DEBATT – av Oscar Fredriksson, jurist och utredningschef vid Starck & Partner AB
EU-domstolen kom nyligen med ett intressant förhandsavgörande i mål C-268/21 som handlande om rätten att få tillgång till handlingar (editionsföreläggande) i ett tvistemål. Domstolen lyfter i detta avgörande fram vikten av att ta hänsyn till principen om uppgiftsminimering enligt GDPR artikel 5.1 c och frågan är om inte samma resonemang kan tillämpas avseende den diskussion som nu uppstått kring att inte per automatik offentliggöra adresser och personnummer på målsäganden och vittnen i domstolsprocesser.
Domstolsverkets generaldirektör Thomas Rollén har dock i en hemställan till riksdagen begärt att man stoppar en planerad lagändring i denna riktning. Lagförslaget innebär att uppgifter som personnummer och bostadsadress ska vara belagda med sekretess för dem som vittnar i domstol. Syftet med ändringen är att fler personer som har uppgifter att lämna om ett brott ska våga göra det utan att deras kontaktuppgifter offentliggörs. Det argument som anförs från Domstolsverket är att det ändå går att hitta kontaktuppgifterna på annat sätt och att det skulle bli för administrativt betungande att ändra arbetssätt.
Detta är enligt mitt synsätt ett mycket märkligt förhållningssätt från en av våra stora rättsvårdande myndigheter. Jag har både som chef inom offentlig förvaltning och i min nuvarande roll som jurist och utredningschef behövt lägga väldigt mycket tid på att säkerställa att processer och arbetssätt ligger i linje med GDPR och kan intyga att detta bitvis också krävt stora resurser och varit väldigt administrativt betungande. Inte minst inom den kommunala förvaltningen jobbade vi under min tid som kommundirektör med frågan i flera år för att hitta nya arbetssätt där man bygger in informationssäkerhetsarbetet i vardagen. Ett exempel på detta är att inte vanemässigt skriva in personnummer och bostadsadresser i olika dokument.
I min nuvarande roll där vi utreder olika former av personalärenden kring kränkningar, trakasserier, sexuella trakasserier samt utredningar av visselblåsningar och andra känsliga verksamhetsfrågor är hantering av personuppgifter en återkommande fråga. Jag har därför tillsammans med mina utredarkollegor aktivt arbetat med att minimera vår hantering av personuppgifter och även bistå våra kunder med en ökad kunskap i dessa frågor. Det handlar även i detta falla att välja ett arbetssätt som ligger i linje med GDPR. Istället för att som tidigare skriva ut initialer eller namn på personer i klartext i utredningar – vilket många fortfarande gör – så har vi börjat att alltid avidentifiera våra slutrapporter.
Detta är endast en fråga om att börja implementera ett nytt arbetssätt och kräver då inte heller något merarbete när man redan från början sätter upp rapporten med utgångspunkt från ett integritetsperspektiv. Givetvis har vi samma krav som domstolarna på att själva utredningsprocessen skall vara transparent och rättssäker där parterna har möjlighet att ta del av och bemöta utsagor och bevisning och vem som sagt vad. Att det finns en transparens internt för parterna i utredningen innebär dock inte i sig att även slutrapporten måste innehålla personuppgifter. Det kan tvärtom vara en fördel att den är avidentifierad för att tydliggöra analys och bedömningsdelarna.
I de fall det krävs lämnar vi i våra ärenden även ut en separat kodnyckel till uppdragsgivaren så att det är möjligt att identifiera personerna som i rapporten benämns som A, B, C och så vidare. Vår princip är även att vi efter avslutad utredning inte heller sparar någon dokumentation som innehåller personuppgifter. På detta sätt försöker vi som utredningsföretag minimera vår hantering och säkerställa att vi lever upp till gällande regelverk.
Det finns i diskussionen och de rättsliga turerna kring bland annat företagen Mr Koll och Verifiera stöd för att vi ser en ny praxis växa fram. En praxis som då kan bli problematisk för de företag vars affärsidé är att sälja tillgång till känsliga personuppgifter med stöd av att företagen bedriver en journalistisk verksamhet med utgivarbevis. Avseende Mr Koll där en person begärt att information skulle raderas så beslutade Högsta Domstolen om förnyad prövning i Hovrätten för att bedöma om företagets verksamhet är förenlig med GDPR. Det blev dock i detta fall ingen förnyad rättslig prövning då det hela slutade i en förlikning mellan parterna och uppgifterna plockades bort. Avseende Verifiera så har emellertid Kammarrätten slagit fast att företagets hantering att sälja information om domar avseende psykiatrisk tvångsvård (LPT) och vård av missbrukare (LVM) är i strid med GDPR.
Sammantaget så finns det ännu mycket som är outrett kring var gränserna går när det gäller hantering av personuppgifter men att som Domstolsverket ta strid för att få fortsätta att lämna ut personnummer och bostadsadresser till vittnen får nog anses lika lönlöst som att slåss mot väderkvarnar. Det är ju faktiskt i grunden positivt att GDPR nu sätter fokus på skyddet av den enskildes integritet även om det innebär att vi alla – inklusive Domstolsverket – behöver förändra våra arbetssätt.
