Behandling av personuppgifter

Lagbok

Personuppgiftslagen

På de här sidorna kan du läsa om personuppgiftslagen, hur den tillämpas och vilka rättigheter du har när det gäller din personliga integritet.

Personuppgiftslagen (PuL) trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Begreppet "behandlas" är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar vilket underlättar flödet av information inom unionen.

I personuppgiftslagen finns regler för hur personuppgifter får behandlas. Lagen bygger i hög grad på samtycke och information till de registrerade. Det finns också regler om säkerhet och rättelse av felaktiga uppgifter. Företag, myndigheter, föreningar, och andra kan utse personuppgiftsombud som självständigt kontrollerar att personuppgifter behandlas korrekt inom verksamheten.

Undantag och andra lagar

Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen, exempelvis lagar om hur personuppgifter ska behandlas inom skatteförvaltningen, hälso- och sjukvården, socialtjänsten och polisen. Personuppgiftslagen gäller inte för rent privat behandling av personuppgifter. Det finns också undantag med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten.

Ändringar i personuppgiftslagen

I januari 2007 trädde nya regler i personuppgiftslagen i kraft. Ändringarna ska underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet ska kränkas. Här kan du läsa mer om förändringarna.

Personuppgiftslagen innehåller numera två olika regelsystem. Som tidigare innehåller lagen ett antal detaljerade hanteringsregler (närmare 50 paragrafer), till exempel grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, bestämmelser om vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material som löpande text och ljud och bild gäller en helt ny och förenklad reglering.

Lättnaderna innebär att många av hanteringsreglerna inte längre behöver tillämpas på viss hantering av personuppgifter i ett ostrukturerat material. Syftet är att underlätta vardaglig hantering av personuppgifter som inte medför integritetsrisker. Lättnaderna gäller för vardaglig ostrukturerad behandling av personuppgifter som löpande text i ordbehandlingssystem, löpande text på Internet, ljud- och bildupptagningar och korrespondens per e-post. Undantaget kan också omfatta enkla strukturer som klasslistor och listor över anställda – om inte materialet ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur, till exempel ett ärendehanteringssystem.

Den förenklade regleringen innebär att vardaglig ostrukturerad behandling i princip får utföras fritt så länge man inte kränker den uppgifterna avser. Kränkande behandling är således fortfarande otillåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får således göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen.

Vid behandling av personuppgifter i regelrätta register eller andra samlingar av personuppgifter som är ordnade så att det ska bli enklare att söka efter eller sammanställa personuppgifter, till exempel databaser eller stora dokument- och ärendehanteringssystem gäller fortfarande hanteringsreglerna för alla personuppgifter i systemet.