|
Personuppgiftslagen,
förkortas PuL, började gälla år 1998. Den ersatte då datalagen som
funnits sedan 1973. Under en övergångstid användes de båda lagarna
parallellt, men från 1 oktober 2001 är det PuL som gäller. Syftet
med lagen är att skydda människor mot att deras personliga integritet
kränks genom behandling av personuppgifter. En viktig utgångspunkt i PuL
är därför att det är den enskilde själv som ska få bestämma vilka
personuppgifter som får behandlas om honom eller henne.
Lagen gäller för all behandling av personuppgifter och berör
myndig- heter, företag och enskilda personer.
Något som är viktigt att komma ihåg är att andra lagar och
förordningar som avviker från PuL har företräde. PuL gäller inte
heller om behandling av person- uppgifter uteslutande görs för privata
ändamål.
För företagare är den del av lagen som handlar om samtycke särskilt
viktig. Utgångspunkten är att det enbart är tillåtet att behandla
personuppgifter om den registrerade har lämnat sitt samtycke. En hel del
undantag finns dock från denna huvudregel.
PuL gäller behandling av personuppgifter.
Med personuppgifter avses all slags information som direkt och
indirekt kan hänföras till en fysisk person som är i livet.
(Tänk på att en bild och en bildtext också kan vara information som
direkt eller indirekt kan hänföras till fysisk person.)
Med behandling avses varje åtgärd eller serie av åtgärder
som vidtas i fråga om personuppgifter, vare sig det sker på automatisk
väg eller inte, t.ex. insam- ling, registrering, organisering, lagring,
bearbetning eller ändring, återvinning, inhämtande, användning,
utlämnande genom översändande, spridning eller annat tillhandahållande
av uppgifter, sammanställning eller samkörning, blockering, utplåning
eller förstöring.
För att kunna förstå lagen är det viktigt att veta vad följande
beteckningar har för betydelse:
Blockering (av personuppgifter). En åtgärd som vidtas för att
personuppgifterna skall vara förknippade med information om att de är
spärrade och om anledningen till spärren och för att personuppgifterna
inte skall lämnas ut till tredje man annat än med stöd av 2 kap.
tryckfrihetsförordningen.
Mottagare. Den till vilken personuppgifter lämnas ut. När
personuppgifter lämnas ut för att en myndighet skall kunna utföra
sådan tillsyn, kontroll eller
revision som den är skyldig att sköta, anses dock inte myndigheten som
mottagare.
Personuppgiftsansvarig. Den som ensam eller tillsammans med
andra bestämmer ändamålen med och medlen för behandlingen av
personuppgifter.
(Normalt en juridisk person t.ex. aktiebolag, stiftelse eller förening.
Kan också vara en myndighet. En enskild näringsidkare är
personuppgiftsansvarig och därmed personligt ansvarig för att PuL
följs.)
Personuppgiftsbiträde. Den som behandlar personuppgifter för
den person- uppgiftsansvariges räkning.
Personuppgiftsombud. Den fysiska person som, efter förordnande
av den personuppgiftsansvarige, självständigt skall se till att
personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registrerade. Den som en personuppgift avser.
Samtycke. Varje slag av frivillig, särskild och otvetydig
viljeyttring genom vilken den registrerade, efter att ha fått
information, godtar behandling av person- uppgifter som rör honom eller
henne.
Tillsynsmyndigheten. Den myndighet som regeringen utser för att
utöva tillsyn.
Tredje land. En stat som inte ingår i Europeiska unionen eller
är ansluten till Europeiska ekonomiska samarbetsområdet.
Tredje man. Någon annan än den registrerade, den
personuppgiftsansvarige,
personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som
under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta
ansvar har befogenhet att behandla personuppgifter.
Tillämpningsområde
I lagens 4 § beskrivs vilket det territoriella tillämpningsområdet
är.
"Denna lag gäller för sådana personuppgiftsansvariga som är
etablerade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad
i tredje land men för behandlingen av personuppgifter använder sig av
utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om
utrustningen bara används för att överföra uppgifter mellan ett tredje
land och ett annat sådant land."
Behandling av personuppgifter som omfattas av lagen
"5 § Denna lag gäller för sådan behandling av personuppgifter
som helt eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om
uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling
av personuppgifter som är tillgängliga för sökning eller
sammanställning enligt särskilda kriterier."
Grundläggande krav på behandlingen av personuppgifter
Den personuppgiftsansvarige ska se till att följande punkter ur den 9
§ följs
- personuppgifter behandlas bara om det är lagligt
- personuppgifter alltid behandlas på ett korrekt sätt och i
enlighet med god sed
- personuppgifter samlas in bara för särskilda, uttryckligt angivna
och berättigade ändamål
- personuppgifter inte behandlas för något ändamål som är
oförenligt med det för vilket uppgifterna samlades in
- de personuppgifter som behandlas är adekvata och relevanta i
förhållande till ändamålen med behandlingen
- inte fler personuppgifter behandlas än som är nödvändigt med
hänsyn till ändamålen med behandlingen
- de personuppgifter som behandlas är riktiga och, om det är
nödvändigt, aktuella
- alla rimliga åtgärder vidtas för att rätta, blockera eller
utplåna sådana personuppgifter som är felaktiga eller ofullständiga
med hänsyn till ändamålen med behandlingen
- personuppgifter inte bevaras under en längre tid än vad som är
nödvändigt med hänsyn till ändamålen med behandlingen
När behandling av personuppgifter är tillåten - samtycke
I PuL:s 10 § står när personuppgifter får behandlas. Det får bara
ske om den registrerade har lämnat sitt samtycke till behandlingen eller
om behandlingen är
nödvändig för att
- ett avtal med den registrerade skall kunna fullgöras eller
åtgärder som den registrerade begärt skall kunna vidtas innan ett
avtal träffas
- den personuppgiftsansvarige skall kunna fullgöra en rättslig
skyldighet
- vitala intressen för den registrerade skall kunna skyddas
- en arbetsuppgift av allmänt intresse skall kunna utföras
- den personuppgiftsansvarige eller en tredje man till vilken
personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i
samband med myndig- hetsutövning
- ett ändamål som rör ett berättigat intresse hos den
personuppgifts- ansvarige eller hos en sådan tredje man till vilken
personuppgifterna lämnas ut skall kunna tillgodoses, om detta
intresse väger tyngre än den registrerades intresse av skydd mot
kränkning av den personliga integriteten
Datainspektionens vägledning och tolkning är att ett samtycke ska
vara
- individuellt
- frivilligt
- särskilt
- otvetydigt
- informerat
Innebörden av att det ska vara individuellt innebär att det är den
registrerade som genom sin viljeyttring godtar behandlingen av
personuppgifter. Som exempel får inte en förening för sina medlemmars
räkning godta behandling av personuppgifter.
Vad avser frivilligt, ska personen ifråga själv få avgöra om hans
heller hennes personuppgifter ska få behandlas. Nu är det dock så
att det "frivilliga" får stå tillbaka i många fall. För att
få en vara eller en tjänst kan kravet vara att vissa personuppgifter
måste registreras - accepteras inte detta erhålls inte varan eller
tjänsten. Frivilligheten ligger här i att man kan avstå från varan
eller tjänsten. För myndighetsregister som används i syfte att
tillhandahålla samhälleliga tjänster är frivilligheten naturligtvis
mycket begränsad.
Att ett samtycke ska vara särskilt innebär att det inte går att ha
ett generellt samtycke till behandling av personuppgifter. Ändamålet med
behandlingen måste vara preciserat.
Samtycket ska vara en otvetydig viljeyttring. Med detta menas att den
inte ska råda några tveksamheter till att den registrerade har gett sin
tillåtelse till att hans eller hennes personuppgifter (preciserade) får
behandlas. Bevisbördan ligger hos den personuppgiftsansvarige.
För att samtycket ska vara giltigt måste den registrerade ha fått
tillräcklig information om behandlingen av hans eller hennes
personuppgifter. Det går inte att behandla annat än just det som den
registrerade fått information om.
Hur ett samtycke går till
Det normala är att den personuppgiftsansvarige och den tilltänkt
registrerade kommunicerar med varandra - via telefon, skriftligen etc. Den
personuppgifts- ansvarige lämnar nödvändig information och den
tilltänkt registrerade samtycker.
Samtycke kan också ske genom konkludent handlande. Detta handlande
innebär att personen ifråga lämnar önskvärda uppgifter efter att ha
fått fullständig information om den tilltänkta behandlingen, att
uppgiftslämnandet är frivilligt och att lämnandet av uppgifterna
betraktas som ett samtycke. Ett exempel på detta är att en person fyller
i en talong och skickar till företaget för att få en katalog. Ett annat
exempel kan vara att på företagets webbplats fylla i vissa personuppgifter för att få tillgång till nyhetsbrev, komma åt information etc.
Ett samtycke behöver inte vara skriftligt. Men eftersom bevisbördan
ligger hos den personuppgiftsansvarige är det lämpligt med ett
skriftligt samtycke.
Hur ett givet samtycke återkallas
Den registrerade rätt att när som helst återkalla ett lämnat samtycke.
Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
Observera detta med ytterligare uppgifter. Det innebär att
behandlingen av redan insamlade uppgifter får fortsätta. De kan däremot
inte kompletteras eller uppdateras.
Samtycke behövs ej då ett avtal med den registrerade skall kunna
fullgöras
Det är alltså tillåtet att behandla personuppgifter utan den
registrerades samtycke om det är nödvändigt för att kunna fullgöra
ett avtal med den registrerade eller för att kunna utföra något som
personen har begärt.
När det gäller kundregister skriver Datainspektionen
följande:
"Sådan behandling av personuppgifter som normalt har samband med
kundadministration är alltså tillåten. Samma gäller för personer som
har bett att fortlöpande få information samt kontaktpersoner hos
kundföretag och leveran- törer."
"Ett kundregister får innehålla namn och adress samt övriga uppgifter
som är relevanta för kundförhållandet. Personnummer får registreras i
kundsamman- hang om det behövs vid kreditgivning eller liknande. Med
kreditgivning har man likställt försäljning av varor mot faktura. Det
är inte tillåtet att utan den registrerades samtycke använda
personnumret som ett generellt kundnummer som används i olika sammanhang."
"Någon information om hur personuppgifter kommer att behandlas
behövs inte så länge uppgifter enbart används för normal
kundadministration som kunden kan förvänta sig. Däri ingår t.ex. att
skicka reklam till befintliga kunder som företaget har ett etablerat
kundförhållande med. Om man vill behandla uppgifterna för andra
ändamål än kunderna antas känna till, måste kunderna informeras om
detta."
"Personuppgifter får inte bevaras längre än vad som är
nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär
att uppgifter om avslutande kundförhållanden måste gallras
fortlöpande. Det kan finnas krav i annan lagstiftning som innebär att
uppgifterna måste sparas en viss tid, t.ex. för bokförings- och
arkivändamål."
Direkt marknadsföring
"11 § Personuppgifter får inte behandlas för ändamål som rör
direkt marknads- föring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller
hon motsätter sig sådan behandling."
Som exempel kan ges SPAR. Härifrån hämtar många företag adresser
till olika utskick. Den registrerade kan (skriftligen) begära att
uppgifter om honom eller henne inte lämnas ut för att användas vid
direkt marknadsföring.
Förbud mot behandling av känsliga personuppgifter
Det är förbjudet att behandla personuppgifter (i PuL betecknade som känsliga
personuppgifter) som avslöjar eller rör
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i fackförening
- hälsa
- sexualliv
Undantag från förbudet mot behandling av känsliga personuppgifter
"15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till
behandlingen eller på ett tydligt sätt offentliggjort
uppgifterna.
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt
samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras."
Uppgifter om lagöverträdelser m.m.
"21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar
i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden."
Behandling av personnummer
22 § Uppgifter om personnummer eller samordningsnummer får utan
samtycke behandlas bara när det är klart motiverat med hänsyn
till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl. Lag (1999:1059).
Information till den registrerade, rättelse och säkerhets-
åtgärder
"26 § Den personuppgiftsansvarige är skyldig att till var och en
som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej.
Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna
lämnas ut."
En ansökan måste vara skriftligen och undertecknad av den sökande.
Svaret, informationen, ska lämnas inom en månad efter det att ansökan
gjordes.
"28 § Den personuppgiftsansvarige är skyldig att på begäran av
den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna
lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till
vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller
olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte
lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats."
"31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisa- toriska åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av
personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är."
Skadestånd
"48 § Den personuppgiftsansvarige skall ersätta den registrerade
för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har
orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte
berodde på honom eller henne."
Läs mer om Personuppgiftslagen, PuL
Hela Personuppgiftslagen finns att läsa på
Rixlex (1998:204) Hos Datainspektionen finns mer att läsa om
PuL.
Sök på expowera:
eller sök mer information på webben:
|
Upp