Integritetsskyddsmyndigheten (IMY) fick in klagomål beträffande Verifiera AB:s tjänster. IMY inledde därefter på eget initiativ tillsyn mot Verifiera mot bakgrund av den beskrivning av sina tjänster som bolaget har lämnat på sin webbplats www.verifiera.se. Granskningen fick många att höja på ögonbrynen eftersom det plötsligt stod klart för branschen att utgivningsbevis inte är ett frikort för publicering av känsliga personuppgifter.
Enligt 1 kap. 20 § första stycket 2 YGL hindrar dock inte bestämmelserna i YGL att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter om bland annat hälsa.
Syftet med tillsynen var att utreda om Verifiera genom tillhandahållandet av tjänsterna:
• offentliggör känsliga personuppgifter på ett sådant sätt som avses i 1 kap. 20 § YGL,
• behandlar personuppgifter på ett sätt som är förenligt med principerna om laglighet, korrekthet, öppenhet, ändamålsbegränsning och uppgiftsminimering (artikel 5 i dataskyddsförordningen),
• har stöd i någon rättslig grund för personuppgiftsbehandlingen (artikel 6 i dataskyddsförordningen), och
• behandlar uppgifter om hälsa, det vill säga känsliga personuppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen, och i så fall om något av undantagen i artikel 9.2 i dataskyddsförordningen från förbudet mot behandling av sådana uppgifter är tillämpligt.
Verifiera skrev i sitt yttrande till myndigheten att ”Av grundlagen följer att GDPR inte ska tillämpas på verksamheter som omfattas av yttrandefrihetsgrundlagen. Även utanför yttrandefrihetsgrundlagens område undantas GDPR genom de allmänna undantagen för journalistiska ändamål samt motivuttalanden om vikten av rätten till yttrandefrihet i ett demokratiskt samhälle”. IMY:s tillsyn ansågs innebära ”en överträdelse av myndighetens befogenhet och behörighet”.
Den första frågan som IMY hade att ta ställning till var således om bestämmelserna i dataskyddsförordningen utgör sådana föreskrifter om förbud meddelade i lag som avses i 1 kap. 20 § YGL.
IMY kom fram till att dataskyddsförordningen ska tillämpas i de fall förutsättningarna i 1 kap. 20 § YGL är uppfyllda. Med andra ord är undantagsbestämmelsen i 1 kap. 7 § första stycket dataskyddslagen inte tillämplig på sådan behandling eftersom en tillämpning av dataskyddsförordningen inte skulle strida mot YGL.
IMY konstaterade att den uppgiftssamling som Verifiera tillhandahåller är resultatet av en omfattande insamling av rättsliga avgöranden i psykiatrimål och LVM-mål som innehåller mycket integritetskänslig information. Insamlingen sker utan bedömning av vilken relevans det enskilda avgörandet har för t.ex. den allmänna debatten eller granskande journalistik. Resultatet är en uppgiftssamling över alla som sedan år 2008 varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk.
Det framgår vidare av utredningen att syftet med uppgiftssamlingen bland annat är att tillhandahålla bakgrundskontroller vid till exempel rekryteringar. Behandling av de aktuella uppgifterna om hälsa i sådana sammanhang kan leda till kännbara konsekvenser för de registrerade.
Av Verifieras egna uppgifter framgår att uppgiftsamlingen har strukturerats på så sätt att det vid personsökning finns särskilda sökfält för namn, personnummer, ort, adress och fritext och att sökresultat visas i realtid. Det har vidare inte framkommit att Verifiera vidtagit några åtgärder för att exkludera eller begränsa möjligheten att söka på uppgifter som direkt kan hänföras till en fysisk person, såsom namn eller personnummer. Det har inte heller framkommit att Verifiera tagit bort eller maskerat sådana uppgifter i dokumenten.
Denna del av uppgiftssamlingen har således, slår myndigheten fast, inte skydd enligt YGL, vilket innebär att undantaget i 1 kap. 7 § första stycket dataskyddslagen inte är tillämpligt på behandlingen.
Nästa fråga som IMY hade att bedöma är om undantaget för journalistiska ändamål i 1 kap. 7 § andra stycket dataskyddslagen är tillämpligt på behandlingen. Verifiera uppger att man är en nyhetsbyrå avseende bland annat research och bakgrundskontromen men IMY konstaterade att det förhållandet att en hemsida innehåller vissa publiceringar med ett journalistiskt ändamål inte innebär att alla publiceringar på den hemsidan ska anses ha ett journalistiskt ändamål. Att det i anslutning till en uppgiftssamling med rättsliga avgöranden förekommer fristående artiklar och rättsliga analyser innebär således inte per automatik att hela uppgiftssamlingen har ett journalistiskt ändamål. Det bör krävas att kopplingen mellan personuppgifterna och det redaktionella inslaget framstår som tydlig och relevant för att undantaget för journalistisk verksamhet ska kunna åberopas. Det har i ärendet inte framkommit att det finns ett redaktionellt innehåll med en tydlig och relevant koppling till den i ärendet aktuella delen av uppgiftssamlingen med avgöranden i psykiatrimål och LVM-mål.
IMY gjorde sammanfattningsvis bedömningen att Verifieras publicering av avgöranden i de aktuella måltyperna inte omfattas av undantaget i 1 kap. 7 § andra stycket dataskyddslagen.
Då det inte framkommit något som talar för att något annat undantag i artikel 9.2 är tillämpligt fann IMY att Verifiera under perioden den 6 april 2022-28 juni 2022 har behandlat känsliga personuppgifter (uppgifter om hälsa) i strid med artikel 9 i dataskyddsförordningen i sina tjänster på www.verifiera.se.
När det gäller val av ingripande upprepade myndigheten att Verifiera under den relevanta perioden har utfört en omfattande insamling av känsliga personuppgifter om en stor mängd personer i tjänsterna genom Integritetsskyddsmyndigheten att offentliggöra bland annat 210 000 avgöranden från förvaltningsrätterna, varav cirka 193 000 utgör psykiatrimål och cirka 18 000 utgör LVM-mål. Målen innehåller mycket integritetskänslig information beträffande personer som är eller har varit i en mycket utsatt situation. Resultatet är en uppgiftssamling över alla som sedan år 2008 varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk. Av utredningen framgår vidare att syftet med uppgiftssamlingen bland annat är att tillhandahålla bakgrundskontroller vid rekryteringar. Behandling av de aktuella uppgifterna om hälsa i sådana sammanhang kan leda till kännbara konsekvenser för de registrerade, till exempel i form av minskade möjligheter att bli aktuell för en anställning och utanförskap. Enligt IMY är den överträdelse av artikel 9 som konstaterats i detta beslut därmed av sådan omfattning och allvarlighetsgrad att den normalt sett skulle föranleda en kännbar sanktionsavgift.
I detta tillsynsärende finns dock särskilda omständigheter som talar mot en sanktionsavgift. Det är fråga om behandling av personuppgifter på en webbplats som har ett utgivningsbevis och som utgångspunkt har grundlagsskydd enligt mediegrundlagarna bland annat. Sammantaget innebar detta enligt IMY:s bedömning att det inte vore proportionerligt att påföra Verifiera en sanktionsavgift för de konstaterade överträdelserna i det nu aktuella ärendet. Verifiera AB skulle därför, med stöd av artikel 58.2 b i dataskyddsförordningen, i stället ges en reprimand för den konstaterade överträdelsen.
Offentliggörandet av de känsliga personuppgifterna innebär dock, menar IMY, ett allvarligt integritetsintrång för de berörda personerna. IMY bedömde därför att det fanns skäl att förelägga Verifiera enligt artikel 58.2 d i dataskyddsförordningen att vidta åtgärder så att det i de tjänster som Verifiera erbjuder på www.verifiera.se inte längre är möjligt för användare av tjänsterna att vid sökning på personer med någon av sökparametrarna personnamn, personnummer eller adress ta del av avgöranden i mål enligt lagen om psykiatrisk tvångsvård eller lagen om vård av missbrukare i vissa fall som gäller den eftersökta personen. Åtgärderna ska ha vidtagits senast åtta veckor efter att detta beslut vunnit laga kraft.
Nu delar Förvaltningsrätten i Stockholm IMY:s bedömning. Verifiera menade bland annat att undantagsbestämmelsen i 1 kap. 20 § YGL som infördes i januari 2019 inte ska tillämpas retroaktivt. Delegationsbestämmelsen i 1 kap. 20 § YGL har inte föranlett någon lagstiftning över huvud taget. Det har inte heller i propositionen angetts att dataskyddsförordningen skulle vara en sådan lag som kunde begränsa yttrandefriheten i Sverige. Delegationsbestämmelsen kan inte tillämpas retroaktivt på lagstiftning som redan existerade när bestämmelsen tillkom.
Förvaltningsrätten framhåller dock att det inte framgår av ordalydelsen i 1 kap. 20 § YGL huruvida bestämmelsen enbart tar sikte på lagstiftning som tillkommit efter det att bestämmelsen infördes i YGL, eller om den tvärtom kan avse både redan existerande och senare tillkommen lagstiftning. Kammarrätten i Stockholm har dock uttalat att bestämmelsen omfattar även redan befintlig nationell eller EU-rättslig lagstiftning. Det innebär, enligt kammarrättens dom, att i de fall bestämmelsen är tillämplig gäller personuppgiftsregleringen ibland annat dataskyddsförordningen för behandling av vissa så kallade känsliga personuppgifter (se Kammarrätten i Stockholms dom den 12 februari 2021 i mål nr 8142-20).
Att undantagsbestämmelsen i 1 kap. 20 § YGL omfattar även redan befintlig lagstiftning får enligt förvaltningsrätten stöd även av förarbetena till bestämmelsen. I förarbetena anges nämligen att syftet med bestämmelsen är att medge reglering i och tillämpning av lag om förbud mot offentliggörande av vissa personuppgifter (prop. 2017/18:49 s. 147 och 154). Enligt förvaltningsrätten talar detta för att avsikten vid införandet av bestämmelsen var att den inte bara skulle ge lagstiftaren möjlighet att framöver lagstifta mot integritetskänsliga uppgiftssamlingar, utan även att medge tillämpning av redan existerande sådan lagstiftning. Vidare framgår av samma förarbeten att uttrycket lag även omfattar direkt tillämplig EU-rättsakt (prop. 2017/18:49 s. 154).
Förvaltningsrätten anser mot den bakgrunden att dataskyddsförordningens bestämmelser kan utgöra sådana föreskrifter om förbud som avses i 1 kap. 20 YGL, utan hinder av att de redan existerade när bestämmelsen infördes i YGL.
Nästa fråga är om undantaget för behandling för journalistiska ändamål är tillämpligt. EU-domstolen har slagit fast att begreppet journalistik ska tolkas i vid mening. Med journalistisk verksamhet avses enligt EU-domstolen sådan verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten, oberoende av genom vilket medium detta sker.
Verifiera AB har hos IMY beskrivit att bolaget är en nyhetsbyrå avseende research och bakgrundskontroll. Bolaget tillhandahåller bland annat en funktion som möjliggör för bolagets kunder att erhålla bakgrundskontrollrapporter rörande personer avseende eventuella pågående eller tidigare rättsliga tvister.
Förvaltningsrätten ifrågasätter inte att delar av Verifiera AB:s verksamhet utgörs av journalistisk verksamhet. Enligt förvaltningsrätten kan däremot en funktion för bakgrundskontroller för rekryterare inte anses utgöra verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten.
Förvaltningsrätten anser därför att den behandling av personuppgifter som sker vid tillhandahållande av den tjänsten inte sker för journalistiska ändamål. Det har enligt förvaltningsrätten inte kommit fram att bolagets tillhandahållande av sökmöjligheter för att ta del av avgöranden i LVM- eller LPT-mål i något annat avseende utgör journalistisk verksamhet. Det finns därför inte något hinder med stöd av 1 kap. 7 § andra stycket dataskyddslagen att tillämpa artikel 9 i dataskyddsförordningen på den delen av bolagets verksamhet.
Nästa fråga som förvaltningsrätten har att ta ställning till är om Verifiera AB har behandlat sådana personuppgifter som anges i 1 kap. 20 § YGL på ett sådant sätt som anges i bestämmelsen och om bolaget därför har agerat i strid med artikel 9 i dataskyddsförordningen.
I artikel 9 i dataskyddsförordningen anges att behandling av personuppgifter som avslöjar uppgifter om hälsa ska vara förbjuden. Enligt förvaltningsrätten är uppgiften att någon har varit föremål för tvångsvård, på grund av hans eller hennes psykiska hälsa eller beroendeproblematik, en mycket integritetskänslig uppgift. Förvaltningsrätten anser därför i likhet med IMY att den uppgiftssamling som Verifiera AB tillhandahåller innehåller mycket integritetskänslig information.
Vidare har uppgiftssamlingen strukturerats på ett sådant sätt att det går att söka på personuppgifter för att få uppgifter om enskilda som har varit föremål för sådan tvångsvård. Förvaltningsrätten bedömer därför att Verifiera AB:s offentliggörande av uppgiftssamlingen innebär särskilda risker för otillbörliga ingrepp i enskildas personliga integritet.
Förvaltningsrätten anser mot den bakgrunden att Verifiera AB tillhandahåller en sådan uppgiftssamling som avses i 1 kap. 20 § YGL. Verifiera AB:s tillhandahållande av uppgiftssamlingen innebär att bolaget behandlar uppgifter om enskildas hälsa. Behandlingen strider därmed mot artikel 9 i dataskyddsförordningen.
Verifiera AB anser att IMY inte haft fog för att ingripa mot Verifiera AB och för fram att IMY:s beslut är oförutsebart, orimligt och saknar all form av rättssäkerhet. Myndighetsutövning som innebär ingripande mot enskilda måste vara förutsebar. Det är därför anmärkningsvärt att IMY har beslutat om sanktion för någonting som myndigheten under relevant tidsperiod har uppgett varit tillåtet. Följderna av IMY:s beslut går inte att överblicka och rättsläget kommer vara högst oklart.
Förvaltningsrätten anser dock att Verifiera AB har genom tillhandahållande av en sådan uppgiftssamling som avses i 1 kap. 20 § YGL behandlat uppgifter om enskildas hälsa på ett sätt som strider mot dataskyddsförordningen. Förvaltningsrätten anser därför att IMY har haft fog för att ingripa mot bolaget.
Förvaltningsrätten konstaterar vidare att Verifiera AB har behandlat en stor mängd känsliga personuppgifter med risk för otillbörliga ingrepp i enskildas personliga integritet. Förvaltningsrätten anser att det är fråga om en allvarlig överträdelse av dataskyddsförordningen. I likhet med IMY anser dock förvaltningsrätten att det finns särskilda skäl som talar emot sanktionsavgift.
Däremot finns det enligt förvaltningsrätten inte skäl för att helt underlåta att ingripa mot bolaget. Förvaltningsrätten anser därför att IMY har haft fog för att ge Verifiera AB en reprimand.
Förvaltningsrätten instämmer vidare i IMY:s bedömning att det är angeläget att säkerställa att Verifiera AB:s behandling av personuppgifter i strid med dataskyddsförordningen upphör och att det därför finns skäl att rikta ett föreläggande mot bolaget i enlighet med det överklagade beslutet.
Enligt förvaltningsrätten är uppgiften att någon förekommer i ett avgörande enligt LPT eller LVM i sig en känslig uppgift. Det som Verifiera AB för fram om att föreläggandet är för generellt och omfattar LPT- och LVM-domar som inte innehåller några känsliga uppgifter medför därför inte skäl att ändra eller upphäva det av IMY beslutade föreläggandet. Överklagandet ska mot den bakgrunden avslås.