Hoppa till huvudinnehåll

Huvudstadsregionen

Helsingfors strök tjänstemäns och ledamöters namn i rapport – offentlighetsprincipen och dataskyddsförordningen står i strid

En rapport, där flera namn strukits. Händerna på en person syns, hen sträckar över delar av texten med en markeringstusch.
Bildtext I rapporten hade förtroendevaldas och tjänstemäns namn istället ersatts med stjärnor.

Kan man välja att lämna bort offentliga uppgifter i ett offentligt dokument som publiceras på webben, med hänvisning till dataskyddsförordningen? Det enkla svaret är ja – men också nej. Grundprincipen är att offentlighet och internet inte är samma sak.

Inför Helsingfors stadsstyrelses möte den första november publicerades en bilaga i föredragningslistan utan namn på varken ledamöter eller tjänstemän. I stadens tvåspråkighetskommittés rapport hade namnen istället ersatts med stjärnor – trots att informationen om vem som är medlem i kommittén är offentlig och går att hitta bland annat på kommitténs egna sida på stadens webbplats.

När Yle Huvudstadsregionen vänder sig till stadskansliet för att fråga varför man valt att göra så hänvisar man först till GDPR, alltså EU:s dataskyddsförordning, och konstaterar att det inte går att publicera dokument som innehåller personuppgifter för fritt elektroniskt bruk.

En teknisk miss

I en intervju som görs senare konstaterar förvaltningschef vid stadskansliets Antti Peltonen snabbt att anonymiseringen var en miss.

– Namnen i den här rapporten är förtroendevalda medlemmar i kommittén, och det är inte fel att publicera sådan information på webben. Här blev det något slags fel, säger Peltonen.

Specialplanerare Olli Lehtonen vid staden som var den som laddade upp den anonymiserade bilagan bekräftar i ett e-postmeddelande att det handlade om en nödlösning en sen fredagseftermiddag. 

En skärmdump från ett offentligt dokument, där förtroendevalda ledamöter har anonymiserats med stjärnor i namnens ställen.
Bildtext Namnen på ledamöter, ersättare och tjänstemän anonymiserades med stjärnor.

Bilagan var nämligen felaktigt märkt som innehållandes personuppgifter, och då döljer systemet automatiskt bilagan på stadens webbplats. För att kringgå problemet och snabbt göra bilagan synlig i föredragningslistan igen valde Lehtonen att anonymisera namnen.

“Tyvärr var det en dum lösning som jag först hittade på”, skriver Lehtonen i mejlet.

Ärendet bordlades på mötet och i föredragningslistan för mötet den 8 november finns rapporten uppladdad med namnen inkluderade.

“All offentlig information ska man inte lägga ut på internet”

Fallet väcker ändå frågan om huruvida en myndighet med hänvisning till GDPR kan låta bli att publicera namn på en webbplats. Att alltid publicera offentliga uppgifter är inte alls självklart, säger ledande jurist vid Kommunförbundet Ida Sulin.

– Här måste man fundera: finns det ett behov av att uppgifterna finns ur en dataskyddssynvinkel? Tanken är ju att man ska lägga ut så lite personuppgifter som möjligt på internet – speciellt som myndighet. Därför måste man ofta, från ärende till ärende, bedöma vad som egentligen är nödvändigt att lägga ut.

Offentlighetslagen är skriven i en tid då internet knappt fanns.

― Ida Sulin

Att någonting är offentlig information är inte det samma som att informationen måste läggas ut på internet, konstaterar Sulin.

– Vår offentlighetsprincip betyder att folk ska ha tillgång till myndigheternas handlingar och information, men det är aldrig sagt på vilket sätt man ska ha den. Offentlighetslagen är skriven i en tid då internet knappt fanns och utgångspunkten är att man har rätt att få informationen om man frågar efter den, men det finns inget krav på att informationen ska vara tillgänglig på internet.

Två principer som krockar

Vid Helsingfors stad är det i princip den beredande tjänstemannen som bedömer när något som kan klassas som personuppgifter ska publiceras och när man ska låta bli. Det är inte alltid en lätt uppgift, säger Peltonen.

– I kommunallagen står det att kommunen ska informera invånarna. Men i samma paragraf sägs också att kommunen ska se till dels att sekretessbelagd information inte sprids på internet, men också att skyddet för privatlivet ska tillgodoses vid behandlingen av personuppgifter, säger förvaltningschef Peltonen.

När det gäller publicering av protokoll på nätet ska personuppgifter enligt kommunallagen publiceras endast om de är nödvändiga.

– Det är kanske det svåraste att tolka. Handlingarna är förstås offentliga, men om personuppgifterna ska publiceras på nätet är en annan fråga. Samtidigt måste vi publicera sådana personuppgifter som bedöms vara nödvändiga.

Vad säger lagen?

Dataskyddsförordningen är instiftat av Europeiska unionen med syfte att skydda personuppgifter och ge den enskilda individen makt över hur ens personuppgifter behandlas. Att få den att passa ihop med offentlighetsprincipen är knöligt.

– GDPR är framförhandlat av 21 medlemsländer av vilka tre eller fyra känner till offentlighetsprincipen. Den är inte offentlighetsanpassad på något vis och vi har ett styvt jobb med att försöka passa ihop de här två paketen, så är det ju, konstaterar Sulin.

Hon tror ändå inte att det finns någon risk att dataskyddsförordningen skulle äventyra offentlighetsprincipen – avsiktligen eller oavsiktligen – så länge man förstår skillnaden mellan att något är offentligt och att något finns på internet.

– Allting offentligt behöver inte finnas på internet.