Förvaltningsrätten stöttar Datainspektionens beslut – SND:s personuppgiftsbehandling otillåten

Datainspektionen (DI) konstaterade 18 april, 2012, att styrelsen för Göteborgs universitet (GU) är personuppgiftsansvarig för den personuppgiftsbehandling som utförs inom ramen för Svensk Nationell Datatjänst (SND) samt att GU saknar rättsligt stöd för behandlingen. Datainspektionen förelade därför Göteborgs universitet att upphöra med insamling och övrig behandling av personuppgifter i material insamlat inom ramen för Svensk Nationell Datatjänst. Länk till DI:s tillsyn av GU/SND per 2012-04-18.

Göteborgs universitet överklagade 10 maj, 2012, Datainspektionens beslut ovan. GU ansåg bland annat att Datainspektionens beslut bygger på en alltför generell bedömning, där det inte alls preciseras vilka personuppgiftsbehandlingar som sker i strid med personuppgiftslagen. Överklagandet från GU skickades till förvaltningsrätten i Stockholm och processen inleddes med att Datainspektionen gavs möjlighet att besvara GU:s/SND:s synpunkter och yrkande om att inspektionens beslut ska undanröjas av förvaltningsrätten. Länk till information om överklagandet via SND:s webbplats.

Förvaltningsrätten i Stockholm avslog 14 oktober, 2013, GU:s överklagade enligt nedan:

”Förvaltningsrätten kan inte finna annat än att handlingarna i målet visar att syftet med SND:s behandling av personuppgifter är att möjliggöra framtida forskning. Detta ändamål kan inte anses vara tillräckligt specificerat för att kravet i 9 § första stycket c PuL ska anses vara uppfyllt. I och med att detta krav inte är uppfyllt saknas skäl att gå in på bedömningen av om övriga förutsättningar i 9 § PuL är uppfyllda. Förvaltningsrättens uppfattning är således, liksom Datainspektionens, att universitetets personuppgiftsbehandling inom ramen för SND är otillåten. Överklagandet ska avslås.” Länk till förvaltningsrättens dom.