Mer om Personuppgiftslagen (PuL)

Om personuppgifter och Internet

Den 24 oktober 1998 trädde personuppgiftslagen (SFS 1998:204) i kraft. Lagen bygger på ett EG-direktiv och ska hindra att den personliga integriteten kränks genom behandling av personuppgifter. Personuppgiftslagen ersätter datalagen från 1973, men för de behandlingar som startades före den 24 oktober 1998 gäller datalagen fram till den sista september år 2001.

Mer information om personuppgiftslagen hittar du på Datainspektionens hemsida www.datainspektionen.se (nytt flänk till annan webbplats, öppnas i nytt fönsterönster)länk till annan webbplats, öppnas i nytt fönster

Det är angeläget att kommuner och landsting har möjlighet att till medborgarna sprida information om sin verksamhet bland annat. genom att göra den tillgänglig på Internet. Regeringen har därför beslutat om en ändring i personuppgiftsförordningen (1998:1191) (nytt fönster)länk till annan webbplats, öppnas i nytt fönster

Ändringen innebär att kommuner, landsting och kommunalförbund kommer att kunna lägga ut sina diarier samt justerade protokoll från sammanträden med fullmäktige eller nämnd på Internet.

För att skydda enskildas personliga integritet måste dock personuppgifter som direkt pekar ut den registrerade, exempelvis namn, som huvudregel först avlägsnas. Detta är dock inte nödvändigt bland annat om det saknas skäl att anta att den enskildes integritet kränks. Personuppgifter som rör en förtroendevald avseende hans eller hennes uppdrag kommer alltid att kunna läggas ut.

Observera att Dessa regler gäller för publicering på Internet som är  öppet för alla. Uppgifter på ett intranät överförs inte till ett tredje land varför personuppgifter i högre utsträckning kan publiceras där jämfört med på Internet.

Så här säger Datainspektionen:

När personuppgifter publiceras öppet på en webbplats blir de tillgängliga över hela världen, även länder som saknar integritetsskydd för personuppgifter. Men personuppgiftslagen (PuL) tillåter ändå i vissa fall att personuppgifter läggs ut på webben. En förutsättning är naturligtvis att det också enligt övriga regler i PuL är tillåtet att behandla uppgifterna.

Samtycke
Om den registrerade - den som personuppgifterna avser - har lämnat sitt samtycke, är det tillåtet att publicera uppgifterna på Internet. Det är viktigt att komma ihåg att den registrerade skall ha fått sådan information att han eller hon kan bedöma för- och nackdelar med publiceringen.

Harmlösa uppgifter
Enligt PuL är det bara tillåtet att överföra personuppgifter till länder som har ett tillräckligt skydd för informationen (så kallad adekvat skyddsnivå), men harmlös information får publiceras på Internet utan den registrerades samtycke eftersom sådana uppgifter inte kräver något skydd. Man kan säga att den adekvata skyddsnivån för harmlösa uppgifter är inget skydd alls - "man behöver inget paraply om det inte regnar"!

Vad som i praktiken kan anses vara harmlös information måste bedömas från fall till fall. Utgångspunkten bör vara om den enskilde kan uppleva publiceringen som kränkande. Tänk på att inte alla har samma uppfattning om vad som är integritetskänsligt! Om du är osäker på vad den registrerade kommer att tycka om publiceringen är det en god regel att inhämta hans eller hennes samtycke.

Övrigt
Om personuppgifter behandlas uteslutande för journalistiska ändamål gäller inte alla regler i PuL. Om man främst talar i egen sak och till exempel publicerar kränkande tillmälen om en person på Internet, anses det att publiceringen inte enbart har journalistiska ändamål.

Bestämmelserna i PuL gäller inte för privat behandling av personuppgifter. Men publicering på Internet kan aldrig betraktas som en privat behandling eftersom uppgifterna blir tillgängliga över hela världen.

Praktiska exempel

Datainspektionen har lämnat följande praktiska exempel:

Arbetsplatsen
Namn, befattning, telefonnummer, e-postadress och liknande arbetsplatsrelaterade personuppgifter kan normalt publiceras på en webbplats utan den registrerades samtycke. Vill man däremot lägga ut exempelvis hemadress, hemtelefonnummer eller foton bör man fråga personen först.

Skolan
Uppgifter om elevers namn, klass och e-postadress till skolan kan normalt publiceras. Vill man dessutom lägga ut adress, telefonnummer eller foton bör man fråga först.

Föreningslivet
Medlemsregister innehåller normalt harmlös information, men tänk på att exempelvis medlemmar i en skytteförening kan invända mot en världsvid publicering som visar att det kan finnas vapen på en viss adress. Det är lämpligt att på ett medlemsmöte diskutera vilka personuppgifter som skall finnas på föreningens webbplats; det är inte ovanligt att personer inte vill att deras adress och telefonnummer publiceras på Internet.

Kommuner
Kallelser, föredragningslistor och protokoll kan läggas ut om informationen inte är otillbörlig eller integritetskänslig. Vilka personuppgifter som är otillbörliga eller känsliga måste alltid bedömas från fall till fall, vilket innebär att alla protokoll måste granskas innan de publiceras. Att någon har beviljats byggnadslov eller fått ett stipendium är knappast känsliga uppgifter. Däremot upplevs troligen information som avslöjar att någon blivit sjuk av sitt brunnsvatten eller misstänks för att ha behandlat sina djur illa som kränkande.

Foton
Tänk på att även foton normalt betraktas som personuppgifter även om inga namn nämns. Innan man lägger ut bilder på sin webbplats bör man alltså fråga berörda personer.

Om någon invänder mot att uppgifter om honom eller henne har publicerats på Internet bör uppgifterna tas bort även om de för utomstående kan verka harmlösa.

Några begrepp runt PUL:

Personuppgiftsansvarig
Lagen säger: "Den för vars verksamhet registret förs om han förfogar över det". Det betyder att respektive nämnd är ansvarig. För bolag är VD ansvarig. Det är naturligtvis lämpligt att den personuppgiftsansvarige känner till de register som förs och där personuppgifter förekommer.

Personuppgiftsombud
Lagen säger: "Den fysiska person som efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt".

Det behöver inte vara en person som är knuten till en viss verksamhet eller en viss funktion. Det bör däremot vara en person som har en självständig ställning och kan göra interna kontroller i verksamhetens register samt påpeka brister till den personuppgiftsansvarige. Personuppgiftsombudet skall också föra förteckning över de register som förekommer samt anmäla till Datainspektionen om brister inte rättats till.

I Götene kommun är arkivarie Evy Olsson personuppgiftsombud för alla nämnder och bolag.

Personuppgiftsbiträde
Behandlar personuppgifter för personuppgiftsansvariges räkning. Är en extern person, till exempel servicebyrå. Avtal skall finnas som reglerar hur behandlingen skall ske. Biträdet får bara behandla i enlighet med instruktioner.

Personuppgifter och intranät
Uppgifter på ett intranät överförs inte till ett tredje land varför personuppgifter i högre utsträckning kan publiceras där jämfört med på Internet.

Vad menas med "behandling av personuppgifter" enligt PuL?
Med behandling menas allt man gör med personuppgifter, vare sig det sker med en dators hjälp eller ej. Exempel på behandling av personuppgifter är: insamling, registrering, lagring och bearbetning.

Vad menas med "samtycke" enligt PuL och hur ska det se ut?
Samtycke är en frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade - efter att ha fått information - godtar behandlingen av personuppgifter om sig själv.

Samtycket behöver inte vara skriftligt men det kan många gånger vara lämpligt.

Finns det någon åldersgräns för samtycke?
Nej, det finns inte någon åldersgräns i PuL för när en person kan samtycka till att hans eller hennes personuppgifter behandlas för olika ändamål.

En person som kan förstå informationen om vad en behandling innebär kan också lämna ett samtycke enligt PuL. Detta gäller även underåriga (det vill säga personer under 18 år). En underårig som inte själv kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. I sådana fall bör samtycket istället kunna inhämtas från vårdnadshavaren. Frågan om en person förstår innebörden av informationen måste bedömas från fall till fall.

Var det här informationen du sökte?


För att vi ska kunna hjälpa dig hitta rätt behöver vi kunna kontakta dig.
Hur vill du bli kontaktad?


Tack för att du hjälper oss!


Sidansvarig: Jonna Sanfridsson, senast ändrad 26 februari 2015