Add to collection(s) Add to saved
  1. Arts & Humanities
  2. Kommunikation
  3. Marknadsföring

Faktablad Personuppgiftslagen (PUL)

Personuppgiftslagen (PUL)
December 2007
Så berör den dig som företagare
VAD SÄGER LAGEN?
Allmänt
Personuppgiftslagen, PUL, som bygger på ett EGdirektiv, började gälla 1998. Den 1 januari 2007 infördes
en rad förändringar i PUL. Många av dessa förändringar
innebär lättnader för företagen.
PUL innehåller numera två olika regelsystem. Det ena systemet består av en rad detaljerade regler, som styr hur
hanteringen av personuppgifter får gå till. Detta system
gäller för behandling av personuppgifter i strukturerat material som till exempel dataregister, databaser samt dokumenthanteringssystem. Strukturen ska vara sådan att det
är påtagligt enklare att söka eller sammanställa personuppgifter.
Det andra regelsystemet i PUL infördes bl.a. eftersom
hanteringsreglerna ansågs alltför byråkratiska i vardagliga
situationer. Om personuppgifterna inte strukturerats för
sökning får hantering i princip utföras fritt, så länge inte
den vars personuppgifter behandlas blir kränkt. En enkel
namnlista på nätet innebär normalt sett inte ett sådant
strukturerat system.
Vad är personuppgifter?
Personuppgifter handlar om sådant som rör oss som individer. Det är inte bara uppgifter såsom namn, adress och
personnummer som är personuppgifter. Som personuppgifter räknas allt som direkt, eller indirekt, kan knytas till
en levande fysisk person. Det innebär att även uppgifter
som bilars registreringsnummer och fotografier kan vara
personuppgifter.
Viken behandling omfattas av lagen?
PUL gäller behandling av personuppgifter, vilket omfattar
inte bara registrering utan även annan behandling av personuppgifter. Med behandling avses därför allt som görs
med personuppgifter, oavsett om det sker i en dator eller
på papper. Alla regler i PUL gäller dock inte för alla typer
av behandling.
Personuppgiftsansvarig - personuppgiftsbiträde
Vanligen är den juridiska person som behandlar personuppgifter i sin verksamhet personuppgiftsansvarig. Det
faktum att det är en anställd i bolaget som beslutat om behandlingen gör inte att denne blir personuppgiftsansvarig.
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning utanför organisationen är ett personuppgiftsbiträde. Ett personuppgiftsbiträde får bara behandla personuppgifter enligt givna instruktioner.
Det är inte personuppgiftsbiträdet som har ansvaret för
behandlingarna som sker, utan det ligger kvar hos den
personuppgiftsansvarige. Ansvaret går inte att överlåta.
Ansvar
Det är styrelsen och VD som har det yttersta ansvaret för
att behandlingar av personuppgifter följer PUL.
En felaktig behandling av personuppgifter som orsakar
skada eller kränkning av den personliga integriteten hos
en registrerad person kan medföra skadeståndsskyldighet.
Behandlingar som sker i strid med lagen kan också medföra straffansvar, böter eller fängelse i högst 2 år.
Överföring av personuppgifter till tredje land
I PUL finns regler om överföring av personuppgifter till
tredje land, d.v.s. länder utanför EU och EES. Företag
som t.ex. skickar personuppgifter om anställda eller kunder till andra länder där företaget är verksamt, för att göra
utskick, gör överföring av personuppgifter.
Grundprincipen är dock att det inte är tillåtet att överföra
uppgifter till tredje land, om landet inte har tillräckligt
skydd för personuppgifter. När ett företag vill göra en
överföring måste det bedöma om skyddet för personuppgifter i det mottagande landet är tillräckligt (adekvat). Bedömningen görs från fall till fall och är bl.a. beroende av
vilka typer av personuppgifter det är fråga om.
I vissa fall är det emellertid tillåtet att göra överföring av
personuppgifter även om skyddet för personuppgifter i det
aktuella landet inte är tillräckligt.
Svenskt Näringsliv • 114 82 Stockholm • Telefon 08-553 430 00
[email protected] • www.svensktnaringsliv.se
OM ANSTÄLLDAS PERSONUPPGIFTER
Situationen styr
Ett företag som har anställda kan komma att behandla de
anställdas personuppgifter i en mängd olika situationer.
Det är situationen, hanteringen och personuppgifternas
natur som avgör vad företaget får och kan göra.
Information - samtycke
PUL innehåller regler om informationsskyldighet. Informationsskyldigheten innebär att de vars personuppgifter
kommer att behandlas ska informeras om vilka personuppgifter som samlas in och vad dessa uppgifter ska användas till.
OM KUNDERS OCH LEVERANTÖRERS PERSONUPPGIFTER
Bara fysiska personer
Det är bara uppgifter om kunder och leverantörer som är
fysiska personer som faller in under PUL:s tillämpningsområde. Det gör att PUL gäller fullt ut i förhållande till
konsumenter, eftersom dessa är fysiska personer. PUL
kan gälla även i relation till andra kunder, för det fall att
företaget för register över kontaktpersoner och liknande
hos sina kunder. Kundlistor som bara omfattar uppgifter
om andra företag faller normalt utanför PUL:s tillämpningsområde.
I vissa fall kan anställda lämna samtycke till viss behandling av personuppgifter. När samtycke lämnas är det viktigt att han eller hon fått sådan information att fördelarna
och nackdelarna med behandlingen framgår tydligt. Samtycket måste gälla en viss behandling som rör den anställde och som utförs av arbetsgivaren för ett bestämt syfte.
Samtycket kan inte vara allmänt hållet.
Kundlistor
Kundlistor som innehåller personuppgifter faller in under
PUL:s tillämpningsområde. Är det fråga om enkla kundlistor kan de förenklade reglerna i PUL vara tillämpbara.
För de allra flesta företag behöver dock kundlistorna finnas i mer avancerade system för att fylla någon som helst
funktion. Då blir hanteringsreglerna i PUL tillämpbara.
Fullgörande av skyldigheter
Enligt PUL är det tillåtet att behandla personuppgifter om
det är nödvändigt för att anställningsavtalet eller något
annat avtal mellan företaget och den anställde ska kunna
uppfyllas. Det är dock viktigt att komma ihåg att detta
bara gäller för den typ av behandling som följer av skyldigheten i ett avtal. Även andra typer av skyldigheter kan
göra det tillåtet att behandla anställdas personuppgifter.
Ett kundregister får innehålla namn, adress och andra
uppgifter som är relevanta för kundförhållandet. Vill företaget registrera fler uppgifter än de som direkt är relevanta
för kundförhållandet krävs samtycke. Ska personuppgifterna bara användas för normal kundadministration behöver inte kunderna ges information om behandlingen. Om
uppgifterna ska behandlas även för andra ändamål måste
kunderna informeras om dessa ändamål.
Kontroller av IT-system
Företag som har utarbetat tydliga regler och riktlinjer för
hur de anställda får använda företagets IT-system har rätt
att kontrollera att dessa regler och riktlinjer följs. Dessa
kontroller kan bestå av stickprovskontroller av användning av e-post och Internet. För att sådana kontroller ska
vara tillåtna krävs att de anställda verkligen är informerade om vilka regler och riktlinjer som gäller. Det är också
avgörande att de blivit informerade om vilka kontroller
som kan utföras och att syftet med kontrollerna framgått
tydligt. När kontrollerna utförs måste de motsvara det
som företaget informerat om. De måste vara av sådan art
som företaget angivit och de måste motsvara det syfte
som angivits.
VILL DU VETA MER?
Lagtext
- Personuppgiftslagen (SFS 1998:204)
- Europaparlamentets och rådets direktiv (95/46/EG) av
den 24 oktober 1995 om skydd för enskilda personer med
avseende på behandling av personuppgifter och om det
fria flödet av sådana uppgifter
Informationsskrift
Svenskt Näringsliv har tagit fram en längre informationsskrift om PUL. Den återfinns på:
www.svensktnaringsliv.se
Datainspektionen
Datainspektionen är ansvarig myndighet för behandling
av personuppgifter. På hemsidan
www.datainspektionen.se finns mycket informationsmaterial om PUL.
Kontaktperson
Nicklas Skår, [email protected],
08-553 430 40
Svenskt Näringsliv • 114 82 Stockholm • Telefon 08-553 430 00
[email protected] • www.svensktnaringsliv.se/sakerhet
Related documents
Handelsbanken Finans
Handelsbanken Finans
Att använda sociala medier
Att använda sociala medier
Dina personuppgifter i våra register
Dina personuppgifter i våra register
1 (2) Under första året i gymnasiet kommer du att erbjudas ett
1 (2) Under första året i gymnasiet kommer du att erbjudas ett
Ansökningsblankett VUXENUTBILDNINGEN I HELSINGBORG
Ansökningsblankett VUXENUTBILDNINGEN I HELSINGBORG
1 Presentation Arkivveckan 2017
1 Presentation Arkivveckan 2017
personuppgifter
personuppgifter
2017-03-01 NYHETSBREV EU:s dataskyddsreform – Nya regler om
2017-03-01 NYHETSBREV EU:s dataskyddsreform – Nya regler om
faq om personuppgiftslagen (pul)
faq om personuppgiftslagen (pul)
Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
INTEGRITETSPOLICY För oss, 4T Sverige AB, är ditt
INTEGRITETSPOLICY För oss, 4T Sverige AB, är ditt
Förslag till Läkemedelsverkets föreskrifter om registrering av
Förslag till Läkemedelsverkets föreskrifter om registrering av
Komplettering Familjeföretag
Komplettering Familjeföretag
Information till elever och föräldrar om GAFE och
Information till elever och föräldrar om GAFE och
Sekretesspolicy Marginalen återbäringsprogram via Market2Member
Sekretesspolicy Marginalen återbäringsprogram via Market2Member
Information om hur vi hanterar personuppgifter
Information om hur vi hanterar personuppgifter
Datum - Lantmäteriet
Datum - Lantmäteriet
integritetspolicy - Skara Sommarland
integritetspolicy - Skara Sommarland
medlemskap - Svenska Brasvärmeföreningen
medlemskap - Svenska Brasvärmeföreningen
personinformation på webbsidor
personinformation på webbsidor
RättsPM 2012:2 Brott mot personuppgiftslagen
RättsPM 2012:2 Brott mot personuppgiftslagen
Download