Förvaltningsrättens dom 131014
Sida 1(10) FÖRVALLTMNGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen Enhet 12 DOM 2013-10-14 Meddelad i Stockholm Mål nr 9987-12 KLAGANDE Göteborgs universitet Ombud: Advokatema Christian Olofsson och Gustaf Dyrssen MAQS Law Firm Advokatbyrå AB Box 7009 103 86 Stockholm MOTPART Datainspektionen Box 8114 104 20 Stockholm ÖVERKLAGAT BESLUT Datainspektionens beslut 2012-04-18, se bilaga 1 SAKEN Tillämpning av personuppgifislagen FÖRVALTMNGSRÄTTENS AVGÖRANDE Förvaltningsrätten avslår överklagandet. Dok.Id 321876 Postadress 115 76 Stockholm Besöksadress Tegeluddsvägen 1 Telefon Telefax 08-56168001 08-561 68000 E-post: forva1tningsrattenistockho1mdom.se Expeditionstid måndag—fredag 09:00-15:00 FÖRVALTMNGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen DOM BAKGRUND, YRKANDE M.M. Göteborgs universitet bedriver verksamheten Svensk nationell datatj änst (SND) på uppdrag av Vetenskapsrådet. SND ska tillhandahålla material för forskning och vara ett stöd för forskare genom att underlätta deras tillgång till data. SNI) samlar in, bearbetar och tillgängliggör material från olika forskningsprojekt. SND är en organisatorisk enhet inom Göteborgs univer sitet. Datainspektionen har inspekterat personuppgiftsbehandlingen inom ramen för SND vid Göteborgs universitet och har i beslut konstaterat att styrelsen för Göteborgs universitet är personuppgiftsansvarig för den personupp giftsbehandling som utförs inom ramen för SND samt att Göteborgs uni versitet saknar rättsligt stöd för behandlingen. Datainspektionen har vidare förelagt Göteborgs universitet att upphöra med insamling och övrig be handling av personuppgifter i material insamlat inom ramen för SND. Skä len för beslutet framgår av bilaga 1. Göteborgs universitet (nedan även kallat universitetet) yrkar att Datain spektionens beslut ska undanröjas. Till stöd för talan anförs huvudsakligen följande. SND har som uppdrag att på nationell nivå stödja forskarsamhället med framförallt bevarande och i förekommande fall tillgängliggörande av forskningsdata inom SND :s ämnesområden. 1 uppdraget ingår också att förse forskarsamhället med stöd och service för att bevara, organisera och tillgängliggöra forskningsdata. 1 uppdraget ingår därutöver att samla in information avseende redan etablerade forskningsdatabaser och andra forskningsdatasamlingar och på så sätt kunna anvisa den enskilde forska ren till andra för forskaren relevanta källor. SND ska även medverka till utveckling av standarder, metoder och verktyg för dokumentation och Sida 2 9987-12 FÖRVALTNINGSRÄTTEN 1 STOCKIHIOLM Allmänna avdelningen DOM tillgängliggörande av forskningsdata. SND har att utföra sitt uppdrag på sådant sätt att målet enligt uppdragsbeskrivningen mellan Vetenskapsrådet och universitetet uppnås. SND kan emellertid inte bestämma över uppdra gets innehåll och omfattning. Åtskillnad måste göras mellan SNHD:s upp drag som bl.a. regleras av denna överenskommelse och de specifika per sonuppgiftsbehandlingar som sker inom ramen för SNHD:s uppdrag som regleras av personuppgifislagen (1998:204), PuL. Datainspektionen har inte gjort någon granskning av de enskilda samling arna av forskningsdata i förhållande till PuL varför beslutet redan på denna grund bör undanröjas. Den avidentifiering av person kopplad till enskilda personuppgifter som ingår i SND:s nitiner innebär att SND tar bort ett antal variabler med syfte att det inte ska vara möjligt att identifiera en enskild individ. Vidare görs kontinuerliga kontroller för att se till att det inte är möjligt att genomföra bakvägsidentifikation. Endast ett fåtal samlingar av forskningsdata som hittills har överlämnats till SND innehåller personuppgifter enligt PuL. SND har i dessa fall att för uppdragsgivarens räkning vidta de av uppdragsgivaren önskade åtgärderna bl.a. i syfte att bevara och dokumentera samlingarna av forskningsdaia. För forskning som sker inom ramen för annan huvudmans verksamhet är det den huvudman som har initierat den enskilda personuppgiftsbehandlingen som är personuppgiftsansvarig och är den huvudman som har att ta ställ ning till i vad mån det finns behov av att nyttja SND:s tjänster och anlita SND. 1 förekommande fall inträder universitetet som personuppgiftsbi träde, inte som personuppgiftsansvarig. Ändamålet med behandlingen av personuppgifter är inte framtida forsk ning enligt 9 § PuL. SND råder inte över vilket ändamål för vilket den per- Sida 3 9987-12 FÖRVALTNINGSRÄTTEN 1 STOCKhOLM Allmänna avdelningen DOM sonuppgiftsansvarige väljer att samla in personuppgifter och samlar inte heller för egen del in några personuppgifter. SND bestämmer inte över vilken forskningsdata som ska bevaras utan rar i uppdrag av uppdragsgiva ren att möjliggöra bevarande av en specifik samling av forskningsdata. Det är uppdragsgivaren som genom att överlämna en samling forskningsdata till SND tar initiativet till den personuppgiftsbehandlingen och vilka däri ingående personuppgifter som ska behandlas. SND bestämmer inte heller i övrigt över den deponerade forskningsdatan. Behandlingen av personuppgifter inom ramen för SND:s verksamhet syftar bl.a. till att dokumentera forskningsdata för bevarande av forskningsdata och i förekommande fall för att kunna återanvändas för senare forskning. SND utför ingen egen forskning och tar inte heller ställning till om och i vilken utsträckning samlingarna av forskningsdata ska användas för fram tida forskning. SND:s behandling av personuppgiftema är förenlig med det ändamål för vilka personuppgiftema ursprungligen samlades in. Den per sonuppgiftsbehandling som sker vid SND är en behandling för i vart fall historiska, statistiska och vetenskapliga ändamål som är att anse som för enlig med de ändamål som personuppgiftema ursprungligen samlades in för. SND har att behandla personuppgifiema för den personuppgiftsansva riges räkning på samma sätt som om den personuppgiftsansvarige själv skulle ha utfört uppdraget. Personuppgifier som samlas in för ett forsk ningsändamål kan återanvändas i ett annat forskningsproj ekt även om den registrerade endast samtyckt till behandling av personuppgifter i det ur sprungliga forskningsproj ektet. SNI) :s uppdrag avser främst dokumentat ion av forskningsdata och metadata, därtill har SND att se till att datafor matet fortsatt går att återläsa och har att bedöma vilken datalagringsteknik som ska användas. 1 SND:s uppdrag ingår att göra forskningsdata tillgängliga för andra fors kare i den utsträckning som huvudmannen/personuppgiftsansvarig ger Sida 4 9987-12 FÖRVALTNINGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen DOM SND detta i uppdrag. 1 de fall denna forskningsdata blir föremål för återanvändning i ny forskning måste givetvis huvudmannen för den nya forsk ningen pröva i vad mån den efterföljande behandlingen av personuppgif tema är förenlig med det ursprungliga ändamålet eller om den är tillåten med stöd av 9 § andra stycket PuL. Universitetet har till stöd för sin talan bl.a. gett in ett personuppgiftsbiträ des avta1. Datainspektionen bestrider bifall till överklagandet och tillägger bl.& föl jande. Det som universitetet anRir ger stöd för uppfattningen att universitetet är personuppgiftsansvarigt för den behandling av personuppgifter som sker inom ramen för SND:s verksamhet. Formuleringen av SND:s uppdrag stärker intrycket av att det är universitetet som bestämmer mål och medel när det gäller behandlingen av personuppgifter. SND:s uppdrag bestäms i allt väsentligt av överenskommelsen med Vetenskapsrådet, inte av in struktioner från de forskningshuvudmän som skickar in material till SND. Universitetets personuppgiftsansvar framgår även av SND:s rutiner för att skydda sekretessen i inskickat forskriingsmaterial då det är SKO som be stämmer exempelvis att vissa variabler ska tas bort. Universitetets behandling av personuppgifter inom ramen för SND:s verk samhet är inte förenlig med 9 § andra stycket PuL. Denna bestämmelse undantar inte behandlingen från kravet på ett specificerat ändamål. Be stämmelsen möjliggör behandling av redan insamiade uppgifter för ett nytt ändamål i vissa fall, men även det nya ändamålet måste uppfylla kravet i 9 § första stycket c PuL, dvs, att personuppgifterna bara används för sär skilda, uttryckligt angivna och berättigade ändamål. Behandlingen måste även uppfylla en rad andra villkor för att vara laglig enligt PuL. För att en Sida 5 9987-12 FÖRVALLTNLNGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen DOM behandling av känsliga personuppgifter för forskningsändamål ska få ske utan att samtycke inhmtas från de registrerade krävs att en etikprövnings nämnd godkänt att personuppgiftema behandlas utan samtycke. Att syftet med SND:s behandling av personuppgiftema är framtida forskning framgår bl.a. av det mallavtal som universitet upprättat och som de som skickar in material till SND förväntas underteckna. Även av Vetenskapsrådets rap port “Rättsliga förutsättningar för en databasinfiastrulctur” (11:2010) fram går att SND har till syfte att behandla personuppgifter för framtida forsk ning. SKÄLEN FÖR AVGÖRANDET Datainspektionens föreläggande innebär att Göteborgs universitet ska upp höra med insamling och övrig behandling av personuppgifler i material insamlat inom ramen för SND. Datainspektionens beslut omfattar däremot inte forskningsdata som inte innehåller personuppgifter i PuL:s mening. Parterna är överens om att det finns personuppgifter i en del av det material som behandlas av Göteborgs universitet inom ramen för SND. Frågan är därför inledningsvis om Göteborgs universitet är personuppgiftsansvarigt för behandlingen av personuppgifter som sker inom ramen för SND:s verk samhet. A- Göteborgs universitet personuppgftsansvarigt? Datainspektionen menar att Göteborgs universitet är personuppgiftsansva rigt för samtliga personuppgifter inom ramen för SND. Universitetet har uppgett att det är den ursprunglige forskningshuvudmannen som är per sonuppgiftsanvarig för de samlingar av data som kommer från andra lärosäten än Göteborgs universitet och att universitetet då agerar som person uppgiflsbiträde. Universitetet har vidgått att Göteborgs universitet är per- Sida 6 9987-12 FÖRVALTNINGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen DOM sonuppgiftsansvarigt för de samlingar av data som härstammar från det egna universitetet. Personuppgiftsansvarig är enligt 3 § PuL den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Datainspektionen hari ett beslut från den 2juli2010 (dnr 686-2010) uttalat bl.a. följande. “Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det en skilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. “hur” behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska ffi tillgång till de behandlade personuppgifter och när uppgiften ska raderas.” Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs, vem eller vilka som faktiskt har bestämt över behandling en. Göteborgs universitet har överenskommits med Vetenskapsrådet om att SND är en inrättning vid universitetet som ska tillgodose tillgodose fors karsamhällets behov av data för empirisk forskning inom vissa ämnen saint att åtagandet innefattar att tillhandahålla tekniska, juridiska, kunskaps mässiga och övriga administrativa resurser för insamling, lagring och dis tribution av data för forskning. Åtagandet innefattar även att Göteborgs universitet ska vidareutveckla verksamheten med avseende på modern da tabasteknilc. Förvaltningsrätten gör följande bedömning. SND utför självständigt sina åtaganden enligt avtalet med Vetenskapsrådet. Enligt det av universitetet ingivna dokumentet “Hantering av Sida 7 9987-12 Sida 8 9987-12 DOM FÖRVALLTNINGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen forskningsdata vid SND” tar SND bl.a. emot material, kontrollerar om materialet går att läsa samt säkerställer att datafilen inte innehåller någon direkt identifierare. Om sådana finns tas dessa bort från originalfilen och ansvarig forskare meddelas om åtgärden. Filerna arkiveras sedan i ett skapat bibiliotek i SND:s arkiv varvid identifikationsnummer tilldelas. SND bearbetar materialet och bedömer även hur mycket bearbetning som ska utföras. Av handlingarna i målet framgår inte att SND hanterar personuppgifterna efter instruktioner från de forskningshuvudmän som skickar in material till SND. SND bedriver istället sin verksamhet, dvs, bearbetar, listar och bevarar materialet, utan inblandning av forskningshuvudmännen. Enligt förvaltningsrättens mening bestämmer universitetet därmed över ändamålen med och medlen för behandlingen. Förvaltningsrätten instäm mer därför i Datainspektionens bedömning att Göteborgs universitet ska anses vara personuppgiftsansvarigt för den behandling av personuppgifler som görs inom ramen för SND. De avtal och avtalsutkast som Göteborgs universitet har gett in ändrar inte denna bedömning. Är personuppgifisbehandlingenförenlig med 9 § FuL? Datainspektionen hari sitt beslut anfört att SND:s behandling av personuppgifter inte är förenlig med 9 lingen — framtida forskning — § PuL, eftersom ändamålet med behand är alltför opreciserat för att uppfylla lagen krav. Göteborgs universitet har å sin sida uppgett att SND:s behandling av personuppgifterna är förenlig med det ändamål för vilka personuppgifterna ursprungligen samlades in samt att den personuppgiftsbehandling som sker vid SND är en behandling för i vart fall historiska, statistiska och veten skapliga ändamål som är att anse som förenlig med de ändamål som per sonuppgifterna ursprungligen samlades in för. Göteborgs universitet menar därför att ändamålet uppfyller kraven i 9 § PuL. FÖRVALTNINGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen DOM Enligt 9 § första stycket c PuL ska den personuppgiftsansvarige se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berät tigade ändamål. 1 förarbetena till bestämmelsen anges att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ända målen måste då anges uttrycidigen. Det finns inte något krav på att ända målsangivelsen ska nedtecknas (prop. 1997/98:44 s. 63 fl. Att ändamålen ska vara särskilda innebär an en alltför allmänt hållen ändarnålsangivelse inte godtas. Hur pass detaljerad ändamålsangivelsen ska vara för att upp f’lla lagens krav på att vara särskild framgår inte av PuL. Viss ledning vid tolkning av begreppet särskilda kan dock hämtas i kraven i punkten e och f på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behand lingen (se SOU 1999:109 s. 156 och 1998:80 s. 221 f.). Om inte ändamålet har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller om för många personuppgifler behandlas. Kan man inte avgöra vilka personuppgifter som behövs för att ändamålet ska kunna uppfjl1as, torde ändamålet inte vara särskilt utan all mänt. Vetenskapsrådet har vidare i en rapport angett att det enligt utredningens mening inte är möjligt att bygga en databasinfiastruktur med personuppgif ter som inte är känsliga i personuppgiftsiagens mening. Man har angett att genom de krav som ställs på preciseringar av innehållet och ändamålet med personuppgiftsbehandlingen och de bedömningar som ska göras framgår det att det finns förutsättningar i såväl personuppgiftsiagen som i etikprövningslagen som innebär svårigheter att konstruera en databasinfra struktur för forskning som innefattar personuppgifter för generella Sida 9 9987-12 FÖRVALTNINGSRÄTTEN 1 STOCKHOLM Allmänna avdelningen DOM forskningsändamål (Vetenskapsrådets rapport “Rättsliga förutsättningar för en databasinfrastruktur för forskning”, Vetenskapsrådets rapportserie 11:2010). Förvaltningsrätten kan inte finna annat än att handlingarna i målet visar att syftet med SND:s behandling av personuppgifter är att möjliggöra framtida forskning. Detta ändamål kan inte anses vara tillräckligt specificerat för att kravet i 9 § f&sta stycket c PuL ska anses vara uppfyllt. 1 och med att detta krav inte är uppfyllt saknas skäl att gå in på bedömningen av om övriga förutsättningar i 9 § PuL är uppfyllda. Förvaltningsrättens uppfattning är således, liksom Datainspektionens, att universitetets personuppgiftsbe handling inom ramen för SND är otillåten. Överklagandet ska avslås. HUR MAN ÖVERKLAGAR Detta avgörande kan överklagas. Inforniation om hur man överklagar finns i bilaga2. (DV 3109/la) Ann-Jean#tte Eriksson Rådman! 1 avgörandet har även nämndemännen Ulf Karlsson, Ebba Krumlinde och Marita SöreDord deltagit. Föredragande var fdrvaltningsrättsfiskalen Anna Nordström. Sida 10 9987-12 Datum Diarieur 2012-04-18 Sn-zou BILAGA Universitetsstyrelsen Göteborgs universitet Boxioo 40530 GÖTEBORG - - Tifisyn enligt personuppgiftsiagen (1998:204) av Göteborgs universitet (Svensic nationell datatjänst) - Datainspektionens beslut Datainspektionen konstaterar att styrelsen för Göteborgs universitet (härefter: Göteborgs universitet) är personuppgiftsansvarig för den personuppgiftsbehandling som utfbrs inom ramen för Svensk nationell datatjänst samt att Göteborgs universitet salmar rättsligt stöd för behandlingen. Datainspektionen förelägger därför Göteborgs universitet att upphöra med insamling och övrig behandling av personuppgifter i material insamlat inom ramen för Svensk nationell datatjänst. Redogörelse för tillsynsärendet Den 3’ augusti 2011 inspekterade Datainspektionen personuppgiftsbehandlingen inom ramen för Svensk naffone’lI datatjänst vid Göteborgs universitet (SND): Syftet med inspektionen var att kont±ollera vilka personuppgifter som behandlas och hur pemsonuppgifter behandlas vid SND. Ärendet kcimpletterades efter föreläggande den 30 mars 2012 med en listapå alla som levererat material till SND, den nyligen framtagna mallen för avtal med de som lämnar in material till SND och eempel på tidigare avtal som ingåtts med de som lämnat in material till SND. Vid inspektionen framkom bland annat följande SND:sverksarnhet finansieras avVetenskapsrådet och Göteborgs universitet. Uppdraget att bedriva verksamheten har Göteborgs universitet ansökt om i konkurrens och fått avVetenskapsrådet. SND ska tillhandahålla material för - Postadress: Box 8114, 104 20 Stockholm Besöksadress: Drottninggatan 29, plan 5 Webbplats: wwwdatainspekticnen.se E-post: [email protected] Te!efon: 08-657 61 00 Telefax: 08-652 86 52 forskning och vara ett stöd ftSr forskare genom att underlätta deras tillgång till data. SND samlar in, bearbetar och tillgängliggör material från forskningsprojekt. Det är i dagsläget frivilligt att lämna in material till SND. SND lämnar ingen information till de personer vars personuppgifter finns i material som lämnas in till SNU Inté heller inhämtar man samtycke från de registrerade eller ansöker om etikgodkännande. Det finns personuppgifter, både känsliga och inte känsliga, i en di av det material som skickas till SND. Personuppgifterna i det material som SND får in är oftast kodade, ibland finns nyckeln kvar hos avsändaren och ibland skickas nyckeln med. SDN gör om i lämnat material till en form som gör att det går att spara och återanvända. SND tar emot materialet, bearbetar det, listar det och bevarar det. SND bevarar materialet för att det ska kunna användas f?ir ny forskning, nu eller senare. Hos SND utförs en rad bearbemingar av data som lämnats in, bl.a. genom att metadata skapas och ordnas. SND bevarar, efter att ha bearbetat inläxnnat material, materialet för all framtid. Ursprungsmaterialet arldveras hos avsändaren. Göteborgs universitet anser sig vara personuppgiftsbiträde och menar att personuppgiftsansvaret för hantering avpersqnuppgifter hos SNI) i material som lämnats in kvarstår hos den som lämnat in materialet. Göteborgs universitet är dock öppet för att det kan anses vara personiippgiftsansvarigt, i alla fall för vissa personuppgiftsbehandlingar i insamlat material. Göteborgs universitet anser sig vara teknisk bearbetare i trycld’rihetsförordningens mening och anser att vid en förfrågan om utlämnande så är det den som lämnat in material som har att fatta ett avslagsbeslut om inte efterfrågat material lämnas ut från SND. Material kommer in till SND på fil via VIT, dropbox och e-post. Material skickas till SND utan att något avtal tecimats innan. Det fliins avtal som tecimats mellan SND och den som lämnat in material och i framtiden ska sådana avtal tecknas i enlighetrned en utarbetad avtalsmall. SND har material från några företag där SND köpt materialet av företagen ifråga. Materialet har köpts in för att kunna spridas för forskning. SDN vet inte om det finns personuppgifter i detta material men tror inte att det gör det. Vetenskapsrådet har inte varit med och tagit fram de detaljerade rikdipjerna för SND:s uppdrag eller utarbetande av mallavtalet. Det ligger i SND:s Sida 2 av 6 uppdrag att sköta detta. SND:s verksamhet ska nu utvärderas inför nästa 5-4rs period. Vetenskapsrådet och Göteborgs universitet har tecimat ett 5-årigt kontrakt rörande SNU :s verksamhet. Skäl för beslutet Personuppgzfter som behandlas 3 § PuL som all slags information som direkt En personuppgift definieras i eller indirekt kan hänföras till en fysisk person som är i liveL Krypterade uppgifter omffittas sMedesav lagen så länge någon kan göra uppgifterna läsbara och därmed identifiera individer. Också sådana i sig anonyma uppgifter som gör det möjligt med s.k. balcvägsidentiflkadon av en fysisk person omfattas (SOU 1997:39 5. 338). Även kodade uppgifter hos SNU är alltså personuppgifrer (oavsett om nyckeln finns hos SNU eller hos den som skickade in materialet) och detsamma gäller fr material där det finns så många variabler rörande en registrerad att det är möjligt att identifiera den registrerade genom dessa s.k. bakvägsidentiflering. Person uppgftsansvaret Rättsregler mm Personuppgiftsansvarig är enligt 3 § PuL den som ensam eller tillsammans med andra bestämmer ändamilen med och medlen för behandlingen av personuppgifter, och personuppgiftsbiträde är den som behandlar personuppgifter för den personiippgiftsansvariges räkning. Datainspektionen har tidigare närmare uttalat sig om vad personuppgiftsansvaret innebär (beslut 2010-07-02, din 686-2010): ‘Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varflir behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de télmiska och organiatoriska medlen för behandlingen, dvs. “hur” behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgifter ska raderas.” Olika avtalskoristruktioner där personuppgiftsansvaret preciseras kan beaktas vid bedömningen men det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs, vem eller vilka som faktiskt har bestämt över behandlingen, se s. 92 f, Personuppg jftslagen En kommentar, Öman och Li±idblom, uppl. 20il. — Vidare får étt personuppgiftsbiträde endast behandla uppgifter i enlighet med instruktioner från den personuppgiftsansvarige, se 3° § i st PuL. Av 31 § 2 st Sida 3 av 6 • PuL framgår att det i personuppgiftsbiträdesavtalet ska framgå att persönuppgifisbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvariga och att personuppgiftsbiträdet är skyldig aLt vidta de åtgärder som avses i 3 § PuL. Datainspektionens bedömninc Det är Vetenskapsrådet som initierat SND och som tillsammans med Göteborgs universitet finansierar utförandet av uppdraget. Uppdraget utförs därefter självständigt av Göteborgs universitet. SND tar emot materialet, bestämmer om och hur materialet ska bearbetas, listar det och bevrar det för att det ska kunna användas får nyforslming, nu eller senare. Det är spridning av materialet som är det främsta syftet och det syftet har bestämts av SND. Den som lämnar in materialet betalar inteför SND:s bearbetaing eller för bevarandét av materialet. När det galler att lämna ut uppgifter tf11 tredje man ber SND i vissa fall den som lämnat in materialet om tillstånd att lämna ut materialet om inte detta reglerats i avtal mellan SND och den som lämnat in materialet. - 1 de exempel på avtal som lämnats in av SND framgår inte att SND:s hantering av personuppgifter är begränsad till att endast ske efter instruktion av den som lamnat m matenalet Det framgar heller inte att SND ar skyldig att vidta åtgärder enligt 31 § PuL; Avtainn visar inte på a& Göteborgs universitet endast är att betrakta som personuppgiftsbiträde. Enligt Datainspektionens mening innebär dessa exemp?l på avtal inte att SND:s möjlighet att behandla personuppgifter inslcränks till att endast omfatta att behandla uppgifterna för annans räkning i • enlighet med instruktioner från dem som lämnat in material till SND. De omständigheterna att materialet i vissa fall enligt avtal inte lämnas ut till tredje man om inte forskningshuvudmannen som lämnat in materialet godkänner det och att SND enligt avtal inte har arkivansvar eller immateriella rättigheter, medför enligt Datainspektionens mening inte att Göteborgs universitets hantering av personuppgifter i inlämnat material sker för annans räkning och utförs på uppdrag av den som lämnat in materialet. - Vidare framgår av omständigheterna i ärendet att det i praktiken är Göteborgs universitet som bestämmer över ändamålen och medlen för behandlingen. Sammanfatmi±gsvis aiiser Datainspektionen därför att Göteborgs universitet måste betraictas som personuppgiftsansvarig för den behandling avuppgifter som görs hos SND. Sida 4 av 6 Den som lamnar in matenalet till SND är ansvarig for sin behandling av personuppgifter i materialet mnan överlämnandet och for utlärnnandet till SND och den som får material från SND är ansvarig för sin behandling av materialet då det lamnats ut. Personuppgzftshehand1ingens6renhghet med PuL Enligt 9 § PuL får personuppgifrer bara samlas in för sarsidida, uttryckligt angivna och berättigade ändamål. Andamålen måste enligt forarbetena till PuL uppges redan när behandlingen påbörjas och får inte vara för allmant hållna (se prop. i997/98.44 s. zz f). Exakt hur detaljerade ändamålen måste vara framgår inte av PuL. Det får i avsaknad av narmare föreskrifter avgoras från fall till fMl. Ett annat grundinggande krav enligt 9 § PuL ar att personuppgifter som behandlas ska vara adekvata och relevanta i forhållandet till andamålet med behandlingen och att inte fler uppgifter behandlas an som är nodvandigt med hansyn till andamålen For att denna bedömning ska kunna goras krävs att andainålet har en viss grad av precision. En liknande tolkning av 9 § Pul. gors i Vetenskapsrådets rapport “Rättsliga forutsattningar for en databasinfrastruktur’ (Vetenskapsrådets rapportserie n:2oio), där det på 5. 52 uttalas foljande. “Genom de krav som ställs på preciseringar av innehållet och åndamålen med personuppgiftsbehandlingar och de bedomningar som ska göras enligt ovan framgår det att det finns forutsattningar i såval personuppgiftsiagen som etikprovningslagen som innebär svårigheter att konstruera en databasinfrastrulctur för forskning som innefattar personuppgifter för generella forslaiingsandamål.” Vidare sägs på sidan 114 i rapporten: “En databasinfrastruktur för forskning bygger på massuttag för obestarnda syften, vilket står i strid med nuvarande lagstiftaings utformning till skydd för den personliga integriteten.” 1 SND.s fall ar andamålet framtida forskning där insamlade personuppgifter ska kunna anvandas for allt som ryms inom detta ändamål. Enligt Datainspelctionens bedomning är detta ett allt för opreciserat ändamål for att uppfylla kraven i 9 § PuL. Den behandling avpersonuppgifter som sker inom ramen för SND är således enligt Datainspektionens mening inte forenlig med § PuL, vilket innebär att den är otillåten. Det innebär att Göteborgs universitet måste upphöra med insamling och övrig behandling avpersonuppgifter i material insamlat inom ramen for SND. Sida 5 av 6 Skulle kravet på preciserat ändamål vara uppfyllt måste behandlingen av personuppgifrer sedan ha en laglig grund i PuL eller annan la eller förordning. Behandling av personuppgifrer för forsimingsändarnål som inte innefattar känsliga personuppgifter får ske med stöd av samtycke. Personuppgiftsbehandling inom sådana forskningsprojekt får också genornftSras om den är tillåten enligt någon annan grund i io § PuL. När känsliga personuppgifier behandlas f6r forslailngsändamål krävs att det sker med stöd av ett utttyckllgt samtycke eller att en eiikprövningsnämnd har tagit ställning till och godkänt att behandlingen får genomföras utan samtycke. Datainspektionen kan inte se att något av undantagen för att behandla känsliga personuppgifter i PuL är aktuellt för den personuppgiftsbehandling som sker inom ramen för SND. Hur man överklagas Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen villcet beslut som överklagas och den ändring som ni begän Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspekfionen inte själv ändrar beslutet på det sätt ni har begärt. - Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Erik Janzonoch juristen Victoria Söderqvist, föredragande. / Göran rlund Kopia till: i. Hans Jörgen Marker, Svensk nationell datatjänst, Gegerfeltska villan, Box 300, 40530 Göteborg 2. Personuppgiftsombudet Kristina tJllgren, Boxioo, 40530 Göteborg Sida 6 av 6 SVERIGES DoMs’roln Bilaga HUR MAN ÖVERKLAGAR PRÖVNINGSTILLSTÅND - Den som vill överklaga förvaltningsrättens beslut ska skriva till Kammarrätten i Stockholm Skrivelsen ska dock sldekas eller lämnas till förvaltningsrätten. För att kammanätten ska kunna ta upp Ert överklagande måste Er skrivelse ha kommit in till för valtningsrätten inom tre veckor från den dag då Ni fick del av domen/beslutet. Om beslutet har meddelats vid en rnunrlig förhandling, eller det vid en sidan förhandEng har angetts när beslutet kommer att meddelas, ska dock överklagaadet ha kommit in inom tre veckor fria den dag domsto lens beslut meddekdes. Om sista dagea för överklagande infailer pi lördag, söndag eller helgdag, nudsommarafton. julafton eller nyårsafton räcker det att besvärshandlingen kommer in nästa vardag. Om prövningstillstånd inte meddelas står förvalt ningsrättens beslut fast. Det är därför viktigt att det klart och tydligt framgår av överklagandet till k,rnrnnrätten varför man anser att prövningstll stånd bör meddelas. Skriveken med överklagande ska innehålla 1. — Om klaganden är en part som företräder det allrnänna, ska överklagandet alltid ha kommit in inom tre veckor från den dag beslut meddelades. - För att ett överklagande ska kunna tas upp i kam marrätren fordras att prövvingstillstånd medde— las. Karnmanätten lämnar prövningstillstånd om 1. EJ 2. 0 E0 0 Et 3. fl EJ u 0 0 det finns anledning att betvivla riktigheten av det slut som förvaltningsrätten har kommit till, det inte utan att sådant tillstånd meddelas att bedöma riktigheten av det slut som förvaltningsrätten har kommit till, det är av vikt för ledning av rättstillämp ningen att överklagandet prövas av högre rätt, eller 2. den dom/beslut som överklagas med uppgift om förvaltningsrättens namn, målnummer samt dagen för beslutet, 3. de skäl som kiaza den anger till stöd för en begäran om prövningstillstånd, 4. den ändring av förvakningsnmrtens dom/beslut som klaganden vill Pa till stånd, 5. de bevis som klaganden vill åberopa och vad han/hon vill styrka med varje särskilt bevis. Adressen till förvaltningsrätten framgår av do men/beslutet. 2 2, ‘0 9 4. FUagandens person-/organisadonsnummer, postrdress, e-postadress och telefonnummer till bostaden och mobiltelefon. Adress och te lefonnummer till klagandens arbetsplats ska också anges samt eventuell annan adress där klaganden kan nås för delgivning. Om dessa uppgifter har lämnats tidigare i målet och om de forifarande är aktuella —behöver de inte uppges igen. Om klaganden anlitar ombud, ska ombuders namn postadress, e—postadress, tele fonnummer till arbetsplatsen och mobiltele fonnummer anges. Om någon person- eller adressuppgift ändras, ska ändringen utan dröjsmål anrnälas till karotnarrätten. det annars flnns.synnerliga skäl att pröva överklagandet tE, 0 0; 0 fl 0 www.domstoLs
© Copyright 2024