PM
PERSONUPPGIFTSLAGEN
ALLMÄNT
Personuppgiftslagen (1998:204) med tillhörande Personuppgiftsförordning
(1998:1191) trädde ikraft den 24 oktober 1998 och ersätter 1973 års Datalag.
Personuppgiftslagen omfattar såväl automatiserad behandling av personuppgifter
som manuell behandling av sådana (före lagens ikraftträdande saknades
bestämmelser om manuell behandling av personuppgifter).
Personuppgiftslagen är en anpassning till EGs dataskyddsdirektiv om skydd för
enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter. Bestämmelserna i EG-direktivet är fortfarande oklara på
vissa punkter vilket i sin tur innebär att tolkningen av desamma kan vara föremål
för olika uppfattningar. Detta avspeglas också på sina håll i den nu gällande
personuppgiftslagen.
Huvudsyftet med personuppgiftslagen är att skydda människor mot att deras
personliga integritet kränks genom behandling av personuppgifter. En grundprincip
här är att den kräver den registrerades samtycke, en annan att behandling av
känsliga personuppgifter, tex politiska åsikter eller hälsa, kräver särskilt stränga
regler. Vidare kräver den personliga integriteten att vissa grundläggande krav
iakttages vid behandlingen av en personuppgift. Sålunda får behandling av
personuppgifter endast ske för särskilda, uttryckligt angivna och berättigade
ändamål.
Men det finns naturligtvis också situationer där andra intressen väger tyngre än
personuppgiftslagens skyddsintressen. Detta medför i sin tur att
personuppgiftslagen har – liksom många andra lagar - en rad undantag.
Ansvaret för att behandlingen av personuppgifter följer personuppgiftslagens
bestämmelser har även förskjutits från Datainspektionen till den som behandlar
sådana uppgifter, den personuppgiftsansvarige. Det gamla systemet med licenser
och tillstånd är därmed borta och Datainspektionen har i stället blivit en
tillsynsmyndighet.
I samband härmed kan också nämnas att möjligheter införs för den
personuppgiftsansvarige att utse ett sk personuppgiftsombud med uppgift att
självständigt se till att den personuppgiftsansvarige behandlar personuppgifter i
överenstämmelse med lagen. Utses ett sådant, föreligger ingen
anmälningsskyldighet för personuppgiftsbehandling eftersom ombudet - i stället för
tillsynsmyndigheten – förutsätts bevaka att behandlingen sker i överenstämmelse
med lagen. Ombudet skall vara en fysisk person och hans utnämning skall anmälas
till tillsynsmyndigheten. Inget hindrar att personuppgiftsombudet också är
arbetstagare hos den personuppgiftsansvarige.
På grund av övergångsbestämmelserna i personuppgiftslagen kommer lagen inte att
tillämpas fullt ut förrän den 1 oktober 2007. Men redan nu omfattas flera av lagen
och ännu fler kommer att omfattas av den från och med den 1 oktober i år, 2001.
Vilka som redan omfattas och vilka som kommer att omfattas från och med den 1
oktober 2001 framgår av övergångsbestämmelserna nedan.
Den viktigaste praktiska konsekvensen av övergångsbestämmelserna är emellertid
att då den personuppgiftsansvarige väl är skyldig att iakttaga personuppgiftslagens
bestämmelser, faller alla gamla tillstånd enligt datalagen och en ny
anmälningsskyldighet inträder för den typ av personuppgiftsbehandling det är fråga
om.
Enligt övergångsbestämmelserna kan dock den som kommer att bli
personuppgiftsansvarig från och med den 1 oktober 2001 redan nu och således i
förväg fullgöra sin anmälningsksyldighet enligt personuppgiftslagen. Han kan
alternativt i stället välja att utse och anmäla ett personuppgiftsombud, vilket i sin
tur medför att han befrias från sin anmälningsskyldighet.
ÖVERGÅNGSBESTÄMMELSER
Som ovan nämnts träder personuppgiftslagens bestämmelser i kraft succesivt
under en övergångstid. Vilka tidpunkter som gäller här framgår nedan.
Övergångsbestämmelserna är sammanfattningsvis följande.
Helt eller delvis automatiserad behandling av personuppgifter som påbörjats före
ikraftträdandet den 24 oktober 1998 lyder under datalagen fram till den 1 oktober
2001. Därefter gäller personuppgiftslagens bestämmelser fullt ut för denna typ av
automatiserad behandling.
Personuppgiftslagens bestämmelser om manuell behandling av personuppgifter
som påbörjats före ikraftträdandet den 24 oktober 1998 gäller inte förrän den 1
oktober 2007.
Om behandling av personuppgifter däremot påbörjats efter ikraftträdandet den 24
oktober 1998 gäller personuppgiftslagens regler fullt ut redan idag.
PERSONUPPGIFTSLAGEN I SAMMANDRAG
Syftet med lagen
Enligt 1 § PUL är syftet med lagen att skydda människor mot att deras personliga
integritet kränks genom behandling av personuppgifter.
Avvikande bestämmelser i annan författning
Av 2 § PUL framgår att PUL är subsidiär till andra lagar, dvs finns det
bestämmelser om hur personuppgifter skall behandlas i andra lagar eller
förordningar gäller dessa framför PUL, tex Polisdatalagen och lagen om
hälsodataregister.
Definitioner i PUL
I 3 § PUL finns det en rad definitioner i lagen som man bör känna till. Dessa är
följande.
2
Beteckning
Betydelse
Behandling
av personuppgifter
Varje åtgärd eller serie av
åtgärder som vidtas i fråga om
personuppgifter, vare sig det
sker på automatisk väg eller inte,
t.ex. insamling, registrering,
organisering, lagring, bearbetning
eller ändring, återvinning, inhämtande,
användning, utlämnande genom
översändande, spridning eller annat
tillhandahållande av
uppgifter, sammanställning eller
samkörning, blockering,
utplåning eller förstöring.
Blockering av personuppgifter
En åtgärd som vidtas för att
personuppgifterna skall vara
förknippade med information om att
de är spärrade och om anledningen
till spärren och för att
personuppgifterna inte skall lämnas
ut till tredje man annat än
med stöd av 2 kap. tryckfrihetsförordningen.
Mottagare
Den till vilken personuppgifter
lämnas ut. När personuppgifter lämnas
ut för att en myndighet skall kunna
utföra sådan tillsyn, kontroll eller
revision som den är
skyldig att sköta, anses dock inte
myndigheten som mottagare.
Personuppgifter
All slags information som direkt eller
indirekt kan hänföras till en fysisk
person som är i livet.
Personuppgiftsansvarig
Den som ensam eller tillsammans
med andra bestämmer ändamålen med och
medlen för behandlingen
av personuppgifter
Personuppgiftsbiträde
Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande
av den personuppgiftsansvarige,
självständigt skall se till att
personuppgifter behandlas på ett korrekt
och lagligt sätt.
Den registrerade
Den som en personuppgift avser.
3
Samtycke
Varje slag av frivillig, särskild och
otvetydig viljeyttring genom vilken den
registrerade, efter att ha fått
information, godtar behandling av
personuppgifter som rör honom
eller henne.
Tillsynsmyndigheten
Den myndighet som regeringen utser
för att utöva tillsyn.
Tredje land
En stat som inte ingår i Europeiska
unionen eller är ansluten till Europeiska
ekonomiska samarbetsområdet.
Tredje man
Någon annan än den registrerade, den
personuppgiftsansvarige,
personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som
under den personuppgiftsansvariges
eller personuppgiftsbiträdets direkta
ansvar har befogenhet att behandla
personuppgifter.
Vilka personuppgifter omfattas av lagen?
Av 5 § PUL framgår vilka personuppgifter som omfattas av lagen. Dessa är all
behandling av personuppgifter som helt eller delvis är automatiserad samt manuell
behandling av personuppgifter.
Som exempel på delvis automatiserad behandling av personuppgifter kan nämnas
att om det till en samling av akter eller andra pappershandlingar med
personuppgifter finns ett datoriserat index med hänvisning till akterna eller
handlingarna och det datoriserade indexet dessutom innehåller personuppgifter
med vars ledning man kan söka information i akterna eller handlingarna, omfattas
själva det datoriserade indexet av PULs bestämmelser om automatiserad
behandling.
Däremot omfattar inte PULs bestämmelser om manuell behandling av
personuppgifter all manuell behandling av personuppgifter.
Förutsättningen för att PUL skall vara tillämplig på manuell behandling av
personuppgifter är att det finns en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt särskilda kriterier – ett register.
Det måste sålunda vara fråga om samlade uppgifter om fler än en person för att
PULs bestämmelser om manuell behandling av personuppgifter skall vara
tillämpbara. Vidare skall registret ha en viss beständighet. En hög med lösa papper
på ett skrivbord omfattas således inte även om papprena tillfälligtvis råkar vara
sorterade i bokstavsordning efter efternamn.
Vidare skall uppgiftssamlingen vara strukturerad, dvs de måste vara sorterade
enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är
tillgängliga för sökning eller sammanställning enligt särskilda kriterier, man måste
alltså kunna söka blanduppgifterna i samlingen för att det skall vara fråga om ett
4
register. Ett manuellt register som visserligen innehåller personuppgifter men som
inte är sökbart med hjälp av någon personuppgift (namn, personnummer eller
liknande) omfattas således inte av PULs bestämmelser om manuell behandling. Det
kan tex vara fråga om akter som har ordnats efter löpnummer utan möjlighet att –
med hjälp av löpnumret eller eljest – söka fram uppgifter om enskilda personer.
Avslutningsvis torde det också vara så att det måste finnas fler än ett sökkriterium
för att bestämmelserna skall gälla. Ett manuellt register med en förteckning i
bokstavsordning där endast namnet på personen är sökingång, skulle sålunda inte
omfattas av PULs bestämmelser om manuell behandling av personuppgifter.
Undantag för privat behandling av personuppgifter
Enligt 6 § PUL gäller inte lagen behandling av personuppgifter som en fysisk
person utför som ett led i en verksamhet av rent privat natur, tex privat ord- och
textbehandling, privat korrespondens med e-post eller ett privat personregister över
sina vänner.
Förhållandet till tryck- och yttrandefriheten
Enligt 7 § PUL gäller inte lagen i den utsträckning det skulle strida mot
bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller
yttrandefrihetsgrundlagen eller behandling av personuppgifter som sker
uteslutande för journalistiska, konstnärliga eller litterära ändamål. Om tex en
journalist sammanställt ett personregister med uppgifter om de personer han
ämnar skriva om eller skriver en artikel om, omfattas inte denna samling av
personuppgifter av PUL.
Offentlighetsprincipen
Enligt 8 § PUL tillämpas inte PUL i den utsträckning det skulle inskränka en
myndighets skyldighet att enligt tryckfrihetsförordningen lämna ut eller arkiverar
personuppgifter. Behandlingen av sådana personuppgifter faller således helt
utanför PULs bestämmelser.
Grundläggande krav på behandlingen av personuppgifter
Enligt 9 § PUL skall den personuppgiftsansvarige se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god
sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt med det
för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till
ändamålen med behandlingen,
5
f)
inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till
ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,
aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i)
personuppgifter inte bevaras under en längre tid än vad som är nödvändigt
med hänsyn till ändamålen med behandlingen.
I fråga om d) gäller dock att en behandling av personuppgifter för historiska,
statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de
ändamål för vilka uppgifterna samlades in.
Personuppgifter för historiska, statistiska eller vetenskapliga ändamål får bevaras
under längre tid än som sagts ovan. Personuppgifterna får dock i sådana fall inte
bevaras under en längre tid än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga
ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om
den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med
hänsyn till den registrerades vitala intressen.
När är behandling av personuppgifter tillåten?
Enligt 10 § PUL får personuppgifter behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den
registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter
lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
f)
ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige
eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall
kunna tillgodoses, om detta intresse väger tyngre än den registrerades
intresse av skydd mot kränkning av den personliga integriteten.
Bestämmelserna innebär att behandling av personuppgifter utan den enskildes
samtycke endast är tillåten i ovan uppräknade situationer.
10 § PUL föranleder följande kommentarer.
6
Samtycket
Samtycket måste vara frivilligt och villkorslöst. Generella samtycken godtas inte
utan varje samtycke skall vara lämnat för en viss konkret behandling som utförs av
en viss personuppgiftsansvarig för ett visst ändamål. Den personuppgiftsansvarige
måste också lämna tillräcklig information för att personen i fråga skall kunna ta
ställning till för- och nackdelar med att hans personuppgifter blir föremål för
behandling. Samtycket måste också vara otvetydigt och klart; det får inte finnas
några omständigheter som talar emot samtycke. Avslutningsvis skall nämnas att
den registrerade har rätt att när som helst återkalla sitt samtycke. Gör han det får
ytterligare personuppgifter om honom inte behandlas.
Nödvändighetskravet
Har den registrerade lämnat sitt samtycke krävs det inte att behandlingen av
personuppgifterna är nödvändig. Saknas samtycke däremot, kräver de uppräknade
situationerna under a) – f) ovan att behandlingen av personuppgifterna kan anses
varar nödvändiga.
Det är för närvarande oklart vad nödvändighetskravet i verkligheten innebär, men
enligt uttalanden i kommentaren till personuppgiftslagen torde
nödvändighetskravet inte var uppfyllt om arbetsuppgiften kan utföras nästan lika
enkelt och billigt utan att personuppgifterna behandlas.
De situationer som kan ha aktualitet för SABO-företagen är närmast a) och b) och
möjligen f), varför dessa kommenteras lite närmare.
a) ………i samband med avtal
När det gäller fullgörelse av avtal förutsätter detta att den registrerade själv
personligen är avtalspart. Som exempel på situationer där
personuppgiftsbehandling kan anses nödvändig och därmed tillåten är – under
förutsättning att den registrerade själv är avtalspart - kan nämnas fakturering,
kundregister och förandet av kundkonton.
I fråga om åtgärder som vidtas innan ett avtal träffas krävs det att den registrerade
har begärt att de åtgärder som gör det nödvändigt att behandla personuppgifter
skall vidtas. Som exempel kan nämnas kreditupplysning, att en säljare har lagfart
på en fastighet eller en enskild har nödvändiga tillstånd för visst fall, tex Fskattesedel.
b) ………för att kunna fullgöra en rättslig skyldighet
Här får personuppgiftsbehandling ske om behandlingen är nödvändig för att den
personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet. Det är
fortfarande oklart med vad som avses vara en ”rättslig skyldighet”, men troligen
avses endast rättslig skyldighet som åligger den personuppgiftsansvarige enligt
lagstiftning eller kan åläggas densamme genom dom eller beslut.
f) ……… efter intresseavvägning
Punkten är en generalklausul. Personuppgiftsbehandling får ske utan den
registrerades samtycke om det vid en intresseavvägning kan visas att den
7
uppgiftsansvariges intresse för uppgiftsbehandling väger tyngre än den
registrerades intresse av integritetsskydd.
Punkten kommenteras därför att det blir denna punkt som den
personuppgiftsansvarige får åberopa om ha inte vill - trots att den registrerade så
begär - upphöra med personuppgiftsbehandlingen.
Samtycke kan återkallas
Enligt 12 § PUL kan den registrerade när som helst återkalla sitt samtycke i de fall
då personuppgiftsbehandlingen bygger på hans uttryckliga samtycke. Detta får till
följd att ytterligare behandling av personuppgifter om den registrerade inte längre
får ske. Är däremot personuppgiftsbehandlingen tillåten oavsett den registrerades
samtycke, får naturligtvis ett återkallande ingen rättslig verkan.
Återkallelse kan göras skriftligen eller muntligen. Det finns dock ett undantag från
att ett samtycke kan återkallas muntligt. Situationen regleras i 11 § PUL om
personuppgiftsbehandling för ändamål som rör direkt marknadsföring. Av denna
paragraf framgår att personuppgifter inte får behandlas för ändamål som rör direkt
marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen
har anmält att han eller hon motsätter sig sådan behandling.
En återkallelse av ett tidigare lämnat samtycke innebär att några ytterligare
uppgifter om den registrerade inte får samlas in och behandlas. Behandlingen av
redan insamlade uppgifter får dock fortsätta i enlighet med det ursprungliga
samtycket, men uppgifterna får inte uppdateras eller kompletteras. I praktiken
torde detta på grund av bestämmelserna i 9 § PUL innebära – åtminstone efter ett
tag - att insamlade uppgifter måste utplånas eller avidentifieras eftersom de har
blivit inaktuella eller ofullständiga. Hållandet av sådana uppgifter är ju inte tillåten
enligt nämnda paragraf.
Känsliga personuppgifter
Om personuppgifterna kan klassificeras som känsliga måste den
personuppgiftsansvarige förutom 10 § PUL även iakttaga bestämmelserna i 13-19
§§ PUL.
Av 13 § PUL framgår vilka personuppgifter som skall anses känsliga. Dessa är
uppgifter om
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse,
d) medlemskap i fackförening och
e) personuppgifter som rör hälsa eller sexualliv.
Trots förbudet i 13 § PUL är det dock tillåtet att behandla känsliga personuppgifter
under vissa förutsättningar. De närmare bestämmelserna härom återfinns i 14 – 19
§§ PUL.
8
Av 20 § PUL framgår att regeringen eller den myndigheten som regeringen
bestämmer får meddela föreskrifter om ytterligare undantag.
Personnummer
Enligt 22 § PUL får uppgifter om personnummer eller samordningsnummer
behandlas utan samtycke bara när det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering eller
c) något annat beaktansvärt skäl.
Saknas samtycke till användning av personnummer eller samordningsnummer,
ankommer det på den personuppgiftsansvarige att själv bedöma behovet av en
sådan identifiering. Härvid har han att på eget ansvar göra en intresseavvägning
mellan behovet av en säker identifiering och behovet av ett fullgott skydd för den
personliga integriteten.
Bestämmelsen om personnummeranvändning har förts över från datalagens 7 §
andra stycke utan närmare kommentarer. De motiv och den praxis som tidigare
gällt personnummeranvändning gäller sålunda fortfarande.
1992 infördes genom nämnda bestämmelse en skärpning av
personnummeranvändningen. Motiven till detta var bl a de datoriserade
personregistrens stora omfattning, användning och innehåll, samkörning av olika
register samt utformningen av offentlighets-, data- och sekretesslagstiftningen,
kunde uppfattas som integritetskränkande. Till följd härav skulle fortsättningsvis
personnummer i registersammanhang endast få användas när registreringen var
påkallad av något godtagbart skäl. I övriga fall skulle den anses utgöra ett
integritetsintrång.
De riktlinjer och den praxis som utvecklats härefter av Datainspektionen,
regeringen och domstolar är omfattande men kan sammanfattas på följande sätt.
Användning av personnummer inom sjukvård, individ- och familjeomsorg i vissa
avseenden, skatteförvaltning, polis- och rättsväsende är motiverat eftersom en
korrekt identifiering av en viss person i dessa sammanhang är ytterst angelägen. I
vissa andra fall har Datainspektionen också funnit att det är motiverat att använda
personnummer men inte hur som helst. Sålunda har Datainspektionen medgivit
försäkringsbolagen att ha personnummer i sina register för att säkert kunna
identifiera försäkringstagarna men inte att personnummer används som kund- eller
försäkringsnummer.
Inte heller får personnummer förekomma på adressetiketter, anställningslistor eller
medlemsregister och kundregister som syftar till att den registrerade skall få
information och förmåner. Personnummer får med andra ord inte användas när
personen lika enkelt och gärna kan identifieras genom kund- eller
medlemsnummer.
Såvitt kan ha intresse för SABO-företagen kan även följande rättsfall nämnas
(Regeringens beslut 1993-09-16, dnr 93-2216 och Länsrätten i Stockholms län dom
1997-10-27, dnr Ö 3797-97).
9
Ett delvis ägt kommunalt bostadsaktiebolag har inte för förmedling av bostäder fått
registrera personnummer. Ändamålet med registren var att organisera
bostadssökandenas önskemål och tillhandahålla fastighetsägare uppgifter om
bostadssökande. Datainspektionen ansåg att sökanden inte visat att det med
hänsyn till registrets ändamål, vikten av en säker identifiering eller av annat skäl
var motiverat att registrera personnummer. Bolaget överklagade Datainspektionens
beslut ända till Regeringen utan resultat.
1996 ansökte bolaget återigen om tillstånd att få registrera personnummer. Som
skäl anfördes att bolaget hade behov att få registrera personnummer för att säkert
identifiera bostadssökandena och för at effektivisera administrationen av
ansökningarna. Datainspektionen fann även denna gång att skäl inte förelåg för
tillstånd till att registrera personnummer, men gav bolaget tillstånd att registrera
födelsedatum, dvs födelseår, födelsemånad och födelsedag. Som skäl härför
anfördes att ändamålet med ett bostadsförmedlingsregister motiverar inte
användandet av personnummer. Däremot kan de sex första siffrorna i
personnumret tillåtas. Bolaget överklagade till Länsrätten utan resultat. De sex
första siffrorna var tillräckligt för en säker identifiering av den bostadssökande.
Anmärkning:
Med samordningsnummer avses sådana nummer som tilldelas personer som ännu
inte är eller har varit folkbokförda i Sverige från och med den 1 januari 2000.
Samordningsnummer är liksom personnumret ett unikt identifikationsnummer.
Samma regler bör därför gälla för detta som för personnummer.
Information till den registrerade och allmänheten
I 23 - 27 §§ PUL regleras den personuppgiftsansvariges informationsskyldighet
gentemot den registrerade samt vad den informationen skall innehålla.
Information skall i princip alltid lämnas självmant av den personuppgiftsansvarige
och skall omfatta
a) uppgift om den personuppgiftsansvariges identitet
b) uppgift om ändamålen med behandlingen och
c) all övrig information som behövs för att den registrerade skall kunna ta till
vara sina rättigheter i samband med behandlingen, såsom information om
mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att
ansöka om information och få rättelse.
Information behöver dock inte lämnas om sådant som den registrerade redan
känner till.
Vidare är den personuppgiftsansvarige skyldig att till var och en som ansöker om
det, en gång per kalenderår gratis lämna besked om personuppgifter som rör den
sökande är föremål för behandling eller inte. Behandlas sådana uppgifter skall
skriftlig information även lämnas om
a)
b)
c)
d)
vilka uppgifter om den sökande som behandlas
varifrån dessa uppgifter har hämtats
ändamålen med behandlingen och
till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
10
I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i
beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut,
gäller naturligtvis detta.
För SABO-företagens del innebär detta att man måste, innan man lämnar ut begärd
information, även pröva om begärda uppgifter är sekretessbelagda.
I detta sammanhang kan också nämnas att personuppgiftsansvarig även har en
informationsskyldighet gentemot allmänheten. Bestämmelserna härom återfinns i
42 § PUL och kommenteras längre fram under ”Oanmäld
personuppgiftsbehandling”.
Rättelse
Av 28 § PUL framgår att den personuppgiftsansvarige är skyldig att på begäran av
den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som
inte har behandlats i enlighet med PUL eller föreskrifter som har utfärdats med stöd
av PUL.
Den personuppgiftsansvarige skall också underrätta tredje man till vilken
uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om
mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas
genom en underrättelse.
Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara
omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Anmälningsskyldighet
Av 36 § PUL framgår att behandling av personuppgifter som är helt eller delvis
automatiserad skall anmälas till tillsynsmyndigheten, dvs Datainspektionen. Den
personuppgiftsansvarige skall således göra en skriftlig anmälan till
tillsynsmyndigheten innan en sådan behandling eller en serie av sådana
behandlingar med samma eller liknande ändamål får genomföras.
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall även detta
anmälas till tillsynsmyndigheten liksom ett entledigande av ett
personuppgiftsombud.
Har den personuppgiftsansvarige redan utsett och anmält ett personuppgiftsombud
till tillsynsmyndigheten, föreligger ingen anmälningsskyldighet för helt eller delvis
automatiserad personuppgiftsbehandling. Detta beror på att
personuppgiftsombudet företräder tillsynsmyndigheten i denna situation och
bevakar att PULs bestämmelser iakttages.
Detta leder oss in på personuppgiftsombudet och hans uppgifter.
Personuppgiftsombud
Personuppgiftsombudets uppgifter regleras i 38 – 40 §§ PUL. Av dessa framgår
följande.
Personuppgiftsombudet skall ha till uppgift att självständigt se till att den
personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt
11
och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.
Har personuppgiftsombudet anledning att misstänka att den
personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen
av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande,
skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid
tveksamhet om hur de bestämmelser som gäller för behandlingen av
personuppgifter skall tillämpas.
Vidare åligger det personuppgiftsombudet att föra en förteckning över de
behandlingar som den personuppgiftsansvarige genomför och som skulle ha
omfattats av anmälningsskyldighet om ombudet inte hade funnits.
Avslutningsvis har personuppgiftsombudet till uppgift att hjälpa registrerade att få
rättelse när det finns anledning att misstänka att behandlade personuppgifter är
felaktiga eller ofullständiga.
Information till allmänheten
I 42 § PUL finns bestämmelser som reglerar den personuppgiftsansvariges
skyldighet att informera allmänheten om vilka personuppgiftsbehandlingar som
sker hos honom.
Av paragrafen framgår det bl a att den personuppgiftsansvarige är skyldig att till var
och en som begär det, skyndsamt och på lämpligt sätt lämna upplysningar om
sådana automatiserade eller andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Den personuppgiftsansvarige är dock inte skyldig
att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder
som har vidtagits.
Anledningen till bestämmelserna är följande.
Allmänheten har rätt att inom ramen för offentlighetsprincipen hos
Datainspektionen erhålla upplysningar om anmälda personuppgiftsbehandlingar,
vilka uppgifter som behandlas för visst fall, varifrån dessa uppgifter har hämtats,
ändamålet med behandlingen och till vilka mottagare och kategorier av mottagare
som uppgifterna lämnas.
I de fall där den personuppgiftsansvarige har ett personuppgiftsombud, saknar
emellertid Datainspektionen dessa uppgifter eftersom någon anmälningsskyldighet i
dessa fall inte föreligger för den personuppgiftsanvarige. Uppgifterna finns istället
tillgängliga hos den personuppgiftsansvarige. Allmänheten får därför vända sig till
denne för information.
Om däremot den personuppgiftsansvarige har anmält sin personuppgiftsbehandling
till tillsynsmyndigheten, dvs han saknar anmält personuppgiftsombud, är han
enligt PUL inte skyldig att lämna ut begärd information över huvud taget. I stället
får han hänvisa frågeställaren till tillsynsmyndigheten, dvs Datainspektionen, som
sålunda har att ta ställning till om begärd information skall lämnas ut eller ej.
Tillsynsmyndighetens befogenheter och beslut
12
Datainspektionen utövar tillsyn över att personuppgiftslagen efterlevs. För sin
tillsyn har myndigheten rätt att på begäran få
a) tillgång till de personuppgifter som behandlas
b) upplysningar om och dokumentation av behandlingen av personuppgifter
och säkerheten vid denna och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
Om tillsynsmyndigheten finner att personuppgifter behandlas eller kan komma att
behandlas i strid med PUL, skall myndigheten i första hand arbeta för att få till
stånd rättelse genom påpekanden och råd. Uppnås rättelse inte på detta sätt, får
myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta med
personuppgiftsbehandlingen.
Beslutet kan överklagas till länsrätt och kammarrätt. För prövning i kammarrätten
krävs dock prövningstillstånd. Under tiden beslutet prövas har den
personuppgiftsansvarige dock alltid rätt att lagra personuppgifterna. De får däremot
inte behandlas.
Tillsynsmyndigheten har också möjlighet att hos länsrätten begära att
personuppgifter som behandlas i strid med personuppgiftslagen skall utplånas.
De närmare bestämmelserna om tillsynsmyndighetens befogenheter och beslut
samt möjligheten att överklaga desamma finns i 43 – 47 §§ samt 51 § PUL
Straff och skadestånd
Den som uppsåtligen eller av oaktsamhet bryter mot personuppgiftslagen kan
dömas till böter eller fängelse i högst sex månader, om brottet inte är grovt. Är
brottet grovt, får påföljden bestämmas till högts två års fängelse.
Påföljden drabbar den fysiska person som har gjort sig skyldig till brottet oavsett
om han eller hon är personuppgiftsansvarig eller inte.
De närmare bestämmelserna om straff för brott mot personuppgiftslagen finns i 49
§ PUL.
Enligt 48 § PUL skall den personuppgiftsansvarige ersätta den registrerade för
skada och kränkning av den personliga integriteten som en behandling av
personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan jämkas
under vissa omständigheter.
Med skada avses såväl personskada och sakskada som ren förmögenhetsskada.
Ersättning för kränkning av den personliga integriteten utgör sk ideell skada och
får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det
enskilda fallet. Därvid kan beaktas tex sådana faktorer som om det funnits risk för
otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på
grund av den felaktiga behandlingen har blivit utsatt för något beslut eller några
åtgärder som kunnat innebära negativa konsekvenser för honom eller henne.
Orsakssambandet mellan skada och kränkning å ena sidan och den felaktiga
personuppgiftsbehandlingen å den andra skall vara adekvat, dvs det skall föreligga
13
ett direkt orsakssamband mellan skadan/kränkningen och den felaktiga
behandlingen av personuppgifterna.
Personuppgiftsförordningen (1998:1191)
Till personuppgiftslagen finns en personuppgiftsförordning knuten. I denna ges
kompletterande föreskrifter beträffande sådan behandling av personuppgifter som
omfattas av personuppgiftslagen.
Torsten Heime
SABO AB
Juridik
14