Information till den registrerade

PuL kräver att den personuppgiftsansvarige lämnar information om behandling av uppgifter till de registrerade. Kravet avser både information som ska lämnas självmant till den registrerade och information som ska lämnas efter ansökan från den registrerade. Information som ska lämnas självmant gäller både personuppgifter som samlats in från personen själv och personuppgifter som samlats in från någon annan källa. Information behöver inte lämnas vid behandling av personuppgifter i ostrukturerat material som avses i 5 a § PuL, förutsatt att man inte kränker den registrerades personliga integritet. Observera också att bestämmelser om sekretess och tystnadsplikt går före skyldigheten att lämna information till den registrerade, se 27 § PuL.

Information som ska lämnas självmant till den registrerade

Om personuppgifter samlas in från personen själv ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna i samband med insamlingen, se 23 § PuL.

Om personuppgifter samlas in från någon annan källa än den registrerade, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras enligt 24 § PuL. Är uppgifterna avsedda att lämnas ut till tredje man, behöver information inte ges förrän uppgifterna lämnas ut för första gången. Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning.  Information behöver inte heller lämnas vid behandling av personuppgifter om det visar sig vara omöjligt att lämna information eller om det skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker.

För mer information, se Datainspektionens allmänna råd samt faktablad om information:

http://www.datainspektionen.se/Documents/faktabroschyr-allmannarad-inforad.pdf

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/information-till-registrerade/
 

Vilken information som ska lämnas räknas upp i 25 § PuL. Enligt Datainspektionens faktablad om information ska registrerade informeras om följande:

  • Uppgifter om den som är personuppgiftsansvarig, till exempel namn, adress, telefonnummer och i förekommande fall organisationsnummer och e-postadress (Observera att Datainspektionen vid tillsyn av flera forskningsprojekt kommit fram till att man inte har informerat om vem som är personuppgiftsansvarig då det inte uttryckligen stått i informationen till deltagare att Stockholms universitet är ansvarigt för personuppgifterna)
  • Ändamålen med behandlingen, det vill säga varför personuppgifterna registreras och hur de ska användas
  • Övrig information som den registrerade behöver känna till, som exempelvis:
  • Vilka typer av uppgifter som ska behandlas
  • Till vilka företag eller andra organisationer (eller typer av dessa) som uppgifterna kan komma att lämnas ut
  • Om det är frivilligt för den registrerade att lämna uppgifter
  • Att den registrerade har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om honom eller henne
  • Att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta uppgifter som är felaktiga, ofullständiga eller missvisande

Informationen ska vara tydlig och begriplig och kan ges skriftligt eller muntligt. Notera att den personuppgiftsansvarige har bevisbördan för att information har lämnats. I Datainspektionens allmänna råd om information finns rekommendationer om hur information bör lämnas och till vem.

Information som ska lämnas till deltagare i forskningsstudier

När man ska bedriva forskning som involverar människor är huvudregeln att deltagare först måste informeras om forskningen och hur deras personuppgifter kommer att användas för att de ska kunna avgöra om de vill samtycka till att delta i studien eller inte. Deltagare måste alltså ha fått relevant information om hur uppgifterna ska behandlas i forskningsstudien innan ett giltigt samtycke kan inhämtas.  Utöver PuL:s krav på information finns även vissa bestämmelser i lag (2003:460) om etikprövning av forskning som avser människor (EPL) som måste följas vid forskning som kräver ett etikgodkännande.

Även andra myndigheter kan ha synpunkter på den information som ska lämnas till deltagare när de ska pröva om personuppgifter kan lämnas ut för forskningsprojekt. Ett vanligt missförstånd är att man tror att man uppfyller PuL:s krav på information om man har fått ut personuppgifter från t.ex. Statistiska centralbyrån (SCB) eller Socialstyrelsen. SCB eller Socialstyrelsen beslutar endast om personuppgifter kan lämnas ut medan ansvaret för att säkerställa att man följer lagkraven om information åligger den personuppgiftsanvarige. Kontrollera därför alltid att ni har följt Datainspektionens och Etikprövningsnämndens rekommendationer innan ni informerar deltagare. I annat fall kan samtycket som inhämtats ses som ogiltigt av Datainspektionen och Stockholms universitet kan åläggas att kontakta samtliga deltagare i efterhand för att lämna kompletterande information.

Nedan följer den information som enligt Datainspektionens broschyr ”Personuppgifter i forskningen – vilka regler gäller” bör lämnas till deltagare i forskningsprojekt:

  • Vem eller vilka som är personuppgiftsansvariga för behandlingen, vem som är kontaktperson och kontaktuppgifter (Observera att Datainspektionen vid tillsyn av flera forskningsprojekt kommit fram till att man inte har informerat om vem som är personuppgiftsansvarig då det inte uttryckligen stått i informationen till deltagare att Stockholms universitet är ansvarigt för personuppgifterna)
  • För vilket eller vilka ändamål personuppgifterna ska hanteras
  • Vilka personuppgifter eller kategorier av personuppgifter som ska hanteras
  • Information om varifrån uppgifterna hämtas
  • Mottagare av personuppgifterna (om det är aktuellt att lämna ut personuppgifter till någon utomstående)
  • Hur länge uppgifterna ska bevaras
  • Rätten att ansöka om information (så kallat registerutdrag) och att få rättelse av eventuellt felaktiga personuppgifter
  • Vilket sekretesskydd uppgifterna har hos forskaren
  • Att det är frivilligt att delta
  • Information om IT-säkerheten

Datainspektionens faktabroschyr om personuppgifter i forskningen:

http://www.datainspektionen.se/Documents/faktabroschyr-pul-forskning.pdf

För forskning som kräver ett etikgodkännande enligt EPL finns följande informationskrav i 16 §:

  • Den övergripande planen för forskningen
  • Syftet med forskningen
  • De metoder som kommer att användas
  • De följder och risker som forskningen kan medföra
  • Vem som är forskningshuvudman
  • Att deltagandet i forskningen är frivilligt
  • Forskningspersonens rätt att när som helst avbryta sin medverkan

Centrala etikprövningsnämndens hemsida: http://www.epn.se/sv/start/startsida/

Centrala etikprövningsnämndens vägledning till forskningspersonsinformation: Vägledning till forskningspersonsinformation
 

Information som ska lämnas till den registrerade efter ansökan (s.k. registerutdrag)

Enligt 26 § PuL är en personuppgiftsansvarig skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om man behandlar personuppgifter som rör den sökande. Behandlas personuppgifter om den sökande är huvudregeln att skriftlig information ska lämnas om vilka uppgifter som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. För information om undantag från denna huvudregel, se 26 § PuL och Datainspektionens allmänna råd. Ansökan om ett s.k. registerutdrag ska göras skriftligen och undertecknas av den sökande själv. Registerutdraget ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl, får registerutdraget lämnas senast fyra månader efter det att ansökan gjordes.

Rättelse

Den personuppgiftsansvarige har en skyldighet att se till att personuppgifter som behandlas är korrekta och måste vidta rimliga åtgärder för att korrigera felaktiga uppgifter. Den personuppgiftsanvarige är också skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna personuppgifter som inte har behandlats i enlighet med PuL eller föreskrifter som har utfärdats med stöd av PuL. Den personuppgiftsansvarige måste också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. En sådan underrättelse behöver dock inte lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Denna skyldighet gäller inte heller personuppgifter i ostrukturerat material som avses i 5 a § PuL, förutsatt att underlåtenheten inte kränker den registrerades personliga integritet. Observera att PuL är subsidiär vilket innebär att en myndighet inte får utplåna uppgifter i allmänna handlingar om det strider mot andra bestämmelser.

Den registrerade kan vid oenighet anmäla den personuppgiftsansvarige till Datainspektionen, ansöka om att uppgifterna ska utplånas, väcka talan vid allmän domstol om skadestånd och överklaga beslutet om rättelse hos allmän förvaltningsdomstol. Datainspektionen kan, om lagen inte följs, förelägga den personuppgiftsansvarige med vite.

Beslut om avslag av registerutdrag, rättelse och underrättelse till tredje man ska handläggas av jurist vid Avdelningen för planering och ledningsstöd.

Kontakta juristfunktionen vid Avdelningen för planering och ledningsstöd om du har några frågor: jurist@su.se