiftsansvarig som ansvarar för om direktåtkomst medges eller inte. Direktåtkomst för enskilda behöver inte innebära en tillgång till samtliga journaluppgifter. Direktåtkomsten kan av vårdgivaren begränsas till vissa uppgifter, t.ex. uppgifter om behandlande läkare, kontaktuppgifter till vårdgivare, diagnoser, överkänslighet och förskrivna läkemedel. Uppgifter som är särskilt känsliga för patienten bör undantas från direktåtkomsten (prop. 2007/08:126 s. 76 och 244 f.).
Högsta förvaltningsdomstolens bedömning
Ordalydelsen i bestämmelsen i 5 kap. 5 § första stycket patientdatalagen ger inte uttryck för annat än att det endast är till patienten själv som vårdgivaren får ge direktåtkomst. Inte heller finns det något i motiven som talar för att lagstiftaren med den bestämmelsen avsett att ge vårdgivaren möjlighet att lämna ut uppgifter genom direktåtkomst till någon annan än patienten.
Landstinget gör emellertid gällande att regeln i 2 kap. 3 § första stycket om att samtycke gör en annars otillåten behandling tillåten, medför att landstinget trots detta kan ge ett ombud till patienten direktåtkomst till uppgifterna om den enskilde samtycker till det.
Datainspektionen hävdar däremot att samtyckesregeln ska läsas tillsammans med bestämmelsen i 2 kap. 4 § som föreskriver att behandling inom hälso- och sjukvården endast får ske för vissa i bestämmelsen uppräknade ändamål. Inspektionen menar att ett samtycke kan göra en behandling tillåten för annat ändamål än dessa, men inte rättfärdiga någon annan behandling som är otillåten enligt lagen.
Det kan dock konstateras att ordalydelsen i samtyckesregeln inte knyter an till någon särskild bestämmelse i lagen och att det inte finns något klart motivuttalande som skulle kunna ge stöd för att regeln enbart ska ses som ett undantag från bestämmelsen i
2 kap. 4 §. Sett enbart till ordalydelsen ger samtyckesregeln tvärtom intryck av att alla slags bestämmelser i lagen - frånsett bestämmelserna enligt den paragraf som uttryckligen har undantagits - kan åsidosättas av en vårdgivare under förutsättning att den enskilde har gett sitt uttryckliga samtycke till detta. Enligt Högsta förvaltningsdomstolens mening måste samtyckesregeln emellertid förstås utifrån ett vidare sammanhang.
Utgångspunkten enligt 10 § personuppgiftslagen är att den enskildes uttryckliga samtycke till en viss behandling av personuppgifter medför att behandlingen blir tillåten. Den enskildes samtycke läker emellertid inte brister i förhållande till de grundläggande kraven på behandlingen i 9 § personuppgiftslagen, t.ex. att uppgifter ska rättas, blockeras eller utplånas om de är felaktiga och att uppgifterna inte bevaras längre än nödvändigt. Inte heller kan samtycke ersätta kravet på att den personuppgiftsansvarige bara får samla in uppgifter för särskilda, uttryckligt angivna och berättigade ändamål och att de uppgifter som samlas in måste vara adekvata och relevanta i förhållande till detta ändamål.
Det är i ljuset av personuppgiftslagens reglering som bestämmelsen om samtycke i patientdatalagen bör tolkas. Samtyckesregeln i 2 kap. 3 § första stycket patientdatalagen har närmast sin motsvarighet i 10 § personuppgiftslagen och ger ett självständigt rättsligt stöd för behandling. Behandling får alltså ske med stöd av samtyckesregeln under förutsättning att den inte strider mot bestämmelser i patientdatalagen av det slag som finns i 9 § personuppgiftslagen. Inte heller kan den enskilde samtycka till exempelvis behandling i strid med förbudet enligt 21 § personuppgiftslagen för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. eller behandling i strid med kravet på lämpliga säkerhetsåtgärder.
Det finns bestämmelser i patientdatalagen av det sistnämnda slaget, dvs. bestämmelser som specificerar de krav som ställs enligt bl.a. 9 § personuppgiftslagen och som därför inte kan åsidosättas med stöd av samtycke. Det står därmed klart att samtyckesregeln - trots ordalydelsen - inte kan tillämpas på alla slags regleringar enligt patientdatalagen.
En bestämmelse som ger vårdgivaren rätt att ge patienten direktåtkomst till sina journaluppgifter är, enligt Högsta förvaltningsdomstolens mening, emellertid inte en bestämmelse av det slag som inte kan åsidosättas med stöd av samtycke. Det är således inte av det skälet uteslutet att samtyckesregeln skulle kunna ge stöd för ett utlämnande till patientens ombud.
Bestämmelsen om direktåtkomst i 5 kap. 5 § patientdatalagen måste dock läsas tillsammans med 4 § i samma kapitel, som föreskriver att direktåtkomst till personuppgifter endast är tillåten i den utsträckning som anges i lag eller förordning. Det finns inte några andra bestämmelser som reglerar vårdgivares möjlighet att ge enskild direktåtkomst till journaluppgifter än den i 5 kap. 5 §.
Det är tydligt att lagstiftaren genom 5 kap. 4 och 5 §§ uttömmande avsett att reglera till vem och under vilka förutsättningar en vårdgivare får ge direktåtkomst till en enskild. I den mån detta inte är tillåtet så är det förbjudet. Enligt Högsta förvaltningsdomstolens mening kan inte den generellt utformade samtyckesregeln åberopas till stöd för att åsidosätta en specialreglering av det slaget.
Datainspektionen har alltså haft fog för att förelägga landstinget att upphöra med att ge ombud direktåtkomst till landstingets personuppgifter om enskilda. Överklagandet ska därför bifallas.
Domslut
Högsta förvaltningsdomstolens avgörande
Högsta förvaltningsdomstolen bifaller överklagandet, upphäver kammarrättens dom och fastställer förvaltningsrättens domslut.
I avgörandet deltog justitieråden Askersjö, Baran och Andersson. Föredragande var justitiesekreteraren Emily Alfvén Nickson.
Skiljaktig
Justitieråden Jermsten och Nord var av skiljaktig mening och anförde:
Vi anser att domen borde ha följande lydelse från rubriken Högsta för-valtningsdomstolens bedömning.
Ordalydelsen i bestämmelsen i 5 kap. 5 § första stycket patient-datalagen ger inte uttryck för annat än att det endast är till patienten själv som vårdgivaren får ge direktåtkomst. Inte heller finns det något i motiven som talar för att lagstiftaren med den bestämmelsen avsett att ge vårdgivaren möjlighet att lämna ut uppgifter genom direktåtkomst till någon annan än patienten. Lagens bestämmelser om när utlämnande genom direktåtkomst får ske tillåter alltså inte att lands-tinget medger ombud direktåtkomst.
Landstinget gör emellertid gällande att regeln i 2 kap. 3 § första stycket om att samtycke gör en annars otillåten behandling tillåten, medför att landstinget trots detta kan ge ett ombud till patienten direkt-åtkomst till uppgifterna under förutsättning att den enskilde samtycker till det.
Sett enbart till ordalydelsen kan samtyckesregeln måhända ge det intrycket att alla slags bestämmelser enligt lagen - frånsett bestämmelserna enligt den paragraf som uttryckligen har undantagits - kan åsidosättas av en vårdgivare under förutsättning att den enskilde har gett sitt uttryckliga samtycke till detta. Enligt Högsta förvaltningsdomstolens mening måste samtyckesregeln emellertid förstås utifrån ett vidare sammanhang.
Behandling av personuppgifter är enligt 10 § personuppgiftslagen tillåten om den enskilde registrerade har lämnat sitt samtycke till be-handlingen. För att vara giltigt måste ett samtycke bl.a. vara särskilt, dvs. det ska avse just den aktuella behandlingen. Detta innebär t.ex. att en registrerad inte kan lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserat till något eller några ändamål (se t.ex. prop. 2007/08:126 s. 64).
Den enskildes samtycke kan emellertid inte läka brister i förhållande till de grundläggande kraven på behandlingen i 9 § personuppgiftslagen, t.ex. att uppgifter ska rättas, blockeras eller utplånas om de är felaktiga och att uppgifterna inte bevaras längre än nödvändigt. Inte heller kan samtycke ersätta kravet på att den personuppgiftsansvarige bara får samla in uppgifter för särskilda, uttryckligt angivna och berättigade ändamål och att de uppgifter som samlas in måste vara adekvata och relevanta i förhållande till detta ändamål. Det finns även andra regler i personuppgiftslagen som är av det slaget att frågan om samtycke saknar relevans. Den enskilde kan t.ex. inte samtycka till behandling i strid med förbudet enligt 21 § personuppgiftslagen för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m.
Det är i ljuset av personuppgiftslagens reglering som bestämmelsen om samtycke i patientdatalagen ska förstås. Samtyckesregeln i patient-datalagen har närmast sin motsvarighet i 10 § personuppgiftslagen och ger ett självständigt rättsligt stöd för behandling under förutsättning att den registrerade genom en frivillig, särskild och otvetydig viljeyttring, efter att ha fått information, godtar att den aktuella behandlingen sker. Samtyckesregeln är avsedd att anknyta till patientdatalagens ändamåls-bestämmelser och har placerats i omedelbar anslutning till dessa. Ändamålsbestämmelserna sätter gränser för vad lagen tillåter genom att ange för vilka syften personuppgifter får behandlas. Samtyckesregeln syftar till att medge behandling som går utöver denna ram, men bara under förutsättning att den enskilde registrerade gett sitt uttryckliga med-givande till detta.
En stor del av bestämmelserna i patientdatalagen är av det slaget att de anger förutsättningar och krav som gäller oavsett på vilken rättslig grund behandlingen sker. Reglerna om direktåtkomst är ett exempel. De reglerna tar sikte på hur ett utlämnande av uppgifter får ske, inte på varför utlämnandet sker.
Direktåtkomst är alltså i sig inte ett ändamål för behandling. Förutsättningarna för att medge direktåtkomst har reglerats i lagen därför att sådan åtkomst anses som en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter. Bestämmelserna anger uttömmande till vem och under vilka förutsättningar en vårdgivare alls får lämna ut personuppgifter som behandlas enligt lagen genom direktåtkomst. I den mån detta inte är tillåtet så är det förbjudet. Enligt Högsta förvaltningsdomstolens mening kan samtycke inte åberopas till stöd för att åsidosätta regler av det slaget.
Datainspektionen har därmed haft fog för att förelägga landstinget att upphöra med att ge ombud direktåtkomst till landstingets personuppgifter om enskilda. Överklagandet ska därför bifallas.
______________________________
Förvaltningsrätten i Stockholm (2015-05-20, Johansson):
Frågan i målet är huruvida det finns rättsligt stöd för att ge ett ombud direktåtkomst till landstingets personuppgifter om en enskild.
Av 5 kap. 4 § patientdatalagen framgår bl.a. att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Av 5 kap. 5 § patientdatalagen framgår bl.a. att en vårdgivare får medge en enskild direktåtkomst till sådana enskilda uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den en-skilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.
Förvaltningsrätten finner att det i 5 kap.4 och 5 §§patientdatalagen inte ges något rättsligt stöd för att ge ett ombud direktåtkomst till personuppgifter om den enskilde.
Av 2 kap. 3 § patientdatalagen framgår bl.a. behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den en-skilde lämnat ett uttryckligt samtycke till behandlingen.
Förvaltningsrätten konstaterar att bestämmelsen syftar till att reglera behandling av personuppgifter och för vilka ändamål personuppgifter får behandlas. Förvaltningsrätten finner även att direktåtkomst till personuppgifter inte kan anses vara ett ändamål för behandlingen och således kan inte den enskilde lämna uttryckligt samtycke till behandlingen.
Enligt förvaltningsrättens mening kan det mot denna bakgrund inte anses förenligt med gällande rätt att ge ett ombud direktåtkomst till landstingets personuppgifter om en enskild. Datainspektionen har därför haft fog för sitt beslut och överklagandet ska avslås. - Förvaltningsrätten avslår överklagandet.
Kammarrätten i Stockholm (2016-06-10, Linder, Briheim Fällman och Odung):
Personuppgiftslagen saknar särskilda bestämmelser som reglerar om, eller under vilka förutsättningar, uppgifter får lämnas ut i elektronisk form i stället för på papper. Registerförfattningar kan dock innehålla regler om både de ändamål för vilka myndigheter får behandla person-uppgifter och i vilken utsträckning uppgifterna får lämnas ut elektroniskt (genom direktåtkomst eller på medium för automatiserad behandling). Med registerförfattningar avses särreglering för olika verksamheter i förhållande till personuppgiftslagen, ett exempel är patientdatalagen.
Av förarbetena till patientdatalagen framgår att motivet för särregleringen av sättet eller den särskilda tekniken för utlämnande är att den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång, då den kan innebära att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet sker på papper. Det framgår också att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården och att det därför finns anledning att genom reglering i patientdatalagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör därför bara få ske i den utsträckning som medges i lag eller förordning. (Prop. 2007/08:126 s. 73 och 76.)
Kammarrätten bedömer, i likhet med förvaltningsrätten, att det i 5 kap.4 och 5 §§patientdatalagen inte ges något rättsligt stöd för att ge ett ombud direktåtkomst till personuppgifter om en enskild. Frågan är då om bestämmelsen om den enskildes samtycke till personuppgiftsbehandling i 2 kap. 3 § patientdatalagen kan ge stöd för en sådan direktåtkomst.
Enligt Datainspektionen innebär 2 kap. 3 § patientdatalagen endast att en enskild kan samtycka till personuppgiftsbehandling för andra ändamål än de som anges i 2 kap. 4 § patientdatalagen. Ett samtycke omfattar därför enligt inspektionen inte själva formen för utlämnande av personuppgifter och kan därför inte ge rättsligt stöd för direktåtkomst.
Kammarrätten tar först ställning till om ett utlämnande genom direktåtkomst är en form av personuppgiftsbehandling. Patientdatalagen innehåller enbart de särbestämmelser och förtydliganden som det bedömts finnas behov av. I övrigt ska personuppgiftslagen tillämpas. Enligt förarbetena till patientdatalagen innebär detta exempelvis att de begrepp som används i lagen, t.ex. "behandling" av personuppgifter, har den innebörd som framgår av definitionerna i 3 § personuppgiftslagen (prop. 2007/08:126 s. 225). Av 3 § personuppgiftslagen framgår att med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter.
Inom ramen för de ändamål för vilka personuppgifter får behandlas hos vårdgivare kommer det, enligt vad som uttalas i förarbetena, ofta bli aktuellt att behandla personuppgifter om patienter genom att uppgifterna lämnas ut till en extern mottagare. Alla varianter av utlämnande, elektroniska eller inte, utgör behandling av personuppgifter enligt 3 § personuppgiftslagen och någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs inte. I många registerförfattningar finns dock bestämmelser där det framgår inte bara i vad mån personuppgifter får behandlas genom att lämnas ut till en extern mottagare utanför myndigheten eller det personuppgiftsansvariga organet, utan även när det får göras i elektronisk form till andra myndigheter eller till enskilda. (Prop. 2007/08:126 s. 73.)
Mot bakgrund av det som angetts bedömer kammarrätten att ett utlämnande genom direktåtkomst är en form av personuppgiftsbehandling. Det återstår då att bedöma om en enskild med stöd av 2 kap. 3 § patientdatalagen kan samtycka till sådan personuppgiftsbehandling som annars inte är tillåten enligt lagen. I förarbetena till patientdatalagen anges att huvudregeln i paragrafen innebär exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning, om den enskilde har lämnat ett uttryckligt samtycke till detta (prop. 2007/08:126 s. 227). Förarbetsuttalandet kan, enligt kammarrättens mening, inte tolkas som en uttömmande reglering av de typer av personuppgiftsbehandling som ett samtycke kan avse. Vilken sorts personuppgiftsbehandling som därutöver omfattas sägs det inte någonting om.
Det undantag som anges i 2 kap. 3 § patientdatalagen, när samtycke inte får lämnas till personuppgiftsbehandling, reglerar inte den nu aktuella situationen. Något annat undantag som skulle begränsa patientens möjligheter att i övriga situationer samtycka till personuppgiftsbehandling finns inte och inte heller följer något annat av annan lag. Kammarrätten bedömer därför att 2 kap. 3 § patientdatalagen medför att den enskildes uttryckliga samtycke ger rättsligt stöd åt att vårdgivare får ge direktåtkomst till ombud under samma förutsättningar som till den enskilde själv. Det finns därför inte någon grund för Datainspektionen att kräva att landstinget ska upphöra med den aktuella personuppgiftsbehandlingen.
Kammarrätten anser alltså att Datainspektionen inte haft fog för att förelägga landstinget att upphöra med att ge ombud för en enskild direktåtkomst till personuppgifter om den enskilde. Landstingets överklagande ska därför bifallas och förvaltningsrättens dom samt Data-inspektionens beslut den 2 juni 2014, i den del det gäller föreläggandet att snarast upphöra med att ge ombud för en enskild direktåtkomst till personuppgifter, ska upphävas. - Kammarrätten bifaller överklagandet och upphäver förvaltningsrättens dom samt Datainspektionens beslut den 2 juni 2014 i den del det avser föreläggandet att snarast upphöra med att ge ombud för en enskild direktåtkomst till personuppgifter om den enskilde.