Personuppgifter

PuL grundar sig på det s.k. dataskyddsdirektivet och reglerar hur personuppgifter får behandlas både på automatiserad väg och manuellt genom s.k. personregister. Utgångspunkten är att personuppgifter endast får behandlas om man finner stöd för det i PuL. Överträdelser kan leda till att Stockholms universitet blir skadeståndsskyldigt och i värsta fall kan överträdelser leda till straffansvar. Datainspektionen är tillsynsmyndighet och ska se till att lagen följs.

Definitionen av personuppgifter

Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det kan röra sig om namn, personnummer, kundnummer samt foton och ljudupptagningar på personer. Krypterade uppgifter och elektroniska identiteter, som t.ex. IP-nummer, är också personuppgifter om de kan kopplas till fysiska personer. Ett vanligt missförstånd är att man tror att man inte behandlar personuppgifter om nyckeln till de krypterade uppgifterna finns hos t.ex. en annan myndighet. Så länge en sådan nyckel som kan låsa upp krypteringen och identifiera personer existerar, anses man behandla personuppgifter. Även anonyma uppgifter där s.k. bakvägsidentifikation är möjlig omfattas av definitionen. Behandling av uppgifter rörande avlidna eller ofödda omfattas som regel inte av lagen.  Datainspektionen har dock ansett att personuppgifter om en avliden som direkt eller indirekt kan hänföras till en levande person kan räknas som behandling av personuppgifter. T.ex. kan uppgifter om etnisk tillhörighet anses vara en personuppgift om personen har ett ovanligt efternamn. Ett annat exempel rör ärftliga sjukdomar.

Behandling av personuppgifter

Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som man vidtar i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Detta innebär att om en personuppgift finns i datorformat, innefattar varje åtgärd för utlämnande en behandling av uppgiften, oavsett om uppgiften lämnas ut i elektronisk form, muntligt eller i pappersform. Exempel på behandling av personuppgifter är insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Lagens tillämpningsområde

Lagen gäller för sådana personuppgiftsansvariga som är etablerade i Sverige eller när en personuppgiftsansvarig är etablerad i tredje land (land utanför EU och EES) men använder sig av utrustning som finns i Sverige för behandling av personuppgifter. Lagen gäller inte om utrustningen bara används för att överföra uppgifter mellan två länder utanför EU och EES.

Personuppgiftslagen gäller för behandling av personuppgifter som helt eller delvis är automatiserad, dvs. som görs med hjälp av datorer. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, d.v.s. ett manuellt personregister. För personuppgifter som behandlas i ostrukturerat material, t.ex. i löpande text, gäller att behandlingen inte får kränka den registrerades personliga integritet. För mer information, se rubriken ”Strukturerat och ostrukturerat material” i dokumentet ”Behandling som omfattas av PuL”.

PuL är subsidiär i förhållande till andra författningar, vilket innebär att om det finns bestämmelser i lag eller förordning som avviker från PuL så ska de bestämmelserna gälla. Det är vanligt med avvikande bestämmelser i s.k. registerförfattningar. PuL tillämpas inte i den utsträckning det skulle strida mot bestämmelser om tryck- och yttrandefrihet eller offentlighetsprincipen och hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar.

Lagen är inte tillämplig vid behandling av personuppgifter som utförs för privat bruk av en fysisk person och är i princip inte tillämplig på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.

Personuppgiftsansvarig

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Stockholms universitet anses som myndighet vara personuppgiftsansvarigt för de behandlingar som utförs inom myndigheten, anställda kan aldrig vara personuppgiftsansvariga för behandling av personuppgifter inom ramen för arbetsgivarens verksamhet. Viktigt att känna till är att Datainspektionen har ansett att den som upprättar en sida på Facebook eller en blogg är personuppgiftsansvarig även för de personuppgifter som andra användare publicerar. Däremot föreligger inte samma ansvar för Twitterkonto.

För mer information, se Datainspektionens faktablad om personuppgiftsansvar samt om personuppgifter i sociala medier:

http://www.datainspektionen.se/Documents/faktablad-personuppgiftsansvar.pdf

http://www.datainspektionen.se/Documents/faktablad-sociala-medier.pdf

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde måste vara någon utomstående och kan t.ex. inte vara en anställd vid universitetet. Personuppgifter får endast behandlas i enlighet med instruktioner från den personuppgiftsansvarige. Detta måste regeleras i ett skriftligt avtal där det även ska anges att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som krävs enligt personuppgiftslagen. Den personuppgiftsansvarige måste förvissa sig om att biträdet kan genomföra de säkerhetsåtgärder som krävs och se till att biträdet verkligen vidtar åtgärderna, då huvudansvaret för behandlingen av personuppgifter kvarstår hos den personuppgiftsansvarige. Universitetet har i princip skadeståndsansvar gentemot registrerade för vad personuppgiftsbiträden gör med uppgifterna. Skadeståndsansvar för personuppgiftsbiträden gentemot Stockholms universitet bör därför regleras i personuppgiftsbiträdesavtalet.

Kontakta universitetsjuristerna på Avdelningen för planering och ledningsstöd på följande e-postadress jurist@su.se, om ni behöver en mall till personuppgiftsbiträdesavtal.

Personuppgiftsombud

Personuppgiftsombudet är ansvarigt att se till att personuppgifter behandlas på ett korrekt och lagligt sätt och i enlighet med god sed vid Stockholms universitet. Personuppgiftsombudet ska påpeka eventuella brister för universitetet, och vidtas inte rättelse inom rimlig tid, har personuppgiftsombudet en skyldighet att anmäla detta till tillsynsmyndigheten. Ombudet ska även samråda med tillsynsmyndigheten, föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och hjälpa registrerade att få rättelse när felaktiga eller ofullständiga personuppgifter behandlas om denne. Följande anmälningsblankett ska fyllas i och skickas in till personuppgiftsombudet enligt 39 § PuL vid behandlingar som genomförs vid Stockholms universitet.

Anmälningsblankett (725 Kb)

Personuppgiftsombud vid Stockholms universitet är universitetsjuristerna Cecilia Arrgård och Emma Svennerstam, vid Avdelningen för planering och ledningsstöd.