1. No category

Sida 1(10)
FÖRVALLTMNGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
Enhet 12
DOM
2013-10-14
Meddelad i
Stockholm
Mål nr
9987-12
KLAGANDE
Göteborgs universitet
Ombud: Advokatema Christian Olofsson och Gustaf Dyrssen
MAQS Law Firm Advokatbyrå AB
Box 7009
103 86 Stockholm
MOTPART
Datainspektionen
Box 8114
104 20 Stockholm
ÖVERKLAGAT BESLUT
Datainspektionens beslut 2012-04-18, se bilaga 1
SAKEN
Tillämpning av personuppgifislagen
FÖRVALTMNGSRÄTTENS AVGÖRANDE
Förvaltningsrätten avslår överklagandet.
Dok.Id 321876
Postadress
115 76 Stockholm
Besöksadress
Tegeluddsvägen 1
Telefon
Telefax
08-56168001
08-561 68000
E-post:
forva1tningsrattenistockho1mdom.se
Expeditionstid
måndag—fredag
09:00-15:00
FÖRVALTMNGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
DOM
BAKGRUND, YRKANDE M.M.
Göteborgs universitet bedriver verksamheten Svensk nationell datatj änst
(SND) på uppdrag av Vetenskapsrådet. SND ska tillhandahålla material för
forskning och vara ett stöd för forskare genom att underlätta deras tillgång
till data. SNI) samlar in, bearbetar och tillgängliggör material från olika
forskningsprojekt. SND är en organisatorisk enhet inom Göteborgs univer
sitet.
Datainspektionen har inspekterat personuppgiftsbehandlingen inom ramen
för SND vid Göteborgs universitet och har i beslut konstaterat att styrelsen
för Göteborgs universitet är personuppgiftsansvarig för den personupp
giftsbehandling som utförs inom ramen för SND samt att Göteborgs uni
versitet saknar rättsligt stöd för behandlingen. Datainspektionen har vidare
förelagt Göteborgs universitet att upphöra med insamling och övrig be
handling av personuppgifter i material insamlat inom ramen för SND. Skä
len för beslutet framgår av bilaga 1.
Göteborgs universitet (nedan även kallat universitetet) yrkar att Datain
spektionens beslut ska undanröjas. Till stöd för talan anförs huvudsakligen
följande.
SND har som uppdrag att på nationell nivå stödja forskarsamhället med
framförallt bevarande och i förekommande fall tillgängliggörande av
forskningsdata inom SND :s ämnesområden. 1 uppdraget ingår också att
förse forskarsamhället med stöd och service för att bevara, organisera och
tillgängliggöra forskningsdata. 1 uppdraget ingår därutöver att samla in
information avseende redan etablerade forskningsdatabaser och andra
forskningsdatasamlingar och på så sätt kunna anvisa den enskilde forska
ren till andra för forskaren relevanta källor. SND ska även medverka till
utveckling av standarder, metoder och verktyg för dokumentation och
Sida 2
9987-12
FÖRVALTNINGSRÄTTEN
1 STOCKIHIOLM
Allmänna avdelningen
DOM
tillgängliggörande av forskningsdata. SND har att utföra sitt uppdrag på
sådant sätt att målet enligt uppdragsbeskrivningen mellan Vetenskapsrådet
och universitetet uppnås. SND kan emellertid inte bestämma över uppdra
gets innehåll och omfattning. Åtskillnad måste göras mellan SNHD:s upp
drag som bl.a. regleras av denna överenskommelse och de specifika per
sonuppgiftsbehandlingar som sker inom ramen för SNHD:s uppdrag som
regleras av personuppgifislagen (1998:204), PuL.
Datainspektionen har inte gjort någon granskning av de enskilda samling
arna av forskningsdata i förhållande till PuL varför beslutet redan på denna
grund bör undanröjas.
Den avidentifiering av person kopplad till enskilda personuppgifter som
ingår i SND:s nitiner innebär att SND tar bort ett antal variabler med syfte
att det inte ska vara möjligt att identifiera en enskild individ. Vidare görs
kontinuerliga kontroller för att se till att det inte är möjligt att genomföra
bakvägsidentifikation.
Endast ett fåtal samlingar av forskningsdata som hittills har överlämnats
till SND innehåller personuppgifter enligt PuL. SND har i dessa fall att för
uppdragsgivarens räkning vidta de av uppdragsgivaren önskade åtgärderna
bl.a. i syfte att bevara och dokumentera samlingarna av forskningsdaia. För
forskning som sker inom ramen för annan huvudmans verksamhet är det
den huvudman som har initierat den enskilda personuppgiftsbehandlingen
som är personuppgiftsansvarig och är den huvudman som har att ta ställ
ning till i vad mån det finns behov av att nyttja SND:s tjänster och anlita
SND. 1 förekommande fall inträder universitetet som personuppgiftsbi
träde, inte som personuppgiftsansvarig.
Ändamålet med behandlingen av personuppgifter är inte framtida forsk
ning enligt 9 § PuL. SND råder inte över vilket ändamål för vilket den per-
Sida 3
9987-12
FÖRVALTNINGSRÄTTEN
1 STOCKhOLM
Allmänna avdelningen
DOM
sonuppgiftsansvarige väljer att samla in personuppgifter och samlar inte
heller för egen del in några personuppgifter. SND bestämmer inte över
vilken forskningsdata som ska bevaras utan rar i uppdrag av uppdragsgiva
ren att möjliggöra bevarande av en specifik samling av forskningsdata. Det
är uppdragsgivaren som genom att överlämna en samling forskningsdata
till SND tar initiativet till den personuppgiftsbehandlingen och vilka däri
ingående personuppgifter som ska behandlas. SND bestämmer inte heller i
övrigt över den deponerade forskningsdatan.
Behandlingen av personuppgifter inom ramen för SND:s verksamhet syftar
bl.a. till att dokumentera forskningsdata för bevarande av forskningsdata
och i förekommande fall för att kunna återanvändas för senare forskning.
SND utför ingen egen forskning och tar inte heller ställning till om och i
vilken utsträckning samlingarna av forskningsdata ska användas för fram
tida forskning. SND:s behandling av personuppgiftema är förenlig med det
ändamål för vilka personuppgiftema ursprungligen samlades in. Den per
sonuppgiftsbehandling som sker vid SND är en behandling för i vart fall
historiska, statistiska och vetenskapliga ändamål som är att anse som för
enlig med de ändamål som personuppgiftema ursprungligen samlades in
för. SND har att behandla personuppgifiema för den personuppgiftsansva
riges räkning på samma sätt som om den personuppgiftsansvarige själv
skulle ha utfört uppdraget. Personuppgifier som samlas in för ett forsk
ningsändamål kan återanvändas i ett annat forskningsproj ekt även om den
registrerade endast samtyckt till behandling av personuppgifter i det ur
sprungliga forskningsproj ektet. SNI) :s uppdrag avser främst dokumentat
ion av forskningsdata och metadata, därtill har SND att se till att datafor
matet fortsatt går att återläsa och har att bedöma vilken datalagringsteknik
som ska användas.
1 SND:s uppdrag ingår att göra forskningsdata tillgängliga för andra fors
kare i den utsträckning som huvudmannen/personuppgiftsansvarig ger
Sida 4
9987-12
FÖRVALTNINGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
DOM
SND detta i uppdrag. 1 de fall denna forskningsdata blir föremål för återanvändning i ny forskning måste givetvis huvudmannen för den nya forsk
ningen pröva i vad mån den efterföljande behandlingen av personuppgif
tema är förenlig med det ursprungliga ändamålet eller om den är tillåten
med stöd av 9 § andra stycket PuL.
Universitetet har till stöd för sin talan bl.a. gett in ett personuppgiftsbiträ
des avta1.
Datainspektionen bestrider bifall till överklagandet och tillägger bl.& föl
jande.
Det som universitetet anRir ger stöd för uppfattningen att universitetet är
personuppgiftsansvarigt för den behandling av personuppgifter som sker
inom ramen för SND:s verksamhet. Formuleringen av SND:s uppdrag
stärker intrycket av att det är universitetet som bestämmer mål och medel
när det gäller behandlingen av personuppgifter. SND:s uppdrag bestäms i
allt väsentligt av överenskommelsen med Vetenskapsrådet, inte av in
struktioner från de forskningshuvudmän som skickar in material till SND.
Universitetets personuppgiftsansvar framgår även av SND:s rutiner för att
skydda sekretessen i inskickat forskriingsmaterial då det är SKO som be
stämmer exempelvis att vissa variabler ska tas bort.
Universitetets behandling av personuppgifter inom ramen för SND:s verk
samhet är inte förenlig med 9 § andra stycket PuL. Denna bestämmelse
undantar inte behandlingen från kravet på ett specificerat ändamål. Be
stämmelsen möjliggör behandling av redan insamiade uppgifter för ett nytt
ändamål i vissa fall, men även det nya ändamålet måste uppfylla kravet i
9 § första stycket c PuL, dvs, att personuppgifterna bara används för sär
skilda, uttryckligt angivna och berättigade ändamål. Behandlingen måste
även uppfylla en rad andra villkor för att vara laglig enligt PuL. För att en
Sida 5
9987-12
FÖRVALLTNLNGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
DOM
behandling av känsliga personuppgifter för forskningsändamål ska få ske
utan att samtycke inhmtas från de registrerade krävs att en etikprövnings
nämnd godkänt att personuppgiftema behandlas utan samtycke. Att syftet
med SND:s behandling av personuppgiftema är framtida forskning framgår
bl.a. av det mallavtal som universitet upprättat och som de som skickar in
material till SND förväntas underteckna. Även av Vetenskapsrådets rap
port “Rättsliga förutsättningar för en databasinfiastrulctur” (11:2010) fram
går att SND har till syfte att behandla personuppgifter för framtida forsk
ning.
SKÄLEN FÖR AVGÖRANDET
Datainspektionens föreläggande innebär att Göteborgs universitet ska upp
höra med insamling och övrig behandling av personuppgifler i material
insamlat inom ramen för SND. Datainspektionens beslut omfattar däremot
inte forskningsdata som inte innehåller personuppgifter i PuL:s mening.
Parterna är överens om att det finns personuppgifter i en del av det material
som behandlas av Göteborgs universitet inom ramen för SND. Frågan är
därför inledningsvis om Göteborgs universitet är personuppgiftsansvarigt
för behandlingen av personuppgifter som sker inom ramen för SND:s verk
samhet.
A- Göteborgs universitet personuppgftsansvarigt?
Datainspektionen menar att Göteborgs universitet är personuppgiftsansva
rigt för samtliga personuppgifter inom ramen för SND. Universitetet har
uppgett att det är den ursprunglige forskningshuvudmannen som är per
sonuppgiftsanvarig för de samlingar av data som kommer från andra lärosäten än Göteborgs universitet och att universitetet då agerar som person
uppgiflsbiträde. Universitetet har vidgått att Göteborgs universitet är per-
Sida 6
9987-12
FÖRVALTNINGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
DOM
sonuppgiftsansvarigt för de samlingar av data som härstammar från det
egna universitetet.
Personuppgiftsansvarig är enligt 3
§ PuL den som ensam eller tillsammans
med andra bestämmer ändamålen med och medlen för behandlingen av
personuppgifter. Datainspektionen hari ett beslut från den 2juli2010 (dnr
686-2010) uttalat bl.a. följande. “Vem som bestämmer över ändamålen
avgörs genom en bedömning av de faktiska omständigheterna i det en
skilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen
utförs och vem som är initiativtagare till behandlingen. Att bestämma över
medlen för behandlingen avser främst att bestämma över de tekniska och
organisatoriska medlen för behandlingen, dvs. “hur” behandlingen ska gå
till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som
ska ffi tillgång till de behandlade personuppgifter och när uppgiften ska
raderas.” Det är de faktiska omständigheterna i det enskilda fallet som är
avgörande, dvs, vem eller vilka som faktiskt har bestämt över behandling
en.
Göteborgs universitet har överenskommits med Vetenskapsrådet om att
SND är en inrättning vid universitetet som ska tillgodose tillgodose fors
karsamhällets behov av data för empirisk forskning inom vissa ämnen saint
att åtagandet innefattar att tillhandahålla tekniska, juridiska, kunskaps
mässiga och övriga administrativa resurser för insamling, lagring och dis
tribution av data för forskning. Åtagandet innefattar även att Göteborgs
universitet ska vidareutveckla verksamheten med avseende på modern da
tabasteknilc.
Förvaltningsrätten gör följande bedömning.
SND utför självständigt sina åtaganden enligt avtalet med Vetenskapsrådet.
Enligt det av universitetet ingivna dokumentet “Hantering av
Sida 7
9987-12
Sida 8
9987-12
DOM
FÖRVALLTNINGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
forskningsdata vid SND” tar SND bl.a. emot material, kontrollerar om
materialet går att läsa samt säkerställer att datafilen inte innehåller någon
direkt identifierare. Om sådana finns tas dessa bort från originalfilen och
ansvarig forskare meddelas om åtgärden. Filerna arkiveras sedan i ett
skapat bibiliotek i SND:s arkiv varvid identifikationsnummer tilldelas.
SND bearbetar materialet och bedömer även hur mycket bearbetning som
ska utföras. Av handlingarna i målet framgår inte att SND hanterar personuppgifterna efter instruktioner från de forskningshuvudmän som skickar in
material till SND. SND bedriver istället sin verksamhet, dvs, bearbetar,
listar och bevarar materialet, utan inblandning av forskningshuvudmännen.
Enligt förvaltningsrättens mening bestämmer universitetet därmed över
ändamålen med och medlen för behandlingen. Förvaltningsrätten instäm
mer därför i Datainspektionens bedömning att Göteborgs universitet ska
anses vara personuppgiftsansvarigt för den behandling av personuppgifler
som görs inom ramen för SND. De avtal och avtalsutkast som Göteborgs
universitet har gett in ändrar inte denna bedömning.
Är personuppgifisbehandlingenförenlig med 9
§ FuL?
Datainspektionen hari sitt beslut anfört att SND:s behandling av personuppgifter inte är förenlig med 9
lingen
—
framtida forskning
—
§ PuL, eftersom ändamålet med behand
är alltför opreciserat för att uppfylla lagen
krav. Göteborgs universitet har å sin sida uppgett att SND:s behandling av
personuppgifterna är förenlig med det ändamål för vilka personuppgifterna
ursprungligen samlades in samt att den personuppgiftsbehandling som sker
vid SND är en behandling för i vart fall historiska, statistiska och veten
skapliga ändamål som är att anse som förenlig med de ändamål som per
sonuppgifterna ursprungligen samlades in för. Göteborgs universitet menar
därför att ändamålet uppfyller kraven i 9
§ PuL.
FÖRVALTNINGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
DOM
Enligt 9 § första stycket c PuL ska den personuppgiftsansvarige se till att
personuppgifter samlas in bara för särskilda, uttryckligt angivna och berät
tigade ändamål.
1 förarbetena till bestämmelsen anges att ändamålen med en behandling av
personuppgifter måste bestämmas redan när uppgifterna samlas in. Ända
målen måste då anges uttrycidigen. Det finns inte något krav på att ända
målsangivelsen ska nedtecknas (prop. 1997/98:44 s. 63 fl. Att ändamålen
ska vara särskilda innebär an en alltför allmänt hållen ändarnålsangivelse
inte godtas. Hur pass detaljerad ändamålsangivelsen ska vara för att upp
f’lla lagens krav på att vara särskild framgår inte av PuL. Viss ledning vid
tolkning av begreppet särskilda kan dock hämtas i kraven i punkten e och f
på att de personuppgifter som behandlas ska vara adekvata och relevanta i
förhållande till ändamålen med behandlingen och att inte fler uppgifter får
behandlas än som är nödvändigt med hänsyn till ändamålen med behand
lingen (se SOU 1999:109 s. 156 och 1998:80 s. 221 f.). Om inte ändamålet
har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller om för många personuppgifler
behandlas. Kan man inte avgöra vilka personuppgifter som behövs för att
ändamålet ska kunna uppfjl1as, torde ändamålet inte vara särskilt utan all
mänt.
Vetenskapsrådet har vidare i en rapport angett att det enligt utredningens
mening inte är möjligt att bygga en databasinfiastruktur med personuppgif
ter som inte är känsliga i personuppgiftsiagens mening. Man har angett att
genom de krav som ställs på preciseringar av innehållet och ändamålet
med personuppgiftsbehandlingen och de bedömningar som ska göras
framgår det att det finns förutsättningar i såväl personuppgiftsiagen som i
etikprövningslagen som innebär svårigheter att konstruera en databasinfra
struktur för forskning som innefattar personuppgifter för generella
Sida 9
9987-12
FÖRVALTNINGSRÄTTEN
1 STOCKHOLM
Allmänna avdelningen
DOM
forskningsändamål (Vetenskapsrådets rapport “Rättsliga förutsättningar för
en databasinfrastruktur för forskning”, Vetenskapsrådets rapportserie
11:2010).
Förvaltningsrätten kan inte finna annat än att handlingarna i målet visar att
syftet med SND:s behandling av personuppgifter är att möjliggöra framtida
forskning. Detta ändamål kan inte anses vara tillräckligt specificerat för att
kravet i 9
§ f&sta stycket c PuL ska anses vara uppfyllt. 1 och med att detta
krav inte är uppfyllt saknas skäl att gå in på bedömningen av om övriga
förutsättningar i 9
§ PuL är uppfyllda. Förvaltningsrättens uppfattning är
således, liksom Datainspektionens, att universitetets personuppgiftsbe
handling inom ramen för SND är otillåten. Överklagandet ska avslås.
HUR MAN ÖVERKLAGAR
Detta avgörande kan överklagas. Inforniation om hur man överklagar finns
i bilaga2. (DV 3109/la)
Ann-Jean#tte Eriksson
Rådman!
1 avgörandet har även nämndemännen Ulf Karlsson, Ebba Krumlinde och
Marita SöreDord deltagit. Föredragande var fdrvaltningsrättsfiskalen Anna
Nordström.
Sida 10
9987-12
Datum
Diarieur
2012-04-18
Sn-zou
BILAGA
Universitetsstyrelsen
Göteborgs universitet
Boxioo
40530 GÖTEBORG
-
-
Tifisyn enligt personuppgiftsiagen (1998:204) av
Göteborgs universitet (Svensic nationell datatjänst)
-
Datainspektionens beslut
Datainspektionen konstaterar att styrelsen för Göteborgs universitet
(härefter: Göteborgs universitet) är personuppgiftsansvarig för den
personuppgiftsbehandling som utfbrs inom ramen för Svensk nationell
datatjänst samt att Göteborgs universitet salmar rättsligt stöd för
behandlingen.
Datainspektionen förelägger därför Göteborgs universitet att upphöra med
insamling och övrig behandling av personuppgifter i material insamlat inom
ramen för Svensk nationell datatjänst.
Redogörelse för tillsynsärendet
Den 3’ augusti 2011 inspekterade Datainspektionen
personuppgiftsbehandlingen inom ramen för Svensk naffone’lI datatjänst vid
Göteborgs universitet (SND): Syftet med inspektionen var att kont±ollera vilka
personuppgifter som behandlas och hur pemsonuppgifter behandlas vid SND.
Ärendet kcimpletterades efter föreläggande den 30 mars 2012 med en listapå
alla som levererat material till SND, den nyligen framtagna mallen för avtal
med de som lämnar in material till SND och eempel på tidigare avtal som
ingåtts med de som lämnat in material till SND.
Vid inspektionen framkom bland annat följande
SND:sverksarnhet finansieras avVetenskapsrådet och Göteborgs universitet.
Uppdraget att bedriva verksamheten har Göteborgs universitet ansökt om i
konkurrens och fått avVetenskapsrådet. SND ska tillhandahålla material för
-
Postadress: Box 8114, 104 20 Stockholm
Besöksadress: Drottninggatan 29, plan 5
Webbplats: wwwdatainspekticnen.se
E-post: [email protected]
Te!efon: 08-657 61 00
Telefax: 08-652 86 52
forskning och vara ett stöd ftSr forskare genom att underlätta deras tillgång till
data. SND samlar in, bearbetar och tillgängliggör material från
forskningsprojekt. Det är i dagsläget frivilligt att lämna in material till SND.
SND lämnar ingen information till de personer vars personuppgifter finns i
material som lämnas in till SNU Inté heller inhämtar man samtycke från de
registrerade eller ansöker om etikgodkännande.
Det finns personuppgifter, både känsliga och inte känsliga, i en di av det
material som skickas till SND. Personuppgifterna i det material som SND får
in är oftast kodade, ibland finns nyckeln kvar hos avsändaren och ibland
skickas nyckeln med.
SDN gör om i lämnat material till en form som gör att det går att spara och
återanvända. SND tar emot materialet, bearbetar det, listar det och bevarar
det. SND bevarar materialet för att det ska kunna användas f?ir ny forskning,
nu eller senare. Hos SND utförs en rad bearbemingar av data som lämnats in,
bl.a. genom att metadata skapas och ordnas. SND bevarar, efter att ha
bearbetat inläxnnat material, materialet för all framtid. Ursprungsmaterialet
arldveras hos avsändaren.
Göteborgs universitet anser sig vara personuppgiftsbiträde och menar att
personuppgiftsansvaret för hantering avpersqnuppgifter hos SNI) i material
som lämnats in kvarstår hos den som lämnat in materialet. Göteborgs
universitet är dock öppet för att det kan anses vara personiippgiftsansvarigt, i
alla fall för vissa personuppgiftsbehandlingar i insamlat material. Göteborgs
universitet anser sig vara teknisk bearbetare i trycld’rihetsförordningens
mening och anser att vid en förfrågan om utlämnande så är det den som
lämnat in material som har att fatta ett avslagsbeslut om inte efterfrågat
material lämnas ut från SND.
Material kommer in till SND på fil via VIT, dropbox och e-post.
Material skickas till SND utan att något avtal tecimats innan. Det fliins avtal
som tecimats mellan SND och den som lämnat in material och i framtiden ska
sådana avtal tecknas i enlighetrned en utarbetad avtalsmall.
SND har material från några företag där SND köpt materialet av företagen
ifråga. Materialet har köpts in för att kunna spridas för forskning. SDN vet
inte om det finns personuppgifter i detta material men tror inte att det gör
det.
Vetenskapsrådet har inte varit med och tagit fram de detaljerade rikdipjerna
för SND:s uppdrag eller utarbetande av mallavtalet. Det ligger i SND:s
Sida 2 av 6
uppdrag att sköta detta. SND:s verksamhet ska nu utvärderas inför nästa 5-4rs
period. Vetenskapsrådet och Göteborgs universitet har tecimat ett 5-årigt
kontrakt rörande SNU :s verksamhet.
Skäl för beslutet
Personuppgzfter som behandlas
3 § PuL som all slags information som direkt
En personuppgift definieras i
eller indirekt kan hänföras till en fysisk person som är i liveL Krypterade
uppgifter omffittas sMedesav lagen så länge någon kan göra uppgifterna
läsbara och därmed identifiera individer. Också sådana i sig anonyma
uppgifter som gör det möjligt med s.k. balcvägsidentiflkadon av en fysisk
person omfattas (SOU 1997:39 5. 338). Även kodade uppgifter hos SNU är
alltså personuppgifrer (oavsett om nyckeln finns hos SNU eller hos den som
skickade in materialet) och detsamma gäller fr material där det finns så
många variabler rörande en registrerad att det är möjligt att identifiera den
registrerade genom dessa s.k. bakvägsidentiflering.
Person uppgftsansvaret
Rättsregler mm
Personuppgiftsansvarig är enligt 3 § PuL den som ensam eller tillsammans
med andra bestämmer ändamilen med och medlen för behandlingen av
personuppgifter, och personuppgiftsbiträde är den som behandlar
personuppgifter för den personiippgiftsansvariges räkning.
Datainspektionen har tidigare närmare uttalat sig om vad
personuppgiftsansvaret innebär (beslut 2010-07-02, din 686-2010): ‘Vem som
bestämmer över ändamålen avgörs genom en bedömning av de faktiska
omständigheterna i det enskilda fallet. Avgörande för denna bedömning är
bl.a. varflir behandlingen utförs och vem som är initiativtagare till
behandlingen. Att bestämma över medlen för behandlingen avser främst att
bestämma över de télmiska och organiatoriska medlen för behandlingen,
dvs. “hur” behandlingen ska gå till, t.ex. vilka personuppgifter som ska
behandlas, vilka tredje män som ska få tillgång till de behandlade
personuppgifter och när uppgifter ska raderas.”
Olika avtalskoristruktioner där personuppgiftsansvaret preciseras kan beaktas
vid bedömningen men det är de faktiska omständigheterna i det enskilda
fallet som är avgörande, dvs, vem eller vilka som faktiskt har bestämt över
behandlingen, se s. 92 f, Personuppg jftslagen En kommentar, Öman och
Li±idblom, uppl. 20il.
—
Vidare får étt personuppgiftsbiträde endast behandla uppgifter i enlighet med
instruktioner från den personuppgiftsansvarige, se 3° § i st PuL. Av 31 § 2 st
Sida 3 av 6
•
PuL framgår att det i personuppgiftsbiträdesavtalet ska framgå att
persönuppgifisbiträdet bara får behandla personuppgifter i enlighet med
instruktioner från den personuppgiftsansvariga och att
personuppgiftsbiträdet är skyldig aLt vidta de åtgärder som avses i
3 § PuL.
Datainspektionens bedömninc
Det är Vetenskapsrådet som initierat SND och som tillsammans med
Göteborgs universitet finansierar utförandet av uppdraget. Uppdraget utförs
därefter självständigt av Göteborgs universitet. SND tar emot materialet,
bestämmer om och hur materialet ska bearbetas, listar det och bevrar det för
att det ska kunna användas får nyforslming, nu eller senare. Det är spridning
av materialet som är det främsta syftet och det syftet har bestämts av SND.
Den som lämnar in materialet betalar inteför SND:s bearbetaing eller för
bevarandét av materialet. När det galler att lämna ut uppgifter tf11 tredje man
ber SND i vissa fall den som lämnat in materialet om tillstånd att lämna ut
materialet om inte detta reglerats i avtal mellan SND och den som lämnat in
materialet.
-
1 de exempel på avtal som lämnats in av SND framgår inte att SND:s hantering
av personuppgifter är begränsad till att endast ske efter instruktion av den
som lamnat m matenalet Det framgar heller inte att SND ar skyldig att vidta
åtgärder enligt 31 § PuL;
Avtainn visar inte på a& Göteborgs universitet endast är att betrakta som
personuppgiftsbiträde. Enligt Datainspektionens mening innebär dessa
exemp?l på avtal inte att SND:s möjlighet att behandla personuppgifter
inslcränks till att endast omfatta att behandla uppgifterna för annans räkning i
• enlighet med instruktioner från dem som lämnat in material till SND.
De omständigheterna att materialet i vissa fall enligt avtal inte lämnas ut till
tredje man om inte forskningshuvudmannen som lämnat in materialet
godkänner det och att SND enligt avtal inte har arkivansvar eller immateriella
rättigheter, medför enligt Datainspektionens mening inte att Göteborgs
universitets hantering av personuppgifter i inlämnat material sker för annans
räkning och utförs på uppdrag av den som lämnat in materialet.
-
Vidare framgår av omständigheterna i ärendet att det i praktiken är Göteborgs
universitet som bestämmer över ändamålen och medlen för behandlingen.
Sammanfatmi±gsvis aiiser Datainspektionen därför att Göteborgs universitet
måste betraictas som personuppgiftsansvarig för den behandling avuppgifter
som görs hos SND.
Sida 4 av 6
Den som lamnar in matenalet till SND är ansvarig for sin behandling av
personuppgifter i materialet mnan överlämnandet och for utlärnnandet till
SND och den som får material från SND är ansvarig för sin behandling av
materialet då det lamnats ut.
Personuppgzftshehand1ingens6renhghet med PuL
Enligt 9 § PuL får personuppgifrer bara samlas in för sarsidida, uttryckligt
angivna och berättigade ändamål. Andamålen måste enligt forarbetena till
PuL uppges redan när behandlingen påbörjas och får inte vara för allmant
hållna (se prop. i997/98.44 s. zz f). Exakt hur detaljerade ändamålen måste
vara framgår inte av PuL. Det får i avsaknad av narmare föreskrifter avgoras
från fall till fMl. Ett annat grundinggande krav enligt 9 § PuL ar att
personuppgifter som behandlas ska vara adekvata och relevanta i forhållandet
till andamålet med behandlingen och att inte fler uppgifter behandlas an som
är nodvandigt med hansyn till andamålen For att denna bedömning ska
kunna goras krävs att andainålet har en viss grad av precision.
En liknande tolkning av 9 § Pul. gors i Vetenskapsrådets rapport “Rättsliga
forutsattningar for en databasinfrastruktur’ (Vetenskapsrådets rapportserie
n:2oio), där det på 5. 52 uttalas foljande. “Genom de krav som ställs på
preciseringar av innehållet och åndamålen med personuppgiftsbehandlingar
och de bedomningar som ska göras enligt ovan framgår det att det finns
forutsattningar i såval personuppgiftsiagen som etikprovningslagen som
innebär svårigheter att konstruera en databasinfrastrulctur för forskning som
innefattar personuppgifter för generella forslaiingsandamål.” Vidare sägs på
sidan 114 i rapporten: “En databasinfrastruktur för forskning bygger på
massuttag för obestarnda syften, vilket står i strid med nuvarande
lagstiftaings utformning till skydd för den personliga integriteten.”
1 SND.s fall ar andamålet framtida forskning där insamlade personuppgifter
ska kunna anvandas for allt som ryms inom detta ändamål. Enligt
Datainspelctionens bedomning är detta ett allt för opreciserat ändamål for att
uppfylla kraven i 9 § PuL.
Den behandling avpersonuppgifter som sker inom ramen för SND är således
enligt Datainspektionens mening inte forenlig med § PuL, vilket innebär att
den är otillåten. Det innebär att Göteborgs universitet måste upphöra med
insamling och övrig behandling avpersonuppgifter i material insamlat inom
ramen for SND.
Sida 5
av 6
Skulle kravet på preciserat ändamål vara uppfyllt måste behandlingen av
personuppgifrer sedan ha en laglig grund i PuL eller annan la eller
förordning. Behandling av personuppgifrer för forsimingsändarnål som inte
innefattar känsliga personuppgifter får ske med stöd av samtycke.
Personuppgiftsbehandling inom sådana forskningsprojekt får också
genornftSras om den är tillåten enligt någon annan grund i io § PuL.
När känsliga personuppgifier behandlas f6r forslailngsändamål krävs att det
sker med stöd av ett utttyckllgt samtycke eller att en eiikprövningsnämnd har
tagit ställning till och godkänt att behandlingen får genomföras utan
samtycke. Datainspektionen kan inte se att något av undantagen för att
behandla känsliga personuppgifter i PuL är aktuellt för den
personuppgiftsbehandling som sker inom ramen för SND.
Hur man överklagas
Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i
skrivelsen villcet beslut som överklagas och den ändring som ni begän
Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från
den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder
överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om
inspekfionen inte själv ändrar beslutet på det sätt ni har begärt.
-
Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av
chefsjuristen Hans-Olof Lindblom, tillsynschefen Erik Janzonoch juristen
Victoria Söderqvist, föredragande.
/
Göran
rlund
Kopia till:
i. Hans Jörgen Marker, Svensk nationell datatjänst, Gegerfeltska villan, Box
300, 40530 Göteborg
2. Personuppgiftsombudet Kristina tJllgren, Boxioo, 40530 Göteborg
Sida 6 av 6
SVERIGES DoMs’roln
Bilaga
HUR MAN ÖVERKLAGAR PRÖVNINGSTILLSTÅND
-
Den som vill överklaga förvaltningsrättens beslut
ska skriva till Kammarrätten i Stockholm
Skrivelsen ska dock sldekas eller lämnas till
förvaltningsrätten.
För att kammanätten ska kunna ta upp Ert överklagande måste Er skrivelse ha kommit in till för
valtningsrätten inom tre veckor från den dag då
Ni fick del av domen/beslutet. Om beslutet har
meddelats vid en rnunrlig förhandling, eller det vid
en sidan förhandEng har angetts när beslutet
kommer att meddelas, ska dock överklagaadet ha
kommit in inom tre veckor fria den dag domsto
lens beslut meddekdes. Om sista dagea för överklagande infailer pi lördag, söndag eller helgdag,
nudsommarafton. julafton eller nyårsafton räcker
det att besvärshandlingen kommer in nästa vardag.
Om prövningstillstånd inte meddelas står förvalt
ningsrättens beslut fast. Det är därför viktigt att det
klart och tydligt framgår av överklagandet till
k,rnrnnrätten varför man anser att prövningstll
stånd bör meddelas.
Skriveken med överklagande ska innehålla
1.
—
Om klaganden är en part som företräder det allrnänna, ska överklagandet alltid ha kommit in inom
tre veckor från den dag beslut meddelades.
-
För att ett överklagande ska kunna tas upp i kam
marrätren fordras att prövvingstillstånd medde—
las. Karnmanätten lämnar prövningstillstånd om
1.
EJ
2.
0
E0
0
Et
3.
fl
EJ
u
0
0
det finns anledning att betvivla riktigheten
av det slut som förvaltningsrätten har
kommit till,
det inte utan att sådant tillstånd meddelas
att bedöma riktigheten av det slut som
förvaltningsrätten har kommit till,
det är av vikt för ledning av rättstillämp
ningen att överklagandet prövas av högre
rätt, eller
2.
den dom/beslut som överklagas med uppgift
om förvaltningsrättens namn, målnummer
samt dagen för beslutet,
3.
de skäl som kiaza den anger till stöd för en
begäran om prövningstillstånd,
4.
den ändring av förvakningsnmrtens dom/beslut
som klaganden vill Pa till stånd,
5.
de bevis som klaganden vill åberopa och vad
han/hon vill styrka med varje särskilt bevis.
Adressen till förvaltningsrätten framgår av do
men/beslutet.
2
2,
‘0
9
4.
FUagandens person-/organisadonsnummer,
postrdress, e-postadress och telefonnummer
till bostaden och mobiltelefon. Adress och te
lefonnummer till klagandens arbetsplats ska
också anges samt eventuell annan adress där
klaganden kan nås för delgivning. Om dessa
uppgifter har lämnats tidigare i målet och om
de forifarande är aktuella —behöver de inte
uppges igen. Om klaganden anlitar ombud, ska
ombuders namn postadress, e—postadress, tele
fonnummer till arbetsplatsen och mobiltele
fonnummer anges. Om någon person- eller
adressuppgift ändras, ska ändringen utan
dröjsmål anrnälas till karotnarrätten.
det annars flnns.synnerliga skäl att pröva
överklagandet
tE,
0
0;
0
fl
0
www.domstoLs