RÅ 2001:35
Fråga om manuell behandling av personuppgifter i betygshandlingar som är sorterade i bokstavsordning och som genom behandlingen kommer att sorteras med ledning av varje students betygsgenomsnitt omfattas av 5 § personuppgiftslagen (1998:204).
Kammarrätten i Stockholm
Virtutech AB utvecklade avancerade simuleringsverktyg för högpresterande datorsystem. I en framställning till Kungliga Tekniska Högskolan (KTH) begärde bolaget att högskolan skulle lämna ut betygsuppgifter i pappersutskrift avseende ca 1 400 studenter som hade påbörjat sina studier under åren 1992-1996 inom områdena data, elektro, teknisk fysik och matematik och som hade utexaminerats eller tagit minst 120 poäng.
KTH avslog i beslut den 24 februari 2000 bolagets begäran om utlämnande av handlingarna som innefattade personuppgifter.
I överklagande vidhöll bolaget sin begäran samt anförde bl.a. följande.
Uppgifterna kommer inte i något skede att databehandlas och något manuellt register som är tillgängligt för sökning eller sammanställning enligt minst två särskilda kriterier kommer inte att upprättas. För att ett register i personuppgiftslagens (1998:204), PuL, mening skall anses föreligga erfordras att flera förutsättningar är uppfyllda. För det första krävs att samlingen av personuppgifter skall ha en viss beständighet. Bolaget bestrider att detta krav är uppfyllt. Bolagets hantering av uppgifterna kommer att präglas av skyndsamhet och en stor del av uppgifterna, nämligen de rörande studenter vars genomsnittsbetyg inte är tillräckligt högt, kommer omedelbart att förstöras. Resterande uppgifter kommer att tjäna som underlag för en fortsatt och skyndsam lämplighetsbedömning i rekryteringssyfte. Denna beräknas kunna slutföras inom ungefär en månads tid. Bolagets totala hanteringstid av uppgifterna torde således inte ta längre tid i anspråk än ca en månad. Någon behandling av mer varaktig karaktär kommer således inte att äga rum. Härav följer att beständighetsrekvisitet inte kan anses uppfyllt och att PuL därmed inte är tillämplig. Något hinder att lämna ut uppgifterna föreligger därför inte. Uppgiftssamlingen kommer visserligen att vara strukturerad på så sätt att uppgifterna skall sorteras efter genomsnittsbetyg. Emellertid krävs också, för att PuL skall vara tillämplig, att uppgifterna i samlingen skall vara tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. enligt minst två kriterier. Åtminstone ett av dessa kriterier måste avse personuppgifter (namn eller personnummer). Bolaget har för avsikt att manuellt gå igenom betygsuppgifterna och därvid beräkna varje enskild students genomsnittsbetyg. De studenter som därvid befinnes vara intressanta ur rekryteringssynpunkt kommer därefter att "läggas i en särskild hög" - sorterade utifrån principen "högst genomsnittsbetyg överst" - för att tjäna som underlag för en fortsatt lämplighetsbedömning. Någon sortering efter namn eller personnummer kommer således inte att ske. De uppgifter som faller bort under den inledande genomgången har bolaget ingen användning av och de kommer därför omedelbart att förstöras. De "kvarvarande uppgifterna", vilka uppskattningsvis kommer att uppgå till några tiotal betygshandlingar, kommer endast att vara tillgängliga för sökning eller sammanställning utifrån kriteriet genomsnittsbetyg. Bolagets hantering ryms därför inte under tillämpningsområdet för 5 § PuL, varför en intresseavvägning enligt 10 § PuL inte skall göras. Skulle kammarrätten finna att bolagets hantering av uppgifterna skall betraktas som en behandling överväger bolagets behov att få ta del av uppgifterna berörda studenters behov av skydd mot inskränkning av den personliga integriteten. Bolaget kan tillhandahålla tjänster av mycket kvalificerat slag. För att finna lämpliga potentiella nya medarbetare är bolaget i behov av att få tillgång till ett underlag innefattande personer som motsvarar bolagets högt ställda kvalifikationskrav. Det framstår som sannolikt att det bland berörda studenter återfinns sådana personer. Det är likaså en sannolik hypotes att berörda studenter inte skulle ha något att invända mot att deras uppgifter lämnas ut om de dessförinnan underrättats om den möjlighet de ges att erhålla en för deras utbildning adekvat och kvalificerad tjänst. Bolagets tänkta hantering av uppgifterna innebär således en positiv möjlighet för studenterna och kan inte jämföras med uppgiftsinsamling av rent kommersiella skäl. Bolagets behov måste anses väga över studenternas behov av skydd mot inskränkning i den personliga integriteten.
Datainspektionen (DI) avgav yttrande och anförde bl.a. följande.
Enligt vad bolaget uppger skall de begärda uppgifterna inte behandlas helt eller delvis automatiserat. Under denna förutsättning uppstår frågan om de aktuella betygsuppgifterna kommer att ingå i ett sådant manuellt register som avses i 5 § andra stycket PuL. Av förarbetena framgår att ett skäl till att PuL inte bara omfattar behandling som är automatiserad är att den som vill göra något otillständigt med personuppgifter i sådant fall skulle kunna göra det för hand för att därigenom kringgå skyddsreglerna. All manuell behandling av personuppgifter omfattas dock inte av PuL. Det är först om en stor mängd personuppgifter struktureras på ett sådant sätt att det på ett enkelt sätt går att hitta bland uppgifterna som sådana egentliga integritetsrisker med behandlingen uppkommer som kan mötas med de hanteringsregler som PuL innehåller. I förarbetena har man utvecklat vad som omfattas av begreppet register. Att ett register är en samling av personuppgifter innebär att det måste finnas uppgifter samlade om fler än en person. Vidare har man funnit att det krävs en viss beständighet för att något skall kunna sägas vara en samling. En hög med lösa papper, t.ex. studentuppsatser, på ett skrivbord omfattas inte även om papperna tillfälligtvis råkar vara sorterade t.ex. i bokstavsordning efter studenternas efternamn. Så länge uppgifterna endast finns tillgängliga i form av en hög med papper för att utreda vilka personer som är intressanta ur rekryteringssynpunkt kan uppgifterna enligt DI:s uppfattning inte anses ha en sådan beständighet att de kan anses utgöra en samling. Under denna förutsättning omfattas aktuell behandling inte av PuL. Med hänsyn till att aktuellt uttag omfattar ett mycket stort antal personer, ca 1400, och att uppgifter om de personer som befinnes lämpliga ur rekryteringssynpunkt skall behållas under i vart fall viss tid kan det enligt DI:s uppfattning finnas skäl att ifrågasätta om de aktuella uppgifterna inte kommer att sorteras in i mappar eller på annat sätt behandlas på ett mer beständigt sätt än vad som framkommer i handlingarna. - I förarbetena har man, vad gäller kravet på att uppgiftssamlingen måste vara strukturerad, funnit att uppgifterna måste vara sorterade enligt något slags system. Vad gäller kravet på att uppgifterna i samlingen är tillgängliga enligt särskilda kriterier sägs vidare att man måste kunna söka bland uppgifterna i samlingen för att det skall vara fråga om ett register. Av direktivet framgår att kriterierna skall avse enskilda personer. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift omfattas således inte av PuL. I förarbetena anges vidare att registret måste vara sökbart på mer än ett kriterium. En förteckning i bokstavsordning över personer, t.ex. hushållsdelen i telefonkatalogen, skulle således inte vara ett register om namnet är den enda sökingången. Huruvida alla kriterier eller bara ett måste avse personuppgifter framstår enligt förarbetena som mer oklart. Genom att uppgifterna är sorterade först enligt namn och sedan enligt genomsnittsbetyg är uppgifterna strukturerade på ett sådant sätt som avses i lagen. När det gäller kravet på att uppgifterna i samlingen skall vara tillgängliga enligt särskilda kriterier råder en viss oklarhet. Den tolkning som görs i förarbetena leder till att manuell behandling av personuppgifter endast i ett fåtal fall kan anses utgöra ett register. DI vill vidare peka på att det av handlingarna i målet inte framgår om personuppgifter, om de personer som befinnes lämpliga ur rekryteringssynpunkt, kommer att behandlas automatiserat i samband med att bolaget erbjuder dessa personer anställning. Enligt 10 § f PuL får personuppgifter behandlas om det är nödvändigt för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Vid en intresseavvägning finner DI att bolagets intresse av att behandla efterfrågade uppgifter inte väger tyngre än de enskilda studenternas intresse av skydd för den personliga integriteten. Härav följer att den tänkta behandlingen, om den överhuvudtaget anses omfattas av PuL, inte har sådant stöd som krävs enligt 10 § PuL och att ett utlämnande därför kan vägras med stöd av 7 kap. 16 § sekretesslagen (1980:100).
I anledning av DI:s yttrande anför bolaget bl.a. följande. Någon helt eller delvis automatiserad behandling av uppgifterna kommer inte att bli aktuell i något skede. Det enkla skälet härtill är att något behov av sådan behandling inte föreligger. Misstanken om att uppgifterna "kommer att sorteras in i mappar eller på annat sätt behandlas på ett mer beständigt sätt än som framkommer av handlingarna" tillbakavisas. De handlingar som bedöms vara intressanta ur rekryteringssynpunkt kommer att uppgå till högst några tiotal. Behov att sortera dessa handlingar på sätt DI misstänkt föreligger därför inte.
Kammarrätten i Stockholm (2000-05-17, Rydholm, Pernold, referent, Sjöberg) instämde i KTH:s bedömning och ändrade därför inte det överklagade beslutet.
Virtutech AB yrkade att Regeringsrätten med ändring av kammarrättens dom skulle bifalla bolagets yrkande att utfå betygsuppgifter gällande studenter vid KTH som under åren 1992-1996 påbörjat studier inom områdena data, elektro, teknisk fysik och matematik och som antingen erhållit examen eller tenterat minst 120 poäng. Till stöd för sin talan anförde bolaget bl.a. följande. Utgångspunkten för målet är att de begärda uppgifterna är såväl allmänna som offentliga. Med hänsyn till bestämmelsen i 7 kap. 16 § sekretesslagen kan dock sekretess föreligga om de begärda uppgifterna kan antas komma att behandlas i strid med PuL. Bolaget vidhåller sin inställning att PuL saknar tillämplighet i målet. Trots den stora mängden efterfrågade uppgifter saknar bolaget behov av att i något skede databehandla uppgifterna. DI har anmärkt att det av handlingarna inte framgår huruvida bolaget i samband med att utvalda studenter erbjuds anställning avser att databehandla uppgifterna. Någon sådan behandling kommer inte att ske. Berörda studenter, vilka kommer att uppgå till ett fåtal, kommer att kontaktas telefonledes. Återstår gör frågan om bolagets tänkta hantering av uppgifterna är sådan att ett manuellt register kan anses föreligga. Ett sådant ställningstagande förutsätter dels att uppgifterna samlas på ett mer beständigt sätt (beständighetskravet), dels att uppgifterna sammanställs och struktureras på ett sådant sätt att det blir sökbart utifrån minst två kriterier. KTH:s ståndpunkt att det är fråga om ett manuellt register eftersom uppgifterna kan sökas utifrån såväl namn som genomsnittsbetyg är felaktig och bygger på en felsyn. Jämväl DI synes ansluta sig till denna felsyn. I ett av bolaget ingivet intyg har professorn i rättsinformatik vid Stockholms universitet Peter Seipel givit synpunkter på argumentationen i målet och på rättssituationen i stort. Peter Seipel har närmare gått igenom förutsättningarna för att ett manuellt register skall anses vara för handen. Som konstateras i intyget måste den manuella datasamlingen förberedas för olika sökningar för att det på ett enkelt sätt skall gå att hitta bland uppgifterna. Först när sådan förberedelse skett uppstår risk för integritetsintrång. Det förtjänar upprepas att en hög med betygsuppgifter sorterade utifrån principen "högst genomsnittsbetyg överst" per definition inte kan vara ett register sökbart utifrån minst två kriterier. Att betygsuppgifterna jämväl innehåller uppgift om namn och personnummer förändrar inte detta förhållande eftersom sökning utifrån dessa uppgifter inte är möjlig. DI har i sitt yttrande anfört att det kan "finnas skäl att ifrågasätta om de aktuella uppgifterna inte kommer att sorteras in i mappar eller på annat sätt behandlas på ett mer beständigt sätt än som framkommer i handlingarna". Bolaget bestrider att grund för DI:s misstanke föreligger.
I sitt yttrande anförde Peter Seipel bl.a. följande. Frågan om att låta Europaparlamentets och Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (persondatadirektivet) omfatta även manuella register var en av de mest kontroversiella vid dess tillkomst. Detta kommer till uttryck i ingresspunkten på så vis att medlemsstaterna ges frihet att inom ramen för definitionen i artikel 2 c utforma kriterier för struktur och sökbarhet. Vad detta konkret innebär är inte givet och osäkerheten får anses påtaglig när det gäller att bestämma direktivets utsträckning i förhållande till manuella hanteringar. Någon extensiv tillämpning förefaller i varje fall inte vara förutsedd. Det handlar primärt om att täcka upp vissa luckor som kan uppstå om skyddet endast omfattar manuella hanteringar i direkt anslutning till automatiserad behandling (alltså delvis automatiserad behandling, jfr 5 § första stycket PuL och artikel 3.1 i direktivet). Struktur innebär ordning och ordning förutsätter en viss grad av permanens. I registerbegreppet ligger således att den ordnade datasamlingen måste ha en viss beständighet. Vilken grad av beständighet som krävs är inte givet. Det finns goda skäl att se ett samband med skyddssyftet. Ju mer permanent ett register är, desto större är, generellt sett, riskerna för att registret skall ge anledning till integritetsintrång. Och ju större de teoretiska riskerna är för integritetsintrång, t.ex. genom att uppgifterna är känsliga eller genom att behandlingen av uppgifterna typiskt innebär integritetshot, desto lägre kan kraven på beständighet ställas. Det finns med andra ord anledning att uppfatta beständighetskravet som relativt snarare än absolut. Detta är ingenting överraskande. Att registerbegreppet har övergivits i samband med automatisk databehandling hänger samman med att automationen gjort beroendet av långvariga register för speciella ändamål allt mindre och i många sammanhang obefintligt. Med s.k. sökmotorer och "software agents" kan man idag ur stora, mer eller mindre oordnade datamängder när behoven uppkommer sammanställa information om individer som tidigare skulle ha krävt omfattande uppbyggnad på förhand av speciella register. Skyddslagstiftningen har anpassats till detta och inriktats på "behandling" i stället för på "register". Mellan manuell och automatiserad databehandling finns en grundläggande skillnad. Den manuella datasamlingen måste förberedas för olika sökningar för att det på ett enkelt sätt skall gå att hitta bland uppgifterna. PuL- propositionen uttrycker förhållandet så: "Det är först när en stor mängd personuppgifter på papper har strukturerats på något sätt som det går att hitta bland uppgifterna på ett enkelt sätt. Det är då sådana egentliga integritetsrisker med behandlingen uppkommer som kan mötas med de hanteringsregler som den nya lagen innehåller". Förberedelsen innebär fysiska åtgärder för att säkerställa att sökning kan ske enligt olika kriterier. Som exempel kan tas de traditionella kortregistren i ett bibliotek. Dessa består (eller snarare bestod) av dels en "nominalkatalog", dels en "realkatalog". I den förra sorteras korten på författare och motsvarande (t.ex. redaktör), i den senare sorteras de efter ämne (t.ex. enligt den universella decimalklassifikationen, UDK). Varje sökingång vid pappersbunden databehandling kräver således i princip en fysisk strukturering som möjliggör och underlättar sökningen. Vanliga registerkort med uppgifter måste således sorteras i någon viss ordning - en sorteringsordning för varje önskat sökkriterium. Enkelt uttryckt: det krävs en kortlåda för alfabetisk sökning på personnamn, en annan kortlåda för kronologisk sökning på publiceringsår, en annan kortlåda för alfabetisk sökning på förlag, ännu en kortlåda för sökning på antal publicerade arbeten per författare osv. Finns det bara en enda kortlåda så finns det egentligen bara möjligheter till sökning på ett kriterium. Att det teoretiskt går att använda t.ex. en kortlåda för kronologisk sökning på publiceringsår för att leta fram alla böcker som har skrivits av en viss författare saknar praktiskt intresse. Detta vore nämligen detsamma som att säga att det föreligger ett register så snart man har en oordnad samling kort e.d. där man genom att läsa uppgifterna på varje enskilt kort så småningom har sorterat ut de kort som uppfyller ett visst kriterium, t.ex. ett visst författarefternamn. Sökbarhet föreligger visserligen genom att varje kort innehåller bl.a. namnuppgifter, men ingen enkel, rutinmässig sökbarhet. Därmed måste man ifrågasätta om det alls föreligger något register i PuL:s mening. - - - Betygsuppgifterna för KTH-studenterna kommer inte att ordnas för sökning med olika sökkriterier på det sätt som nu beskrivits. Uppgifterna kan därför inte anses uppfylla kriteriet att vara sorterade enligt ett system som gör det möjligt att söka bland dem enligt två eller flera särskilda, personrelaterade kriterier. Avsikten med hanteringen är inte att skapa ett eller flera sökbara manuella register, utan att genom bearbetning av utlämnade allmänna handlingar beräkna genomsnittsbetyget för varje enskild person och därigenom sålla fram det fåtal personer som kan vara intressanta att kontakta för anställning. Med en återhållsam syn både på skyddslagstiftningens tillämpning på manuellt hanterade uppgifter, vilket som ovan berörts förefaller stämma väl med direktivets intentioner, och på räckvidden av 7 kap. 16 § sekretesslagen, finns det därför goda skäl att hävda att något manuellt register i PuL:s mening inte kommer att skapas. Detta inte minst eftersom den inledande beräkningen och bortsållningen relativt snabbt resulterar i att endast ett fåtal uppgifter kommer att finnas kvar i hanteringen.
Prövningstillstånd meddelades.
Regeringsrätten (2001-06-25, Baekkevold, Nordborg, Eliason, Ersson, Dexe) yttrade: Skälen för regeringsrättens avgörande.
1. Bakgrunden
Bolaget utvecklar avancerade simuleringsverktyg för högpresterande datorsystem. I framställning till KTH begärde bolaget att högskolan skulle lämna ut betygsuppgifter i pappersutskrift avseende cirka 1 400 studenter som hade påbörjat studier under åren 1992-1996 inom områdena data, elektro, teknisk fysik och matematik och som hade erhållit examen eller tenterat minst 120 poäng. Avsikten var att bolaget för egen del skulle kunna rekrytera högkvalificerad personal med större effektivitet än genom traditionella metoder. Handlingarna fanns hos KTH i datorlagrad form. Vid ett utlämnande skulle betygshandlingarna komma att vara sorterade efter efternamn. I fråga om hanteringen av betygen uppgav bolaget att man hade för avsikt att manuellt gå igenom handlingarna och beräkna varje students genomsnittsbetyg. De studentbetyg som var intressanta från rekryteringssynpunkt skulle sorteras ut för att tjäna som underlag för en fortsatt lämplighetsbedömning. Dessa betyg skulle läggas i en särskild hög för sortering utifrån principen "högsta genomsnittsbetyg överst". Övriga handlingar skulle omedelbart förstöras. Betygen skulle inte databehandlas och något manuellt register skulle inte upprättas som var tillgängligt för sökning enligt två kriterier eller fler.
KTH fann att de begärda uppgifterna utgjorde en strukturerad samling av personuppgifter som var tillgängliga för sökning och sammanställning genom manuell behandling enligt minst två kriterier, namn och genomsnittsbetyg. Den tänkta behandlingen föll därför enligt KTH under PuL. Vidare ansåg KTH att ett utlämnande av personuppgifterna skulle medföra att de behandlades i strid med 10 § f PuL. KTH avslog därför med stöd av 7 kap. 16 § sekretesslagen bolagets framställning om utlämnande av handlingarna. I överklagande till Kammarrätten i Stockholm vidhöll bolaget sin begäran och anförde bl.a. att den totala hanteringstiden för de kvarvarande betygen, vilka uppskattningsvis skulle komma att uppgå till några tiotal, inte borde ta längre tid i anspråk än cirka en månad. Kammarrätten som inhämtade yttrande från DI instämde i KTH:s bedömning och ändrade inte KTH:s beslut.
2. Tillämpliga regler
Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PuL.
Enligt 5 § första stycket PuL gäller lagen för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Enligt andra stycket samma paragraf gäller lagen även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgifter får enligt 10 § PuL behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen. Även utan att samtycke lämnats får dock personuppgifter behandlas om behandlingen är nödvändig för att uppfylla något av de i 10 § a-f angivna syftena. Enligt 10 § f får således personuppgifter behandlas utan samtycke om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
3. Förarbeten och EG-direktivet
Av prop. 1997/98:44 (s. 118) framgår att 5 § PuL i sak överensstämmer med Datalagskommitténs förslag och att paragrafen är avsedd att ha samma innebörd som artikel 3.1 och definitionen av register i persondatadirektivet.
I Datalagskommitténs betänkande anförs (SOU 1997:39 s. 339 f.) beträffande det i 5 § PuL andra stycket använda begreppet "samling av personuppgifter" och det i persondatadirektivet använda uttrycket "register" bl.a. följande. Ett register är en samling av personuppgifter. Det måste som kommittén ser det finnas uppgifter samlade om fler än en person för att det skall kunna vara fråga om ett register. För att något skall kunna sägas vara en samling fordras enligt kommittén en viss beständighet. En hög med lösa papper, t.ex. studentuppsatser, på ett skrivbord omfattas således inte, även om papperna tillfälligtvis råkar vara sorterade i bokstavsordning efter studenternas efternamn. Uppgiftssamlingen måste vidare vara strukturerad. Därmed avses enligt kommitténs uppfattning att uppgifterna måste vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det skall vara fråga om ett register. Av punkt 27 i ingressen till persondatadirektivet framgår att kriterierna skall avse enskilda personer. Ett manuellt register som visserligen innehåller personuppgifter, men som inte är sökbart med hjälp av någon personuppgift (namn, personnummer etc.) omfattas således inte av den föreslagna lagen. Det kan t.ex. vara fråga om akter som har ordnats efter löpnummer utan möjlighet att - med hjälp av löpnumret eller eljest - söka fram uppgifter om enskilda personer. Av det förhållandet att det i den svenska, engelska, franska och tyska direktivtexten talas om kriterier i pluralis kan den slutsatsen dras att registret måste vara sökbart på mer än ett kriterium. En förteckning i bokstavsordning över personer, t.ex. hushållsdelen i telefonkatalogen, skulle således inte vara ett register, om namnet är den enda sökingången.
I artikel 3.1 i persondatadirektivet sägs att direktivet gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
Enligt definitionen i artikel 2 c i direktivet förstås med register med personuppgifter varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
I punkt 27 i ingressen till direktivet framhålls följande. Enskilda personer skall skyddas både i samband med automatisk databehandling av uppgifterna och i samband med manuell behandling. Omfattningen av detta skydd får inte faktiskt bero på den teknik som används eftersom detta skulle kunna skapa en allvarlig risk för kringgående. När det gäller manuell behandling omfattar detta direktiv endast register och inte ostrukturerade akter. Särskilt innehållet i ett register måste vara strukturerat efter bestämda kriterier som avser enskilda personer, för att lätt ge tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c kan de olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter och de olika kriterier som reglerar möjligheten att få tillgång till en sådan samling utformas av varje medlemsstat. Akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom direktivets tillämpningsområde.
4. Frågorna i målet
KTH har uppgivit att antalet handlingar som begärs utlämnade uppgår till cirka 1 400. Handlingarna kommer vid ett utlämnande att vara sorterade efter studenternas efternamn. Den första frågan är därför om de i handlingarna intagna personuppgifterna, på grund av mängden handlingar och att handlingarna är sorterade efter studenternas efternamn, "ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier". Om så inte anses vara fallet, måste avgöras om den manuella hantering som bolaget avser att genomföra tillsammans med övriga omständigheter medför att uppgifterna "är avsedda att ingå" i en sådan samling. Slutligen måste, om någon av de föregående frågorna besvaras jakande, ställning tas till om hinder mot ett utlämnande föreligger med hänsyn till den enskildes integritetsintresse (jfr 10 § f PuL).
5. Regeringsrättens bedömning
I målet har inte framkommit skäl att anta att bolaget kommer att hantera eller behandla betygshandlingarna på annat sätt än vad bolaget uppgivit.
Av lagtexten, förarbetena och persondatadirektivet får anses framgå att någon form av förberedelse eller bearbetning måste ha ägt rum för att personuppgifter i ett antal dokument skall kunna anses ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär enligt Regeringsrättens mening att tillgängligheten i regel måste ha åstadkommits genom något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande. Det skall således finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument. Detta leder till slutsatsen att en sortering av ett antal dokument i en viss ordning inte utan ytterligare åtgärder kan anses uppfylla det i lagtexten angivna kravet. Regeringsrätten finner därför att personuppgifterna i de efterfrågade handlingarna vid ett utlämnande från KTH inte ingår i en sådan samling som omfattas av PuL. Frågan är då om personuppgifterna i de handlingar som återstår efter det att bolaget gallrat handlingarna och sorterat återstående handlingar efter varje students betygsgenomsnitt kan sägas ingå i en sådan samling. Med hänsyn till vad som uppgivits om det beräknade antalet återstående handlingar kan det i och för sig ifrågasättas om mängden uppgifter är tillräcklig för att kunna utgöra en sådan samling. Utan ytterligare bearbetning utgör handlingarna emellertid även i detta skick endast ett antal handlingar sorterade i en viss ordning. Kravet på bearbetning är i den situationen enligt Regeringsrättens mening lika litet uppfyllt som vid ett utlämnande från KTH. Den omständigheten att möjligheten finns att i stället sortera handlingarna efter studenternas ålder eller i bokstavsordning efter studenternas efternamn ändrar inte detta förhållande.
Någon sekretess enligt 7 kap. 16 § sekretesslagen gäller därför enligt Regeringsrättens mening inte för de begärda betygshandlingarna. I målet har inte framkommit att någon annan grund för sekretess föreligger. Handlingarna skall därför lämnas ut till bolaget.
Domslut
Regeringsrättens avgörande. Regeringsrätten upphäver kammarrättens dom och KTH:s beslut och förordnar att de efterfrågade betygshandlingarna skall lämnas ut till bolaget. Det ankommer på KTH att lämna ut handlingarna.