Högsta förvaltningsdomstolen (HFD) har dömt i en prejudikatfråga som påverkar så kallade leverantörer av databastjänster, bolag med utgivningsbevis som publicerar databaser innehållandes personuppgifter. Domen förtydligar att sådana databastjänster inte kan publicera databaser innehållandes känsliga personuppgifter med stöd av yttrandefrihetsgrundlagen (YFL).
Målet handlar om Verifiera AB som har utgivningsbevis som tillhandahåller en databas där det ingår domstolsavgöranden om psykiatrisk tvångsvård och om vård av missbrukare. Tillhandahållandet av databasen innebär en behandling av känsliga personuppgifter som enligt Integritetsskyddsmyndigheten (IMY) och underinstanserna omfattas av dataskyddsförordningen (GDPR).
IMY har gjort bedömningen att bolagets tillhandahållande av domstolsavgöranden om psykiatrisk tvångsvård och om vård av missbrukare utgjorde en behandling av personuppgifter om hälsa i strid mot GDPR. IMY beslutade då att meddela bolaget en reprimand och förelade bolaget att vidta åtgärder för att upphöra med att behandla personuppgifter i strid med GDPR. Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm instämde i allt väsentlighet i IMY:s bedömning och avslog bolagets överklaganden. Kärnfrågan i samtliga instanser avsåg huruvida en viss undantagsbestämmelse från YFL innebär att GDPR är tillämplig på på bolagets tillhandahållande av databasen.
Bolaget överklagade kammarrättens beslut till HFD med yrkandet att HFD skulle ändra kammarrättens dom och upphäva IMY:s beslut. Bolaget anförde att undantagsbestämmelsen i YFL inte medger delegation genom annan föreskrift än sådan som har meddelats av riksdagen. IMY ansåg att överklagandet ska avslås.
HFD valde att meddela prövningstillstånd avseende prejudikatfrågan om GDPR är en sådan lag med förbud mot offentliggörande av personuppgifter som avses i 1 kap. 20 § YFL. I övrigt förklarade HFD frågan om meddelande av prövningstillstånd i målet vilande.
I skälen till avgörandet påminde HFD om att det framgår av YFL att grundlagen är tillämplig på sändningar av program som är riktade till allmänheten och avsedda att tas emot med tekniska hjälpmedel. Grundlagens föreskrifter om sändningar av program tillämpas också när information ur en databas, vars innehåll kan ändras endast av den som driver verksamheten, tillhandahålls allmänheten med hjälp av elektromagnetiska vågor bland annat av någon som har utgivningsbevis för verksamheten. Vidare hindrar grundlagen inte att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter om bland annat hälsa. HFD påminde vidare om att behandling av personuppgifter om hälsa som utgångspunkt är förbjuden enligt GDPR.
HFD påminde även om att syftet med undantagsbestämmelsen i 1 kap. 20 § första stycket YFL som infördes 2019 är att stärka skyddet av den personliga integriteten i svensk rätt. Av förarbetena till bestämmelsen framgår dels att avsikten är att också EU-förordningar ska omfattas och därför kunna utgöra sådan reglering som undantas från grundlagens tillämpningsområde, dels att den valda ordalydelsen bedömts vara tillräckligt tydlig i detta avseende. Därutöver sägs uttryckligen att bestämmelsen innebär att GDPR kommer att gälla. HFD noterade att begreppet ”lag” även i andra lagstiftningsärenden har ansetts kunna syfta på en EU-förordning.
Mot denna bakgrund besvarade HFD prejudikatfrågan så, att GDPR är en sådan lag med förbud mot offentliggörande av personuppgifter som avses i 1 kap. 20 § YFL. Därmed går HFD på samma linje som IMY och underinstanserna.