Frågor & svar om nya PuL



Relevanta dokument
Skyldigheten att lämna registerutdrag blir mindre betungande

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Riktlinjer för webbpublicering enligt PuL

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Personuppgiftslagen 20 april 2010

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Rutin för webbpublicering av personuppgifter

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Publicering på Internet

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Regler för behandling av personuppgifter enligt personuppgiftslagen

Fråga om tillämpning av undantagsregeln i 5 a personuppgiftslagen.

Personuppgiftslagen konsekvenser för mitt företag

Lathund Personuppgiftslagen (PuL)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

SKARPNÄCKS STADSDELSFÖRVALTNING

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

PUL OCH DATASKYDDSFÖRORDNINGEN

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Svar på medborgarförslag om webbsända nämndsammanträden

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Personuppgiftslagen. En handledning för en korrekt behandling av personuppgifter i arbetslivet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Webbjuridiska regler vid publicering på Region Skånes hemsidor

Integritetsskydd Dag Victors förslag till lagtext

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Riktlinjer för behandling av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) Katrineholms kommuns användning av s.k. sociala medier

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Svensk författningssamling

PERSONUPPGIFTSLAGEN (PUL)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Sociala medier + juridik = sant. Johan Bålman, E-delegationen

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Datainspektionen informerar. Hur länge får personuppgifter

Dataskyddsförordningen

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Brott mot personuppgiftslagen. Rekommendationer vid handläggning av misstankar om brott mot PUL


Information till nyanställda inom barn- och utbildningsförvaltningen

Datainspektionen informerar. Samtycke enligt personuppgiftslagen. (reviderad den 1 oktober 2007)

En missbruksmodell. R-2004/0554 Stockholm den 30 augusti Till Justitiedepartementet

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

Tillsyn enligt personuppgiftslagen (1998:204) Aktiebolaget Gröna Lunds Tivolis användning av Facebook

Information till registrerade enligt personuppgiftslagen

Tegehalls revisionsbyrå och dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Behandling av personuppgifter

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

GDPR- Seminarium 2017

Högsta domstolen NJA 2013 s (NJA 2013:94)

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Avdelning Meddelad i Stockholm. KLAGANDE Johan Gunnarsson. SAKEN.. ' -. Rätt att ta del av allmän handling KAMMARRATTENS AVGÖRANDE

Citation Needed: får man skriva vad som helst? Mathias Klang

Cirkulärnr: 1998:75 Diarienr: 1998/1362 Handläggare: Staffan Wikell Sektion/Enhet: Kommunalrättssektionen Datum: Mottagare:

Instruktion för behandling av ostrukturerat material

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Välkomna till kurs i den nya dataskyddsförordningen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Personuppgiftslagen (PuL) - En kort introduktion

Lag (1998:112) om ansvar för elektroniska anslagstavlor

Datainspektionens beslut

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Regler för hantering av personuppgifter i Stenungsunds kommun

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

GDPR. Ulrika Harnesk 17 oktober 2018

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Svensk författningssamling

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Till statsrådet Thomas Bodström

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Samråd om polisens publicering av bilder på okända gärningsmän på Internet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Riktlinjer för bildhantering

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Sammanfattning av PM 56

Dataskyddsförordningen GDPR

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL av kameraövervakning i Tensta gymnasium

Instruktion till mall för registerförteckning

Umeå universitet Institutionen för Datatavetenskap. Integritet och privathet Markus Johansson Jan Rudzki

Inledning. Integritetsskydd - utkast till lagtext och författningskommentar till en mer specificerad bestämmelse Promemorians innehåll

Dataskyddsförordningen (GDPR)

Transkript:

Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet ska kränkas. De detaljerade hanteringsreglerna i PuL har sin grund i dataskyddsprinciper som togs fram när stora dataregister började bli vanliga i samhället. De principerna är fortfarande giltiga för system där man enkelt kan söka och ställa samman personuppgifter, till exempel traditionella myndighetsregister, stora ärendehanteringssystem eller andra databaser. Men tekniken har utvecklats och idag används datorer och IT för vardaglig ostrukturerad hantering av personuppgifter som normalt inte är integritetskänslig. Hanteringsreglerna i PuL är alltför omfattande och byråkratiska för att tillämpas när man behandlar personuppgifter som inte är inlagda i ett register eller annan struktur som är gjord för att söka fram uppgifterna. I sådana fall är integritetsriskerna små och dessutom måste man ta hänsyn till informationsfrihet och yttrandefrihet. Ändringarna i PuL ska underlätta vardaglig automatiserad behandling av personuppgifter, som typiskt sett inte medför några större integritetsrisker till exempel löpande text i dokument eller på Internet. Fråga 2: Hur ändras PuL? PuL ändras (se 5 a PuL) så att hanteringsreglerna bara behöver tillämpas när man behandlar personuppgifter som ingår i eller är avsedda att ingå i en struktur (till exempel ett register) som gör det påtagligt enklare att söka efter eller sammanställa uppgifterna, se vidare under Fråga 3. Det innebär att den som hanterar personuppgifter i ostrukturerad form, till exempel löpande text på Internet eller använder vanliga filsystem och e-postprogram, inte behöver bry sig om följande hanteringsregler i PuL: o Grundläggande krav på behandlingen av personuppgifter (9 ) o När behandling av personuppgifter är tillåten (10 )

o Förbud mot behandling av känsliga personuppgifter (13-19 ) o Uppgifter om lagöverträdelser (21 ) o Personnummer (22 ) o Information till de registrerade (23-26 ) o Rättelse (28 ) o Förbud mot överföring av personuppgifter till tredje land (33 och 34 ) o Upplysningar till allmänheten om behandlingar som inte anmälts (42 ) Observera dock att man inte får behandla personuppgifter i ostrukturerat material om det medför att den registrerades personliga integritet kränks (missbruksregeln, se Fråga 4). Fråga 3: När gäller fortfarande hanteringsreglerna i PuL? Hanteringsreglerna i PuL ska fortfarande tillämpas då man behandlar personuppgifter som ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Hanteringsreglerna ska tillämpas när informationen, exempelvis uppgifter i ett dokument- och ärendehanteringssystem eller en databas, är sorterad för att man enkelt ska kunna söka fram eller sammanställa personuppgifter (personuppgiftsanknuten strukturering). Strukturen ska göra det påtagligt enklare att söka eller sammanställa personuppgifter för att det ska vara obligatoriskt att tillämpa hanteringsreglerna. Namnlistor på nätet (se fråga 6) och klasslistor (se fråga 12) är exempel på strukturer som är så enkla att man inte behöver tillämpa hanteringsreglerna (det naturligtvis tillåtet att tillämpa hanteringsreglerna även om man inte måste!) Om en samling personuppgifter har strukturerats så att hanteringsreglerna är tillämpliga, ska reglerna tillämpas på alla personuppgifter som finns i materialet även om vissa personuppgifter i materialet inte är strukturerade (till exempel i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem, se fråga 7).

Kom ihåg att hanteringsreglerna ska tillämpas om du behandlar ett ostrukturerat material som senare ska infogas i ett strukturerat material, till exempel ett kvalificerat dokument- eller ärendehanteringssystem. Fråga 4: Vilka begränsningar gäller för behandling av ostrukturerat material? Finns det någon skyddsregel? Ja, det finns en begränsande regel som ska skydda mot missbruk. Även behandling av personuppgifter i ostrukturerad form kan kränka den som uppgifterna avser. Behandling som undantas från PuL:s hanteringsregler omfattas därför av en missbruksregel. Behandling som innebär en kränkning av den registrerades personliga integritet är förbjuden. Gör en intresseavvägning där den enskildes intresse av en fredad privat sfär vägs mot motstående intressen som informations- och yttrandefriheten. Vad som är en kränkning får bedömas utifrån vilka uppgifter som behandlas, i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. Om uppgifterna behandlas med syfte att förfölja eller skandalisera en person, om stora mängder uppgifter om en person samlas in och sprids utan godtagbart skäl, om felaktiga eller missvisande uppgifter medvetet behandlas och om behandlingen innebär förtal eller förolämpning eller brott mot tystnadsplikt och sekretess, är behandlingen oftast en kränkning av den registrerades personliga integritet. Se vidare Fråga 5. Fråga 5: Vad är en kränkning av den personliga integriteten? Det är inte möjligt att generellt slå fast vad som är en kränkning av den personliga integriteten; en bedömning måste göras i varje enskilt fall. Vad som är en kränkning ska inte bedömas schablonartat utifrån vilka uppgifter som behandlas; man måste också väga in i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. Man bör också beakta att vad som kan vara en kränkning för en viss person eller i ett visst sammanhang inte behöver vara det för en annan person eller i ett annat sammanhang.

Några tumregler och exempel på vad som är kränkande och därför inte är tillåtet: o Behandla inte personuppgifter för otillbörliga syften, som förföljelse eller skandalisering. Ett exempel är publicering på Internet av bilder på en f.d. pojk- eller flickvän i eller utan badkläder eller rent personliga detaljer om dennes beteende. Ett annat exempel är spridning av uppgifter om meningsmotståndare för att kunna angripa dem på grund av politisk uppfattning, sexuell läggning eller etniskt ursprung. o Samla inte utan godtagbara skäl en stor mängd uppgifter om en person. En enskild person har rätt att kräva att ingen har en nästan fullständig kunskap om honom eller henne. Att utan något godtagbart ändamål samla en stor mängd uppgifter om en person måste därför ofta ses som en integritetskränkning. Som exempel kan nämnas en hyresvärd som av nyfikenhet iakttar en hyresgäst och samlar bilder och anteckningar i löpande text. o Rätta personuppgifter som visar sig vara felaktiga eller missvisande. Det är oftast en kränkning av den registrerades personliga integritet om någon medvetet behandlar uppgifter om henne som är klart felaktiga eller missvisande. o Förtala eller förolämpa inte någon annan. Spridning av personuppgifter som innebär förtal eller förolämpning är givetvis en kränkning av den personliga integriteten. o Bryt inte mot sekretess eller tystnadsplikt. Spridning av personuppgifter som innebär brott mot bestämmelser om sekretess och tystnadsplikt är i de flesta fall en kränkning av den personliga integriteten. Fråga 6: Får jag publicera en lista med namn på nätet? Att publicera en lista med namn som inte har strukturerats på annat sätt än att de står i en viss ordning är ett exempel på behandling av personuppgifter som är undantagen från PuL:s hanteringsregler. Det kan exempelvis vara en förening som presenterar en lista på medlemmarna i styrelsen på sin webbplats eller en kommun som på sin webbplats listar personer som

innehar kommunala förtroendeuppdrag. Listan får publiceras på Internet utan andra restriktioner än att den inte får innebära en kränkning av de registrerades personliga integritet. Fråga 7: Hur vet jag att endast missbruksregeln är tillämplig? Om en behandling är undantagen från PuL:s hanteringsregler får bedömas utifrån det behandlade materialets helhet. Om en samling av personuppgifter i sin helhet har strukturerats så att hanteringsreglerna är tillämpliga, ska reglerna tillämpas på samtliga personuppgifter, både strukturerade och ostrukturerade, som finns i materialet oavsett om vissa personuppgifter inte har strukturerats. Personuppgifter kan finnas ostrukturerade i dokument och i ljud- och bildupptagningar som ingår i en strukturerad samling av uppgifter, exempelvis ett ärendehanteringssystem. Även ostrukturerade dokument som ännu inte ingår i systemet men är avsedda att senare infogas i systemet omfattas av PuL:s hanteringsregler. Fråga 8: Kan jag straffas om jag kränker någon enligt missbruksregeln? Ja, i vissa fall kan man straffas. Missbruksregeln innebär att man inte får behandla personuppgifter om det medför en kränkning av den registrerades personliga integritet. Vissa brott mot missbruksregeln är straffbelagda enligt 49 PuL. Det som är straffbart är kränkningar som innefattar: o behandling av känsliga personuppgifter o uppgifter om lagöverträdelser m.m. eller o överföring av personuppgifter till tredje land. Den som uppsåtligen eller av grov oaktsamhet behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. i strid med missbruksregeln kan dömas till böter eller fängelse i högst sex månader. Detsamma gäller den som uppsåtligen eller av grov oaktsamhet i strid med missbruksregeln för över personuppgifter till tredje land som inte har en adekvat nivå för skyddet av personuppgifter. Om brottet är grovt kan man

dömas till fängelse i högst två år. Om brottet är ringa, döms man inte till ansvar. Vid sidan om straffansvaret enligt PuL kan det finnas fall av personuppgiftsbehandling som är straffbar enligt annan lagstiftning. Det kan exempel avse spridning av personuppgifter som innebär hot eller förtal och som är straffbara enligt bestämmelserna i brottsbalken. Fråga 9: Kan jag få ersättning om jag kränks enligt missbruksregeln? Ja, överträdelser av missbruksregeln är förenade med skadeståndsansvar enligt 48 PuL. Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. (Vem är personuppgiftsansvarig?) Den registrerade har alltså rätt till ersättning för både personskada, sakskada, ren förmögenhetsskada och för själva kränkningen som sådan. Fråga 10: Kan jag fortfarande få reda på vilka uppgifter som behandlas om mig? Den som behandlar personuppgifter i ostrukturerad form enligt den nya missbruksregeln i 5 a PuL behöver inte tillämpa alla hanteringsregler i PuL. Man är till exempel inte skyldig att tillämpa bestämmelserna om information till den registrerade. Det innebär att den registrerade inte har någon rätt att efter ansökan få ett registerutdrag men den personuppgiftsansvarige kan naturligtvis välja att ändå tillmötesgå en sådan begäran. (Vem är personuppgiftsansvarig?) När det gäller behandlingar som omfattas av PuL:s hanteringsregler är den personuppgiftsansvarige fortfarande skyldig att lämna registerutdrag. Vid sidan om PuL finns det även andra regler som medför att du kan få reda på vilka uppgifter som behandlas om dig. Till exempel ger offentlighetsprincipen dig möjlighet att få reda på vilka uppgifter om dig som myndigheter behandlar i allmänna handlingar.

Fråga 11: Hur kommer de nya bestämmelserna i PuL att påverka mitt företag? De nya reglerna i PuL innebär att den behandling av personuppgifter i ostrukturerad form som utförs i företaget inte behöver följa PuL:s hanteringsregler. Det kan exempelvis gälla anställdas produktion av löpande text och användning av sedvanliga filhanteringssystem och e-postprogram. Sådan behandling är tillåten utan andra restriktioner än att de registrerades personliga integritet inte får kränkas. Men om det rör sig om behandling av personuppgifter som ingår i eller är avsedda att ingå i ett mer kvalificerat system, exempelvis ett dokumenteller ärendehanteringssystem, måste hanteringsreglerna i PuL fortfarande tillämpas. Även dokument som elektroniskt är kopplade till systemet får anses ingå däri. Vid exempelvis marknadsföring ingår personuppgifterna i praktiken alltid ett system som medför att hanteringsreglerna ska tillämpas på behandlingen. Fråga 12: Hur kommer de nya bestämmelserna i PuL att påverka skolan? Ändringarna i PuL innebär att behandling av personuppgifter i ostrukturerad form, exempelvis i klasslistor, inte behöver följa hanteringsreglerna. Behandlingen är då tillåten så länge den inte kränker de registrerades personliga integritet. Om uppgifter om elever ingår i eller är avsedda att ingå i mer kvalificerade system måste dock hanteringsreglerna i PuL följas. Fråga 13: Hur kommer de nya bestämmelserna i PuL att påverka myndigheter? Många myndigheters behandling av personuppgifter är reglerad i särskilda registerförfattningar. Det gäller exempelvis: o brottsbekämpning o skatt

o sjukvård o arbetsmarknad o socialförsäkring och o socialtjänst. Om det i en sådan författning finns bestämmelser som avviker från PuL, gäller bestämmelserna i författningen. Om myndighetens behandling av personuppgifter inte är särskilt reglerad, gäller PuL. Den nya missbruksregeln innebär att behandling av personuppgifter i ostrukturerad form inom myndigheten, exempelvis i dokument med löpande text och i e-postkommunikation, är tillåten så länge den inte kränker den registrerades personliga integritet. Om uppgifterna ingår i mer kvalificerade system, exempelvis i ett dokument- eller ärendehanteringssystem, ska dock PuL:s hanteringsregler tillämpas. En myndighets elektroniska diarium över allmänna handlingar omfattas av hanteringsreglerna. Handlingar som innehåller personuppgifter och som har registrerats i diariet omfattas även de av hanteringsreglerna så länge de är elektroniskt åtkomliga via själva diariet. Om det däremot inte finns någon elektronisk koppling mellan diariet och handlingarna, omfattas inte handlingarna av hanteringsreglerna enbart av den anledningen att de finns omnämnda i diariet.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss