Automatiserad, delvis automatiserad och manuell behandling

PuL är tillämplig på sådan behandling av personuppgifter som helt eller delvis är automatiserad. Automatiserad behandling rör sig om behandling av personuppgifter i datorformat och innefattar löpande text, bilder, databaser etc. Delvis automatiserad behandling täcker manuellt insamlande av personuppgifter som sedan ska registreras i datorformat. Även muntligt utlämnande av personuppgifter som finns i datorformat eller utlämnande i pappersform omfattas av lagen. Exempelvis ses insamlande via enkäter som ska skrivas in i datorformat som en behandling samt om det till en samling akter finns ett datoriserat index som är sökbart på personuppgifter.

Manuell behandling omfattas av lagen då personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. ett manuellt register. Registret måste innehålla en samling av personuppgifter och vara strukturerat, dvs. ordnat efter ett visst system. Generellt brukar man anse att registret ska vara sökbart med hjälp av två sökingångar, dvs. vara sorterat efter två olika personuppgifter, såsom namn och personnummer.

Strukturerat och ostrukturerat material

I PuL gör man skillnad på strukturerat och ostrukturerat material. Strukturerat material är t.ex. databaser, register, ärende- och dokumenthanteringssystem. Personuppgifterna är ordnade så att det blir enklare att söka efter eller sammanställa personuppgifter.

För sådan behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, har det införts en förenklad reglering som innebär ett undantag från de flesta bestämmelserna i PuL. Vad som undantas är t.ex. löpande text i ordbehandlingsprogram, löpande text på Internet, e-postkorrespondens, bilder och ljudfiler. Undantaget kan också omfatta personuppgiftsanknuten struktur som är enkel, t.ex. klasslistor och listor över anställda där endast namn står angivna. Datainspektionen har ansett att påtaglighetskravet inte är uppfyllt när endast indirekta personuppgifter struktureras. Det ostrukturerade materialet får dock inte ingå i eller vara avsedda att infogas i en databas eller register med personuppgiftsanknuten struktur såsom t.ex. ett dokument- eller ärendehanteringssystem. Pappershandlingar eller elektroniska handlingar som endast omnämns i ett diarium ingår nämligen inte i den strukturerade samlingen medan handlingar som kopplas direkt till diariet elektroniskt blir en del av samlingen.

Behandling av personuppgifter i ostrukturerat material får inte kränka den registrerades personliga integritet. Det är svårt att veta vad som uppfattas som kränkande och det har inte heller definierats i lagtexten. Man måste därför göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Den enskildes intresse av en fredad, privat sfär måste avvägas mot andra motstående intressen. Kränkning av den registrerades personliga integritet kan leda till skadeståndsansvar och i vissa fall straffansvar.

Nedan följer Datainspektionens tumregler och exempel på vad som är kränkande:

  • Behandla inte personuppgifter för otillbörliga syften, som förföljelse eller skandalisering. Ett exempel är publicering på Internet av bilder på en före detta pojk- eller flickvän i eller utan badkläder eller rent personliga detaljer om dennes beteende. Ett annat exempel är spridning av uppgifter om meningsmotståndare för att kunna angripa dem på grund av politisk uppfattning, sexuell läggning eller etniskt ursprung.
  • Samla inte utan godtagbara skäl en stor mängd uppgifter om en person. En enskild person har rätt att kräva att ingen har en nästan fullständig kunskap om honom eller henne. Att utan något godtagbart ändamål samla en stor mängd uppgifter om en person måste därför ofta ses som en integritetskränkning. Som exempel kan nämnas en hyresvärd som av nyfikenhet iakttar en hyresgäst och samlar bilder och anteckningar i löpande text.
  • Rätta personuppgifter som visar sig vara felaktiga eller missvisande. Det är oftast en kränkning av den registrerades personliga integritet om någon medvetet behandlar uppgifter om henne som är klart felaktiga eller missvisande.
  • Förtala eller förolämpa inte någon annan. Spridning av personuppgifter som innebär förtal eller förolämpning är givetvis en kränkning av den personliga integriteten.
  • Bryt inte mot sekretess eller tystnadsplikt. Spridning av personuppgifter som innebär brott mot bestämmelser om sekretess och tystnadsplikt är i de flesta fall en kränkning av den personliga integriteten.