bobanken.se
bobanken.se
Sök efter: Bostadsrätter Sök efter: Fritidsboende Sök efter: Gårdar Sök efter: Hyresrätter Sök efter: Lokaler Sök efter: Tomter Sök efter: Villor

Hantering av personuppgifter

Den 24 oktober 1995 antog Europaparlamentet och EU-rådet ett direktiv (95/46/EG) om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. I direktivet talas om att den tekniska utvecklingen i allt högre grad möjliggör ett gränsöverskridande flöde av personuppgifter och att det för den inre marknadens mål (fri rörlighet för varor, personer, tjänster och kapital. Artikel 7a i Fördraget om upprättandet av Europeiska Gemenskapen) är viktigt att alla medlemsstater har likvärdig skyddsnivå för enskilda personers fri- och rättigheter. På grundval av direktivet har Sverige antagit en helt ny datalag, Personuppgiftslagen (1998:204) kallad PUL, som har ersatt 1973 års lag. PUL trädde i kraft den 24 oktober 1998 och följer i stort direktivets text och disposition. Den omfattar dels all helt eller delvis automatiserad behandling av personuppgifter, dels manuell behandling av personuppgifter som ska ingå i manuella personregister (5 § PUL). Lagens syfte är att "skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter" (1 § PUL). Med "behandling" menas "varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t ex insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utelämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring" (3 § 1 PUL). Exempel på "behandling" är upprättande av deltagarförteckning till en kurs eller idrottstävling, sändlista för e-mail, kundregister, lönelistor, sammanträdesprotokoll, passiv loggning av trafiken på en webplats, m m. Med "personuppgift" menas "all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet" (3 § 4 PUL). Att personnummer och namn räknas till personuppgifter torde stå klart för alla. Enligt datalagskommittén kan dock även en IP-adress vara personuppgift, nämligen om det är möjligt att med hjälp av andra uppgifter koppla en bestämd person till en dators IP-nummer. Andra exempel är bilder, om det går att identifiera den eller de personer som finns med på bilden (att t ex sätta upp en webkamera på offentlig plats är extra känsligt), e-mailadresser - särskilt sådana som innehåller personnamn, bilnummer, anställningsnummer, mm., mm.

Personuppgiftsansvaret

Till skillnad från den gamla datalagen går det inte längre att ansöka om tillstånd från Datainspektionen (DI) för att hålla register eller på annat sätt behandla personuppgifter. I stället ligger ansvaret helt på den fysiska eller juridiska person som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter - den personuppgiftsansvarige. Helt eller delvis automatiserad behandling av personuppgifter ska anmälas till DI. Om den personuppgiftsansvarige emellertid har utsett ett särskilt personuppgiftsombud (PUO), behöver behandlingen inte anmälas. Det blir i stället PUOs uppgift att se till att personuppgifter behandlas på ett korrekt och lagligt sätt. PUO behöver inte vara anställd på det företag som behandlar personuppgifterna, outsourcing är tillåten, men den personuppgiftsansvarige måste till DI anmäla vem (kan bara vara en fysisk person) som utsetts till PUO. 9 § PUL anger de grundläggande kraven på behandling av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter:
· behandlas bara om det är lagligt
· alltid behandlas på ett korrekt sätt och i enlighet med god sed
· samlas in bara för särskilda, uttryckligt angivna och "berättigade" ändamål
· inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in
· är adekvata och relevanta i förhållande till ändamålet med behandlingen bara behandlas i den omfattning som är nödvändig med hänsyn till ändamålet
· är riktiga och aktuella (och att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna felaktiga eller ofullständiga uppgifter)
· inte bevaras under längre tid än som är nödvändigt med hänsyn till ändamålet.
Personuppgifter för historiska, statistiska eller vetenskapliga ändamål får dock samlas in något friare och bevaras längre än uppgifter för andra ändamål. EG-kommissionen har i samband med diskussioner om direktivet framfört att "Internet cookies" hör till en typ av behandling av personuppgifter som är extra kränkande för den personliga integriteten, eftersom insamlingen av data oftast sker helt utan den registrerades vetskap. PUL innehåller även regler om informationsskyldighet och rättelse (23-28 §§). Bland annat är den personuppgiftsansvarige skyldig att, på begäran av den registrerade, en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Under förutsättning att den personuppgiftsansvarige själv för förteckning över behandlingen, behöver sådan behandling av personuppgifter som rör medlemskap, anställning eller kundförhållande inte heller anmälas till DI.

När behövs tillstånd?

Personuppgifter får behandlas bara om den som personuppgiften avser har lämnat sitt samtycke (10 § PUL). Med samtycke menas varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade - efter att ha fått information om vad uppgiften ska användas till - godtar behandling av personuppgift som rör denne. Det krävs inte att samtycket är skriftligt, men det måste ha kommit till ett klart uttryck på något sätt (t ex genom att personen kryssat i en frågeruta). Eftersom samtycket ska vara "särskilt" godtas inte generella samtycken till uppgiftsbehandling (t ex "jag samtycker till att mina personupgifter får användas i reklamsammanhang"). DI har exempelvis fattat beslut om att Telia måste införskaffa uttryckligt samtycke från sina abonnenter innan de lägger ut deras personuppgifter på Internet. Därmed kan inte Telia utan vidare publicera den privata delen av telefonkatalogen på nätet, trots att företaget anser sig ha fått abonnenternas generella samtycke i och med godkännandet att publicera personuppgifterna i en (pappers)katalog. När det gäller direkt marknadsföring finns en regel i 11 § PUL som stadgar att den registrerade hos den personuppgiftsansvarige skriftligen kan anmäla att han eller hon motsätter sig behandling för sådant ändamål. Den registrerade har, enligt 12 §PUL, rätt att när som helst återkalla sitt samtycke och därefter får ytterligare personuppgifter inte behandlas.

Undantag och specialregler

10 § PUL innehåller också flera viktiga undantag, när tillstånd från den registrerade inte behövs, nämligen om behandlingen är nödvändig för att
· ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas. Här avses bl a åtgärder som en arbetsgivare måste vidta för att kunna fullgöra sina åtaganden i enlighet med ett anställningsavtal (upprätta löne- och semesterlistor, m m)
· den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Exempel på detta är då bestämmelser i skattelagstiftning eller arbetsrättslig lagstiftning innebär skyldighet att behandla vissa personuppgifter
· vitala intressen för den registrerade ska kunna skyddas
· en arbetsuppgift av allmänt intresse ska kunna utföras
· den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
· ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
De flesta av dessa punkter innehåller intresseavvägningar, vars avgränsningar kommer att visa sig först då den nya lagen varit i kraft och användning ett tag. Med att behandlingen är "nödvändig" får antagas ligga ett krav på att den personuppgiftsansvarige först måste ha utrett om resultatet kan uppnås utan att företa behandlingen av personuppgiften. Lagen omfattar inte behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 § PUL). Undantaget är strikt avgränsat. En ideell förenings medlemsregister är exempelvis inte sådan privat verksamhet. Din privata telefonbok är tillåten, men om man lägger ut sitt privata register på Internet är undantaget inte tillämpligt. I 7-8 §§ PUL görs vidare uttryckliga undantag från PUL om bestämmelserna i lagen skulle
© Copyright Prylbanken | Sajtkarta bobanken.se är medlem i BitoS etiska råd