Personuppgiftslagen konsekvenser för mitt företag



Relevanta dokument
PERSONUPPGIFTSLAGEN (PUL)

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Svensk författningssamling

Personuppgiftslagen (PuL) - En kort introduktion

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Personuppgiftsbehandling för forskningsändamål

Lathund Personuppgiftslagen (PuL)

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Personuppgiftsbehandling i forskning

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Regler för behandling av personuppgifter vid Högskolan Dalarna

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Personuppgiftslagen 20 april 2010

Riktlinjer för webbpublicering enligt PuL

Riktlinjer för behandling av personuppgifter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Riktlinjer för hantering av personuppgifter

Rutin för webbpublicering av personuppgifter

Personuppgiftsbiträdesavtal

Svensk författningssamling

Personuppgifter. Behandling av personuppgifter

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Dataskyddsförordningen

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY


Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Svensk författningssamling

Personuppgiftslag (1998:204)

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Regler för behandling av personuppgifter enligt personuppgiftslagen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Bilaga Personuppgiftsbiträdesavtal

Behandling av personuppgifter

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Vården och reglerna om dataskydd

Information om personuppgiftslagens tillämpning i Riksbanken

Policy för hantering av personuppgifter

Kerstin Wardman, 25 april 2018

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

GDPR- Seminarium 2017

Granskning av landstingets hantering av personuppgifter

Integritetspolicy Våra Gårdar

BILAGA Personuppgiftsbiträdesavtal

Personuppgifter i forskningen vilka regler gäller?

Dataskyddsförordningen 2018

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Dataskyddsförordningen 2018

Regler för hantering av personuppgifter i Stenungsunds kommun

Lindesbergs kommuns arbete med dataskyddsförordningen

Personuppgiftslag (1998:204)

Integritet och behandling av personuppgifter

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Svensk författningssamling

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Vad är en personuppgift och vad är en behandling av personuppgifter?

Information om dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

PERSONUPPGIFTER SOM BEHANDLAS

Regeringens proposition 1997/98:44

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Svensk författningssamling

Dataskyddsförordningen (GDPR)

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Svensk författningssamling

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

PM PERSONUPPGIFTSLAGEN

(5) Integritetspolicy - Kumla Bostäder AB

Dataskyddsförordningen

Personuppgiftsbiträdesavtal

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Svensk författningssamling

SKARPNÄCKS STADSDELSFÖRVALTNING

Vad är en personuppgift och vad är en behandling av personuppgifter

Personuppgiftslagen (1998:204)

Transkript:

Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter och därmed även för de flesta register som tidigare omfattades av datalagen. Promemorian är tänkt att ge allmän ledning till företag som inte redan har anpassat sina rutiner till PuL och den skall inte uppfattas som juridisk rådgivning i det enskilda fallet. I slutet av promemorian finns ett antal tips för företag som vill anpassa sin verksamhet till PuL. 1. När började PuL att gälla? PuL trädde ikraft redan hösten 1998. Enligt övergångsbestämmelserna till PuL gäller den gamla datalagen, under en övergångstid om tre år, för behandling av personuppgifter som påbörjats innan hösten 1998. Från och med den 1 oktober 2001 gäller dock PuL för i princip all behandling av personuppgifter. Det enda undantaget avser manuell behandling av personuppgifter som redan pågick den 24 oktober 1998. I förhållande till sådan behandling behöver vissa av PuLs bestämmelser inte tillämpas förrän den 1 oktober 2007. 2. Vad innebär PuL? PuL bygger på ett EU-direktiv från 1995 och avser att öka skyddet för individernas personliga integritet i en omvärld där elektronisk information om individer finns lagrade i ett stort antal register och sammanställningar. Direktivets övergripande princip är att all behandling av personuppgifter är förbjuden om inte samtycke inhämtats eller om inte någon undantagsbestämmelse från förbudet är tillämplig. All behandling av personuppgifter skall därför ses som ett undantag från huvudregeln. Undantagen finns uppräknade i PuL. Ett av de viktigaste undantagen lämnar utrymme för en intresseavvägning. Vid en sådan intresseavvägning vägs således den enskildes intresse av att hans uppgifter inte behandlas mot motpartens intresse av att behandla uppgifterna. I lagen finns även särskilda bestämmelser om känsliga personuppgifter, personnummer, anmälningsskyldighet och skyldighet att informera de enskilda.

2(5) 3. Begrepp och uttryck i PuL Nedan förklaras några av de begrepp som finns i PuL och som även kommer att användas i denna promemoria. Det är särskilt viktigt att förstå innebörden av personuppgift eftersom detta är ett centralt begrepp som dessutom ges en mycket vid betydelse. Personuppgifter: Alla uppgifter och all information som direkt eller indirekt kan härledas till en nu levande fysisk person t ex namn, adress eller ett fotografi. En uppgift som indirekt genom bakvägsidentifikation kan hänföras till en individ utgör därför också en personuppgift. Den som utför behandlingen behöver inte själv ha tillgång till all information som behövs för identifieringen. Personuppgiftsansvarig: Den eller de som bestämmer ändamål och medel för behandling av personuppgifterna (kan vara en juridisk person). Behandling av personuppgifter: Varje åtgärd som vidtas i fråga om personuppgifter, t ex insamling, lagring, bearbetning, utlämnande eller samkörning. 4. Eget ansvar PuL innehåller inga bestämmelser om licens eller tillstånd från Datainspektionen. Det är istället de personuppgiftsansvariga som självständigt ansvarar för att behandlingen av personuppgifter överensstämmer med PuL. Datainspektionen, som tidigare var en tillståndsmyndighet har därmed blivit en tillsynsmyndighet med uppgift att övervaka tillämpningen av PuLs bestämmelser. Övergången till ett eget ansvar för personuppgiftsansvariga innebär att de licenser, tillstånd och föreskrifter som Datainspektionen har meddelat enligt datalagen automatiskt upphör att gälla vid övergångstidens slut, dvs. den 1 oktober 2001. Ansvaret för att behandling sker enligt PuL övergår samtidigt på de personuppgiftsansvariga. 5. PuLs tillämpningsområde I datalagen användes begreppet personregister för att avgränsa datalagens tillämpningsområde. I PuL används i stället ett vidare begrepp, nämligen behandling av personuppgifter. Tillämpningsområdet för PuL är därmed bredare och omfattar all behandling av personuppgifter oavsett om uppgifterna finns i ett register. Eftersom begreppet personuppgifter även omfattar uppgifter

3(5) som indirekt kan hänföras till en nu levande individ kan även fotografier, ljudupptagningar, behandling i dator av personuppgifter i löpande text, krypterade uppgifter och olika slag av elektroniska identiteter omfattas av PuL. PuL gäller även i vissa fall i förhållande till manuell behandling av personuppgifter. Detta under förutsättning att uppgifterna är sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna i samlingen. Det bör även noteras att, om det finns bestämmelser i en lag eller förordning som avviker från PuL, en s k Registerförfattning, skall dessa bestämmelser tillämpas istället för PuL. 6. Informationsskyldighet PuL innehåller bestämmelser om att information skall ges till de registrerade. Bestämmelserna är till stor del nya i förhållande till datalagen. Informationskravet gäller alla som behandlar personuppgifter och kan innebära att det är nödvändigt att se över befintliga rutiner för hur information ges till de registrerade. Det finns två typer av informationsskyldighet enligt PuL, dels bestämmelser om information som skall lämnas självmant av den personuppgiftsansvarige, dels information som skall lämnas ut efter ansökan av den registrerade. Bestämmelserna om att den personuppgiftsansvarige självmant skall lämna information till den registrerade när personuppgifter samlas in gäller normalt bara för uppgifter som samlats in efter det att PuL trätt i kraft. Detta innebär att information inte behöver sändas ut till alla registrerade enbart därför att PuL träder i kraft. I de fall som information krävs måste dock information sändas ut till de registrerade. Detta bör ske innan övergångstidens slut, d v s före den 1 oktober 2001. Nya rutiner kan även behövas i förhållande till den information som den personuppgiftsansvarige är skyldig att lämna ut efter ansökan. Vidare krävs rutiner för rättelse av felaktigheter. Om en begäran om att få ut registerutdrag enligt datalagen (en så kallad 10-begäran) skulle komma in innan PuL börjar gälla för den aktuella behandlingen skall, om registerutdraget inte hinner lämnas ut före den 1 oktober 2001, registerutdragets innehåll uppfylla PuLs krav. Bestämmelsen om rättelse gäller även för personuppgifter som har samlats in före ikraftträdandet. Underrättelse till tredje man behöver dock ske endast beträffande korrigeringar som har skett efter ikraftträdandet. 7. Överföring av personuppgifter till tredje land PuL innehåller särskilda regler avseende överföring av personuppgifter till länder som inte är med i EU eller EES-samarbetet. Detta bör beaktas t ex då

4(5) personuppgifter publiceras i löpande text på en webbsida utan att samtycke inhämtas från berörda personer. Frågan om ett sådan förfarande är tillåtet enligt PuL eller om samtycke krävs bör noga övervägas. 8. Anmälan till Datainspektionen Den personuppgiftsansvarige är enligt PuL skyldig att anmäla behandling av personuppgifter till Datainspektionen. Från denna anmälningsskyldighet finns det ett flertal undantag enligt PuL, personuppgiftsförordningen och föreskrifter från Datainspektionen. Undantagen omfattar bland annat behandling som sker efter samtycke från den registrerade och om den personuppgiftsansvarige har utsett ett personuppgiftsombud (se nedan). I flera fall ersätts anmälningsskyldigheten av en skyldighet att föra förteckning över personuppgiftsbehandlingen. Anmälningsskyldighet föreligger i förhållande till såväl nya behandlingar som behandlingar som utförts med stöd av datalagen. Enligt övergångsbestämmelserna till PuL får en anmälan till Datainspektionen ske före övergångstidens utgång. Det bör noteras att en anmälan till Datainspektionen inte innebär att det görs någon prövning av om behandlingen är tillåten. 9. Personuppgiftsombud Den som behandlar personuppgifter kan utse ett så kallat personuppgiftsombud. Personuppgiftsombudets uppgift är att hjälpa den personuppgiftsansvarige att uppfylla PuLs krav. Utseende av ett personuppgiftsombud kan även vara bra för att, rent praktiskt, skapa ordning och reda. Om ett personuppgiftsombud utses skall detta anmälas till Datainspektionen. Den som utsett ett personuppgiftsombud slipper som huvudregel anmälningsskyldigheten under förutsättning att personuppgiftsombudet för en förteckning över de behandlingar som skulle ha omfattats av anmälningsskyldigheten. 10. Känsliga uppgifter Personuppgifter som avser ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv utgör så kallade känsliga uppgifter. Behandlingen av känsliga uppgifter är särskilt reglerad i PuL. Generellt är bestämmelserna mer restriktiva jämfört med behandling av vanliga personuppgifter.

5(5) 11. Tillsyn, skadestånd och straff Datainspektionen tillser att alla personuppgifter behandlas i enlighet med PuL. I första hand sker tillsynen genom påpekanden och liknande åtgärder. Datainspektionen kan även besluta om förelägganden kombinerade med viten. PuL innehåller en skadeståndsbestämmelse som ger den registrerade rätt till ersättning för den skada och kränkning av den personliga integriteten som orsakats av olaglig behandling av personuppgifter. I PuL finns även en straffbestämmelse som bland annat omfattar osann information till registrerade, osann uppgift i anmälan till Datainspektionen, behandling av känsliga uppgifter i strid med PuL, överföring av personuppgifter till andra länder i strid med PuL eller underlåtelse att anmäla behandling av personuppgifter. Påföljderna är böter eller, om brottet är grovt, fängelse. 12. Tips på åtgärder som kan vidtas Nedan följer tips på några åtgärder som kan vidtas av företag som vill förbereda sig inför övergången till PuL. Genomgång och dokumentation av de personregister som förs och de personuppgifter som behandlas. Som en utgångspunkt vid genomgång en kan den förteckning som skall finnas hos varje registeransvarig enligt 7 a datalagen användas. Det är viktigt att notera att genomgången även bör avse sådan behandling av personuppgifter som inte har omfattats av datalagen men som omfattas av PuL, t ex behandling av personuppgifter i löpande text. Bedömning av om den behandling som förekommer är tillåten enligt de nya reglerna i PuL och om ytterligare åtgärder behöver vidtas. Exempel på sådana åtgärder är att göra en anmälan till Datainspektionen, att utse ett personuppgiftsombud, att informera de registrerade eller inhämta samtycke från de registrerade.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss