Publicerad 18 mars 2021

Planhandlingar och dataskyddsförordningen, GDPR

I maj 2018 blev dataskyddsförordningen (GDPR) svensk lag. Syftet är att skydda fysiska personers integritet vid behandling av deras personuppgifter. SKR arbetar med att tolka vad denna nya lagstiftning praktiskt innebär för kommuner och regioner.

De rättsliga grunder för behandling av personuppgifter som lagen ger räknas upp i artikel 6 i dataskyddsförordningen och i den svenska dataskyddslagen. Båda dessa ska läsas ihop. Personuppgifter får behandlas bl a om behandlingen är nödvändig för

  • fullgörande av en rättslig skyldighet som åvilar den personuppgiftsansvarige (PuA)
  • utförande av en uppgift av allmänt intresse eller som led i den PuA:s myndighetsutövning.

Dataskyddsförordningen, Datainspektionen

Dataskyddslagen, Datainspektionen

Frågor och svar

  • Får kommunen publicera planhandlingar där det förekommer personuppgifter på kommunens webbplats under samråd, granskning och efter laga kraft?

    Ja, det är vår bedömning. För en byggnadsnämnd eller motsvarande kan publicering av planhandlingar anses vara ett allmänt intresse och ett led i myndighetsutövning och planhandlingar kan därmed i normalfallet publiceras på webbplatsen. Däremot ska kommunen naturligtvis vara noga med att inte publicera fler personuppgifter än vad som behövs för att planhandlingarna ska vara tydliga och konsekvenserna av planen uppenbara.

    Känsliga personuppgifter och personnummer finns normalt inte i kommunala planhandlingar men om det skulle finnas någon sådan uppgift så ska den/de uppgifterna tas bort eller mörkas i den version som publiceras. Samma sak gäller också för personuppgifter som rör fällande domar i brottmål eller beslut som gäller säkerhetsåtgärder (straffprocessuella tvångsmedel) i brottmål.

  • Kan vi publicera nämndens respektive fullmäktiges beslutsprotokoll på kommunens webbplats?

    Ja, under vissa förutsättningar. Nämndprotokollet med bilagor får publiceras om kommunfullmäktige bestämt att denna typ av protokoll ska publiceras. Liksom tidigare får publiceringen inte strida mot offentlighets- och sekretesslagen eller dataskyddsförordningen. Om det finns några uppgifter som är sekretessbelagda i protokollet eller bilagan så måste dessa tas bort eller mörkas innan publiceringen. Det kan till exempel gälla uppgifter i planhandlingar som kan lämna upplysning om säkerhets och bevakningsåtgärder avseende en byggnad eller anläggning (18 kap 8 § OSL). Om ärendet gäller tillsyn gällande en näringsidkare så kan sekretess gälla för affärs- eller driftförhållanden, uppfinningar eller forskningsresultat för det företaget (OSL 30 kap 27§). Det kan även finnas andra sekretessbestämmelser som skulle kunna vara tillämpliga, men mer sällan.

    Vid publicering av nämndprotokoll på den egna webbplatsen kan det göras med stöd av samma rättsliga grund som publicering av andra handlingar från verksamheten och det gäller också samma begränsningar som vid publicering av andra handlingar från verksamheten på webbplatsen. Känsliga personuppgifter och personnummer ska tas bort eller mörkas. Det kan även finnas andra uppgifter som skulle kunna anses vara kränkande för enskilda fysiska personer. Till exempel olika påståenden om grannar i en samrådsredogörelse. Det är svårt att säga var gränsen ska gå i allmänna termer. Om man bedömer att ett påstående om till exempel en fastighetsägare skulle kunna vara kränkande för denne så bör det tas bort eller mörkas före publiceringen. Man får utgå från att nämndprotokoll alltid ska granskas innan det kan publiceras. Man kan normalt använda sig av den rättsliga grunden att behandlingen är nödvändig med hänsyn till ett allmänt intresse. Det allmänna intresset kan också enligt vår bedömning omfatta publicering av protokollen på egen webbplats, men nödvändighetsrekvisitet kan knappast åberopas för publicering av uppgifter som kan vara kränkande för den enskilde.

    Lagstöd för publicering av nämndprotokoll finns även i 8 kap 10 § 4 p. kommunallagen. Den bestämmelsen gäller specifikt publicering på kommunens anslagstavla.

  • Vilken typ av personuppgifter bör respektive bör inte användas i planhandlingar?

    Personuppgifter får användas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag, annan författning, följer av kollektivavtal eller följer av beslut som meddelats med stöd av lag. (2 kap 1§)

    Personuppgifter får också användas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. (2 kap 2§)

    Att behandlingen är nödvändig betyder i det här fallet att behandlingen är ändamålsenlig, effektiv och proportionerlig.

    Det finns alltså inget hinder för kommunen att i en planhandling använda sig av de personuppgifter som behövs för kommunens myndighetsutövning. I myndighetsutövningen vid planläggning ingår exempelvis att på ett tydligt sätt redogöra för konsekvenserna av ett planförslag eller att återge och bemöta inkomna synpunkter. Det som är viktigt att tänka på vid planläggning är alltså att inte använda personuppgifter i större omfattning än vad som behövs för att fullgöra kraven enligt PBL. I många fall bör det räcka med att ange exempelvis fastighetsbeteckning för att en planhandling ska bli tydlig och begriplig, medan personnamn på fastighetsägare eller andra som lämnat synpunkter inte har betydelse för förståelsen av planen, och därför kan utelämnas.

  • Hur ska personuppgifter hanteras i samrådsredogörelse och granskningsutlåtande?

    Det är lämpligt att sammanfatta inkomna synpunkter i samrådsredogörelse och granskningsutlåtande. Det blir då lättare att sålla bort de eventuella personuppgifter som saknar betydelse för planarbetet eller för förståelsen av det inkomna yttrandet. Publicering av fastighetsbeteckningar eller adresser bör dock i de flesta fall kunna betraktas som nödvändig behandling för kommunens myndighetsutövning. I ett samrådsyttrande kan känsliga personuppgifter förekomma, så som politisk tillhörighet eller hälsotillstånd avseende privatperson. Dessa bör aldrig redovisas i samrådsredogörelsen. Det är viktigt att poängtera att de inkomna yttrandena i sin helhet är allmän handling. Dessa går alltid att ta del av på begäran och ersätts inte av samrådsredogörelsen.

  • Hur påverkar GDPR utlämnande av allmän handling?

    Offentlighetsprincipen och kravet att allmänna handlingar ska utlämnas på begäran, i de delar som inte innehåller några sekretessbelagda uppgifter, har alltid företräde framför GDPR. Normal sekretessprövning ska göras. Att handlingar är publicerade på en kommuns webbplats påverkar inte allmänhetens rätt att begära ut samma handlingar med stöd av offentlighetsprincipen.

  • Finns det tillfällen där samtycke enligt GDPR bör krävas under en planprocess?

    Nej, samtycke ska inte inhämtas. Planprocessen innebär att kommunen utför arbetsuppgifter som är av allmänt intresse och/eller utgör myndighetsutövning varför personuppgifter får behandlas om det är nödvändigt enligt den betydelse det begreppet har i dataskyddsförordningen.

Informationsansvarig

  • Christina Thulin
    Handläggare

Kontakt

Kontakta SKR

Har du en fråga med anledning av det pågående virusutbrottet?

Titta först på våra frågor och svar som finns här på webbplatsen.

Covid-19 och det nya coronaviruset