I början av februari kom en intressant dom mellan Verifiera AB (Verifiera) och Integritetsskyddsmyndigheten (IMY). Målet rörde huruvida Verifiera överträtt art. 9 i GDPR, som anger att behandling som avslöjar särskilda kategorier av personuppgifter ska vara förbjuden.
Bakgrunden till målet är att Verifiera bedriver en verksamhet där de erbjuder en tjänst som gör det möjligt för användare att söka på personnamn, personnummer eller adress i syfte att få ta del av avgöranden som rör lagen om psykiatrisk tvångsvård (LPT) eller lagen om vård av missbrukare i vissa fall (LVM), som gäller den eftersökte personen. Detta ledde till att IMY beslutade att ge Verifiera en reprimand för överträdelser av art. 9 i GDPR samt att Verifiera skulle ta bort sökfunktionen. Verifiera överklagade IMY:s beslut till förvaltningsrätten.
Frågorna förvaltningsrätten tog ställning till var om det utgivningsbevis som Verifiera hade innebar att bolaget inte omfattades av art. 9 i GDPR, om undantaget för behandling för journalistiska ändamål var tillämpligt samt om Verifieras behandling av personuppgifter stred mot art. 9 i GDPR.
Det var bevisat att Verifiera hade utgivningsbevis och således omfattades av grundlagsskydd. Förvaltningsrätten konstaterade dock att det finns ett undantag om förbud av offentliggörande av vissa så kallade känsliga personuppgifter, bland annat uppgifter om hälsa. Rätten kom fram till att eftersom verksamheten rörde uppgifter om psykiatrisk tvångsvård och vård av missbrukare föll detta under undantaget från grundlagsskydd.
Förvaltningsrätten konstaterade att Verifieras verksamhet fortfarande kunde vara tillåten om behandlingen av personuppgifterna var för journalistiska ändamål, vilket rätten inte ansåg. Detta då Verifieras affärsidé var att tillhandahålla bakgrundkontroller för rekryterare. Rätten ansåg inte att det var verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten – som journalistiskt arbete typiskt sett karaktäriseras av.
Förvaltningsrätten konstaterade slutligen att Verifieras behandling var avslöjande av uppgifter om hälsa och således skulle vara förbjuden i enlighet med art. 9 i GDPR. Detta eftersom Verifieras tjänst sammanställde uppgifter om att individer förekom i LPT- och LVM-mål, vilket åtminstone indirekt avslöjar något om en enskilds psykiska hälsa som typiskt sett är väldigt integritetskänslig. Verifieras offentliggörande av uppgiftssamlingen bedömdes därför innebära särskilda risker för otillbörliga ingrepp i enskildas personliga integritet.
Avgörandet visar att utgivningsbevis inte är tillräckligt som skydd vid offentliggörande av vissa så kallade känsliga uppgifter, bland annat uppgifter om hälsa. Det krävs att behandlingen av sådana känsliga uppgifter har journalistiska ändamål för att det ska anses vara tillåtet.
Avgörandet har överklagats till kammarrätten. För djupare läsning hänvisas till förvaltningsrätten i Stockholms dom i mål 19538–22.
Katarina Ladenfors
Advokat/Partner, Advokatfirman MarLaw
