Personuppgiftslagen

Personuppgiftslag (1998:204)
Svensk lag
Lag
Undertyp avjuridik
 • personuppgiftslag
Aspekt avpersonlig integritet
Kort namnPUL
TitelPersonuppgiftslag (1998:204)
LandSverige
Tillhör juris­dik­tionSverige
Ersatt avdataskyddsförordningen
Ersätterdatalagen
Språksvenska
Start­da­tum24 oktober 1998
Slutdatum25 maj 2018
Utgiv­nings­da­tum29 april 1998
OrsakDataskyddsdirektivet
Upphävs avLag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Personuppgiftslagen (1998:204 ), ofta förkortad PUL eller PuL, var en svensk lag och var den svenska implementeringen av EU:s dataskyddsdirektiv 95/46/EG. Lagen reglerade behandling av personuppgifter. Enligt PUL skall behandling av personuppgifter anmälas till lagens tillsynsmyndighet, som är Integritetsskyddsmyndigheten.

Lagen trädde i kraft den 24 oktober 1998 då den förra datalagen (1973:289) slutade gälla. Lagen föreslogs följa samma struktur som direktivet, med motiveringen att direktivet saknar förarbeten och därför inte kan tolkas – det ansågs därför lämpligast att försöka följa direktivets text och struktur.[1] Noterbart är även att bestämmelser om viss dokumentationsskyldighet för myndighet flyttas till 15 kapitlet OSL och straffet för dataintrång flyttades till brottsbalken, detta för att bestämmelserna inte ansågs höra hemma i den nya lagen.[2] Personuppgiftslagen tillämpades inte om det fanns annan lagstiftning som bestämde något annat – personuppgiftslagen var alltså subsidiär andra författningar (2 § PuL).

Den svenska personuppgiftslagen ersattes den 25 maj 2018 av EU:s dataskyddsförordning (GDPR),[3] som presenterades 2012. Reformen avser att modernisera EU:s dataskyddsdirektiv från 1995 och reglerar även lagring av personuppgifter. Den innehåller dels en dataskyddsförordning, dels ett särskilt dataskyddsdirektiv för brottsbekämpande myndigheter.[4]

Syfte

Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 § PuL).

Behandling av personuppgifter

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling av personuppgift avses "varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring" (3 § PuL).

Lagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i icke-EU-land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter i enlighet med (3 § PuL).

Det är bland annat förbjudet att överföra personuppgifter till icke-EU-länder om sådana länder inte har en adekvat nivå för skyddet av personuppgifterna. Vid en bedömning om vad som anses vara en adekvat nivå skall man ta hänsyn till samtliga omständigheter men framför allt "uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet" (33 § PuL). Det kan dock vara tillåtet med tredjelandsöverföring om det föreligger samtycke från den personuppgiftsregistrerade eller om en sådan överföring krävs för att den personuppgiftsansvariga skall kunna fullfölja ett avtal, en rättslig skyldighet eller för att skydda vitala intressen för den registrerade (34 § PuL). Även regeringen får meddela undantag från detta förbud (35 § PuL). Trots att en publicering på Internet tekniskt sett skulle kunna anses vara tredjelandsöverföring, så räknas det inte som en sådan om servern ligger i Sverige eller i ett EU-land. Detta konstaterade EU-domstolen i sitt avgörande i det så kallade Bodilfallet.[5] Bodilfallet åsyftar Bodil Lindqvist som ville pröva lagen genom att anmäla sig själv efter att ha skrivit skämtsamt om en kollega på sin hemsida. Lindqvist fälldes med motiveringen att hon inte anmält till Datainspektionen att hon på hemsidan behandlat personuppgifter.[6]

Känsliga personuppgifter

Det är förbjudet att behandla "känsliga personuppgifter" som avslöjar (13 § PuL)

  1. ras eller etniskt ursprung,
  2. politiska åsikter,
  3. religiös eller filosofisk övertygelse,
  4. medlemskap i fackförening,
  5. hälsa eller sexualliv.

Sådana uppgifter får dock behandlas i vissa situationer som uppräknas i 15 till 19 §§ (se 14 § PuL). Behandlingen är tillåten om samtycke lämnats (15 §); om det är nödvändigt för fullgörande av vissa skyldigheter eller rättigheter inom arbetsrätten (16 § första stycket a, utlämnande till tredje man begränsas dock till att det finns en skyldighet för den personuppgiftsansvariga att göra så eller om samtycke har lämnats enligt 16 § andra stycket), om det är nödvändigt för att skydda den registrerades eller någon annans vitala intressen, om den registrerade inte kan lämna samtycke (16 § första stycket b) eller om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk (16 § första stycket c); om behandling sker av ideella organisationer med politiskt, religiöst, filosofiskt eller fackligt syfte inom ramen för sin verksamhet (17 § första meningen, utlämnande till tredje man kräver dock samtycke enligt 17 § andra meningen); om det krävs för vissa hälso- och sjukvårdsändamål (18 §); om det faller in under forskningsändamål som godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (19 § första stycket), om det krävs för statistikändamål om behandling är nödvändig (19 § andra stycket, sådan behandling anses tillåten om den är godkänd av en forskningsetisk kommitté enligt 19 § tredje stycket).

Noterbart är att även regeringen eller den myndighet som regeringen bestämmer (i detta fall tillsynsmyndigheten Datainspektionen) får meddela föreskrifter om ytterligare undantag från förbudet i 13 § om det behövs med hänsyn till allmänt intresse (20 § PuL).

Utöver de "känsliga personuppgifter" som nämns i 13 § PuL, listade ovan, får man (enligt 21 §) inte registrera uppgifter om domar i brottmål, laga frihetsberövanden och liknande.

Uppgifter om lagöverträdelser

Det är förbjudet att "behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden" enligt 21 § första stycket. Förbudet i första stycket gäller dock inte myndigheter. Detta förbud har dock en del undantag. I andra stycket står det att sådan uppgiftsbehandling är tillåten för forskningsändamål, om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Enligt tredje stycket får även regeringen eller myndighet som regeringen bestämmer meddela föreskrifter med undantag från förbudet. Även beslut om undantag i enskilda fall får meddelas av regeringen eller denna myndighet enligt fjärde stycket (21 § PuL) Denna myndighet som omskrivs i 21 § är Datainspektionen enligt 9 § personuppgiftsförordningen.

Undantag

Journalistiskt ändamål

Undantag har gjorts för litterära, konstnärliga och journalistiska ändamål (7 § PuL). Med journalistiska ändamål menas "att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten". Betydelsen får anses väldigt vidsträckt och omfattar inte enbart en journalists yrkesutövning, utan vem som helst som har ett genuint journalistiskt ändamål enligt definitionen ovan omfattas av undantaget. Detta kommer till uttryck i bland annat det så kallade Ramsbrofallet där en person lagt ut personuppgifter på Internet. Detta ansågs inte strida mot PuL med hänvisning att det föll in under journalistiskt ändamål. Noterbart att domstolen inte nödvändigtvis knyter definitionen enbart till allmänheten, utan även om frågor enbart har betydelse för en viss grupp så kan det falla in under journalistiska ändamål.[7]

Ostrukturerat material

De flesta bestämmelserna i personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel i löpande text. Denna regel kallas oftast "missbruksregeln". Om en behandling av personuppgifter faller in under missbruksregeln är det enda kravet på den personuppgiftsansvariga att materialet inte kränker den personliga integriteten hos den registrerade (det vill säga ett missbruk av uppgifterna, varav namnet) (5 a § PuL). De bestämmelser som undantas är följande paragrafer: 9 § (grundläggande krav på behandlingen av personuppgifter), 10 § (när behandling är tillåten), 13-19 §§ (känsliga uppgifter), 21-22 §§ (uppgifter om lagöverträdelser och personnummer), 23-26 §§ (informationsskyldighet), 28 § (rättelse av felaktig uppgift), 33-34 §§ (överföring till tredje land) och 42 § (upplysningar till allmänheten om behandlingar som inte anmälts).

Privat natur

PUL gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 § PuL). Bestämmelsen bör tolkas snävt - i exempelvis RH 2004:51, det så kallade Bodilfallet, så kom domstolen fram till att publicering av uppgifter på hemsida av en privatperson på en allmänt tillgänglig hemsida inte innebär privat bruk.[8]

Vissa grundlagsbestämmelser

Personuppgiftslagen tillämpas inte om den skulle strida mot bestämmelser i grundlagarna tryckfrihetsförordningen och yttrandefrihetsgrundlagen (7 § 1 st PuL). Lagen tillämpas inte heller om den skulle inskränka en myndighets skyldighet att lämna ut offentliga uppgifter enligt offentlighetsprincipen, som finns reglerad i 2 kapitlet i tryckfrihetsförordningen (8 § 1 st PuL).

Samtycke

Lagen anger att lagring och behandling av personuppgifter är tillåtna om samtycke finns. Det är vanligt att sådana klausuler finns med i olika användaravtal för olika tjänster, till exempel på nätet. Enligt datainspektionens tolkning av lagen måste det finnas en uttrycklig möjlighet att tacka nej till lagring och behandling av personuppgifter och ändå få tjänsten, utom i den utsträckning det är helt nödvändigt för tjänstens skull. Till exempel om räkningar skickas måste ju adress lagras. Klausuler om att tacka nej brukar finnas långt ned i användaravtalen. Det kan också finnas inställningar om att inte skicka användaruppgifter någonstans i inställningsmenyerna. Lagen om elektronisk kommunikation beskriver mer.

Ett exempel är cookies, som är användarnummer som lagras lokalt hos användaren av en webbsida och som ger möjlighet att känna igen återkommande användare, och registrera information om beteenden. Om sådana finns måste information om dem finnas, och om de inte är nödvändiga för tjänstens skull, måste det finnas möjlighet att avstå från att de lagras.

Registerutdrag

PUL ger den behandlade rätt att en gång per år avgiftsfritt få information om alla personuppgifter som den personuppgiftsansvariga har lagrat om den behandlade. För att få ett registerutdrag skall den behandlade skicka en egenhändigt underskriven begäran till den personuppgiftsansvarige (det räcker inte att skicka E-post eller fax) (26 § PuL).

Den personuppgiftsansvariga kan inte hänvisa till att de redan skickat informationen i andra sammanhang eller håller informationen tillgänglig via sin webbsida, utan de är skyldiga att skicka en skriftlig kopia av all information.

Sanktioner

Skadestånd

Den personuppgiftsansvarige (och enbart den personuppgiftsansvarige) kan bli skadeståndsskyldig mot den registrerade för skada och kränkning av den personliga integriteten, som en behandling av personuppgifter i strid med denna lag, har orsakat. Bestämmelsen gäller, till skillnad från straffbestämmelsen, för överträdelse mot samtliga paragrafer som innebär en sådan skada och kränkning. Ersättningsskyldigheten kan jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne (48 § PuL). Enligt skadeståndslagens regler så gäller denna skadeståndsbestämmelse framför eventuella bestämmelser i skadeståndslagen (1 kap. 1 § skadeståndslagen).

Straff

Den som i strid mot 49 § personuppgiftslagen behandlar personuppgift kan dömas till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år om brottet skett uppsåtligen eller av grov oaktsamhet. I ringa fall döms inte till ansvar enligt andra stycket (49 § PuL). Att man brutit mot personuppgiftslagen i något avseende innebär däremot inte att man kan dömas till böter eller fängelse med stöd av denna paragraf. Enbart vissa situationer omfattas av straffansvaret. Straffansvar följer vid följande situationer:

  • den som lämnar felaktig uppgift vid en anmälan om pågående personuppgiftshantering till tillsynsmyndigheten eller när felaktig uppgift lämnas när tillsynsmyndigheten begär information (49 § 1 st a)),
  • när någon behandlar personuppgifter i strid med 13-21 §§ (b)),
  • vid felaktig överföring till tredje land (c));
  • den som underlåter att anmäla personuppgiftsbehandling enligt 36 § första stycket (d)),
  • den som bryter mot missbruksregeln vid hantering av känsliga uppgifter (enligt 13 §) eller uppgifter om lagöverträdelser (e)),
  • den som för över uppgifter som omfattas av missbruksregeln till tredje land, om landet i fråga inte har en adekvat skyddsnivå för personuppgifter (f)).

Tillsyn

Datainspektionen är tillsynsmyndighet enligt 2 § personuppgiftsförordningen och dess beslut får överklagas till allmän förvaltningsdomstol, det vill säga i första instans till förvaltningsrätt (51 § PuL).

Andra länder

Samtliga länder i EU och EES skall ha liknande personuppgiftslagar, då de bygger på ett EU-direktiv, EU:s dataskyddsdirektiv 95/46/EG.

Teknisk utveckling och GDPR

Den tekniska utvecklingen kan sägas ha sprungit ifrån PUL. När lagen trädde i kraft 1998 fanns inte molnlagring som bygger på att all data lagras och publiceras av någon annan än den som skapat den. Enligt PUL måste den som skapar innehållet veta var all information lagras, vilket blir svårt när molnleverantörer använder sig av underleverantörer. När Datainspektionen granskade kommuner som lät skolor använda Googles molntjänser fann de att deras avtal med Google inte är förenliga med PUL.[6]

Den 25 maj 2018 ersattes PUL med dataskyddsförordningen (GDPR). Molnfrågan löstes genom att kräva att leverantören följer reglerna, men det är fortfarande producenten som är personuppgiftsansvarig. En stor förändring i GDPR jämfört med PUL är rätten att få sina uppgifter raderade liksom att kraven på samtycke vid insamling stärks också. Vitesbeloppen höjdes rejält för den som inte följer GDPR.[6]

Noter

Statliga utredningar och propositioner

Externa länkar

Media som används på denna webbplats

Arbcom ru editing.svg
Icon of simple gray pencil. An icon for Russian Wikipedia RFAR page.