Ny HD-dom om känsliga personuppgifter på webbsida

Ur Lov&Data nr 83 september 2005, s. 30-32.

Uppgifterna om att en namngiven person haft samarbetssvårigheter och därefter blivit sjukskriven har sedda tillsammans ansetts utgöra en uppgift om hälsa i personuppgiftslagens mening. Att publicera dessa uppgifter i ett brev på en webbsida utgjorde en överträdelse av förbudet att behandla känsliga personuppgifter som inte kunde anses vara ringa<

(NJA 2005 s 361, Högsta domstolens dom den 26 maj 2005, mål nr B 3042-03).

Inledning

I svensk rätt finns ingen generell straffsanktionerad regel som förbjuder kränkning av den personliga integriteten. När det gäller kränkningar som sker genom att uppgifter om en identifierbar person kommuniceras till andra personer kan förtalsbrottet ge ett visst skydd. Förtalsbrottet skyddar emellertid inte mot att varje uppgift av privat eller känslig natur kommuniceras utan en persons samtycke. Uppgiftens karaktär skall vara sådan att den är ägnad att utsätta personen för andras missaktning. Förtalsbrottet är vidare i sig utformat så att en avvägning i varje fall skall göras mellan integritetsintresset och yttrandefrihetsintresset. Är det med hänsyn till uppgifterna försvarligt att lämna uppgifterna och om dessa antingen är sanna eller det fanns skälig grund för dem så är det inte fråga om straffbart förtal. Det finns en relativt omfattande praxis kring denna bedömning.

Om samma uppgifter kommuniceras i ett sådant medium att personuppgiftslagstiftningen blir tillämplig, t.ex. via Internet, kan integritetsskyddet bli starkare på bekostnad av yttrandefriheten. Personuppgiftslagstiftningen innebär som bekant att ett antal hanteringsregler måste följas för att behandlingen av personuppgifter skall vara tillåten. Vissa hanteringsregler, t.ex. förbudet mot att behandla s.k. känsliga personuppgifter utan samtycke från den som uppgifterna avser, är straffsanktionerade och kan därmed komma att fungera som ett generellt förbud mot att kommunicera vissa typer av privata eller känsliga uppgifter i en digital miljö. Inom personuppgiftslagstiftningen säkerställs skyddet för yttrandefriheten i första hand genom vissa undantagsregler som anger att personuppgiftslagens hanteringsprinciper inte skall tillämpas på viss behandling, t.ex. behandling som sker för uteslutande journalistiska ändamål. Yttrandefrihetsintresset kan emellertid även beaktas i samband med de avvägningar som görs vid tillämpningen av hanteringsreglerna och, som illustreras i den nedan refererade domen, vid bedömningen av om en överträdelse av lagen skall anses vara ringa och därmed straffri. Sammantaget innebär denna reglering en mer begränsad möjlighet att kommuniceras uppgifter om andra personer i en digital miljö.

Det aktuella målet gällde åtal för brott mot personuppgiftslagens förbud mot överföring av personuppgifter till tredje land samt förbud mot att behandla känsliga personuppgifter. Därutöver aktualiserades frågan om en eventuell överträdelse av lagen kunde anses som ringa och därmed straffri enligt 49 § andra stycket. Sedan processen i målet inleddes har EG-domstolen hunnit komma med sin dom i mål C-101/01 (se Lov&Data nr 77, s. 21–27) där dataskyddsdirektivets regler om bl.a. överföring till tredje land och behandling av känsliga personuppgifter tolkas. Den principiellt mest intressanta frågan i detta mål blev därför frågan om en eventuell överträdelse skulle betraktas som ringa. Ett justitieråd var också skiljaktig i denna fråga och förde ett principiellt intressant resonemang som anknyter till vad som sagts ovan om integritetsskyddet i olika tekniska miljöer och till diskussionen om ett missbruksinriktat skydd för personuppgifter som inte strukturerats för sökning och sammanställning (jfr förslagen i SOU 2004:6 som refererats i Lov&Data nr 78, s. 4).  

Bakgrund

Ordföranden för en stiftelse som driver en internatskola lät på skolans webbplats publicera ett brev som i första hand var riktat till föräldrar till barn på skolan. Brevet innehöll vissa uppgifter om en person som arbetat som s.k. husfar på skolan, bl.a. angavs att denna person på grund av samarbetssvårigheter med elever och föräldrar omplacerats till ett annat elevhem och att han sedan någon vecka tillbaka var sjukskriven. Uppgifterna var tillgängliga på webbplatsen i vart fall under en knapp månad.

Ordföranden åtalades enligt 49 § personuppgiftslagen (1998:204), dels för att överfört uppgifterna i strid med 33–35 §§ personuppgiftslagen och dels för att ha behandlat s.k. känsliga personuppgifter angående hälsa i strid med 13 § samma lag.

Högsta domstolens dom (majoriteten)

Domstolen konstaterade inledningsvis att personuppgiftslagen tillkommit till genomförandet av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) och att lagen i sina grundläggande delar skall tolkas och tillämpas i överensstämmelse med detta direktiv.

När det gällde frågan om överföring av personuppgifter till tredje land fann Högsta domstolen att inga omständigheter framförts som skulle göra att den aktuella publiceringen av personuppgifter på Internet inte omfattades av EG-domstolens tolkning i mål C-101/01. Denna tolkning innebar att det inte sker någon ”överföring av … uppgifter till tredje land” i den mening som avses i dataskyddsdirektivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida på Internet och den som tillhandahåller servertjänsten är etablerad i samma medlemsstat eller i en annan medlemsstat, oberoende av om uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Åtalet för otillåten överföring till tredje land ogillades därför.

Vad beträffade frågan om behandling av personuppgifter angående hälsa hänvisade Högsta domstolen återigen till EG-domstolens dom i mål C-101/01. I denna dom fastslog EG-domstolen att en uppgift om att en person skadat sin fot och var deltidssjukskriven utgjorde en personuppgift om hälsa i den mening som avsågs i artikel 8.1 i direktivet. Högsta domstolen ansåg att det för en läsare av det brev som var aktuellt i det förevarande målet rimligen måste ha framstått som om uppgiften om samarbetssvårigheterna hade ett samband med uppgiften om sjukskrivningen. Domstolen menade därför att uppgifterna måste bedömas tillsammans och att de sammantaget fick anses röra hälsa. Genom att lägga ut dessa uppgifter på en webbsida behandlades sålunda känsliga personuppgifter. Eftersom den registrerade först i efterhand lämnat sitt samtycke till publiceringen ansågs behandlingen ha skett i strid med 13 § personuppgiftslagen.

Högsta domstolen prövade därefter om överträdelsen av lagen skulle anses vara ringa och därmed straffri enligt 49 § andra stycket. Domstolen hänvisade inledningsvis till ett uttalande i författningskommentaren i propositionen (prop. 1999/2000:11 s. 21) där det angavs att denna bedömning får göras med hänsyn samtliga omständigheter i det enskilda fallet. Alla faktorer, såsom uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen orsakat, skall enligt propositionen vägas in vid bedömningen av om överträdelsen är att betrakta som ringa.

Domstolen framhöll att överträdelsen avsåg ett fåtal uppgifter och att syftet med publiceringen i första hand varit att tillgodose föräldrars berättigade intresse av information om barnens skola. Sammantaget har uppgifterna dock enligt domstolen inneburit en inte obetydlig integritetskränkning. Uppgifterna fanns tillgängliga på webbplatsen under nästan fyra veckors tid och de togs inte omedelbart bort på den registrerades begäran. Vid en samlad bedömning, som även sades innefatta en avvägning mellan yttrandefrihetens intresse och den enskildes intresse av skydd för privatlivet (jfr EG-domstolens ovan nämnda dom), fann domstolen att gärningen inte kunde anses vara ringa.

Den tilltalade dömdes till 40 dagsböter å 1000 kr för brott mot personuppgiftslagen.

Det skiljaktiga justitierådet

Justitierådet Victor var skiljaktig beträffande frågan om överträdelsen var att betrakta som ringa. Resonemang är av ett principiellt intresse för diskussionen om personuppgiftsskyddets utformning och funktion. Det citeras därför i sin helhet.

”Genom att publicera det aktuella brevet på skolans hemsida har [den tilltalade] spritt uppgifterna att [husfadern] haft samarbetssvårigheter och blivit sjukskriven. Det är i och för sig lätt att förstå att spridning av sådana uppgifter – oavsett i vilken form de sker – kan uppfattas som ett intrång i den personliga integriteten. För att förfarandet skall kunna föranleda straffansvar krävs emellertid härutöver att det finns klart stöd för detta i lag.

I motsats till många andra länder har Sverige inte någon generell lagstiftning som tar sikte på skyddet för den personliga integriteten. Däremot finns åtskilliga bestämmelser som kan sägas ge skydd för olika särskilda aspekter av den personliga integriteten (se närmare i t.ex. direktiven [dir. 2004:51] till den utredning om skyddet för den personliga integriteten som tillsattes år 2004). När det gäller spridning av uppgifter av det slag som är aktuella i detta mål torde det närmast vara straffbestämmelserna om förtal i brottsbalken och tryckfrihetsförordningen (jfr även 5 kap. 1 § yttrandefrihetsgrundlagen) som under vissa förutsättningar skulle kunna vara tillämpliga. Bestämmelserna om förtal gäller i princip oavsett i vilken form de uppgifter som åtalet avser har lämnats. Om förutsättningar i övrigt föreligger för detta skall alltså även förfaranden som omfattas av personuppgiftslagens tillämpningsområde bedömas som förtal helt oberoende av om förfarandet är eller inte är straffbart också enligt personuppgiftslagen. Det förtjänar i sammanhanget att nämnas att uppgifter om exempelvis samarbetssvårigheter inte i sig utgör känsliga personuppgifter i den mening som avses i 13 § personuppgiftslagen och att behandling av sådana uppgifter därför också faller utanför tillämpningsområdet för lagens straffbestämmelse även om förfarandet skulle framstå som djupt integritetskränkande.

I målet har inte påståtts att publiceringen av uppgifterna skulle stå i strid med någon annan lagstiftning utan ansvarspåståendet grundar sig helt på att fråga varit om sådan behandling av personuppgifter som faller under personuppgiftslagens tillämpningsområde. Frågan om förfarandet skall anses vara ett ringa fall skall enligt min mening under sådana förhållanden inte besvaras med utgångspunkt i en mer allmän bedömning av graden av integritetsintrång utan utifrån det särskilda skyddsintresse som ligger bakom lagen och dess straffbestämmelse (jfr näst sista stycket i Högsta domstolens domskäl i NJA 2001 s. 409).

Det finns i den delen anledning att betona att lagen, i likhet med det bakomliggande direktivet, primärt avser förandet av register som inte är av privat natur och hanteringen av sådana register. Det står också klart att registerhållning och registerhantering innefattar särskilda integritetsproblem, inte minst mot det för direktivet grundläggande syftet att garantera ett fritt flöde av personuppgifter mellan medlemsstaterna. Lagen, liksom direktivet, har emellertid inte begränsats till registerhantering utan omfattar därutöver även sådan behandling av personuppgifter som helt eller delvis är automatiserad. Att också sådan behandling omfattas hänger uppenbarligen samman med de möjligheter som den moderna tekniken ger till systematisk sökning även inom material som inte ordnats i registerform. Syftet med lagen måste anses vara att bereda skydd mot de särskilda former av integritetskränkning som just registerhållning och automatiserad personuppgiftsbehandling kan medföra.

Användningen av datorer och Internet, och därmed också den automatiserade personuppgiftsbehandlingen, har ökat alltmer i vårt samhälle. Till mycket stor del är det emellertid fråga om en användning där den digitala teknikens speciella möjligheter till strukturering och spridning av personuppgifter inte utnyttjas. Att så inte sker utesluter dock inte att personuppgiftslagen är tillämplig. Det särskilda skyddsintresse som straffbestämmelsen i lagen får anses ha gör sig dock i sådana sammanhang inte gällande.

I det i detta mål aktuella fallet är det fråga om ett par uppgifter i löpande text i ett brev. Uppgifterna har inte ingått i eller varit avsedda att ingå i en samling av personuppgifter som har strukturerats för att sammanställa eller underlätta sökning efter just personuppgifter. Enligt min mening måste under sådana förhållanden den överträdelse av bestämmelsen i 13 § som utläggningen på hemsidan utgjort anses vara ett sådant ringa fall som är undantaget från straffansvar. Åtalet skall därför ogillas även i denna del.”

Daniel Westman

Senast ändrad 2011-08-25