Framsida » Avgöranden » Överlåtande av kunders e-postadresser till studerande som gör slutarbete

Överlåtande av kunders e-postadresser till studerande som gör slutarbete

Dataombudsmannens ställningstagande 26.9.2008
Drn 1707/41/2008

Ärende:

Kan en myndighet överlämna sina kunders e-postadresser till en studerande som gör sitt slutarbete. Den studerande bad om dessa uppgifter för en utfrågning i samband med slutarbetet.

Dataombudsmannens ställningstagande:

E-postadresser är personuppgifter enligt personuppgiftslagens 3 § 1 punkt, på vilkas behandling personuppgiftslagen tillämpas. Först måste avgöras huruvida det är fråga om behandling av personuppgifter i myndigheters verksamhet eller om det är fråga om överlåtelse av personuppgifter.

Studerande kan göra sitt slutarbete i uppdrag av en myndighet, ifall att utfrågningen kan ses hänga samman med myndighetens uppgifter. Då grundar sig behandlingen av personuppgifterna i myndigheters verksamhet på 8 § 1 moments 7 punkt. Det är då frågan om behandling av personuppgifter i myndighetens egen verksamhet.

I annat fall är det fråga om överlåtande av personuppgifter. Enligt personuppgiftslagens 8 § 4 moment om rätten att få uppgifter ur myndigheternas personregister och om annat utlämnande av personuppgifter ur dessa personregister gäller vad som föreskrivs i lagen offentlighet för myndighetshandlingar (offentlighetslagen). I offentlighetslagens 16 § 3 moment framgår på vilka grunder man ur myndigheters personregister kan överlämna offentliga uppgifter som kopior, utskrifter eller i elektronisk form. Som förutsättning är att mottagaren av överlåtelsen, enligt bestämmelserna har rätt att behandla och spara sådana personuppgifter. Mer information om ärendet går att finna i dataombudsmannens broschyrer.

På fråga kan komma två alternativa grunder för överlämnande av personuppgifter. Den registeransvarige ansvarar för lagligheten av uppgifternas överlåtelse. På basis av föredragandens information överväger den registeransvariga, ifall datan kan överlämnas och på vilka grunder detta kan göras.

En utfrågning som sker i form av en students frågeformulär, kan jämställas med en opinionsundersökning. I det fallet är överlämnande av personuppgifter endast tillåtet ifall den registrerade samtycker, vilket framkommer av offentlighetslagens 16 § 3 moment. Definitionen på samtycke hittas i personuppgiftslagens 3 § 7 punkt. Samtycket skall vara en uttrycklig viljeyttring av den registrerade.

Om studerandens undersökning i någon mån kan ses som en vetenskaplig forskning, så kan personuppgifterna överlämnas i enlighet med personuppgiftslagens 14 §. Forskningen skall då bl.a. ha en ansvarig ledare och behandlingen av personregistret skall basera sig på en sakenlig forskningsplan. Om förutsättningarna står det mer om i dataombudsmannens broschyrer. Äverlämnande av sekretessbelagda uppgifter är ännu mer strikt, vilket framgår av andra broschyrer på dataombudsmannens hemsida.

Då forskningen görs bör personuppgiftslagens krav beaktas. Ifall den görs på begäran av någon och personuppgifter behandlas, är den registeransvarige enligt lagens 3 § 4 punkt den till för vars del undersökningen görs. I annat fall är studerande som gör undersökningen även registeransvarig. Den registeransvariga ansvarar för behandlingen av personuppgifter i samband med undersökningen.

Till utfrågningen bör det bifogas en förklaring om att det är frivilligt att svara på utfrågningen. Det bör även framgå vem det är som samlar uppgifterna och i vilket syfte, samt ifall uppgifterna ämnas sökas från andra instanser; även vilka dessa är. Behandlingen av personuppgifter förutsätts vara öppen, vilket framgår av lagens 24 § och 10 §. I opinionsundersökningen bör man även meddela varifrån uppgifterna har fåtts, vilket kommer av lagens 25 § 3 moment.
Mottagare av oskyddad e-post kan inte med säkerhet veta om sändaren är den som han uppger sig vara. Ett sådant e-postmeddelandes datasäkerhet är svag. Därför ansåg dataombudsmannen att det var mer sakligt att utredningen sker på annat sätt.

Ifall utfrågningen kan göras utan identifikationsuppgifter, skall svararens namn inte frågas efter, vilket kommer av nödvändighetskravet i lagens 9 §. Om det på grund av utfrågningens art har samlats in identifikationsuppgifter så bildar dessa ett personregister. För dess behandling skall bestämmelserna i personuppgiftslagen beaktas. I utfrågningen kan endast nödvändig information frågas efter, behandlingen av personuppgifterna skall enligt 6 § vara sakligt motiverad med hänsyn till undersökningens ändamål och enligt 7 § får uppgifterna behandlas endast för detta ändamål. I lagens 32 § stadgas om skyddsprincipen, vilken förpliktar till att skydda uppgifterna från utomstående. Det bör även utredas hur uppgifterna förvaras och hur de korrekt skall förstöras.

Tillämpad lagstiftning:

Personuppgiftslagen: 8 § 1 moment 7 punkt, 14 §
Offentlighetslagen: 16 § 3 moment



 
Publicerad 6.2.2014