lagen.nu

HFD 2015 ref. 61

Innebörden av begreppet direktåtkomst i socialförsäkringsbalken ska bestämmas med utgångspunkt i bestämmelserna i 2 kap. 3 § andra stycket tryckfrihetsförordningen.

Datainspektionen beslutade den 1 april 2011 att förelägga Försäkringskassan att upphöra med att medge socialnämnderna åtkomst till uppgifterna ur socialförsäkringsdatabasen via LEFI Online till dess att Försäkringskassan försäkrat sig om att handläggare hos socialnämnderna bara kunde ta del av uppgifter om personer som var aktuella i ärenden hos nämnden. Som skäl för beslutet angavs bl.a. att socialnämndernas tillgång till uppgifterna genom LEFI Online innebär att nämnderna har direktåtkomst till socialförsäkringsdatabasen. Enligt 114 kap. 22 § socialförsäkringsbalken får en socialnämnd ha direktåtkomst först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Försäkringskassan har inte inhämtat någon försäkran från socialnämnderna i enlighet med 114 kap. 22 § socialförsäkringsbalken.

Försäkringskassan överklagade Datainspektionens beslut hos förvaltningsrätten och yrkade att beslutet skulle upphävas. Kassan anförde bl.a. följande. Datainspektionens beslut förutsätter att LEFI Online är ett system som innebär direktåtkomst. LEFI Online är ett system som innebär att uppgifter lämnas ut på medium. Socialnämnderna ges inte direktåtkomst till uppgifter ur socialförsäkringsdatabasen. Försäkringskassan har full kontroll över vilka uppgifter som lämnas ut och det sker en automatiserad prövning i varje enskilt fall innan uppgifterna lämnas ut till kommunen.

Datainspektionen vidhöll sitt beslut.

Förvaltningsrätten i Stockholm (2012-12-19, ordförande Benndorf) yttrade: - - - Den grundläggande frågan i målet är om Försäkringskassans datasystem LEFI Online innebär direktåtkomst till kassans socialförsäkringsdatabas och i så fall om 114 kap. 22 § socialförsäkringsbalken därför är tillämplig. - I Försäkringskassans redogörelse anges att LEFI Online är ett system som fungerar på följande sätt.

1. Kommunen begär att få information om en person i socialförsäkringsdatabasen genom att ställa en elektronisk fråga till Försäkringskassan. - 2. Vid begäran legitimerar sig kommunen med sitt organisationsnummer via ett elektroniskt certifikat. - 3-4. Efter att behörighetskontrollen är gjord kontrollerar Försäkringskassans IT-system att det i begäran endast efterfrågas sådan information som kommunen med hänsyn till sekretessregler är behörig att få ut. - 5. Utifrån kommunens begäran hämtar Försäkringskassans IT-system sedan in informationen från olika interna källor. - 6-7. Försäkringskassans IT-system sammanställer sedan svaret och en ytterligare kontroll görs så att uppgifter som omfattas av sekretess inte lämnas till kommunen (utifrån det krav på behörighet som är uppsatt för tjänsten). - 8. Under förutsättning att den ytterligare kontrollen visar att de efterfrågade uppgifterna kan lämnas ut fattas ett automatiskt beslut och uppgifterna lämnas ut/expedieras till kommunen. -

Gränsdragningen mellan direktåtkomst och utlämnande av uppgifter genom utlämnade på medium för automatiserad behandling framgår inte av några bestämmelser. Av förarbetena kan dock utläsas att direktåtkomst i regel innebär att informationen är tillgänglig för en användare för att på egen hand söka eller få svar på frågor utan att denne själv ska kunna påverka innehållet. Vidare anges att direktåtkomsten kan ge användare en möjlighet att också hämta hem informationen till sitt eget system och bearbeta den där, samt att direktåtkomst traditionellt sett har ansetts innebära att uppgifter lämnas ut utan att den utlämnande myndigheten har kontroll över vilka uppgifter som lämnas ut (prop. 2007/08:160 s. 56). Vidare avser direktåtkomsten framförallt de uppgifter som varje aktör i informationsutbytet har rätt att inhämta med stöd av en författningsregel och någon sekretessprövning ska därmed inte göras vid utlämnande av uppgifterna (a. prop. s 61). Bestämmelser som reglerar socialnämndernas informationsutbyte med Försäkringskassan återfinns i flera författningar. Av 11 kap. 11 § socialtjänstlagen (2001:453), SoL, framgår att socialnämnderna har rätt att ta del av uppgifter om förmån, ersättning eller annat stöd åt enskild hos bl.a. Försäkringskassan. - Bestämmelsen i 114 kap 22 § socialförsäkringsbalken om socialnämndernas möjlighet att få direktåtkomst till uppgifter i socialförsäkringsdatabasen tillkom bl.a. för att göra informationsutbytet mellan socialnämnderna och Försäkringskassan snabbare och mer effektivt (a. prop. s 154). För att säkerställa integritetsskyddet tillkom ett tredje stycke, som stadgar att direktåtkomst endast kan komma ifråga efter att Försäkringskassan försäkrat sig om att handläggare bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. - Enligt förvaltningsrättens mening måste en myndighet som lämnar ut uppgifter, oavsett om det gäller direktåtkomst till fördefinierade uppgifter eller vid utlämnande på medium för automatiserad behandling, vid någon tidpunkt besluta om vilken typ av uppgifter som ska lämnas ut och vilka mottagande myndigheter som ska kunna få ut uppgifterna elektroniskt. Att Försäkringskassan vid varje begäran av uppgifter fattar någon form av beslut att bereda en socialnämnd tillgång till vissa uppgifter är, enligt rättens mening, inte en omständighet som nödvändigtvis innebär att ett utlämnande är att anse som ett utlämnande på medium för automatiserad behandling. För att det ska vara fråga om utlämnande på medium för automatiserad behandling, så att 114 kap. 22 § socialförsäkringsbalken inte är tillämplig, måste det enligt förvaltningsrättens mening vara fråga om ett beslut som baseras på en reell prövning i det enskilda fallet. Det bör krävas att en sådan prövning inte endast innebär i princip detsamma som en på förhand genomförd prövning vid direktåtkomst till fördefinierade uppgifter. En ordning där en åtskillnad mellan begreppen direktåtkomst och medium för automatiserad behandling möjliggörs på det sätt som Försäkringskassan förespråkar, skulle i praktiken innebära att olika grader av integritetsskydd införs, vilket inte kan anses ha varit lagstiftarens avsikt. Förvaltningsrätten instämmer således i Datainspektionens bedömning att socialnämndernas åtkomst till socialförsäkringsdatabasen är att anse som direktåtkomst. - Vidare framgår i målet att LEVI Online inte innebär att kontroll görs för försäkran om att den socialnämnd som efterfrågar uppgifter om en viss person har ett ärende, avseende personen ifråga, vilket strider mot bestämmelsen i 114 kap 22 § socialförsäkringsbalken. - Sammantaget finner förvaltningsrätten att det saknas anledning att invända mot Datainspektionens föreläggande. Överklagandet ska således avslås. - Förvaltningsrätten avslår överklagandet.

Försäkringskassan överklagade förvaltningsrättens dom och yrkade att kammarrätten med ändring av domen skulle upphäva Datainspektionens beslut. Försäkringskassan anförde bl.a. följande. Myndighetens informationsutlämning via LEFI Online är inte att betrakta som direktåtkomst utan ett utlämnande på medium för automatiserad behandling. Av den ingivna beskrivningen avseende LEFI Online sker en prövning i det enskilda fallet och det kan inte vara en förutsättning att detta beslutsfattande sker manuellt. Även ett elektroniskt beslutsfattande som föregåtts av en prövning i det enskilda fallet måste kunna ses som ett utlämnande på medium. Vidare framgår det att LEFI Online inte möjliggör för utomstående att på egen hand söka efter information utan det är Försäkringskassan som söker och tar fram informationen. Även det förhållandet gör att systemet inte kan ses som ett system som innebär direktåtkomst.

Datainspektionen vidhöll sitt beslut och grunderna för detta och yrkade att överklagandet skulle avslås. Datainspektionen anförde bl.a. följande. 114 kap. 22 § socialförsäkringsbalken är tillämplig vid Försäkringskassans utlämnande av uppgifter genom direktåtkomst till fördefinierade uppgifter. Försäkringskassan vidtar inte någon sådan reell prövning i det enskilda fallet som skulle kunna medföra att bestämmelsen inte anses tillämplig. Om ovan nämnda lagrum inte skulle anses vara tillämpligt på utlämnande av uppgifter till socialnämnder via LEFI Online, skulle det få till följd att det integritetsskydd som lagstiftaren avsett att ge enskilda genom införandet av den aktuella bestämmelsen sätts ur spel.

Kammarrätten i Stockholm (2014-02-14, Wahlqvist, Brege Gefvert, referent, Axelsson) yttrade: Frågan i målet är om Datainspektionen haft fog för att förelägga Försäkringskassan att upphöra med att ge socialnämnderna åtkomst till uppgifter ur socialförsäkringsdatabasen via datasystemet LEFI Online, till dess att Försäkringskassan försäkrat sig om att handläggare hos socialnämnderna bara kan ta del av uppgifter som är aktuella i ärenden hos nämnden. - Det grundläggande vid denna bedömning är om socialnämndernas åtkomst till LEFI Online är att anse som direktåtkomst eller inte. - Av utredningen i målet framgår att LEFI Online är en automatiserad onlinetjänst som bl.a. ger socialnämnder åtkomst till viss information som behövs i handläggningen av ärenden vid nämnderna. Det är en fråga/svarstjänst med fördefinierade frågor och svar. Mottagaren skickar en frågefil avseende en person i taget som innehåller uppgifter om personnummer och efterfrågade förmåner för en viss period. Det finns inga tekniska begränsningar i systemet som begränsar sökbarheten till personer som ingår i pågående ärenden hos mottagaren. Försäkringskassans IT-system hämtar in information från olika interna källor och sammanställer ett svar. En behörighetskontroll och två sekretesskontroller genomförs under processen. En svarsfil skickas sedan till mottagaren. - Tillämpliga bestämmelser m.m. - Om en myndighet utbyter personuppgifter avseende en fysisk person elektroniskt med en annan myndighet är det fråga om behandling enligt den definition av begreppet som följer av 3 § personuppgiftslagen (1998:204) oavsett i vilken form utbytet sker. - Datainspektionen har som tillsynsmyndighet enligt 32 § personuppgiftslagen att i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta enligt 31 § samma lag. Försäkringskassan är i egenskap av personuppgiftsansvarig för uppgifterna i socialförsäkringsdatabasen skyldig att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas. - Av 114 kap. 22 § socialförsäkringsbalken framgår att en socialnämnd kan få ha direktåtkomst till socialförsäkringsdatabasen först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Enligt motivuttalanden avses att handläggarna rent tekniskt inte ska ha möjlighet att söka på andra personer än sådana som är aktuella i ett ärende hos den aktuella nämnden. Vidare räcker det med att värdmyndigheten inhämtar en försäkran från socialnämnden om att kraven är uppfyllda (prop. 2007/08:160 s. 150 och 170). - Enligt 11 kap. 11 § SoL har en socialnämnd rätt att ta del av uppgifter om förmån, ersättning eller annat stöd åt enskild hos bland annat Försäkringskassan. - Olika former av elektroniskt utlämnande av uppgifter - Direktåtkomst - Personuppgifter kan lämnas ut i elektronisk form via medium för automatiserad behandling eller direktåtkomst. Det finns inte någon legaldefinition av dessa begrepp. Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (jfr prop. 2004/05:164 s. 83 och prop. 2011/12:45 s. 133). Vid direktåtkomst fattas beslut om överföring i varje enskilt fall av mottagaren. Sekretessprövningen måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av uppgifter i varje enskilt fall. I stället måste en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt (prop. 2011/12:45 s. 132 f.). Vidare måste den mottagande myndigheten rent tekniskt ha tillgång till uppgifter om alla personer som är registrerade i databasen eftersom det inte i förväg går att veta vilka personer som kommer att bli aktuella i ärenden hos den mottagande myndigheten. I praktiken innebär direktåtkomsten därför att myndigheten har teknisk tillgång till uppgifter om alla registrerade personer, men att myndigheten inte har rätt att söka efter uppgifter om en person förrän den personen är aktuell i ett ärende hos myndigheten (prop. 2011/12:157 s. 6). - Utlämnande på medium för automatiserad behandling - Med begreppet utlämnande på medium för automatiserad behandling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring, exempelvis diskett, CD-rom, DVD, USB-minne, mejl eller mellan två myndigheters datasystem. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen (prop. 2007/08:126 s. 77 och prop. 2009/10:85 s. 169). Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om och vilka uppgifter som kan lämnas ut. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet (prop. 2011/12:45 s. 132). Den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg blivit så små att det kan vara svårt att dra en gräns mellan dem. Det sist nämnda begreppet har ibland fått en vidare innebörd. I förarbetsuttalanden har som exempel på sådant utlämnande pekats på s.k. batch-körningar, ett automatiskt utlämnande efter sökningar och sammanställningar där svar lämnas med viss tidsfördröjning. Den fördröjning i uppgiftslämnandet som är inbyggt i en sådan teknik innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. En eventuell sekretessprövning, eller prövning av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas utan någon sekretessprövning, sker dock i praktiken i samband med att förbindelsen upprättas. Någon ytterligare prövning av uppgifterna i samband med utlämnandet sker alltså inte i realiteten (prop. 2000/01:129 s. 76 och prop. 2007/08:160 s. 58 f.). - Försäkringskassans elektroniska utlämnande av uppgifter - Vid handläggningen av ärenden om ekonomiskt bistånd hade socialnämnderna tidigare ett elektroniskt informationsutbyte med Försäkringskassan. Av den nu upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration framgick att personuppgifter i socialförsäkringsdatabasen fick lämnas ut på medium för automatiserad behandling. Informationsutbytet fungerade på så sätt att den aktuella kommunen skickade en frågefil via Internet till Försäkringskassan som dagen efter återsände en svarsfil med de uppgifter som efterfrågats. Under utredningen till den nu aktuella bestämmelsen framfördes det synpunkter på att detta informationsutbyte skulle fungera ännu bättre med direktåtkomst som skulle kunna bidra till en snabbare och mer effektiv handläggning samt till att handläggarna ständigt skulle ha tillgång till aktuella uppgifter (prop. 2007/08:160 s. 154). Försäkringskassan ifrågasatte här om ett förfarande som innefattar tekniska begränsningar och där frågorna och svaren är fördefinierade och begränsade till sin omfattning bör falla in under begreppet direktåtkomst. Regeringens svar på detta var att den föreslagna regleringen innebär att förfarandet är att betrakta som direktåtkomst (prop. 2007/08:160 s. 150). - Försäkringskassan har anfört att myndighetens informationsutlämning via LEFI Online inte är att betrakta som direktåtkomst utan ett utlämnande på medium för automatiserad behandling. Försäkringskassan, som söker och tar fram informationen, har enligt kassan full kontroll över vilka uppgifter som lämnas ut och det sker en automatiserad prövning i varje enskilt fall. - Kammarrättens bedömning - För att det ska vara fråga om ett utlämnande på medium för automatiserad behandling krävs antingen att det är fråga om en s.k. batch-körning, som utgörs av ett automatiskt utlämnande efter en sökning och sammanställning där svaret lämnas med viss tidsfördröjning, eller att utlämnandet baseras på en reell prövning i det enskilda fallet. Med en reell prövning avses att den utlämnande myndigheten i varje enskilt fall gör en sekretessprövning av om uppgifter kan lämnas ut. - Kammarrätten konstaterar att det vid ett utlämnande av de i målet aktuella uppgifterna inte är fråga om en batch-körning som sker med en viss tidsfördröjning mellan mottagarens frågefil och Försäkringskassans svarsfil i LEFI Online. - Vad gäller frågan om en reell sekretessprövning görs vid utlämnande av uppgifterna, har Försäkringskassan anfört dels att det i praktiken fattas ett automatiserat förvaltningsbeslut i varje enskilt fall, dels att det sker en automatiserad prövning i varje enskilt fall. Av handlingarna i målet framgår emellertid att Försäkringskassan inte fattar något individuellt beslut, automatiserat eller inte, för varje enskild begäran. - Kammarrätten anser vid en sammantagen bedömning att de behörighets- och de sekretesskontroller som utförs i systemet LEFI Online av de fördefinierade uppgifterna inte kan anses tillräckliga för att det ska anses som att det sker ett utlämnande på medium för automatiserad behandling, utan att det elektroniska utlämnandet via LEFI Online sker genom direktåtkomst. - Det förhållandet att Försäkringskassan inte har förvissat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden strider mot bestämmelsen i 114 kap. 22 § socialförsäkringsbalken. - Kammarrätten kommer, med beaktande av det anförda, till samma slutsats som förvaltningsrätten, dvs. att Datainspektionen har haft fog för sitt föreläggande. - Kammarrätten avslår överklagandet.

Försäkringskassan överklagade kammarrättens dom till Högsta förvaltningsdomstolen och yrkade att Datainspektionens beslut skulle upphävas. Kassan anförde bl.a. följande. LEFI Online har utvecklats för att följa den systematik för prövning av en begäran om utlämnande av allmänna handlingar som följer av tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Tjänsten är konstruerad så att en begäran om att få ta del av vissa specifika uppgifter lämnas in till Försäkringskassan. Därefter sker genom ett automatiserat förfarande en prövning och kontroll av att uppgifterna i det enskilda fallet kan lämnas ut. Eftersom det finns en sekretessbrytande uppgiftsskyldighet består sekretessprövningen i att kontrollera att de formella förutsättningarna för utlämnande är uppfyllda. En ansluten socialnämnd har således inte direkt tillgång till Försäkringskassans IT-system och kan inte heller fritt söka information. Sättet för utlämnande kan därför inte definieras som direktåtkomst.

Datainspektionen bestred bifall till överklagandet och anförde bl.a. följande. Försäkringskassan gör inte någon reell prövning i det enskilda fallet. De kontroller som Försäkringskassan gör är en förutsättning för direktåtkomst. Vid direktåtkomst måste nämligen den utlämnande myndigheten ha kontroll över att den som begär åtkomst till vissa uppgifter har rätt att få det.

Högsta förvaltningsdomstolen (2015-10-29, Melin, Almgren, Silfverberg, Baran, Andersson) yttrade:

Skälen för avgörandet

Rättslig reglering

Av 114 kap. 22 § socialförsäkringsbalken följer att en socialnämnd får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. SoL. En socialnämnd får ha direktåtkomst först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden.

Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling om det behövs som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. SoL (114 kap. 24 § socialförsäkringsbalken).

Enligt 11 kap. 11 § SoL har socialnämnden rätt att ta del av uppgifter om förmån, ersättning eller annat stöd åt enskild hos Försäkringskassan. I 3 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) specificeras de uppgifter socialnämnden har rätt att ta del av hos Försäkringskassan. Att en socialnämnd - under de förutsättningar som anges i 114 kap. 22 § socialförsäkringsbalken - får ha direktåtkomst till dessa uppgifter framgår av 3 b § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration.

Vad målet gäller

Frågan i målet gäller om socialnämndernas åtkomst till uppgifter i socialförsäkringsdatabasen genom datasystemet LEFI Online är att anse som direktåtkomst i socialförsäkringsbalkens mening. Detta är avgörande för bedömningen av om Datainspektionen haft fog för sitt beslut att förelägga Försäkringskassan att upphöra med att ge socialnämnderna åtkomst till uppgifterna till dess att en sådan försäkran som avses 114 kap. 22 § socialförsäkringsbalken har hämtats in.

Högsta förvaltningsdomstolens bedömning

Elektronisk överföring av uppgifter mellan myndigheter sker i form av direktåtkomst eller utlämnande på medium för automatiserad behandling. Någon legaldefinition av dessa begrepp finns inte.

Bestämmelsen om att socialnämnden får ha direktåtkomst till uppgifter i socialförsäkringsdatabasen infördes ursprungligen i lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration. Regleringen syftade till att öka det elektroniska informationsutbytet mellan vissa myndigheter bl.a. för att minska felaktiga utbetalningar från välfärdssystemen (prop. 2007/08:160 s. 39). Lagen upphävdes i samband med tillkomsten av socialförsäkringsbalken. Regler med motsvarande innehåll finns nu i 114 kap. socialförsäkringsbalken.

Med direktåtkomst avses enligt förarbetena till lagen om behandling av personuppgifter inom socialförsäkringens administration att den som använder registret på egen hand kan söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet, samt att uppgifter i registret på det beskrivna sättet lämnas ut utan att den ansvariga myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut (prop. 2002/03:135 s. 88).

I samma proposition uttalas vidare att vad begreppet utlämnande på medium för automatiserad behandling innefattar inte är helt klarlagt. Syftet med de olika reglerna om utlämnande av uppgifter är i regel att med hänsyn till medborgarnas integritet inskränka möjligheterna för utomstående att genom överföring av uppgifter i personregister kunna upprätta egna personregister. Den tekniska metoden för överföring av uppgifter är i det sammanhanget ointressant. Även överföring av uppgifter via internet till en persondator - som i regel innebär att uppgifterna på något sätt lagras i persondatorn trots att huvudsyftet är att innehavaren ska ta del av dem på skärmen - bör ofta vara att anse som utlämnande av uppgifter på medium för automatiserad behandling (a. prop. s. 88 f.).

Osäkerheten vad gäller begreppsbildningen speglas också i förarbetena till bestämmelserna om socialnämndernas direktåtkomst i socialförsäkringsbalken. Där uttalas att den tekniska utvecklingen hade lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg är så små att det är svårt att dra en gräns mellan direktåtkomst och andra former av utlämnande. Såväl vid direktåtkomst som vid sådant utlämnande på automatiserad väg som sker via telenätet sker sekretessprövningen, eller prövningen av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, i samband med att förbindelsen upprättas. Någon ytterligare prövning av uppgifterna i samband med utlämnandet sker inte vid överföringar över telenätet, även om det är teoretiskt möjligt (prop. 2007/08:160 s. 58). Det framgår vidare att lagstiftaren var medveten om avsaknaden av entydiga begrepp men att utgångspunkten i lagstiftningsärendet var att inte frångå den begreppsbildning som fanns på området.

Beskrivningarna av begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ger således inte några tydliga hållpunkter för hur begreppen ska förstås när det gäller helt automatiserade system för utbyte av uppgifter mellan myndigheter. Det kan noteras att beskrivningar av begreppet direktåtkomst, motsvarande det tidigare återgivna, även finns i senare förarbeten till författningar som reglerar registerfrågor, se t.ex. prop. 2011/12:45 s. 133 och prop. 2014/15:63 s. 95. Informationshanteringsutredningen anser i ett nyligen avlämnat betänkande (SOU 2015:39 s. 389 ff.) att direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen.

Kammarrätten har ansett att de behörighets- och sekretesskontroller som utförs i systemet LEFI Online inte kan anses tillräckliga för att det ska anses ske ett utlämnande på medium för automatiserad behandling. Den prövning som kan krävas av Försäkringskassan vid ett utlämnande enligt SoL och förordningen om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) är emellertid enbart av formell art - att den efterfrågade uppgiften omfattas av uppgiftsskyldigheten - och kan enligt Högsta förvaltningsdomstolens mening inte ligga till grund för att ange en skiljelinje mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Något annat särskiljande drag som kännetecknar direktåtkomst måste användas för att bestämma innebörden i begreppet.

De allmänna handlingar hos en myndighet som en annan myndighet genom direktåtkomst får tillgång till utgör allmänna handlingar även hos denna myndighet (prop. 2002/03:135 s. 90). Av 2 kap. 3 § andra stycket tryckfrihetsförordningen framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

Den avgränsning som på detta sätt görs av begreppet direktåtkomst genom tillämpning av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken. Det avgörande blir om upptagningen kan anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening.

Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken. Datainspektionen har därför inte haft fog för sitt föreläggande. Överklagandet ska således bifallas och underinstansernas avgöranden upphävas.

Högsta förvaltningsdomstolens avgörande

Högsta förvaltningsdomstolen bifaller överklagandet och upphäver underinstansernas avgöranden.

Mål nr 1356-14, föredragande Emily Alfvén Nickson

Metadata

Domstol
Högsta förvaltningsdomstolen
Avgörandedatum
2015-10-29
Målnummer
1356-14
Lagrum
114 kap. 22 § socialförsäkringsbalken (2010:110)
11 kap. 11 § socialtjänstlagen (2001:453)
3 b § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
3 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453)
Litteratur
Sökord
Allmän försäkring
Källa
Domstolsverket
Lagen.nu är en privat webbplats. Informationen här är inte officiell och kan vara felaktig | Ansvarsfriskrivning | Kontaktinformation