Kategorier
Bra att veta Integritet Personer

Personuppgiftslagen

Personuppgiftslagen

(1998:204 ), ofta förkortad PUL eller PuL, är en svensk lag och är den svenska implementeringen av EU:s dataskyddsdirektiv 95/46/EG. Lagen trädde ikraft den 24 oktober 1998 då den förra datalagen (1973:289) slutade gälla. Lagen föreslogs följa samma struktur som direktivet, med motiveringen att direktivet saknar förarbeten och därför inte kan tolkas – det ansågs därför lämpligast att försöka följa direktivets text och struktur. Noterbart är även att bestämmelser om viss dokumentationsskyldighet för myndighet flyttas till 15 kapitlet OSL och straffet för dataintrång flyttades till brottsbalken, detta för att bestämmelserna inte ansågs höra hemma i den nya lagen. Personuppgiftslagen tillämpas inte om det finns annan lagstiftning som bestämmer något annat – personuppgiftslagen är alltså subsidiär andra författningar (3 § PuL).

Syfte

Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 § PuL).

Behandling av personuppgift

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling av personuppgift avses ”varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring” (3 § PuL).

Lagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i icke-EU-land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter i enlighet med (3 § PuL).

Det är bland annat förbjudet att överföra personuppgifter till icke-EU-länder om sådana länder inte har en adekvat nivå för skyddet av personuppgifterna. Vid en bedömning om vad som anses vara en adekvat nivå skall man ta hänsyn till samtliga omständigheter men framför allt ”uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet” (33 § PuL). Det kan dock vara tillåtet med tredjelandsöverföring om det föreligger samtycke från den personuppgiftsregistrerade eller om en sådan överföring krävs för att den personuppgiftsansvariga skall kunna fullfölja ett avtal, en rättslig skyldighet eller för att skydda vitala intressen för den registrerade (34 § PuL). Även regeringen får meddela undantag från detta förbud (35 § PuL). Trots att en publicering på Internet tekniskt sett skulle kunna anses vara tredjelandsöverföring, så räknas det inte som en sådan om servern ligger i Sverige eller i ett EU-land. Detta konstaterade EU-domstolen i sitt avgörande i det så kallade Bodilfallet.

Känsliga personuppgifter

Det är förbjudet att behandla ”känsliga personuppgifter” som avslöjar (13 § PuL)

  1. ras eller etniskt ursprung,
  2. politiska åsikter,
  3. religiös eller filosofisk övertygelse,
  4. medlemskap i fackförening,
  5. hälsa eller sexualliv.

Sådana uppgifter får dock behandlas i vissa situationer som uppräknas i 15 till 19 §§ (se 14 § PuL). Behandlingen är tillåten om samtycke lämnats (15 §); om det är nödvändigt för fullgörande av vissa skyldigheter eller rättigheter inom arbetsrätten (16 § första stycket a, utlämnande till tredje man begränsas dock till att det finns en skyldighet för den personuppgiftsansvariga att göra så eller om samtycke har lämnats enligt 16 § andra stycket), om det är nödvändigt för att skydda den registrerades eller någon annans vitala intressen, om den registrerade inte kan lämna samtycke (16 § första stycket b) eller om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk (16 § första stycket c); om behandling sker av ideella organisationer med politiskt, religiöst, filosofiskt eller fackligt syfte inom ramen för sin verksamhet (17 § första meningen, utlämnande till tredje man kräver dock samtycke enligt 17 § andra meningen); om det krävs för vissa hälso- och sjukvårdsändamål (18 §); om det faller in under forskningsändamål som godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (19 § första stycket), om det krävs för statistikändamål om behandling är nödvändig (19 § andra stycket, sådan behandling anses tillåten om den är godkänd av en forskningsetisk kommitté enligt 19 § tredje stycket).

Noterbart är att även regeringen eller den myndighet som regeringen bestämmer (i detta fall tillsynsmyndigheten Datainspektionen) får meddela föreskrifter om ytterligare undantag från förbudet i 13 § om det behövs med hänsyn till allmänt intresse (20 § PuL).

Utöver de ”känsliga personuppgifter” som nämns i 13 § PuL, listade ovan, får man (enligt 21 §) inte registrera uppgifter om domar i brottmål, laga frihetsberövanden och liknande.

Uppgifter om lagöverträdelser

Det är förbjudet att ”behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden” enligt 21 § första stycket. Förbudet i första stycket gäller dock inte myndigheter. Detta förbud har dock en del undantag. I andra stycket står det att sådan uppgiftsbehandling är tillåten för forskningsändamål, om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Enligt tredje stycket får även regeringen eller myndighet som regeringen bestämmer meddela föreskrifter med undantag från förbudet. Även beslut om undantag i enskilda fall får meddelas av regeringen eller denna myndighet enligt fjärde stycket (21 § PuL) Denna myndighet som omskrivs i 21 § är Datainspektionen enligt 9 § personuppgiftsförordningen.

Undantag

Journalistiskt ändamål

Undantag har gjorts för litterära, konstnärliga och journalistiska ändamål (7 § PuL). Med journalistiska ändamål menas ”att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten”. Betydelsen får anses väldigt vidsträckt och omfattar inte enbart en journalists yrkesutövning, utan vem som helst som har ett genuint journalistiskt ändamål enligt definitionen ovan omfattas av undantaget. Detta kommer till uttryck i bland annat det så kallade Ramsbrofallet där en person lagt ut personuppgifter på Internet. Detta ansågs inte strida mot PuL med hänvisning att det föll in under journalistiskt ändamål. Noterbart att domstolen inte nödvändigtvis knyter definitionen enbart till allmänheten, utan även om frågor enbart har betydelse för en viss grupp så kan det falla in under journalistiska ändamål.

Ostrukturerat material
De flesta bestämmelserna i personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel i löpande text. Denna regel kallas oftast ”missbruksregeln”. Om en behandling av personuppgifter faller in under missbruksregeln är det enda kravet på den personuppgiftsansvariga att materialet inte kränker den personliga integriteten hos den registrerade (det vill säga ett missbruk av uppgifterna, varav namnet) (5 a § PuL). De bestämmelser som undantas är följande paragrafer: 9 § (grundläggande krav på behandlingen av personuppgifter), 10 § (när behandling är tillåten), 13-19 §§ (känsliga uppgifter), 21-22 §§ (upggifter om lagöverträdelser och personnummer), 23-26 §§ (informationsskyldighet), 28 § (rättelse av felaktig uppgift), 33-34 §§ (överföring till tredje land) och 42 § (upplysningar till allmänheten om behandlingar som inte anmälts).

Privat natur
PUL gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 § PuL). Bestämmelsen bör tolkas snävt – i exempelvis RH 2004:51, det så kallade Bodilfallet, så kom domstolen fram till att publicering av uppgifter på hemsida av en privatperson på en allmänt tillgänglig hemsida inte innebär privat bruk.

Vissa grundlagsbestämmelser
Personuppgiftslagen tillämpas inte om den skulle strida mot bestämmelser i grundlagarna tryckfrihetsförordningen och yttrandefrihetsgrundlagen (7 § 1 st PuL). Lagen tillämpas inte heller om den skulle inskränka en myndighets skyldighet att lämna ut offentliga uppgifter enligt offentlighetsprincipen, som finns reglerad i 2 kapitlet i tryckfrihetsförordningen (8 § 1 st PuL).

Registerutdrag

PUL ger den behandlade rätt att en gång per år avgiftsfritt få information om alla personuppgifter som den personuppgiftsansvariga har lagrat om den behandlad. För att få ett registerutdrag skall den behandlade skicka en egenhändigt underskriven begäran till den personuppgiftsansvarige (det räcker inte att skicka E-post eller fax) (26 § PuL).
Den personuppgiftsansvariga kan inte hänsvisa till att de redan skickat informationen i andra sammanhang eller håller informationen tillgånglig via sin webbsida, utan de är skyldiga att skicka en skriftlig kopia av all information.

Sanktioner

Skadestånd
Den personuppgiftsansvarige (och enbart den personuppgiftsansvarige) kan bli skadeståndsskyldig mot den registrerade för skada och kränkning av den personliga integriteten, som en behandling av personuppgifter i strid med denna lag, har orsakat. Bestämmelsen gäller, till skillnad från straffbestämmelsen, för överträdelse mot samtliga paragrafer som innebär en sådan skada och kränkning. Ersättningsskyldigheten kan jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne (48 § PuL). Enligt skadeståndslagens regler så gäller denna skadeståndsbestämmelse framför eventuella bestämmelser i skadeståndslagen (1 kap. 1 § skadeståndslagen).

Straff
Den som i strid mot 49 § personuppgiftslagen behandlar personuppgift kan dömas till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år om brottet skett uppsåtligen eller av grov oaktsamhet. I ringa fall döms inte till ansvar enligt andra stycket (49 § PuL). Att man brutit mot personuppgiftslagen i något avseende innebär däremot inte att man kan dömas till böter eller fängelse med stöd av denna paragraf. Enbart vissa situationer omfattas av straffansvaret. Straffansvar följer vid följande situationer:

  • den som lämnar felaktig uppgift vid en anmälan om pågående personuppgiftshantering till tillsynsmyndigheten eller när felaktig uppgift lämnas när tillsynsmyndigheten begär information (49 § 1 st a)),
  • när någon behandlar personuppgifter i strid med 13-21 §§ (b)),
  • vid felaktig överföring till tredje land (c));
  • den som underlåter att anmäla personuppgiftsbehandling enligt 36 § första stycket (d)),
  • den som bryter mot missbruksregeln vid hantering av känsliga uppgifter (enligt 13 §) eller uppgifter om lagöverträdelser (e)),
  • den som för över uppgifter som omfattas av missbruksregeln till tredje land, om landet i fråga inte har en adekvat skyddsnivå för personuppgifter (f)).

Tillsyn

Datainspektionen är tillsynsmyndighet enligt 2 § personuppgiftsförordningen och dess beslut får överklagas till allmän förvaltningsdomstol, det vill säga i första instans till förvaltningsrätt (51 § PuL).

Källa: Wikipedia