Policy för personuppgifter

Behandling av personuppgifter

Den 24 oktober 1995 antog Europaparlamentet och EU-rådet ett direktiv (95/46/EG) om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. I direktivet talas om att den tekniska utvecklingen i allt högre grad möjliggör ett gränsöverskridande flöde av personuppgifter, och att det för den inre marknadens mål (fri rörlighet för varor, personer, tjänster och kapital. Artikel 7a i Fördraget om upprättandet av Europeiska Gemenskapen) är viktigt att alla medlemsstater har likvärdig skyddsnivå för enskilda personers fri- och rättigheter. På grundval av direktivet har Sverige antagit en helt ny datalag, Personuppgiftslagen (1998:204) kallad PUL, som har ersatt 1973 års lag. PUL trädde i kraft den 24 oktober 1998 och följer i stort direktivets text och disposition. Den omfattar dels all helt eller delvis automatiserad behandling av personuppgifter, dels manuell behandling av personuppgifter som ska ingå i manuella personregister (5 § PUL). Lagens syfte är att "skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter" (1 § PUL). Med "behandling" menas "varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utelämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring" (3 § 1 PUL). Exempel på "behandling" är upprättande av deltagarförteckning till en kurs eller idrottstävling, sändlista för e-mail, kundregister, lönelistor, sammanträdesprotokoll, passiv loggning av trafiken på en webplats, mm. Med "personuppgift" menas "all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet" (3 § 4 PUL). Att personnummer och namn räknas till personuppgifter torde stå klart för alla. Enligt datalagskommittén kan dock även en IP-adress vara personuppgift, nämligen om det är möjligt att med hjälp av andra uppgifter koppla en bestämd person till en dators IP-nummer. Andra exempel är bilder, om det går att identifiera den eller de personer som finns med på bilden (att t ex sätta upp en webkamera på offentlig plats är extra känsligt), e-mailadresser - särskilt sådana som innehåller personnamn, bilnummer, anställningsnummer, mm., mm.

Personuppgiftsansvaret

Till skillnad från den gamla datalagen går det inte längre att ansöka om tillstånd från Datainspektionen för att hålla register eller på annat sätt behandla personuppgifter. I stället ligger ansvaret helt på den fysiska eller juridiska person som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter - den personuppgiftsansvarige. Helt eller delvis automatiserad behandling av personuppgifter ska anmälas till DI. Om den personuppgiftsansvarige emellertid har utsett ett särskilt personuppgiftsombud (PUO), behöver behandlingen inte anmälas. Det blir i stället PUOs uppgift att se till att personuppgifter behandlas på ett korrekt och lagligt sätt. PUO behöver inte vara anställd på det företag som behandlar personuppgifterna, outsourcing är tillåten, men den personuppgiftsansvarige måste till DI anmäla vem (kan bara vara en fysisk person) som utsetts till PUO. 9 § PUL anger de grundläggande kraven på behandling av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter:

  • behandlas bara om det är lagligt
  • alltid behandlas på ett korrekt sätt och i enlighet med god sed
  • samlas in bara för särskilda, uttryckligt angivna och "berättigade" ändamål
  • inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in
  • är adekvata och relevanta i förhållande till ändamålet med behandlingen bara behandlas i den omfattning som är nödvändig med hänsyn till ändamålet
  • är riktiga och aktuella (och att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna felaktiga eller ofullständiga uppgifter)
  • inte bevaras under längre tid än som är nödvändigt med hänsyn till ändamålet.

Personuppgifter för historiska, statistiska eller vetenskapliga ändamål får dock samlas in något friare och bevaras längre än uppgifter för andra ändamål. EG-kommissionen har i samband med diskussioner om direktivet framfört att "Internet cookies" hör till en typ av behandling av personuppgifter som är extra kränkande för den personliga integriteten, eftersom insamlingen av data oftast sker helt utan den registrerades vetskap. PUL innehåller även regler om informationsskyldighet och rättelse (23-28 §§). Bland annat är den personuppgiftsansvarige skyldig att, på begäran av den registrerade, en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Under förutsättning att den personuppgiftsansvarige själv för förteckning över behandlingen, behöver sådan behandling av personuppgifter som rör medlemskap, anställning eller kundförhållande inte heller anmälas till DI.

När behövs tillstånd?

Personuppgifter får behandlas bara om den som personuppgiften avser har lämnat sitt samtycke (10 § PUL). Med samtycke menas varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade - efter att ha fått information om vad uppgiften ska användas till - godtar behandling av personuppgift som rör denne. Det krävs inte att samtycket är skriftligt, men det måste ha kommit till ett klart uttryck på något sätt (t ex genom att personen kryssat i en frågeruta). Eftersom samtycket ska vara "särskilt" godtas inte generella samtycken till uppgiftsbehandling (t ex "jag samtycker till att mina personupgifter får användas i reklamsammanhang"). DI har exempelvis fattat beslut om att Telia måste införskaffa uttryckligt samtycke från sina abonnenter innan de lägger ut deras personuppgifter på Internet. Därmed kan inte Telia utan vidare publicera den privata delen av telefonkatalogen på nätet, trots att företaget anser sig ha fått abonnenternas generella samtycke i och med godkännandet att publicera personuppgifterna i en (pappers)katalog. När det gäller direkt marknadsföring finns en regel i 11 § som stadgar att den registrerade hos den personuppgiftsansvarige skriftligen kan anmäla att han eller hon motsätter sig behandling för sådant ändamål. Den registrerade har rätt att när som helst återkalla sitt samtycke (12 § PUL) och därefter får ytterligare personuppgifter inte behandlas.

Undantag och specialregler

10 § innehåller också flera viktiga undantag, när tillstånd från den registrerade inte behövs, nämligen om behandlingen är nödvändig för att

  • ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas. Här avses bl a åtgärder som en arbetsgivare måste vidta för att kunna fullgöra sina åtaganden i enlighet med ett anställningsavtal (upprätta löne- och semesterlistor, mm)
  • den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Exempel på detta är då bestämmelser i skattelagstiftning eller arbetsrättslig lagstiftning innebär skyldighet att behandla vissa personuppgifter.
  • vitala intressen för den registrerade ska kunna skyddas
  • en arbetsuppgift av allmänt intresse ska kunna utföras
  • den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
  • ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

De flesta av dessa punkter innehåller intresseavvägningar, vars avgränsningar kommer att visa sig först då den nya lagen varit i kraft och användning ett tag. Med att behandlingen är "nödvändig" får antagas ligga ett krav på att den personuppgiftsansvarige först måste ha utrett om resultatet kan uppnås utan att företa behandlingen av personuppgiften. Lagen omfattar inte behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 § PUL). Undantaget är strikt avgränsat. En ideell förenings medlemsregister är exempelvis inte sådan privat verksamhet. Din privata telefonbok är tillåten, men om du lägger ut ditt privata register på Internet är undantaget inte tillämpligt. I 7-8 §§ görs vidare uttryckliga undantag från PUL om bestämmelserna i lagen skulle inskränka mot offentlighetsprincipen eller mot tryck- och yttrandefriheten i TF och YGL. Behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande är även i stort undantagna från PUL. Undantaget för offentlighetsprincipen finns inte med i EG-direktivet, och huruvida Sverige har rätt att hävda detta blir en fråga som i slutändan får prövas av EG-domstolen. Vad som är "journalistiska ändamål" är inte närmare definierat. Regeringen har meddelat att man kommer att ge en vidsträckt tolkning av begreppet journalistik men det är tveksamt om exempelvis journalisternas chatsida Medialistan kan falla in under begreppet eftersom listan används även för annat än "uteslutande journalistiska ändamål". Om det i annan lag eller i en förordning finns bestämmelser som avviker från PUL, ska de bestämmelserna gälla (2 § PUL). Det finns en mängd särskilda registerlagar, exempelvis avseende SPAR, RIXLEX, polisregisterlagarna (Lag om belastningsregister, Lag om misstankeregister, Polisdatalagen), lag om hälsodataregister och Riksskatteverkets register, vilka således gäller oavsett bestämmelserna i PUL.

Känsliga personuppgifter

13-22 §§ behandlar känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer. Huvudregeln stadgar att det är förbjudet att behandla personuppgifter som avslöjar ras eller etiskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt personuppgifter som rör hälsa eller sexualliv ( = känsliga personuppgifter). Sådana personuppgifter får dock behandlas om den registrerade har lämnat sitt uttryckliga medgivande, eller på ett tydligt sätt offentliggjort uppgifterna. De får också behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter inom arbetsrätten, den registrerades vitala intressen ska kunna skyddas utan att denne kan lämna sitt samtycke (tex vid akutbehandling på sjukhus), eller rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Ideella organisationer med politiskt, filosofiskt eller fackligt syfte får naturligtvis inom ramen för sin verksamhet behandla känsliga personuppgifter om medlemmarna (t ex i form av medlemsregister). Sådana uppgifter får dock bara lämnas ut till tredje man efter uttryckligt samtycke från den registrerade. Det är förbjudet för andra än myndigheter att behandla persnuppgifter om lagöverträdelser. Regeringen kan dock besluta om undantag i enskilda fall. Slutligen får uppgifter om personnummer behandlas utan samtycke enbart när det är "klart motiverat" med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller "något annat beaktansvärt skäl".

Territorium

Eftersom PUL grundas på ett EG-direktiv, gäller i stort samma regler inom hela EU/EES. Den svenska lagen gäller för personuppgiftsansvariga som är etablerade i Sverige, dvs bedriver någon form av varksamhet i landet. För de som är etablerade i andra EES-länder gäller motsvarande nationell lagstiftning. PUL ska även tillämpas om den personuppgiftsansvarige är etablerad i "tredje land" (dvs utanför EES), men vid behandlingen av personuppgifterna använder sig av utrustning som finns i Sverige. Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Även om direktivet och PUL inte direkt nämner Internet, är det framför allt detta generella förbud som avses när man diskuterar PULs återverkningar för personuppgifter på hemsidor. I och med att en personuppgift behandlas på en webplats, sprids den ju globalt och således även till "tredje land". Förbudet har ett antal undantag. Det är således tillåtet att föra över personuppgifter till tredje land om den registrerade har givit sitt samtycke, eller om överföringen är nödvändig för fullgörande av avtal mellan den registrerade och den personuppgiftsansvarige, fullgörande av avtal som är i den registrerades intresse, vitala intressen för den registrerade ska kunna skyddas eller rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.

Överträdelser och straff

Tillståndsmyndigheten (DI) har rätt att, för att kunna utöva tillsyn, på begäran få tillgång till de personuppgifter som behandlas, upplysningar om behandlingen och säkerheten vid denna, samt tillträde till de lokaler som har anknytning till behandling av personuppgifter. Om myndigheten inte efter sådan begäran fått tillräckligt underlag kan den personuppgiftsansvarige vid vite förbjudas att behandla personuppgifter på annat sätt än genom lagring (43-44 §§ PUL). Finner tillståndsmyndigheten att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten i första hand försöka åstadkomma rättelse genom påpekanden. Eventuellt ska de olagligt behandlade personuppgifterna utplånas. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personupgifter i strid med PUL har orsakat (48 § PUL). Den (läs: personuppgiftsansvarige) som uppsåtligen eller av oaktsamhet bryter mot lagens bestämmelser beträffande känsliga personuppgifter, överföring av personuppgifter till tredje land, låter bli att anmäla behandling av automatiserade personuppgifter, eller lämnar osanna upgifter till DI, kan dömas till böter eller fängelse i högst sex månader. Är brottet grovt, kan straffet bli upp till två års fängelse.

Övergångsbestämmelser

Den 24 oktober 1998 upphörde (i princip) den gamla datalagen att gälla och i dess ställe kom PUL. Har behandling av personuppgift påbörjats före PULs ikraftträdande ska dock datalagen fortfarande tillämpas för denna behandling fram till och med den 30 september 2001. Detsamma gäller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjats före den 24 oktober 1998. Därutöver finns regler för påbörjad manuell behandling, där PUL i vissa delar inte börjar tillämpas förrän den 1 oktober 2007, samt för personupgifter som lagrats för historisk forskning där PUL blir tillämplig först när uppgifterna behandlas på något sätt. För behandling av personuppgifter som påbörjas efter den 24 oktober 1998, och som inte är hänförlig till visst ändamål där behandling för ändamålet påbörjats före detta datum, ska PUL tillämpas fullt ut.