Dom i mål om tillsyn enligt EU:s dataskyddsförordning

Mål: 4588-23
EU:s dataskyddsförordning är en sådan lag med förbud mot offentliggörande av personuppgifter som avses i 1 kap. 20 § yttrandefrihetsgrundlagen
Sammanfattning.

Målet avser ett bolag som tillhandahåller en databas där det ingår domstolsavgöranden om psykiatrisk tvångsvård och om vård av missbrukare. Bolaget har utgivningsbevis och verksamheten faller därmed som utgångspunkt inom yttrandefrihetsgrundlagens område. Av en undantagsbestämmelse i yttrandefrihetsgrundlagen framgår att bestämmelserna i grundlagen inte hindrar att det i lag meddelas föreskrifter om förbud mot offentliggörande av uppgifter om bl.a. hälsa. Enligt EU:s dataskyddsförordning gäller att behandling av personuppgifter om hälsa i princip är förbjuden. Integritetsskyddsmyndigheten ingrep med stöd av EU:s dataskyddsförordning mot bolagets verksamhet. Frågan i målet var om EU:s dataskyddsförordning är en sådan lag med förbud mot offentliggörande av personuppgifter som avses i yttrandefrihetsgrundlagens undantagsbestämmelse. Högsta förvaltningsdomstolen konstaterade att det framgår av förarbetena till undantags-bestämmelsen att avsikten är att EU-förordningar ska omfattas och därför kunna utgöra sådan reglering som undantas från grundlagens tillämpningsområde. Vidare anges att EU:s dataskyddsförordning kommer att gälla. Därutöver konstaterade domstolen att begreppet ”lag” även i andra lagstiftnings¬ärenden har ansetts kunna syfta på en EU-förordning. Mot denna bakgrund fann Högsta förvaltningsdomstolen att EU:s dataskyddsförordning är en sådan lag med förbud mot offentliggörande av personuppgifter som avses i undantagsbestämmelsen