I flera olika sammanhang under den senaste tiden har relationen mellan GDPR och den svenska yttrandefrihetsgrundlagen (”YGL”) varit uppe för diskussion. Anledningen är att databaser med så kallat frivilligt utgivningsbevis har grundlagsskydd i Sverige och på den grunden inte har ansetts alls behöva följa reglerna om personuppgiftsbehandling i GDPR.
I GDPR anges att medlemsländerna ska förena integritetsskyddet i GDPR med yttrande- och informationsfrihet, som behandling av personuppgifter för journalistiska ändamål. Redan vid införandet av GDPR 2018 fördes diskussioner mellan EU-kommissionen och Sverige kring Sveriges undantag från GDPR för databaser med frivilligt utgivningsbevis. Vid upprepade tillfällen därefter har EU-kommissionen framfört att enskildas integritetsskydd riskerar att kränkas om GDPR inte tillämpas för databaser med frivilligt utgivningsbevis. Diskussionerna har särskilt fokuserat på databaser som utgör söktjänster och publicerar en stor mängd personuppgifter om enskilda.
Här nedan redogör vi kort för sammanhang där olika frågor om relationen mellan GDPR och YGL varit uppe för diskussion och prövning den senaste tiden.
Innehåll som publiceras på en databas som har ett frivilligt utgivningsbevis är grundlagsskyddat enligt YGL. Enligt den svenska lagen med kompletterande bestämmelser till GDPR ska GDPR inte tillämpas i den utsträckning som det skulle strida mot YGL. Detta har hittills tolkats som att databaser som har ett utgivningsbevis inte alls behöver följa GDPR. Till följd av att en databas har utgivningsbevis och undantas från GDPR:s tillämpningsområde, fråntas också berörda individer de rättigheter som de annars skulle ha enligt GDPR, till exempel rätten att få sina uppgifter raderade.
I YGL finns en begränsning av grundlagsskyddet som öppnar för att GDPR ska tillämpas om det i lag har meddelats förbud mot att offentliggöra vissa särskilt integritetskänsliga uppgiftssamlingar. Det rör till exempel uppgifter om hälsa eller sexuell läggning. Den 27 februari 2024 beslutade Högsta förvaltningsdomstolen (HFD) att meddela prövningstillstånd för att pröva om GDPR är en sådan lag som innehåller förbud mot offentliggörande av känsliga personuppgifter (mål nr i HFD 4588–23).
Målet som ska tas upp i HFD rör en söktjänst med utgivningsbevis som tillgängliggjort uppgifter i sin databas om att någon är eller har varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk. Sådana känsliga uppgifter är som huvudregel förbjudna att behandla enligt GDPR. Det blir intressant att få HFD:s syn på hur GDPR och YGL förhåller sig till varandra och särskilt om GDPR ska anses förbjuda offentliggörande av sådana särskilt integritetskänsliga uppgifter.
Ett sätt för söktjänster med utgivningsbevis att få information är att begära ut allmänna handlingar från myndigheter och därefter publicera uppgifterna på sina grundlagsskyddade databaser. Enligt svensk offentlighets- och sekretesslagstiftning ska sekretess gälla för personuppgifter om det kan antas att uppgifter efter ett utlämnande kommer att behandlas i strid med GDPR.
Sekretessbegränsningen har tidigare inte ansetts vara tillämplig på publicering av uppgifter på databaser med utgivningsbevis som inte omfattas av GDPR. Under början av 2024 har dock två tingsrätter, Malmö tingsrätt och Umeå tingsrätt, nekat att lämna ut allmänna handlingar (förundersökningsprotokoll respektive brottmålsdomar) på begäran av företag med utgivningsbevis, med hänvisning till att det kunnat antas att uppgifterna skulle komma att behandlas i strid med GDPR.
I tingsrätternas beslut argumenteras bland annat för att den svenska implementeringen av GDPR är tvivelaktig och att ett utgivningsbevis för en databas inte innebär att alla delar av en behandling är undantagen från kraven i GDPR. Enskildas integritetsskydd enligt GDPR ansågs således väga tyngre än företagens grundlagsskydd.
Lexbase är ett företag med frivilligt utgivningsbevis som på sin databas publicerar brottmålsdomar. En man som dömts för brott har stämt Lexbase och kräver skadestånd, eftersom domen om honom är sökbar hos Lexbase. Han hävdar att bolaget därmed bryter mot GDPR.
Attunda tingsrätt, som ska döma i tvisten, har i början på mars vänt sig till EU-domstolen för att få ett så kallat förhandsavgörande med vägledning i tolkningen av hur GDPR inverkar på YGL:s bestämmelser om frivilligt utgivningsbevis och det svenska journalistikundantaget.
Tingsrätten noterar att GDPR är otydlig och har ställt tre frågor till EU-domstolen, bland annat om tolkningen av ”journalistiska ändamål”. Av GDPR följer att medlemsländerna ska förena integritetsskyddet i GDPR med yttrandefrihet och information, som behandling av personuppgifter för journalistiska ändamål, men det är inte definierat vad som utgör journalistiska ändamål.
EU-domstolens kommande klargöranden om tolkningen av GDPR kommer att påverka Attunda tingsrätts bedömningar av frågorna i skadeståndsmålet mot Lexbase. Om domen senare skulle komma att prövas av Högsta domstolen (HD) kan den få konsekvenser för hur Sverige tillämpar YGL och GDPR framöver.
Parallellt med att relationen mellan GDPR och YGL dyker upp i domstolssammanhang pågår också en statlig utredning som ser över det grundlagsskydd som följer med frivilliga utgivningsbevis. Regeringen har särskilt framfört att skyddet för den personliga integriteten när personuppgifter offentliggörs på internet behöver stärkas. Läs regeringens pressmeddelande här.
Frågor om integritetsskydd och svensk lags förenlighet med GDPR vad gäller utgivningsbevis är högaktuella nu. Vi på Cederquist håller oss uppdaterade på rättsutvecklingen och är välinsatta i dessa frågeställningar. Hör gärna av dig till oss om du har några frågor.