Att uppgifter som finns i arkiv inte ska ändras är inte så konstigt egentligen. Arkivet är ett minne över vad myndigheter har gjort, det som är bra, det som är dåligt och det som är fel. Att ändra i ett arkiv är att skriva om historia, något som jag personligen tycker att vi ska vara lite försiktiga med. Men innan uppgifterna blivit arkiverade så ska de gå att rätta. Hur detta går till eller inte går till idag är det den här artikeln kommer att kort belysa.
Principen om korrekthet är en grundläggande princip inom informationssäkerhet och dataskydd. Uppgifter ska vara korrekta helt enkelt. I dataskyddsförordningen (GDPR) översätts denna princip till rätten till rättelse. En rättighet utan undantag, förutom såklart i de fallen där lagen inte gäller. Ett sådant fall kan vara när uppgifter ska arkiveras. GDPR har nämligen en undantagsregel vad gäller just personuppgifter som ingår i arkiv, som innebär att vissa rättigheter i GDPR kan lagstiftas bort. I Sverige har rätten till rättelse för uppgifter som finns hos arkivmyndigheter lagstiftats bort genom arkivförordningen.1
Utmaningen kring uppgifters korrekthet
Ett exempel för att måla upp vår scen:
En man går till läkaren och klagar på att han har svårt att äta. Läkaren tittar på mannen och ser att han är olycklig, ställer frågor om mannens liv och får olyckan bekräftad. Mannens fru har precis lämnat honom, hans hund har dött och han fick nyligen sparken. Läkaren diagnosticerar mannen med depression och ätstörning. Uppgifterna förs in i mannens journal. Han får tid hos en psykolog.
Mannen går därefter till en annan läkare eftersom samtalen med psykologen inte lett till att han har fått det lättare att äta, även om han i viss mån känner sig stärkt av samtalen. Läkare #2 frågar mannen om han gillar att äta rå kyckling, till vilket mannen svarar jakande. Läkare #2 konstaterar magtarmbakterier och skriver ut antibiotika, samt föreslår för mannen att han ska tillaga sin kyckling i framtiden. Uppgifterna förs in i mannens journal. Mannen blir bättre av antibiotikan och när han lärt sig hur spisen fungerar så försvinner problemen helt.
Nu har mannen två diagnoser skrivna i sin journal som kan påverka mannens förmåga att inta föda: ätstörning samt campylobacter. Men vilken av dessa uppgifter är korrekt? Det vi vet är att mannen kan äta efter samtal med psykolog samt efter att han slutat äta rå kyckling. Vi vet också att problemen att äta inte gick över efter enbart samtal med psykolog. Detta talar för att campylobacter var rätt diagnos. Om situationen hade varit omvänd så hade däremot diagnosen “ätstörning” sett mer korrekt ut. Om en åtgärd eller två var nödvändiga för att bota mannen vet vi inte.
Allmänna handlingar
När uppgifterna förts in i mannens journal har de blivit del av en allmän handling hos myndigheten som för mannens journal, troligen regionen där mannen bor. När uppgifterna vid något tillfälle skickas till en annan myndighet blir de del av allmänna handlingar hos den mottagande myndigheten. Det finns nu uppgifter i dessa handlingar som kan vara inkorrekta, om så är fallet borde dessa uppgifter rättas. Kruxet som uppkommer är att uppgifter i allmänna handlingar inte får raderas.2 Eller som JO skriver: ”Till begreppet allmän handling är kopplat viktiga rättsverkningar, som avser allmänhetens insyn och kontroll av myndigheternas verksamhet. En sådan handling kan därför inte utan vidare ändras. Självfallet får och skall en felaktig uppgift rättas. En felaktig uppgift får dock inte raderas bort.”3
Syftet med att bibehålla integriteten hos felaktiga uppgifter i allmänna handlingar är alltså för att vi som medborgare ska få en möjlighet att granska makten. En myndighet ska inte få ändra i handlingar för att det passar dem, eller för att förhindra att information sprids. Att en felaktig diagnos har ställts skall finnas kvar, annars kan myndigheten inte lära sig av sina misstag.
Men syftet med rätten till rättelse i GDPR är att värna den enskilde och principen om uppgifters korrekthet. Korrekta uppgifter leder till korrekta beslut. Inkorrekta uppgifter leder inte till korrekta beslut. Mannen ska därmed ha möjlighet att påpeka att han aldrig haft en ätstörning, om han nu inte hade en ätstörning, och få uppgiften ändrad.
Error carried forward
När jag läste matematik i gymnasiet så vägde våra uträkningar tyngre vid betygsättningen än de svar vi kom fram till. Om det blivit ett fel tidigare i uträkningen och det felet följde med fick vi avdrag för felet som var gjort men inte för att vi svarade fel, eftersom vi svarade rätt baserat på den uträkning vi hade gjort. ”Error carried forward” kallade matteläraren det här.
När en myndighet fattar beslut så gör den det på den information som kommer fram i underlaget som ligger till grund för beslutet. Om det finns felaktigheter i underlaget så följer dessa med. Beslutet blir korrekt, underlaget är fel, error carried forward. En läkare ordinerar psykolog. I vissa fall kan det här innebära att en person får ett beslut som går den emot. Den som vill överklaga ett sådant beslut kämpar typiskt sett i motvind. Beslutet är korrekt under de förutsättningar som det uppstått.
För att grunderna för ett beslut ska bli korrekta behöver uppgifterna rättas. Men detta är inte alltid möjligt. Exempelvis beskriver Försäkringskassans i sin riktlinje kring registervård situationen såhär: ”[R]ättelse inte ska ske enbart därför att uppgifter som framstod som riktiga eller rimliga när de samlades in senare har visat sig vara oriktiga.”4 Rättelse ska alltså enligt Försäkringskassans egen vägledning inte göras om den som samlade in uppgifterna trodde de stämde överens med verkligheten när de samlades in. Försäkringskassan hänvisar även till ett avgörande från JK och tolkar det såhär: ”För att det ska anses utgöra en felaktig personuppgift krävs att det rör sig om ett rent handhavandefel i samband med registreringen.”5
Konsekvensen av det här är att vi har en myndighet, och säkert flera, som menar att uppgifter som inte stämmer överens med verkligheten är korrekta, utom om det rör sig om “rena handhavandefel” så som till exempel att ett namn stavas fel. Eftersom mannens namn stavats ”mannen” varje gång finns här inga problem.
En felaktig uppgift från en myndighet eller annan källa kommer till Försäkringskassan och kan därefter inte rättas. Uppgifterna ligger sen till grund för beslut. Mannen ges en möjlighet att påpeka det här inför beslut genom följande standardskrivelse från FK: ”Hör av dig om något i underlaget inte stämmer, eller om du vill lägga till något. Om du skickar ett brev så skriv ditt personnummer på det som du skickar in. Sista dagen för att svara är [datum om tre veckor]. Sedan kommer Försäkringskassan att fatta ett beslut.”
Men eftersom även de uppgifter som inkommit tidigare anses vara korrekta så uppstår en situation där myndigheten trots invändningar om bristen på korrekthet i underlaget ej anser sig själv ha en skyldighet att ändra i förslaget till beslut. Mannen påpekar att han inte har en ätstörning och får följande svar: ”Försäkringskassan har gått igenom ditt ärende på nytt, samt beaktat dina synpunkter, men finner inte skäl för att ändra beslutet.”
Vem äger korrektheten?
Det intressanta i Försäkringskassans bedömning och läsning av JK:s avgörande är att JK aldrig sagt att rättelse inte är aktuellt i andra situationer än vid rena handhavandefel. Det JK konstaterade i sitt avgörande var att handhavandefel leder till ”registerskada” Men att andra fel ska bedömas utifrån allmän skadeståndsrätt.6
JK tog alltså aldrig upp frågan om andra felaktigheter skall rättas eller inte. Det enda de konstaterade var att felregistreringar leder till skadestånd under PUL direkt. Rätten till rättelse aktualiserades inte alls.
Vad JO konstaterat gällande rättelse är att följande kan göras för att rätta en felaktig uppgift i handlingar: ”En korrekt hantering [—] hade varit att rätta de felaktiga uppgifterna, t.ex. genom att vid respektive post ange i en tillagd, daterad och signerad rättelsemening att posten var felaktigt införd. Nämnden bör således se till att det i dess datasystem läggs in rutiner som möjliggör att felaktiga uppgifter i diariet rättas i stället för att raderas.”7
Att notera i JO:s uttalande är att det i förevarande fall rörde sig om just handhavandefel, i det här fallet felaktigt införda händelser i en postlista. Någon direkt slutsats om huruvida rätten till rättelse även gäller sådant som inte är handhavandefel kan vi därför inte dra där. I stället vänder vi oss utåt, och tittar på EU.
I avgörandet av det tyska fallet HBDI-62334 noterades det att ändring av felaktiga personuppgifter, som den registrerade själv uppgett medvetet, omfattades av rätten till rättelse.8 Därav kan vi dra slutsatsen att en källa till uppgifter i viss mån styr uppgifternas korrekthet hos mottagaren. Uppgifter som en myndighet tagit in från andra skall alltså läsas på så vis att senare uppgifter som är i konflikt med tidigare har företräde gentemot de tidigare uppgifterna. Eventuell konflikt mellan mannens diagnoser leder till att den senare är ”rätt”.
Men om både de felaktiga uppgifterna och de uppgifter som är korrekta finns med i ett beslutsunderlag så läggs en stor börda på den enskilde handläggaren att identifiera både konflikt i uppgifter samt när uppgifterna upprättades i relation till varandra.
Vilken tur då att Försäkringskassan struntar i om uppgifter faktiskt stämmer överens med verkligheten eller inte i bedömningen av om de är korrekta. Då blir belastningen på handläggaren att göra en avvägning vilka uppgifter som kan ligga till grund för beslut lite enklare, eftersom alla uppgifter då kan ligga till grund för beslut. Men rätten till rättelse, den syns inte riktigt till.
Slutsats
I princip skall felaktiga uppgifter hos myndigheter rättas. Det enda undantaget till den här regeln är när handlingarna där uppgifterna finns har arkiverats. Problematiken som finns idag avseende denna rättighet är att de mer mjuka uppgifterna, så som bedömningar av olika slag, enligt vissa myndigheter inte omfattas av rättigheten. Konsekvensen blir att motstridiga uppgifter, trots att källan är densamma, båda är korrekta och kan ligga till grund för beslut. Vad det faktiska beslutet blir spelar mindre roll. Error carried forward innebär i det här fallet att mannen har en ätstörning, oavsett om han vill eller ej.
Källor:
- Det här har lett till en viss förvirring hos hela Sveriges arkivariekår, som av någon
anledning menar att arkivlagen går före GDPR men så funkar det alltså inte riktigt
(mer om det i en framtida artikel). - Mannen kan begära journalförstöring, för att få sina uppgifter borttagna från journalen. Men det här är en särskilt reglerad och lite komplex fråga i vilken det finns en
stark presumtion för att uppgifterna är korrekta. JFR: Patientdatalagen 8:4. - JO:s ämbetsberättelse 1993/94 s. 305 – med hänvisning till konstitutionsutskottets
betänkande 1982/83:12 s. 22, SOU 1984:73 s. 171 och JO:s beslut den 26 januari
1985 dnr 1131-198 - Registervård (rättelse av personuppgifter), Försäkringskassan, Dnr 9715-2018
- JK beslut 2009-09-28, dnr 2617-08-42 – https://www.jk.se/beslut-och-yttranden/2009/09/2617-08-42/
- ”Frågan om vad som ska anses utgöra en registerskada i PUL:s mening är inte
helt lätt att besvara. I Justitiekanslerns praxis har man brukat fästa avgörande vikt vid
om det är ett rent handhavandefel i samband med registreringen, eller om det också
rör sig om något tankefel eller en bearbetning av uppgifterna av intellektuellt slag. I
det senare fallet anses det inte föreligga en registerskada, utan då får felet bedömas
uteslutande enligt skadeståndslagens regler.”” - JO dnr 4639-2007
- https://gdprhub.eu/index.php?title=HBDI_(Hesse)-_62334(IMI_Case)
Joakim Söderberg är dataskyddsjuristen jobbar brett med GDPR. Bland annat har Joakim varit myndighetschef på Datainspektionen på Åland, samt drivit framgångsrika processer angående enskildas rättigheter i domstol. Just nu är han dataskyddsombud i Uppsala Stift, cirkelledare i Dataföreningen Sverige, poddar i ”Prata GDPR med oss!” och en sporadisk bloggare på https://www.datajurist.se/
