Skadestånd med anledning av Kriminalvårdsstyrelsens behandling av känsliga personuppgifter
Justitiekanslerns beslut
Justitiekanslern tillerkänner TS skadestånd med 15 000 kr jämte ränta enligt 6 § räntelagen fr.o.m. den 17 juli 2004 till dess betalning sker och uppdrar åt Kriminalvårdsstyrelsen att ombesörja att beloppet betalas ut till honom.
Ärendet
Bakgrund
Kriminalvårdsstyrelsen (KVS) har på sitt intranät, KrimNet, publicerat en dom som Arbetsdomstolen har meddelat i en tvist mellan KVS och en anställd, TS. Domen gjordes tillgänglig i fulltext på intranätet och innehåller bl.a. uppgifter om TS:s hälsa. TS:s namn hade i den dom som gjorts tillgänglig förkortats till initialerna.
TS anmälde publiceringen till Datainspektionen som konstaterade i ett beslut den 2 juni 2004 (dnr 2241-2003) att KVS behandlat känsliga personuppgifter i strid med bestämmelserna i personuppgiftslagen (1998:204) - PuL. Datainspektionen anger i beslutet bl.a. följande.
"Personuppgift eller inte
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en person som är i livet (3 § personuppgiftslagen).
Det är enligt lagen tillräckligt att informationen indirekt kan hänföras till en enskild person. Även om namnet på den enskilda arbetstagaren inte nämns i klartext i domen går det att med hjälp av andra uppgifter, exempelvis målnumret, i domen att få reda på vilken person det är fråga om. Det krävs inte att den personuppgiftsansvarige, det vill säga Kriminalvårdsstyrelsen, förfogar över alla uppgifter som gör det möjligt att identifiera personen ifråga. Även i sig anonyma uppgifter som kan knytas till en person genom så kallad bakvägsidentifikation utgör personuppgifter. Om uppgifterna hänförs till en så begränsad grupp personer att en enskild individ kan identifieras är det också fråga om personuppgifter. I den aktuella domen anges förutom personens initialer detaljerad information om hans arbetsplats, befattning och arbetsuppgifter.
Följaktligen utgör de uppgifter som publicerats på KrimNet personuppgifter. Eftersom domen innehåller uppgifter om den anställdes hälsa är det fråga om känsliga personuppgifter.
Tillåten behandling
För att det överhuvudtaget skall vara tillåtet att behandla personuppgifter krävs alltid att de grundläggande kraven i personuppgiftslagen 9-10 §§ är uppfyllda. Personuppgifter får exempelvis behandlas bara när det är lagligt och får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt huvudregeln i 10 § personuppgiftslagen krävs den enskildes samtycke för att det skall vara tillåtet att behandla personuppgifter. Undantag från kravet på samtycke har gjorts för behandlingar som är nödvändiga för vissa i lagen angivna ändamål. Exempelvis kan en behandling av personuppgifter vara tillåten efter en intresseavvägning enligt 10 § f) personuppgiftslagen. Känsliga personuppgifter kan dock inte behandlas med stöd av en sådan intresseavvägning.
Enligt 13 § personuppgiftslagen är det förbjudet att behandla känsliga personuppgifter om inte den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller själv på ett tydligt sätt offentliggjort uppgifterna (15 § personuppgiftslagen). Uppgifter som någon annan har offentliggjort omfattas inte, om inte den registrerade själv har offentligt bekräftat uppgifterna. I 16-19 §§ personuppgiftslagen finns ytterligare undantag från kravet på samtycke. Förbudet är straff- och skadeståndssanktionerat.
Den anställde har inte lämnat sitt uttryckliga samtycke till den aktuella behandlingen av känsliga personuppgifter utan har tvärtom motsatt sig den. I ärendet har inte heller framkommit något som talar för att något av de övriga undantagen från förbudet mot behandling av känsliga personuppgifter skulle vara tillämpligt.
[---]
Även om de aktuella uppgifterna har publicerats på webbplatsen Lagrummet [domstolsväsendets rättsinformation; Justitiekanslerns anm.] med stöd av bestämmelserna i rättsinformationsförordningen innebär det inte att det är tillåtet för den som så önskar att publicera uppgifterna i andra sammanhang. Ur integritetssynpunkt kan det innebära större intrång för den enskilde att uppgifterna publiceras på ett intranät där de blir direkt tillgängliga för andra anställda inom samma myndighet än om uppgifterna endast kan sökas fram på Internet. Det faktum att uppgifterna - som i det aktuella fallet - kan läsas av den enskildes arbetskamrater kan upplevas som särskilt kränkande. Datainspektionen ifrågasätter att det kan finnas ett behov av att sprida information om domen till anställda inom kriminalvården. Det är dock möjligt att informera om principiellt viktiga avgöranden genom att endast referera sakfrågan och utelämna sådana detaljer som möjliggör en identifiering av den enskilde.
Datainspektionen kan konstatera att Kriminalvårdsstyrelsen har publicerat känsliga personuppgifter på KrimNet utan att ha lagstöd för behandlingen. Domstolsverket får dock publicera samma uppgifter på Internet med stöd av 22 § rättsinformationsförordningen. En konsekvens av rättsläget blir bland annat att om Kriminalvårdsstyrelsen istället hade valt att enbart ha en länk till Lagrummet eller Arbetsdomstolens webbplats på sitt intranät, skulle Kriminalvårdsstyrelsens agerande inte strida mot personuppgiftslagen. De personuppgifter som finns publicerade på någon av dessa webbplatser skulle nämligen inte ha ansetts gjorts tillgängliga på KrimNet enbart genom länken."
Eftersom Datainspektionen avsåg att tillskriva regeringen angående det gällande rättsläget och eftersom myndigheten förutsatte att KVS skulle upphöra med behandlingen, fann Datainspektionen inte skäl att vidta några ytterligare åtgärder i ärendet.
Anspråk m.m.
TS har hos KVS begärt skadestånd för det lidande som han anser att myndigheten har orsakat honom genom den felaktiga behandlingen av känsliga personuppgifter. KVS har överlämnat anspråket till Justitiekanslern för prövning.
TS har i skrivelser till Justitiekanslern preciserat skadeståndskravet till 50 000 kr jämte ränta enligt 6 § räntelagen från och med den 17 juli 2004. Han har anfört till stöd för sin talan att han har upplevt den uppkomna situationen som kränkande och obehaglig. Hans arbetskamrater har kunnat läsa domen på intranätet och ta del av uppgifterna om hans hälsa m.m. KVS har inte vidtagit någon som helst åtgärd för att minska hans lidande utan har låtit informationen finnas kvar på intranätet under en lång tid trots att styrelsen har känt till hans inställning.
Justitiekanslern har hämtat in ett yttrande från KVS vari styrelsen har avstyrkt bifall till TS:s skadeståndsanspråk och anfört bl.a. följande.
"Det står klart att Kriminalvårdsstyrelsen har behandlat känsliga personuppgifter om TS genom att lägga ut dem på intranätet. Syftet med behandlingen har varit att informera kriminalvårdens myndigheter om domen, som ansågs vara principiellt viktig.
Den fråga som inledningsvis infinner sig är den om publiceringen på intranätet kan anses ha skett uteslutande för journalistiska ändamål. Här är avgörande om begreppet journalistiska ändamål endast kan anses omfatta informationsspridning och annan journalistisk verksamhet riktad till allmänheten, eller om begreppet även kan anses omfatta verksamhet i syfte att sprida information inom organisationen för ett statligt verk. Kriminalvårdsstyrelsen anser att det finns skäl att väcka denna fråga mot bakgrund av Högsta Domstolens extensiva tolkning av begreppet journalistisk verksamhet i den så kallade Ramsbro-domen, NJA 2001 s. 409. Högsta Domstolen tolkade i detta avgörande uttrycket journalistiska ändamål så att det fick anses vara avsett att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor. I den vida meningen har uttrycket även bäring på när man i offentlig verksamhet behandlar uppgifter på ett intranät i syfte att sprida information och väcka debatt inom ramen för verksamheten.
Det kan vidare konstateras att de känsliga personuppgifterna offentliggjorts i rättegången vid Arbetsdomstolen. Visserligen var det SEKO och inte TS som ursprungligen framförde uppgifterna i rättegången. TS borde emellertid kunna anses under rättegången offentligt ha bekräftat uppgifterna. Det kan därför inte anses strida mot personuppgiftslagen att därefter behandla uppgifterna.
Skadeståndsyrkandet bör därför kunna lämnas utan bifall."
För det fall att skadestånd kommer att utgå har KVS slutligen framfört omständigheter som enligt styrelsens mening bör beaktas vid bestämmandet av ersättningens storlek. Bland dessa omständigheter finns bl.a. det faktum att de aktuella uppgifterna har offentliggjorts i rättegången, uppgifterna har varit allmänt kända bland TS:s kollegor, domen har funnits att hämta på Arbetsdomstolens hemsida och KVS hade kunnat ha en länk till Arbetsdomstolens hemsida utan att detta skulle ha ansetts strida mot personuppgiftslagen.
TS har inkommit med följande synpunkt på KVS yttrande. En webbsida är tillgänglig för alla och envar. KVS intranät är däremot ett internt verktyg för att sprida information inom myndigheten. Redan på grund härav är undantaget i 7 § andra stycket PuL rörande behandling av personuppgifter uteslutande för journalistiska ändamål inte tillämpligt. Publiceringen av Arbetsdomstolens dom skedde inte heller i syfte att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. KVS har i ett yttrande till Datainspektionen anfört att avsikten med publiceringen var att tjäna till vägledning för kriminalvårdsmyndigheternas verksamhet.
Gällande bestämmelser
Vid behandling av personuppgifter i kriminalvårdens verksamhet tillämpas personuppgiftslagen (1998:204) - PuL.
Av 3 § PuL framgår att med personuppgifter avses allt slags information som direkt eller indirekt kan hänföras till en person som är i livet.
Enligt 7 § andra stycket PuL tillämpas inte alla bestämmelserna i lagen, däribland inte 13 och 48 §§, vid sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Av 13 § PuL framgår att det är förbjudet att behandla känsliga personuppgifter om inte den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller själv på ett tydligt sätt har offentliggjort uppgifterna.
I 48 § PuL anges att den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat.
Justitiekanslerns bedömning
KVS har på kriminalvårdens intranät, KrimNet, publicerat hela Arbetsdomstolens dom i en tvist mellan KVS och TS. I domen återges uppgifter om TS:s hälsa m.m., dvs. sådana personuppgifter som omfattas av begreppet känsliga personuppgifter. Datainspektionen har efter en anmälan från TS konstaterat i ett beslut den 2 juni 2004 att den aktuella behandlingen av känsliga personuppgifter har skett i strid med bestämmelserna i PuL.
KVS har i ärendet hos Justitiekanslern ifrågasatt om den aktuella publiceringen på intranätet kan anses ha skett uteslutande för journalistiska ändamål. I så fall var undantagsregeln i 7 § andra stycket PuL tillämplig och den aktuella behandlingen av personuppgifter tillåten.
Av utredningen i ärendet framgår att intranätet endast är tillgängligt för de anställda inom kriminalvården och således inte för allmänheten. Av handlingarna framgår vidare att KrimNet är tillgängligt för ca 8 000 användare. Det synes här ha varit fråga om att sprida information inom kriminalvården om ett avgörande som styrelsen ansett vara av principiell betydelse inom kriminalvårdsmyndigheternas verksamhet. Den publicerade domen har återgetts i sin helhet och TS:s namn har i domen förkortats till initialerna. Det har således inte varit fråga om ett referat av själva sakfrågan utan möjlighet till identifiering av den anställde.
Den aktuella publiceringen kan mot bakgrund av det anförda inte anses ligga inom ramen för ett sådant journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten som avses med undantagsregeln i 7 § andra stycket PuL. Publiceringen kan i vart fall inte anses ha skett uteslutande för journalistiska ändamål.
KVS har även gjort gällande att publiceringen inte har krävt något samtycke från TS eftersom han får anses ha själv offentligen bekräftat uppgifterna i rättegången i Arbetsdomstolen. För att denna undantagsregel i 15 § PuL skall ge rätt till behandling av känsliga personuppgifter krävs dock att den enskilde själv har på ett tydligt sätt offentliggjort uppgifterna. Att vissa uppgifter om en enskild åberopas eller på annat sätt finns med i en rättegång i en domstol innebär inte att uppgifterna på ett tydligt sätt har offentliggjorts av den enskilde i den mening som avses i PuL.
Eftersom KVS har behandlat känsliga personuppgifter rörande TS i strid med bestämmelserna i PuL har TS rätt till ersättning för den skada eller kränkning av den personliga integriteten som behandlingen kan ha orsakat. I 48 § PuL föreskrivs ett strikt ansvar, dvs. ett ansvar oberoende av oaktsamhet från den registeransvarige. Enligt bestämmelsen skall vidare ersättning ges även för lidande, dvs. ideell skada utan samband med personskada.
Ersättning för ideell skada låter sig sällan uppskattas i exakta termer eller efter på förhand fastställda beräkningsgrunder. Det måste bli fråga om en uppskattning efter skälighet. Den felaktiga behandlingen har enligt TS:s egna uppgifter orsakat honom stor oro. Det kan noteras att de aktuella personuppgifterna har avsett särskilt integritetskänsliga förhållanden. Vid bedömningen skall även uppmärksammas att uppgifterna har funnits på intranätet i vart fall i sju månader. Intranätet är tillgängligt för ca 8 000 användare och domen har blivit direkt tillgänglig för såväl TS:s närmaste arbetskamrater som andra anställda inom kriminalvården. Det av KVS anförda skälet att uppgifterna var allmänt kända bland TS:s kollegor utgör inte något skäl att sätta skadeståndet lägre än som annars skulle ha skett. Vid bestämmandet av skadeståndets storlek kan man däremot inte helt bortse från den omständigheten att om KVS hade valt att enbart ha en länk till Arbetsdomstolens webbsida eller till Lagrummet detta inte skulle ha stridit mot PuL.
Med hänvisning till det anförda beslutar jag att tillerkänna TS skadestånd med skäliga 15 000 kr jämte ränta enligt 6 § räntelagen fr.o.m. den17 juli 2004 till dess betalning sker.