Grundläggande krav på behandling av personuppgifter

Personuppgifter ska behandlas på ett korrekt sätt och i enlighet med god sed och bara om det är lagligt. För att en behandling ska anses laglig måste man hitta stöd för den i 10 § PuL. Om behandlingen rör känsliga personuppgifter, uppgifter om lagöverträdelser m.m., personnummer och samordningsnummer samt överföring till tredje land finns ytterligare bestämmelser i PuL som måste följas. Även annan lagstiftning måste följas, såsom t.ex. brottsbalken och marknadsföringslagen.

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.  Detta innebär att ändamålen måste uppges redan när behandlingen påbörjas och ändamål som är alltför allmänt specificerade godtas inte. Kravet på ändamål begränsar också möjligheterna till samkörning av register eftersom man inte får blanda personuppgifter som samlats in för olika ändamål. Ett utlämnande till annan måste också vara förenligt med det ursprungliga ändamålet. Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen och man ska inte behandla fler uppgifter än som är nödvändigt med hänsyn till ändamålen. Uppgifterna ska vara riktiga och om nödvändigt, aktuella, och krav ställs på att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga. Slutligen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.  När personuppgifterna inte längre är nödvändiga ska de avidentifieras eller utplånas. Observera dock att om det finns bestämmelser i lag eller förordning om bevarande av personuppgifter så gäller dessa.

För mer information om hur länge personuppgifter får bevaras, se Datainspektionens faktabroschyr:

http://www.datainspektionen.se/Documents/faktabroschyr-personuppgifter.pdf

Enligt Datainspektionen är framtida forskning inte ett tillräckligt preciserat ändamål och PuL hindrar skapandet av sådana databaser som innehåller känsliga personuppgifter där särreglering saknas. Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013 och gäller till och med den 31 december 2015. Lagen ger universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register som får föras.

För mer information om databaser för framtida forskning, se Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning:

http://www.cm.se/webbshop_vr/pdfer/2010_11.pdf

När det gäller behandling för historiska, statistiska eller vetenskapliga ändamål anses inte dessa ändamål som oförenliga med de ändamål för vilka uppgifterna samlades in, dvs. de ursprungliga ändamålen. För ovannämnda ändamål får personuppgifter också bevaras under en längre tid men inte under en längre tid än vad som behövs för dessa ändamål. Detta innebär att man kan återanvända personuppgifter som har samlats in för ett forskningsprojekt till ett annat forskningsprojekt. Observera dock att det kan finnas andra bestämmelser som hindrar ett återanvändande, t.ex. forskning som kräver ett etiskt godkännande. Personuppgifterna får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

När behandling av personuppgifter är tillåten

10 § PuL räknar upp när behandling av personuppgifter är tillåten och uppräkningen är uttömmande. Om behandlingen rör känsliga personuppgifter, uppgifter om lagöverträdelser m.m., personnummer och samordningsnummer samt överföring till tredje land finns ytterligare bestämmelser i PuL som måste följas.

Personuppgifter får enligt 10 § PuL behandlas om den registrerade har lämnat sitt samtycke eller om behandlingen är nödvändig. Behandling av personuppgifter är tillåten utan samtycke om den är nödvändig för att fullfölja ett avtal med den registrerade eller vidta åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, för att kunna fullgöra en rättslig skyldighet, för att skydda den registrerades vitala intressen, för att utföra en arbetsuppgift av allmänt intresse (t.ex. forskning), för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifterna ska lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller efter en intresseavvägning om den personuppgiftsansvarige eller en tredje man till vilken personuppgifterna ska lämnas ut har ett berättigat intresse av att behandla personuppgifterna och detta intresse väger tyngre än den registrerades intresse av skydd för sin personliga integritet. För att läsa mer om intresseavvägning, se länken nedan till Datainspektionens hemsida:

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/intresseavvagning/

Samtycke

I PuL definieras samtycke som ”Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.”

Ett samtycke behöver inte vara skriftligt men vid tvist är det den personuppgiftsansvarige som har bevisbördan för att samtycke finns. Samtycket måste avse den aktuella behandlingen och det räcker därför inte att enbart samtycka till en viss undersökning. Samtycket ska inkludera den behandling som kommer att utföras inom ramen för undersökningen och ska finnas innan behandlingen påbörjas.

Den som har lämnat ett samtycke kan när som helst återkalla det. Ytterligare personuppgifter får därefter inte behandlas men redan insamlade personuppgifter får fortsätta att behandlas. Är behandling av personuppgifter tillåten enligt PuL, kan den registrerade inte motsätta sig behandlingen.

För mer information om samtycke, se Datainspektionens broschyr Samtycke enligt personuppgiftslagen:

http://www.datainspektionen.se/Documents/faktabroschyr-samtycke.pdf

Direkt marknadsföring

Den registrerade har rätt att motsätta sig behandling av personuppgifter för direkt marknadsföring. Observera att denna bestämmelse är tillämplig även på ostrukturerat material. Även utlämnande av personuppgifter till någon annan som vill behandla personuppgifterna för direkt marknadsföring utgör en sådan behandling som den registrerade har rätt att motsätta sig. En sådan anmälan till Stockholms universitet förhindrar att universitetet behandlar personuppgifter för direkt marknadsföring. Observera dock att myndigheter kan vara skyldiga att lämna ut uppgifter enligt offentlighetsprincipen även om mottagaren kommer att använda uppgifterna för direkt marknadsföring.

Behandling av personnummer och samordningsnummer

Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlads bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Bestämmelsen tillämpas inte på behandling av personuppgifter i ostrukturerat material. När samtycke saknas måste en intresseavvägning göras.

Känsliga personuppgifter

Det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Dessa uppgifter anses vara känsliga personuppgifter enligt PuL.

Förbudet är inte tillämpligt på ostrukturerat material och det finns ett flertal undantag från förbudet i PuL. Observera dock att övriga bestämmelser i PuL måste följas trots undantagen, exempelvis är 10 § PuL alltid tillämplig och anger när en behandling av personuppgifter är tillåten.

Känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt offentliggjort uppgifterna. Känsliga personuppgifter får också behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas pga. att de är nödvändiga får lämnas ut bara om det inom arbetsrätten finns en skyldighet att göra det eller om den registrerade uttryckligen har lämnat sitt samtycke. I vissa fall får känsliga personuppgifter behandlas för hälso- och sjukvårdsändamål, för mer information se 18 § PuL.

Känsliga personuppgifter i forskning och statistik

Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen har fått ett etikgodkännande enligt lagen (2003:466) om etikprövning av forskning som avser människor. Denna lag reglerar numer när känsliga personuppgifter får behandlas för forskningsändamål utan uttryckligt samtycke och när sådana personuppgifter får lämnas ut. Känsliga personuppgifter får behandlas för statistikändamål om behandlingen är nödvändig enligt 10 § PuL och om samhällsintresset klart överväger risken för otillbörligt intrång i den enskildas personliga integritet. Om behandlingen har godkänts av en forskningsetisk kommitté anses förutsättningarna för statistik uppfyllda. Personuppgifter får lämnas ut för statistikändamål om inte annat följer av regler om sekretess och tystnadsplikt.

För mer information, se Datainspektionens faktabroschyr Personuppgifter i forskningen – vilka regler gäller samt Forskningsservice information om etik i forskningen:

http://www.datainspektionen.se/Documents/faktabroschyr-pul-forskning.pdf

http://www.su.se/medarbetare/service/forskning/etik-i-forskningen

Uppgifter om lagöverträdelser

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Observera att bestämmelserna om när en behandling är tillåten samt grundläggande krav för behandling fortfarande måste uppfyllas. Uppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen har godkänts enligt lagen (2003:466) om etikprövning av forskning som avser människor.

Säkerhetsåtgärder

Den personuppgiftsansvarige ska enligt 31 § PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är.

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde ska den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som anges ovan och se till att biträdet verkligen vidtar åtgärderna. För mer information, se rubriken ”Personuppgiftsbiträde” i dokumentet ”Personuppgifter”.

Bestämmelserna om säkerhetsåtgärder är tillämpliga även på ostrukturerat material. Se Datainspektionens allmänna råd om säkerhet för personuppgifter samt faktabladet Informationssäkerhet för mer information.

http://www.datainspektionen.se/Documents/faktabroschyr-allmannarad-sakerhet.pdf

http://www.datainspektionen.se/Documents/faktablad-informationssakerhet.pdf

Stockholms universitets informationssäkerhetssamordnare är Benita Falenius.

Överföring av personuppgifter till tredje land

Enligt PuL är det förbjudet att föra över personuppgifter som är under behandling till tredje land såvida inte landet har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller även överföring av personuppgifter för behandling i tredje land. Om en person i Sverige publicerar personuppgifter på en webbsida på Internet hos en leverantör som är etablerad inom EU och EES anses det inte som en överföring till tredje land. För att avgöra om en skyddsnivå är adekvat ska man ta hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Med tredje land avses stat som inte ingår i EU eller är ansluten till EES. Förbudet mot överföring av personuppgifter gäller inte personuppgifter i ostrukturerat material.

PuL innehåller en del undantag från förbudet att överföra personuppgifter till tredje land. Övriga bestämmelser i PuL som är tillämpliga måste dock följas. Det är tillåtet att föra över personuppgifter om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att ett avtal ska kunna fullgöras, ett avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras, rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller vitala intressen för den registrerade ska kunna skyddas. Det är också tillåtet att överföra personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Slutligen får personuppgifter överföras till tredje land om det är tillåtet enligt föreskrifter eller särskilda beslut av regeringen eller Datainspektionen därför att det finns tillräckliga garantier för att de registrerades rättigheter skyddas.

För mer information om överföring av personuppgifter till tredje land, se Datainspektionens frågor och svar: http://www.datainspektionen.se/fragor-och-svar/tredjelandsoverforing/