Nyligen skickade jag ett antal frågor om myndigheter och sociala medier till ansvariga på Datainspektionen, Justitieutskottet och Justitiedepartementet. Syftet var att utreda hur rådande lagstiftning påverkar vad myndigheterna kan göra i sociala medier. Jag tänker exempelvis på diarieföring, krav på svarstid, vad som är juridiskt bindande etc.

Igår fick jag svar av Datainspektionen. Måste bara applådera deras sätt att hantera inkommande ärenden! Snabbt och bra svar av en kompetent jurist. Får se om Thomas Bodström och Beatrice Ask har lika kompetenta underhuggare.

Här kan du läsa Datainspektionens svar:

Hej,

Du ställde tidigare i veckan en fråga till Datainspektionens generaldirektör angående hans syn på myndigheters användning av s.k. sociala medier. Med anledning av jag har arbetat med dessa frågor har han bett mig besvara dina frågor.

Inledningsvis måste jag dock konstatera att dina frågor handlar till stor del om frågor om ligger utanför Datainspektionens ansvarsområde. De svar inspektionen kan ge dig handlar i första hand om tillämpning av personuppgiftslagen.

Myndigheters användning av sociala medier väcker ett stort antal rättsliga frågor, bl.a. offentlighetsprincipens tillämpning, förvaltningslagens serviceskyldighet, arkivfrågor, diarieföring m.m. Förenklat sett gäller samma regler för myndigheternas verksamhet i sociala medier som när myndigheterna agerar i övrigt. Om en myndighet väljer att besvara en fråga på en privatpersons blogg måste myndigheten följa samma regler som om myndigheten hade besvarat frågan i telefon, i vanligt brev, e-post eller vid ett möte.

I dessa sammanhang är det naturligtvis mycket viktigt att särskilja de situationer då det handlar om ärendehandläggning mot enskild, i synnerhet då det handlar om myndighetsutövning. Att i sådana situationer använda kommunikationskanaler där informationen kan spridas till fler än den enskilde är troligen mycket svårt att förena med de rättsliga kraven som ställs på en myndighet.

Utöver de rättsliga frågorna handlar det också om lämplighetsbedömningar, dvs. frågan om det är lämpligt om myndigheter använder sig av vissa kommunikationskanaler.

Datainspektionen har ännu inte haft anledning att ta ställning i frågor om personuppgiftslagens (andra integritetsskyddslagars) tillämpning på myndigheters användning av bloggar, etc. Däremot har vi i andra ärenden berört några angränsande frågor.

I ett beslut från januari i år kom vi fram till att ett företag som tillhandahöll en s.k. betygssajt, där användarna kunde lägga in omdömen om näringsidkare, är personuppgiftsansvarig för användarnas kommentarer. Det är troligt att slutsatsen hade varit densamma om en myndighet hade tillhandahållit tjänsten.
Vi har också nyligen argumenterat i ett ärende som är överklagat till Kammarrätten att myndigheternas personuppgiftsansvar då de inrättar e-tjänster för allmänheten innebär att de måste ta ett visst ansvar för säkerheten i det överföringssättet som myndigheten har anvisat den enskilde att använda vid kommunikation med e-tjänsten. Något förenklat uttryckt innebär detta, enligt Datainspektionens synsätt, att en myndighet får inte uppmana en enskild att sända in t.ex. känsliga personuppgifter via e-post eller via något annat överföringssätt som inte anses tillräckligt säkert.

När det gäller tillämpningen av personuppgiftslagen på de scenarior som du nämner, kan bl.a. följande sägas.

Personuppgiftslagen är tillämplig om den personuppgiftsansvarig är etablerad i Sverige eller då utrustningen som används för behandlingen av personuppgifter finns i Sverige. Om en myndighet använder sig av Facebook och besvarar frågor via sin facebooksida innebär det normalt att det är myndigheten som är personuppgiftsansvarig. Att företaget Facebook är etablerat utanför Sverige kan ha betydelse för myndighetens möjligheter att vidta lämpliga säkerhetsåtgärder (31 § personuppgiftslagen). Behandlingen innebär också en överföring av personuppgifter till tredje land som endast är tillåten under vissa förutsättningar (33-34 §§ personuppgiftslagen). Frågor som dessa – där det inte alltid är möjligt att komma till ett uttömmande svar – bör påverka myndighetens bedömning av lämpligheten att använda denna typ av tjänster.

När anställda (inkl chefer) uttalar sig (oavsett kommunikationskanal) har det betydelse för den rättsliga bedömningen om han eller hon uttalar sig privat eller i tjänsten. Det är inte alltid helt enkelt att klargöra var gränsen går däremellan. Prövningen måste göras i det enskilda fallet. Om han eller hon uttalar sig privat är det självfallet dennes privata ansvar. Om han eller hon uttalar sig i tjänsten är det myndigheten som ansvarar. Dessutom kan personen vara skyddad av meddelarfrihet enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. En myndigheten kan normalt aldrig åberopa grundlagsskyddet för yttrandefrihet.

Det är en fråga som inte är specifik för sociala medier och som inte heller ligger inom Datainspektionens ansvarsområde.

Jag hoppas att detta har gett dig några svar på dina frågor.

Med vänliga hälsningar
/(namn borttaget)

Observera att detta svar inte är ett beslut från Datainspektionen utan är tänkt att ge allmän vägledning kring din frågeställning och belysa bestämmelser i personuppgiftslagen som kan vara aktuella i ditt ärende.

Kategorier: Mediestrategi