Personuppgiftslagen 20 april 2010



Relevanta dokument
e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling för forskningsändamål

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

SKARPNÄCKS STADSDELSFÖRVALTNING

Personuppgiftslagen (PuL) - En kort introduktion

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

PERSONUPPGIFTSLAGEN (PUL)

Riktlinjer för behandling av personuppgifter

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Lathund Personuppgiftslagen (PuL)

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgiftslagen konsekvenser för mitt företag

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Frågor & svar om nya PuL

Svensk författningssamling

Personuppgiftslagen PUL

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgifter. Behandling av personuppgifter

Skyldigheten att lämna registerutdrag blir mindre betungande

Regler för behandling av personuppgifter enligt personuppgiftslagen

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,


PUL OCH DATASKYDDSFÖRORDNINGEN

Riktlinjer för webbpublicering enligt PuL

Personuppgiftslag (1998:204)

Svensk författningssamling

Regler för behandling av personuppgifter vid Högskolan Dalarna

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Behandling av personuppgifter vid Göteborgs universitet

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Personuppgiftslag (1998:204)

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

PuL och GDPR en översiktlig genomgång

Svensk författningssamling

Regler för hantering av personuppgifter i Stenungsunds kommun

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Rutin för webbpublicering av personuppgifter

Personuppgiftsbiträdesavtal

Kerstin Wardman, 25 april 2018

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Svensk författningssamling

Behandling av personuppgifter

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Dataskyddsförordningen GDPR

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Integritetsskydd (vid sidan av OSL): Sammanhangen Bakgrund Nyckelbegrepp Mer integritet?

Integritetspolicy Våra Gårdar

Svensk författningssamling

Personuppgiftsinformation för Svedala kommun

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Personuppgifter i forskningen vilka regler gäller?

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Information om personuppgiftslagens tillämpning i Riksbanken

Policy för behandling av personuppgifter

Dataskyddsförordningen, GDPR

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Lag (1998:112) om ansvar för elektroniska anslagstavlor

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Riktlinjer för behandling av personuppgifter inom skolans område

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

GDPR. Ulrika Harnesk 17 oktober 2018

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

GDPR- Seminarium 2017

Svensk författningssamling

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Kvalitetsregisterdag

Dataskyddsförordningen i utbildningsverksamhet

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

GDPR och annat om personlig integritet som man bör tänka på

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Mertzig Asset Management AB

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

INSTRUKTION FÖR BEHANDLING AV PERSONUPPGIFTER med blankett för anmälan av behandling av personuppgifter enligt personuppgiftslagen

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Policy för hantering av personuppgifter

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Transkript:

Personuppgiftslagen 20 april 2010 Kristina Blomberg info@pulpedagogen.se 08-36 22 30, 070-751 90 41 www.pulpedagogen.se

Historia FoB-arna startade diskussionen på 1960-talet Datalagen (och Datainspektionen) kom 1973 EU-anpassning: PUL 1998 Speciallagstiftningar 2

Personuppgiftslagen (PuL)

Målsättning med personuppgiftslagen (PuL) Vid all behandling av personuppgifter är det viktigt att finna den rätta balansen mellan den enskildes behov av integritet och samhällets krav på rationell databehandling. 4

PuL är subsidiär (2 ) Bestämmelser i annan lag eller förordning gäller i stället för PuL (t.ex. arkivlagen) 5

Vissa undantag i PuL Undantag från hela lagen behandling för privata ändamål tryckfrihetsförordningen (TF) yttrandefrihetsgrundlagen (YGL) Undantag från allt i lagen utom från säkerhetsbestämmelserna journalistiskt ändamål konstnärligt eller litterärt skapande behandling i ostrukturerat material (som inte ingår i någon strukturerad databas) får inte kränka den registrerade 6

Vad är ostrukturerat material? Personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. 7

T.ex. Löpande text i ordbehandlingsprogram Löpande text på Internet Ljud- och bildupptagningar Sökmotorer på Internet Namngivning av mappar i datorns filsystem Användning av datorstödd kommunikation (ej loggarna) Enkel personuppgiftsanknuten strukturering (personuppgifter som skrivits i en viss ordning) 8

Vad kan vara en kränkning? Att samla (eller registrera) personuppgifter för att förfölja eller skandalisera en person. Att sprida uppgifter om meningsmotståndare för att möjliggöra angrepp på dessa på grund av t.ex. deras politiska uppfattning, sexuella läggning eller etniska ursprung. Att samla en stor mängd uppgifter om en person utan något godtagbart skäl. Att medvetet behandla uppgifter som är klart felaktiga eller missvisande. Att sprida uppgifter som innebär förtal eller förolämpning. Att kringgå hanteringsreglerna för att på så sätt få behandla uppgifter som man annars inte fått behandla. Att sprida personuppgifter som innebär att man bryter mot författningsregler och andra regler som föreskriver tystnadsplikt 9

Kameraövervakning Plats dit allmänheten har tillträde Lagen om allmän kameraövervakning Länsstyrelsen lämnar tillstånd Plats dit allmänheten inte har tillträde (t.ex. skolor och arbetsplatser) Personuppgiftslagen Datainspektionen är tillsynsmyndighet 10

Kränkande med kameraövervakning? Intresseavvägning: Kränkning (vem, var, när) behov (vad, var, när) Finns alternativ Information Gallring Åtkomst (vem, när) 11

Integritetstrappan Information 23-26 Överföring till 3:e land 33 Personnummer 22 Känsliga uppgifter 13-21 Tillåten behandling 10 Definitioner o grundl. krav 3-9

Personuppgiftsansvarig (3 ) Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. (det är organisationen som avses inte chefen!!!) 13

Personuppgifter (3 ) All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 14

Behandling av personuppgifter (3 ) Varje åtgärd, t.ex: insamling registrering organisering lagring bearbetning ändring återvinning inhämtande användande utlämnande spridning sammanställning samkörning blockering utplåning förstöring 15

Grundläggande krav (9 ) Behandlingen laglig korrekt och i enlighet med god sed Ändamålen särskilda, uttryckligt angivna och berättigade ej behandla för ändamål som är oförenligt med ursprungliga ändamålet Uppgifterna adekvata, relevanta, riktiga och aktuella inte fler än nödvändigt 16 får ej bevaras längre än nödvändigt

Integritetstrappan Information 23-26 Överföring till 3:e land 33 Personnummer 22 Känsliga uppgifter 13-21 Tillåten behandling 10 3-9

Tillåten behandling (10 ) Samtycke eller nödvändigt för a) avtal b) rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning eller efter en f) intresseavvägning 18

Samtycke (3 ) Viljeyttring som ska vara frivillig särskild otvetydig Tillräcklig information krävs Skriftligt, muntligt eller i form av konkludent handlande spelar ingen roll 19

Internetpublicering Exempel på sådant som normalt är tillåtet utan samtycke arbetsplatsrelaterade uppgifter om anställda på arbetsgivares webbplats uppgifter om kontaktperson på webbplats med samhällsinformation 20

Internetpublicering Exempel på sådant som normalt inte är tillåtet utan samtycke anställdas privata uppgifter (hemadress) på arbetsgivarens webbplats fotografier där man kan identifiera enskilda personer 21

Integritetstrappan Information 23-26 Personnummer Överföring till 3:e land Intern et 22 33 Känsliga uppgifter 13-21 10 3-9

Känsliga uppgifter (13 ) Uppgifter som avslöjar ras eller etniskt ursprung politiska åsikter samt religiösa eller filosofiska övertygelser medlemskap i fackförening Uppgifter som rör hälsa och sexualliv 23

Förbud mot behandling av känsliga uppgifter (13 ) Undantag (15 19 ) Uttryckligt samtycke Eget offentliggörande Nödvändigt för arbetsrätten skydda vitala intressen fastställa, göra gällande eller försvara rättsliga anspråk Ideella organisationer (politiskt, religiöst, filosofiskt eller fackligt syfte) Hälso- och sjukvård Forskning (om godkänt av etikprövningsnämnd) Statistik (om samhällsintr. klart väger över risk för integritetsintrång) Myndighet i löpande text (om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggningen) 24

Uppgifter om lagöverträdelser (21 ) Förbjudet för andra än myndigheter Undantag i DIFS 1998:3, bl.a. om behandlingen är nödvändig för att fullgöra en föreskrift på socialtjänstområdet, friskolors elevvårdande verksamhet advokatverksamhet enstaka uppgifter för: fastställande av rättsliga anspråk anmälningsskyldighet enligt lag 25

Integritetstrappan Information 23-26 Överföring till 3:e land 33 Personnummer 22 13-21 10 3-9

Personnummer (22 ) Samtycke, eller klart motiverat med hänsyn till ändamålet med behandlingen vikten av en säker identifiering något annat beaktansvärt skäl 27

Integritetstrappan Information 23-26 Överföring till 3:e land 33 22 13-21 10 3-9

Internetpublicering är inte att jämställa med överföring till tredje land EG-domstolens dom den 6 november 2003 i mål nr C-101/01 (konfirmandlärardomen) Högsta domstolens dom den 26 maj 2005 i mål nr B 3042-03 (Lundsbergsdomen) 29

Överföring av personuppgifter till tredje land (33-34 ) Förbud mot överföring till tredje land (= land utanför EU och EES) som ej har adekvat skyddsnivå Undantag: samtycke eller nödvändigt för avtal fastställa, göra gällande eller försvara rättsliga anspråk skydda vitala intressen för den registrerade 30

Undantag från förbudet mot överföring till tredje land 12 personuppgiftsförordningen (PuF) (gäller kommuner, landsting, kommunalförbund) Diarier och justerade protokoll får överföras till tredje land (publiceras på Internet) Personnummer måste tas bort Övriga personuppgifter som direkt pekar ut den registrerade måste tas bort om det inte rör förtroendevalda saknas risk för integritetsintrång 31

Integritetstrappan Information 23-26 33 22 13-21 10 3-9

Information ska lämnas självmant till de registrerade (23-24 ) När uppgifter samlas in direkt från den registrerade När uppgifter samlas in från annat håll än från den registrerade Undantag: lagstadgad registrering omöjligt eller oproportionerligt stor arbetsinsats Information behöver inte alls lämnas om det som den registrerade redan känner till. 33

Den information som skall lämnas självmant (25 ) Vem som är personuppgiftsansvarig Vilka ändamål man behandlar uppgifterna för Övrigt för att den registrerade ska kunna ta tillvara sina rättigheter t.ex. mottagare av uppgifter rätt att ansöka om info rätt till rättelse 34

Information efter ansökan (26 ) Registerutdrag Gratis en gång per kalenderår Information skall lämnas om: vilka uppgifter som behandlas varifrån uppgifterna kommer ändamålen med behandlingen mottagare av uppgifterna Den registrerade skall ansöka skriftligt hos den personuppgiftsansvarige. 35

Integritetstrappan 23-26 33 22 13-21 10 3-9

Behandlingar (ändamålen registren) skall anmälas till DI (36 ) Undantag bl.a. om personuppgiftsombud är utsett och anmält enligt personuppgiftsförordningen enligt DI:s föreskrifter För detaljerad information om anmälningsplikten se DI:s informationsblad Anmälan och förhandskontroll 37

Sanktioner (44-49 ) Förbud Vite Skadestånd Straff (böter eller fängelse upp till 2 år) Uppsåtligen eller av grov oaktsamhet lämnar osann uppgift till registrerad eller DI behandlar känsliga uppgifter i strid mot lagen kränker någon genom att behandla känsliga uppgifter eller uppgifter om lagöverträdelser i ett ostrukturerat material lämnar ut personuppgifter till tredje land i strid mot lagen underlåter att anmäla behandling till DI I ringa fall inget straff 38

Vad säger PuL om IT-säkerheten?

Säkerhetsåtgärder (31 ) Lämpliga tekniska och organisatoriska åtgärder ska vidtas. Beakta: tekniska möjligheter kostnad risker känslighet hos uppgifterna 40

Beslut om säkerhetsåtgärder (32 ) DI kan fatta beslut i enskilda fall Besluten kan förenas med vite DI har givit ut Säkerhet för personuppgifter 41

Dataintrång (4 kap. 9 c BrB) Bara den som behöver uppgifterna för sitt arbete får ha tillgång till dem Att olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling är dataintrång Böter eller fängelse i högst två år 42

DI:s inspektionsverksamhet Planerad föranmäld Brandkårsutryckning ej föranmäld 43

Kristina Blomberg 08-36 22 30 070-751 90 41 kristina.blomberg@pulpedagogen.se www.pulpedagogen.se 44