Upphävd författning

Personuppgiftslag (1998:204)

(PUL)

Departement
Justitiedepartementet L6
Utfärdad
1998-04-29
Ändring införd
SFS 1998:204 i lydelse enligt SFS 2010:1969
Ikraft
1998-10-24
Upphäver
Datalag (1973:289)
Källa
Regeringskansliets rättsdatabaser
Senast hämtad

Texten har ändrats jämfört med ursprungsmaterialet: Borttagning av bindestreck som skapats genom avstavning

Huvudförfattare: Staffan Malmgren

Personuppgiftslagen (PUL) reglerar hur juridiska och fysiska personer (myndigheter, företag, enskilda, m.fl.) får hantera personuppgifter och tar framförallt sikte på databehandling.

Det finns fyra huvudsakliga frågor man måste undersöka:

  1. Om PUL är tillämplig (2-8 §§)
  2. om behandlingen är tillåten (9-22 §§)
  3. om den är anmälningspliktig (36-37 §§)
  4. vilka krav som ställs på behandlingen när den är igång (9, 23-35 och 42 §§).

Lagen bygger på dataskyddsdirektivet (46/95/EG) och har tillkommit i syfte att skydda den personliga integriteten.

PUL kompletteras av personuppgiftsförordningen (PUF) och datainspektionens föreskrifter (DIFS). Härutöver gäller även ett stort antal registerförfattningar, exempelvis domstolsdataförordningen (2015:729). Även europakonventionens artikel 8 (rätt till privatliv) reglerar den personliga integriteten.

PUL kommer i framtiden ersättas av EUs dataskyddsförordning (EU) 2016/679, som antogs i april 2016 och som kommer börja tillämpas från och med den 25 maj 2018.

Allmänna bestämmelser

Syftet med lagen

1 §  Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

I 2 kap 3 § 2 st. regeringsformen stadgas att det ska finnas lagstöd för den personliga integriteten. Det är denna lag som avses.

Prop. 1997/98:44: Paragrafen innehåller en upplysning om syftet med lagen och överensstämmer i huvudsak med Datalagskommitténs förslag.

Rikspolisstyrelsen har föreslagit att syftet enligt EG-direktivet att åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna i Europeiska unionen också bör komma till uttryck i lagtexten. Detta syfte uppfylls emellertid just genom att medlemsstaterna genomför en åtminstone delvis harmoniserad lagstiftning till skydd mot kränkning av personlig ...

Avvikande bestämmelser i annan författning

2 §  Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla.

Lagen är alltså subsidiär. Ett exempel på en lag som delvis gäller framför PUL är lagen (2001:99) om den offentliga statistiken. Även tryckfrihetsförordningen har företräde framför PUL, dels på grund av denna paragraf och 7-8 §§, men framförallt pga principen om lex superior.

Prop. 1997/98:44: Av paragrafen framgår att personuppgiftslagen är subsidiär i förhållande till andra författningar. Paragrafen har behandlats i avsnitt 6.2. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 8.2.2 i kommitténs betänkande.

Finns ...

Definitioner

3 §  I denna lag används följande beteckningar med nedan angiven betydelse.

BeteckningBetydelse
Behandling (av personuppgifter)Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Blockering (av personuppgifter)En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap.tryckfrihetsförordningen.
MottagareDen till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.
PersonuppgifterAll slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
PersonuppgiftsansvarigDen som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter
PersonuppgiftsbiträdeDen som behandlar personuppgifter för den personuppgiftsansvariges räkning.
PersonuppgiftsombudDen fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registreradeDen som en personuppgift avser.
SamtyckeVarje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.
TillsynsmyndighetenDen myndighet som regeringen utser för att utöva tillsyn.
Tredje landEn stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
Tredje manNågon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.

Eftersom både "behandling" och "personuppgift" har en vid definition faller i stort sett all elektronisk informationshantering in under lagens tillämpningsområde, om den innehåller information om en nu levande människa (avlidna personer skyddas inte av PUL). Detta inkluderar även digitalfotografering, digital ljudinspelning och omnämnande i löpande text. Regleringen för sådana s.k. ostrukturerade personuppgifter är dock enklare än för personuppgifter som ingår i ett strukturerat register. De förra hanteras enligt missbruksmodellen, de senare enligt hanteringsmodellen.

Uppgifter om ett hushåll (istället för en enskild person), dvs uppgift som hänförs till en väldigt snäv krets, anses i praxis utgöra personuppgifter.

Datainspektionen är tillsynsmyndighet.

Se kommentaren till 30 § angående relationen mellan personuppgiftsansvarig och personuppgiftsbiträde.

Prop. 1997/98:44: Paragrafen innehåller definitioner av viktigare uttryck och begrepp som används i lagen. Den har jämkats något i förhållande till Datalags-

kommitténs förslag. Definitionerna har berörts i avsnitt 12.2 i kommitténs betänkande.

Definitionerna av behandling ...

  • HFD 2012:21:Försäkringskassan har vid tillhandahållande av elektroniska självbetjäningstjänster ansetts personuppgiftsansvarig för den behandling som sker innan uppgifterna blir tillgängliga för kassan.
  • NJA 2015 s. 180:Lagring av personuppgifter (domstols dagboksblad) i dator har ansetts inte omfattad av undantaget för privat behandling av personuppgifter i 6 § personuppgiftslagen (1998:204). Även fråga om det krävs prövningstillstånd i Högsta domstolen.
  • AD 2013 nr 19:Frågor om arbetstagarna skulle genomgå alkoholtest hos en av bolagets kunder inneburit brott mot dels ett mellan förbundet och bolaget träffat kollektivavtal om hantering och rutiner av alkolås i företagets fordon, dels transportavtalet och dels personuppgiftslagen. Även fråga om det är av avsevärd betydelse för käranden att få en fastställelsetalan prövad.
  • RÅ 2001:35:Fråga om manuell behandling av personuppgifter i betygshandlingar som är sorterade i bokstavsordning och som genom behandlingen kommer att sorteras med ledning av varje students betygsgenomsnitt omfattas av 5 § personuppgiftslagen (1998:204).
  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Tillämpningsområde

Det territoriella tillämpningsområdet

4 §  Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige.

[S2]Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

[S3]I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren.

Lagen tar i första hand sikte på den personuppgiftsansvariges placering, inte var exempelvis databasservern fysiskt är placerad. En person bosatt i Sverige kan alltså inte undgå att behöva följa PUL genom att använda en dator i utlandet. Däremot kan det vara otillåtet att överföra information till en sådan dator om den står i ett land som saknar lagstiftning i stil med PUL - se 33 §.

Prop. 1997/98:44: Paragrafen har behandlats i avsnitt 9. Den överensstämmer med Datalagskommitténs förslag, dock att en av kommittén föreslagen bestämmelse om skyldighet att till tillsynsmyndigheten lämna in en anmälan om en utsedd företrädare inte tagits med. Paragrafen har berörts i avsnitt 12.3 i kommitténs betänkande.

Avsikten är att paragrafen ...

Behandling av personuppgifter som omfattas av lagen

5 §  Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.

[S2]Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

PUL är i första hand skriven för datoriserad personuppgiftsbehandling, men kan även bli tillämplig vid manuell pappersbaserad uppgiftsbehandling. För detta krävs dock att uppgifterna är ordnade så att man kan söka och sammanställa uppgifter på ett effektivare sätt än att manuellt läsa igenom hela information från början till slut och att sådan sökning eller sammanställning kan ske på minst två kriterier till exempel via separata index och register enligt RÅ 2001 ref. 35 (KTH).

Prop. 1997/98:44: Frågan om en teknikoberoende lag har behandlats i avsnitt 6.1. Paragrafen överensstämmer i sak med Datalagskommitténs förslag och har berörts i avsnitt 7.2.1, 12.2.8 och 12.2.12 i kommitténs betänkande. ...

  • AD 2013 nr 19:Frågor om arbetstagarna skulle genomgå alkoholtest hos en av bolagets kunder inneburit brott mot dels ett mellan förbundet och bolaget träffat kollektivavtal om hantering och rutiner av alkolås i företagets fordon, dels transportavtalet och dels personuppgiftslagen. Även fråga om det är av avsevärd betydelse för käranden att få en fastställelsetalan prövad.
  • RÅ 2001:35:Fråga om manuell behandling av personuppgifter i betygshandlingar som är sorterade i bokstavsordning och som genom behandlingen kommer att sorteras med ledning av varje students betygsgenomsnitt omfattas av 5 § personuppgiftslagen (1998:204).
  • AD 2010 nr 87:En arbetsgivare är enligt transportavtalet skyldig att till den lokala fackliga organisationen insända kopia av upprättat anställningsbevis i samband med att anställningsavtal träffas. En arbetsgivare har underlåtit att tillämpa bestämmelsen och har därvid anfört att detta skulle strida mot personuppgiftslagen. Fråga huruvida arbetsgivarens underlåtenhet har inneburit ett brott mot transportavtalet.
  • HFD 2015 not 1:Personuppgifter i enkla digitala dokument ansågs visserligen strukturerade men inte för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter varför behandling av personuppgifterna omfattades av undantagsregeln i 5 a § första stycket personuppgiftslagen

Undantag för behandling av personuppgifter i ostrukturerat material

5 a §  Bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 §§ behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.

[S2]Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet. Lag (2006:398).

Om personuppgifterna finns i ostrukturerat material, exv. löpande text, behöver större delen av PUL (den s.k. hanteringsmodellen) inte tillämpas. Istället används den enklare s.k. missbruksmodellen som beskrivs i andra stycket, och som bara innehåller en regel - personuppgiftshanteringen får inte kränka den personliga integriteten för den/de personer som uppgifterna gäller.

De delar av PUL som inte ska användas med missbruksmodellen handlar om grundläggande regler för hur behandlingen ska gå till (9 §), när behandlingen över huvud taget är tillåten (10 §), begreppet "känsliga personuppgifter" (13-19 §§), personuppgifter om lagöverträdelser (21 §), personnummer (22 §), krav om att informera den registrerade (23-26 §§), rättelse av personuppgifter (28 §), överföring till tredje land (33-34 §§ -- se dock nästa stycke) samt information till allmänheten (42 §).

Det är enligt 49 § straffbart att behandla känsliga uppgifter (13 §) eller uppgifter om lagöverträdelser (21 §), eller att föra över sådana uppgifter till tredje land i strid med 33 §, om detta innebär en kränkning enligt andra stycket.

Prop. 2005/06:173: Paragrafen, som är ny och som har utformats i enlighet med Lagrådets förslag, har behandlats i avsnitt 8.1–8.4.

Den syftar till att underlätta sådan behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Som en sammanfattande benämning på vad som ...

  • NJA 2013 s. 1046:Att lägga ut en tvistemålsdom med namn och adressuppgifter på en internetsida utgör inte en sådan behandling av personuppgifter som omfattas av de s.k. hanteringsreglerna i personuppgiftslagen (1998:204). Däremot har behandlingen inneburit att den namngivnes personliga integritet har kränkts på ett sådant sätt att skadestånd ska utgå. Ersättningen har bestämts till ett schablonbelopp på 3 000 kr.
  • RH 2008:87:Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet enligt samma lag för staten på grund av att domstol enligt käranden åsidosatt lagens krav på personuppgifter vid utformningen av domskäl. Tillika fråga om skadeståndsskyldighet enligt nämnda lag för staten med anledning av underlåtenhet att rätta uppgift i domskäl.
  • HFD 2012:16:Kameraövervakning av bl.a. korridorer och uppehållsrum i en gymnasieskola under ordinarie skoltid har ansetts otillåten enligt personuppgiftslagen.
  • AD 2010 nr 87:En arbetsgivare är enligt transportavtalet skyldig att till den lokala fackliga organisationen insända kopia av upprättat anställningsbevis i samband med att anställningsavtal träffas. En arbetsgivare har underlåtit att tillämpa bestämmelsen och har därvid anfört att detta skulle strida mot personuppgiftslagen. Fråga huruvida arbetsgivarens underlåtenhet har inneburit ett brott mot transportavtalet.
  • HFD 2015:3:Fråga om tillämpning av undantagsregeln i 5 a § personuppgiftslagen.
  • HFD 2011:77:Kameraövervakning av entréer i flerfamiljshus har ansetts otillåten enligt personuppgiftslagen.
  • HFD 2014:32:Hinder har ansetts inte finnas för Datainspektionen att utöva tillsyn av den behandling av personuppgifter som skett genom att en domstol publicerat uppropslistor på den egna webbplatsen.
  • HFD 2015 not 1:Personuppgifter i enkla digitala dokument ansågs visserligen strukturerade men inte för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter varför behandling av personuppgifterna omfattades av undantagsregeln i 5 a § första stycket personuppgiftslagen

Undantag för privat behandling av personuppgifter

6 §  Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

"Rent privat bruk" ska tolkas relativt snävt. I RH 2004:51 (Konfirmandlärarmålet) slogs fast att publicering av personuppgifter på en allmänt tillgänglig webbsida inte kunde anses vara privat bruk, även om det görs av en privatperson på fritiden.

Prop. 1997/98:44: Paragrafen har behandlats i avsnitt 8.3. Den överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 7.2.4 i kommitténs betänkande.

Avsikten är att paragrafen skall ha samma innebörd som artikel 3.2 andra strecksatsen i EG-direktivet, se bilaga 1. Paragrafen för med sig t.ex. att enskilda för rent privat bruk kan ...

  • HFD 2012:21:Försäkringskassan har vid tillhandahållande av elektroniska självbetjäningstjänster ansetts personuppgiftsansvarig för den behandling som sker innan uppgifterna blir tillgängliga för kassan.
  • NJA 2015 s. 180:Lagring av personuppgifter (domstols dagboksblad) i dator har ansetts inte omfattad av undantaget för privat behandling av personuppgifter i 6 § personuppgiftslagen (1998:204). Även fråga om det krävs prövningstillstånd i Högsta domstolen.
  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Förhållandet till tryck- och yttrandefriheten

7 §  Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

[S2]Bestämmelserna i 5 a, 9-29 och 33-44 §§ samt 45 § första stycket och 47-49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Lag (2006:398).

Att PUL inte ska tillämpas i strid mot TF/YGL följer även av principen om lex superior samt exklusivitetsprincipen.

Undantaget för journalistisk verksamhet i andra stycket har i praxis tolkats brett och omfattar de flesta opinionsbildande yttranden på nätet, se NJA 2001 s. 409 (Ramsbromålet) och Daniel Westmans analys. När detta undantag är tillämpligt ska endast säkerhetsbestämmelserna (framförallt 30-32 §§) tillämpas.

Prop. 2005/06:173: I andra stycket har 5 a § lagts till i uppräkningen. Ändringen är en följdändring och innebär att den nya föreslagna paragrafen inte – i likhet med de flesta andra bestämmelser i personuppgiftslagen – skall tillämpas på

sådan behandling av personuppgifter som sker uteslutande för journalistiska ...

Prop. 1997/98:44: Frågan om undantag med hänsyn till tryck- och yttrandefriheten har behandlats i avsnitt 8.2. Paragrafen överensstämmer delvis med Datalagskommitténs förslag. Paragrafen har berörts i avsnitt 10 i kommitténs betänkande....

  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.
  • NJA 2001 s. 409:Åtal väcktes för publicering av integritetskränkande och andra personuppgifter på Internet. Fråga om behandlingen av personuppgifterna skett uteslutande för journalistiska ändamål och därför inte kan föranleda straffansvar enligt bestämmelserna i personuppgiftslagen (1998:204). Tillika fråga om tolkningen av en övergångsbestämmelse till personuppgiftslagen i förhållande till den generella regleringen av strafflags tillämplighet i tiden i 5 § lagen (1964:163) om införande av brottsbalken.

Förhållandet till offentlighetsprincipen

8 §  Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap.tryckfrihetsförordningen att lämna ut personuppgifter.

[S2]Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.

Även om PUL inte direkt hindrar en myndighet från att lämna ut allmäna handlingar, så kan handlingarna beläggas med sekretess enligt OSL 21:7, vilket hindrar utlämnande om det kan antas att detta skulle medföra personuppgiftsbehandling i strid med PUL. I RÅ 2001 ref. 35 ville KTH inte lämna ut studenters betygshandlingar, då de befarade att mottagaren skulle behandlas dessa i strid med PUL (RegR fann dock att det inte fanns anledning att anta detta).

Prop. 1997/98:44: Frågan om hur EG-direktivet förhåller sig till offentlighetsprincipen har behandlats i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 9.2, 9.4 och 12.4.6.3 ...

Föreskrifter om undantag från vissa bestämmelser

8 a §  Regeringen får meddela föreskrifter om undantag från 9, 23-26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till

  1. rikets säkerhet,
  2. försvaret,
  3. allmän säkerhet,
  4. förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler som gäller för lagreglerade yrken,
  5. åtal för brott,
  6. ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen,
  7. myndighetsutövning som avser tillsyn, inspektion eller reglering i fråga om sådant som nämns i c-f, eller
  8. skyddet av fri- och rättigheter. Lag (2006:398).

Detta bemyndigande för regeringen att föreskriva undantag från delar av PUL sker med stöd av artikel 13 i dataskyddsdirektivet. Det infördes samtidigt som regleringen av ostrukturerade personuppgifter (missbruksmodellen), men har inget direkt samband med denna. Inga undantag har dock veterligen föreskrivits med stöd av denna paragraf.

Prop. 2005/06:173: Paragrafen, som är ny, har behandlats i avsnitt 9.4.

I paragrafen bemyndigas regeringen att meddela föreskrifter om undantag från vissa bestämmelser i personuppgiftslagen.

I fråga om både vilka bestämmelser som undantag kan medges ifrån och under vilka förutsättningar så kan ske skall paragrafen ha samma innebörd som artikel ...

Grundläggande krav på behandlingen av personuppgifter

9 §  Den personuppgiftsansvarige skall se till att

  1. personuppgifter behandlas bara om det är lagligt,
  2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,
  3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
  4. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
  5. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
  6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
  7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
  8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och
  9. personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

[S2]I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

[S3]Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

[S4]Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Dessa är de grundläggande krav som enligt hanteringsmodellen ska vara uppfyllda för att personuppgiftsbehandling överhuvudtaget ska få ske. De flesta kraven kretsar kring ändamålen för behandlingen

a) Kravet på att behandlingen ska vara laglig kan synas lite överflödigt, men är hämtat från dataskyddsdirektivet artikel 6.

b) "God sed" kommer framförallt i uttryck genom branschöverenskommelser, exv Swedmas branschregler. Att följa dessa ger även undantag från anmälningsplikten.

c) I "särskilda" ligger ett krav på att ändamålen ska vara någorlunda preciserade, ett allt för allmänt hållet ändamål (exv "på förekommen anledning") godkänns inte.

d) Denna punkt uttrycker den s.k. finalitetsprincipen. Se också andra stycket i denna paragraf samt 25 § (om informationsplikt)

e), f) och i) Dessa punkter understryker kravet på att ändamålen är preciserade.

g) och h) Det finns också ett ansvar att rätta felaktiga uppgifter enligt 28 §

Med "historiska ändamål" avses i första hand arkivering (SOU 1997:39 avsnitt 12.4.6.2). Undantagen för forskning och statistik ska läsas i ljuset av de särskilda undantagen för känsliga uppgifter i 19 § och de krav på etikprövning och sekretess som finns på dessa områden.

Prop. 1997/98:44: I paragrafen läggs det fast vissa grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter. De grundläggande kraven på behandlingen av personuppgifter har behandlats i avsnitt 11.2. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 11.6.5 och ...

  • HFD 2019:9:Fråga om bevisbörda och beviskrav vid ändring av identitetsuppgifter i folkbokföringen.
  • HFD 2016:40:Personuppgiftslagens krav på att personuppgifter får behandlas bara om det är lagligt innebär att behandlingen ska vara förenlig med bestämmelserna i den lagen och i föreskrifter som har meddelats med stöd av lagen. Tillämpning av 21 kap. 7 § offentlighets- och sekretesslagen.
  • RH 2008:87:Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet enligt samma lag för staten på grund av att domstol enligt käranden åsidosatt lagens krav på personuppgifter vid utformningen av domskäl. Tillika fråga om skadeståndsskyldighet enligt nämnda lag för staten med anledning av underlåtenhet att rätta uppgift i domskäl.
  • RÅ 2008:83:Behandling av biometriska data i form av fingeravläsning i samband med skolmåltider har ansetts kräva samtycke för att vara tillåten enligt personuppgiftslagen.
  • RÅ 2006:86:Fråga om rättelse av uppgift i utsöknings- och indrivningsdatabasen när det beslut som legat till grund för ansökan om indrivning efter registrering av ansökan i databasen upphävts av domstol (I) och när skattskyldig visserligen betalat det skattebelopp som angivits i en betalningsuppmaning men ett underskott på skattekontot kvarstått till följd av att ytterligare skattebelopp förfallit till betalning (II).
  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

När behandling av personuppgifter är tillåten

10 §  Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

  1. ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
  2. den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
  3. vitala intressen för den registrerade skall kunna skyddas,
  4. en arbetsuppgift av allmänt intresse skall kunna utföras,
  5. den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
  6. ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Den personuppgiftsansvarige bör börja med att undersöka om uppgifterna i fråga är "vanliga" (10-12 §§), känsliga (13-20 §§), alternativt rör brott (21 §) eller personnummer (22 §) för att sedan undersöka om den tänkta behandlingen är tillåten enligt huvudregeln om samtycke eller något av undantagen. Kraven i 10 § gäller samtliga sorters uppgifter. Huvudregeln enligt hanteringsmodellen är att all behandling som inte uttryckligen är tillåten är förbjuden.

"Vanliga" (icke-känsliga) personuppgifter får alltid behandlas om man har den registrerades samtycke (för vilket det inte finns särskilt stränga formkrav, en kryssruta på ett webbformulär eller tillochmed konkludent handlande kan räcka -- men samtycket kan återkallas (12 §). Se även Datainspektionens information om samtycke. Notera att samtycket måste täcka varje enskild behandling - har man fått samtycke till bara insamling kan detta inte rättfärdiga annan behandling, exv spridning, enligt finalitetsprincipen (se även 9 § d).

Har man inte samtycke kan behandlingen ändå vara tillåten om någon av tillåtlighetsgrunderna i a-f är uppfyllda. Uppräkningen är uttömande (se även SOU 1997:39 avsnitt 12.5.1).

a) För att ett avtal ska kunna utgöra en tillåtlighetsgrund ska det vara slutet med just den registrerade - inte med exempelvis dennes arbetsgivare.

b) Med rättslig skyldighet menas i första hand en lagstadgad plikt för ett företag (eller annat privaträttsligt subjekt) att göra något - exempelvis har en arbetsgivare vid uppsägning på grund av arbetsbrist en skyldighet att upprätta turordningslistor över sina anställda (för myndigheters förpliktelser, se punkt e)

c) Det är osäkert hur brett "vitala intressen" ska tolkas, men det gäller i vart fall sådant som avgörande betydelse för den registrerades liv (se SOU 1997:39 avsnitt 3.5.5 och dataskyddsdirektivets preambelpunkt 31).

d) Exempel på arbetsuppgifter av allmänt intresse är arkivering, forskning och framställning av statistik.

e) Med myndighetsutövning menas här sådana uppgifter som en myndighet enligt lag ska utföra och som har rättsliga effekter för den enskilde. Exempelvis får en domstol registrera uppgifter om parter i ett tviste- eller brottmål.

f) Denna intresseavvägning används ofta i praktiken då intrånget i den personliga integriteten är litet eller obefintligt, och det är opraktiskt att inhämta samtycke i förhand. Både en ideell förenings allmännyttiga verksamhet såväl som ett privat företags vinstintresse kan utgöra ett "berättigat intresse".

Prop. 1997/98:44: I paragrafen finns det en uttömmande uppräkning av i vilka fall personuppgifter får behandlas. Om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas, måste behandlingen dessutom vara tillåten i enlighet med 13–22 §§. I 12 §

andra stycket regleras den situationen att den registrerade återkallar ett redan lämnat ...

  • RÅ 2002:54:Utdrag ur Centrala studiestödsnämndens register över mottagare av studiemedel har ansetts kunna lämnas ut för kommersiellt ändamål. Tillämpning av 7 kap. 16 § sekretesslagen och 10 § f personuppgiftslagen.
  • RH 2008:87:Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet enligt samma lag för staten på grund av att domstol enligt käranden åsidosatt lagens krav på personuppgifter vid utformningen av domskäl. Tillika fråga om skadeståndsskyldighet enligt nämnda lag för staten med anledning av underlåtenhet att rätta uppgift i domskäl.
  • RÅ 2008:83:Behandling av biometriska data i form av fingeravläsning i samband med skolmåltider har ansetts kräva samtycke för att vara tillåten enligt personuppgiftslagen.
  • AD 2010 nr 87:En arbetsgivare är enligt transportavtalet skyldig att till den lokala fackliga organisationen insända kopia av upprättat anställningsbevis i samband med att anställningsavtal träffas. En arbetsgivare har underlåtit att tillämpa bestämmelsen och har därvid anfört att detta skulle strida mot personuppgiftslagen. Fråga huruvida arbetsgivarens underlåtenhet har inneburit ett brott mot transportavtalet.
  • RÅ 2010:19:Publicering av konkursbouppteckning på Internet har inte ansetts tillåten enligt personuppgiftslagen.
  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.
  • RÅ 2001:68:Jordbruksverkets adressregister över mjölkproducenter har ansetts kunna lämnas ut för kommersiellt ändamål. Tillämpning av 7 kap. 16 § sekretesslagen (1980:100) och 10 § f personuppgiftslagen (1998:204).
  • AD 2018 nr 65:I väg- och banavtalet finns en bestämmelse om lönegranskning som ger den lokala fackliga organisationen rätt att fortlöpande granska löneförhållandena och ta del av avlöningslistor. Fråga om ett bolag brutit mot avtalet genom att inte låta förbundets fackliga förtroendemän ta del av begärda avlöningslistor med löneuppgifter som kan knytas till identifierbara arbetstagare, såvitt avser utanförstående arbetstagare och om det skulle ha varit i strid med den tidigare gällande personuppgiftslagen att lämna ut de omtvistade uppgif-terna. Arbetsdomstolen har funnit att en behandling av personuppgifterna, genom att lämna ut uppgifterna till förbundet, skulle ha varit tillåten enligt 10 § f) personuppgiftslagen och att bolaget därmed gjort sig skyldigt till kol-lektivavtalsbrott genom att inte lämna ut uppgifterna.
  • RÅ 2001:35:Fråga om manuell behandling av personuppgifter i betygshandlingar som är sorterade i bokstavsordning och som genom behandlingen kommer att sorteras med ledning av varje students betygsgenomsnitt omfattas av 5 § personuppgiftslagen (1998:204).

Direkt marknadsföring

11 §  Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

En sådan anmälan från den enskilde kan ske genom e-post. Direktmarknadsföraren får inte ta ut någon avgift av den enskilde i samband med en sådan anmälan. Se även 19 och 20 §§marknadsföringslagen (2008:486) om när direktmarknadsföring till enskild får och inte får ske.

Prop. 1997/98:44: Paragrafen reglerar den registrerades rätt att motsätta sig behandling för direkt marknadsföring. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.2.3 i kommitténs betänkande.

Uttrycket ”behandlas för ändamål som rör direkt marknadsföring” är avsett att ha samma innebörd som enligt artikel 14 första stycket b i EGdirektivet, se bilaga 1.

Paragrafen ...

Samtycke återkallas

12 §  I de fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

[S2]En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Det finns inget särskilt formkrav för hur ett återkallande av samtycke ska ske, utan det kan ske muntligen till den personuppgiftsansvarige (eller någon som företräder denne). Det är dock den som gör återkallandet som har bevisbördan för att det faktiskt skett.

Ett återkallande spelar ingen roll om själva behandlingen sker med stöd av en annan tillåtlighetsgrund än just den registrerades samtycke (dvs någon av grunderna i listan i 10 §).

Prop. 1997/98:44: Paragrafen reglerar vad som gäller när den registrerade återkallar ett redan lämnat samtycke till behandling av personuppgifter och i vilka fall den registrerade i övrigt skall ha rätt att motsätta sig sådan behandling. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.2.2 och 11.6.6 i kommitténs betänkande....

Förbud mot behandling av känsliga personuppgifter

13 §  Det är förbjudet att behandla personuppgifter som avslöjar

  1. ras eller etniskt ursprung,
  2. politiska åsikter,
  3. religiös eller filosofisk övertygelse, eller
  4. medlemskap i fackförening.

[S2]Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

[S3]Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.

Huvudregeln för känsliga uppgifter är att de inte får hanteras alls, men i efterföljande paragrafer (14-20 §§) finns ett antal undantag från detta förbud. Att behandla personuppgifter i strid med förbudet är straffbelagt, se 49 §.

Ett fotografi på en person räknas normalt inte som uppgift om ras/etniskt ursprung eller hälsa.

En uppgift om att en person inte har någon religös övertygelse räknas som känslig.

Även relativt harmlösa uppgifter om hälsa (som att en person skadat foten och är deltidssjukskriven) räknas som känsliga uppgifter.

Uppgifter om kön eller civilstånd räknas inte som uppgift om sexualliv, däremot kan uppgifter om könsbyte räknas.

Prop. 1997/98:44: Paragrafen innehåller ett principiellt förbud mot att behandla vad som enligt paragrafen är att beteckna som känsliga personuppgifter. I 14– 20 §§ finns det bestämmelser som för med sig att sådana personuppgifter i vissa fall ändå får behandlas.

Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.1. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i ...

  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Undantag från förbudet mot behandling av känsliga personuppgifter

14 §  Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15-19 §§.

[S2]I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.

Denna paragraf tillför inget materiellt, utan upplyser bara om lagens systematik kring känsliga uppgifter.

Prop. 1997/98:44: Paragrafen innehåller i första stycket en upplysning om att det trots det principiella förbudet i 13 § är tillåtet att behandla personuppgifter i de fall som anges i 15–19 §§.

I andra stycket finns det en erinran om att även i de fall som anges i 15–19 §§ måste behandlingen vara tillåten enligt 10 §. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer ...

Samtycke eller offentliggörande

15 §  Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Precis som för "vanliga" personuppgifter så är samtycke en tillåtlighetsgrund. Dock ställs högre krav på hur detta samtycke kommer till uttryck ("[...] lämnat sitt uttryckliga samtycke") - underförstått eller konkludent samtycke räcker inte.

Utöver detta får man även behandla sådana uppgifter som den registrerade själv offentliggjort på ett tydligt sätt, exempelvis när en person "talat ut" om sin hälsa eller sexliv i massmedier, eller när en person ställer upp i ett val för ett visst parti.

Prop. 1997/98:44: Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande.

I 12 § andra stycket regleras den situationen att den registrerade återkallar ett redan lämnat samtycke.

Paragrafen ...

  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Nödvändig behandling

16 §  Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att

  1. den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,
  2. den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller
  3. rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

[S2]Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.

a) "arbetsrätten" ska här tolkas ganska brett. Det kan vara fråga om rättigheter/skyldigheter som är lagstadgade, men också sådana som följer av kollektivavtal eller individuella avtal. Exempelvis kan en arbetsgivare behandla uppgifter om de anställdas fackföreningsmedlemsskap, om arbetsgivaren genom kollektivavtal åtagit sig att göra avdrag på lön för fackföreningsavgift, dvs. en skyldighet som följer av avtal (inte lag).

b) "Vitala intressen" ska tolkas på samma sätt som i 10 § c.

c) Skattemyndigheten måste behandla uppgifter om medlemsskap i svenska kyrkan för att kunna ta ut kyrkoskatt. Detta skatteanspråk är ett exempel på ett rättsligt anspråk.

Prop. 1997/98:44: Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande.

Första stycket skall ha samma innebörd som EG-direktivets artikel 8.2 punkt b och c samt andra ledet i punkt e, se bilaga 1. Punkten ...

Ideella organisationer

17 §  Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Det finns inget uttryckligt krav på att personuppgifterna ska ha någon anknytning till organisationens syfte, men de grundläggande kraven i 9 § sätter stopp för behandling av helt ovidkommande uppgifter.

Rätten att behandla uppgifter om en viss person enligt denna paragraf upphör när personen slutar vara medlem.

Organisationens syfte måste vara politiskt, filosofiskt, religiöst eller fackligt, men dessa begrepp ska tolkas ganska brett. Exempelvis kan alla organisationer som på något vis vill påverka samhället ses som politiska enligt denna paragraf.

Prop. 1997/98:44: Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 8.2 punkt d i EGdirektivet, se bilaga 1.

Det är vid tvist den personuppgiftsansvarige ...

  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Hälso- och sjukvård

18 §  Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för

  1. förebyggande hälso- och sjukvård,
  2. medicinska diagnoser,
  3. vård eller behandling, eller
  4. administration av hälso- och sjukvård.

[S2]Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Undantaget täcker såväl den vanliga verksamheten, såväl som tillsynsverksamhet inom hälso- och sjukvårdsområdet. Bestämmelser om tystnadsplikt i hälso- och sjukvården finns bland annat i 21 kap.offentlighets- och sekretesslagen (2009:400) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Prop. 1997/98:44: Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.

Paragrafen skall ha samma innebörd som artikel 8.3 i EG-direktivet, se bilaga 1.

Paragrafen har – i enlighet med vad som föreslagits av Stockholms läns landsting – i förhållande till Datalagskommitténs förslag kompletterats såvitt avser regeln i nyss nämnda artikel om att den som inte är verksam på hälso- ...

Forskning och statistik

19 §  Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

[S2]Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

[S3]Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

[S4]Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Lag (2003:466).

Definitionen av forskning finns i 2 § lagen (2003:460) om etikprövning av forskning som avser människor. Se även Etikprövningsnämndens praxis och datainspektionens broschyr "Personuppgifter i forskningen – vilka regler gäller?".

Prop. 2002/03:50: I etikprövningslagen införs en bestämmelse om krav på etikgodkännande av forskning som sker utan att den enskilde lämnat sitt uttryckliga samtycke och som bl.a. avser känsliga personuppgifter enligt 13 § personuppgiftslagen. Forskningen får inte bedrivas om den inte godkänts vid en etikprövning. Ändringen innebär bl.a. att den möjlighet forskaren hittills haft att själv (efter förhandsanmälan till Datainspektionen, 10 § 1 ...

Prop. 1997/98:44: Paragrafen reglerar när känsliga personuppgifter får behandlas för forsknings- och statistikändamål utan samtycke. Den frågan har behandlats i avsnitt 11.4.2. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 11.6.3 i kommitténs betänkande.

Med forskning avses i paragrafen i första ...

Bemyndigande att föreskriva ytterligare undantag

20 §  Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Lag (1998:1436).

Datainspektionen har inte medelat några generella föreskrifter om undantag från 13 §.

Prop. 1997/98:44: Paragrafen innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter. Frågan om normgivningsdelegation har behandlats i avsnitt 10. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande.

Av förslaget till lag ...

Uppgifter om lagöverträdelser m.m.

21 §  Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

[S2]Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

[S3]Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket.

[S4]Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Lag (2008:187).

Att behandla personuppgifter i strid med detta förbud är straffbelagt, se 49 §.

Datainspektionen har meddelat en föreskrift om undantag från denna paragraf (DIFS 1998:3), samt medgett undantag i enskilda fall, exv för Antipiratbyrån och IFPI. Det finns även ett stort antal undantag i annan lagstiftning, framförallt i de immaterialrättsliga lagarna (exv 53 g § upphovsrättslagen) och registerförfattningar (jfr 2 § om personuppgiftslagenssubsidiaritet.

Prop. 2007/08:44: I paragrafen regleras behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

I andra stycket som är nytt anges att personuppgifter som avses i första stycket får behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser ...

Prop. 1997/98:44: Frågan om behandling av uppgifter om lagöverträdelser har behandlats i avsnitt 11.4.3. Paragrafens två första stycken överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.4 i kommitténs betänkande.

Uttrycken ”myndighet”, ”lagöverträdelser” och ”domar i brottmål” skall ha samma innebörd ...

  • NJA 2015 s. 180:Lagring av personuppgifter (domstols dagboksblad) i dator har ansetts inte omfattad av undantaget för privat behandling av personuppgifter i 6 § personuppgiftslagen (1998:204). Även fråga om det krävs prövningstillstånd i Högsta domstolen.
  • HFD 2016:8:Fråga om undantag från personuppgiftslagens förbud för enskilda att behandla personuppgifter om lagöverträdelser som innefattar brott.

Behandling av personnummer

22 §  Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till

  1. ändamålet med behandlingen,
  2. vikten av en säker identifiering, eller
  3. något annat beaktansvärt skäl. Lag (1999:1059).

Huvudregeln är att personnummer får behandlas om den registrerade frivilligt samtycker till detta. Det ställs dock höga krav på denna frivillighet i datainspektionens praxis: En potentiell kund har inte kunnat anses ge samtycke eftersom denne befunnit sig i en beroendeställning mot ett företag som har en monopolställning (Dnr 246-2007). Små barn har inte ansetts kunna ge giltigt samtycke över huvud taget (samrådsyttrande december 2002).

Det finns sparsamt med praxis kring vad som gör ett ändamål "klart motiverat" om samtycke saknas eller inte har inhämtats, men för att använda det som användaridentitet i datorsystem tordes kräva att det finns särskilda säkerhetskrav på systemet (samrådsyttrande mars 2004).

Prop. 1999/2000:6: Ändringen föranleds av att personer som inte är eller har varit folkbokförda här i landet från och med den 1 januari 2000 skall tilldelas ett särskilt samordningsnummer i stället för personnummer (prop. 1997/97:9). Samordningsnumret är i likhet med personnumret ett unikt identifikationsnummer och samma regler bör därför gälla för användningen av samordningsnummer som för personnummer.

Prop. 1997/98:44: Frågan om behandling av personnummer har behandlats i avsnitt 11.4.4. Paragrafen överensstämmer i stort med Datalagskommitténs förslag och har berörts i avsnitt 12.6 i kommitténs betänkande.

Till paragrafen har utan någon betydande ändring i sak förts över de bestämmelser som finns i 7 § andra stycket i den nuvarande ...

  • NJA 2015 s. 180:Lagring av personuppgifter (domstols dagboksblad) i dator har ansetts inte omfattad av undantaget för privat behandling av personuppgifter i 6 § personuppgiftslagen (1998:204). Även fråga om det krävs prövningstillstånd i Högsta domstolen.
  • RÅ 2001:35:Fråga om manuell behandling av personuppgifter i betygshandlingar som är sorterade i bokstavsordning och som genom behandlingen kommer att sorteras med ledning av varje students betygsgenomsnitt omfattas av 5 § personuppgiftslagen (1998:204).

Information till den registrerade

Information skall lämnas självmant

23 §  Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna.

Se även 25 § om vilken information som ska lämnas, och 27 § om undantag från informationsskyldigheten. I kravet på att uppgifterna ska lämnas självmant ligger att den registrerade inte ska behöva be om att få informationen.

Om insamlingen sker löpande (exempelvis ett kontokortsföretags insamlande av en kunds transaktioner) behöver information inte lämnas vid varje enskilt insamlingstillfälle, så länge som den registrerade blivit informerad om att och hur detta kommer ske, och detta skett senast vid den första insamlingen.

Om man till den registrerade meddelar osanna uppgifter enligt 23-26 §§ är detta grund för straffansvar, se 49 §

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.7.2 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 10 i EG-direktivet, se bilaga 1.

I 25 § finns det bestämmelser om vilken information som skall lämnas, och i 27 § finns det bestämmelser om vissa undantag från informationsskyldigheten.

24 §  Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

[S2]Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

[S3]Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

När man samlar in uppgifter från någon annan part än den registrerade kan det vara svårare att nå denne med information. Principiellt gäller dock samma regel som i 23 § om att information ska lämnas självmant, men det finns några undantag.

För att undantaget i andra stycket ska vara tillämpligt krävs att bestämmelserna är specifika. Vem som helst kan begära ut personuppgifter från myndigheter med stöd av offentlighetsprincipen, som alltså innehåller bestämmelser om utlämnande av (bl.a.) personuppgifter. Offentlighetsprincipen är dock för generell för att insamlaren ska kunna tillämpa detta undantag.

Vad gäller undantaget i tredje stycket finns i dataskyddsdirektivets ingress (i punkt 40) en riktlinje för bedömning av vad som utgör en oproportionerligt stor arbetsinsats när det gäller behandling för historiska, statistiska eller vetenskapliga ändamål; "[...] antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas [kan] tas i beaktande"

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.7.2 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 11 i EG-direktivet, se bilaga 1.

I 25 § finns det bestämmelser om vilken information som skall lämnas, och i 27 § finns det bestämmelser om vissa undantag från informationsskyldigheten.

Bestämmelsen i sista ...

Den information som skall lämnas självmant

25 §  Information enligt 23 eller 24 § skall omfatta

  1. uppgift om den personuppgiftsansvariges identitet,
  2. uppgift om ändamålen med behandlingen, och
  3. all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

[S2]Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Med identitet avses här namn och address till den fysiska eller juridiska person som är personuppgiftsansvarig. Information om ändamålet med behandlingen är viktig för att upprätthålla finalitetsprincipen, och det krävs att ändamålet är preciserat.

Det finns inget krav på att informationen ska lämnas skriftligen, men det är den personuppgiftsansvarige som har bevisbördan för att visa att informationen har lämnats.

Undantaget i andra stycket leder i praktiken till att informationsplikten inte behöver bli alltför betungande för den personuppgiftsansvarige.

Prop. 1997/98:44: Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.7.2.3 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 10 och 11.1 i EGdirektivet, se bilaga 1.

I 27 § finns det bestämmelser om vissa undantag från informationsskyldigheten.

Information skall lämnas efter ansökan

26 §  Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

  1. vilka uppgifter om den sökande som behandlas,
  2. varifrån dessa uppgifter har hämtats,
  3. ändamålen med behandlingen, och
  4. till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

[S2]En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

[S3]Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Det här är ett exempel på en insynsrätt, dvs en rätt för den enskilde att på begäran få insyn i myndigheters (och företags) information, i det här fallet information om den enskilde. Andra exempel på insynsrätter är offentlighetsprincipen och partsinsyn (som i första hand gäller mot myndigheter).

Eftersom begäran ska vara skriftlig och undertecknad räcker det inte med att skicka ett epostmeddelande, utan det måste vara ett fysiskt brev (den personuppgiftsansvarige kan förstås välja att godta även en begäran via epost, men det finns ingen skyldighet att göra detta).

Den enskilde kan även begära att uppgifter ska rättas, om de visar sig vara felaktiga (se 28 §)


Prop. 1997/98:44: Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.7.3 och 11.6.7 i kommitténs betänkande.

I 27 § finns det bestämmelser om vissa undantag från informationsskyldigheten.

Första stycket i paragrafen skall i tillämpliga delar ha samma innebörd som artikel 12 ...

  • HFD 2014:55:Ett beslut att inte lämna ut information enligt 26 § personuppgiftslagen på grund av sekretess överklagas i den ordning som anvisas i offentlighets- och sekretesslagen.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 §  I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 2326 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter till den registrerade. Lag (2009:468).

Ett exempel på en sådan föreskrift finns i OSL 25:6 (om uppgifter om hälsotillstånd för en vård- eller behandlingsbehövande).

Prop. 1997/98:44: Paragrafen har behandlats i avsnitt 11.5.2. Datalagskommittén har berört frågan i avsnitt 12.7.4 i sitt betänkande.

Första meningen motsvarar delvis 10 § tredje stycket i den nuvarande datalagen. Meningen överensstämmer med Datalagskommitténs förslag....

  • HFD 2014:55:Ett beslut att inte lämna ut information enligt 26 § personuppgiftslagen på grund av sekretess överklagas i den ordning som anvisas i offentlighets- och sekretesslagen.

Rättelse

28 §  Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Genom att 9 § g kräver att personuppgifter ska vara riktiga så är behandling av felaktiga uppgifter i strid med lagen, och den registrerade kan med stöd av denna paragraf begära att uppgifterna ska rättas. Den personuppgiftsansvarige får dock bestämma vilken åtgärd (rättning, utplåning eller blockering) som ska vidtas.

För att uppgifterna ska anses utplånade ska de inte gå att återskapa. Se 3 § för en definition av "blockering".

Prop. 1997/98:44: Frågan om korrigering av personuppgifter har behandlats i avsnitt 11.6. Korrigering av personuppgifter hos myndigheter har berörts i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.8 och ...

  • RH 2008:87:Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet enligt samma lag för staten på grund av att domstol enligt käranden åsidosatt lagens krav på personuppgifter vid utformningen av domskäl. Tillika fråga om skadeståndsskyldighet enligt nämnda lag för staten med anledning av underlåtenhet att rätta uppgift i domskäl.
  • RÅ 2006:13:Grund för rättelse av uppgifter i beskattningsdatabasen om en persons tillhörighet till ett registrerat trossamfund har inte ansetts föreligga då uppgifterna behandlats i enlighet med gällande lagstiftning och medlemskap i trossamfundet inte bestritts.
  • RÅ 2006:86:Fråga om rättelse av uppgift i utsöknings- och indrivningsdatabasen när det beslut som legat till grund för ansökan om indrivning efter registrering av ansökan i databasen upphävts av domstol (I) och när skattskyldig visserligen betalat det skattebelopp som angivits i en betalningsuppmaning men ett underskott på skattekontot kvarstått till följd av att ytterligare skattebelopp förfallit till betalning (II).
  • HFD 2019:9:Fråga om bevisbörda och beviskrav vid ändring av identitetsuppgifter i folkbokföringen.

Automatiserade beslut

29 §  Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.

[S2]Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.

Denna bestämmelse är till skillnad från resten av lagen väldigt specifikt inriktad på en typ av behandling, nämligen automatiskt fattade beslut. Den är tillämplig både på myndigheter och företag. Tanken är att den enskilde ska ha rätt att få sådana beslut manuellt omprövade (jfr 27 § förvaltningslagen för beslut som fattas av myndigheter).

Andra stycket ställer ganska långtgående krav på att den personuppgiftsansvarige kan redogöra för den inre logik i datorsystemet som lett till det automatiska beslutet.

Prop. 1997/98:44: Frågan om automatiserade beslut har behandlats i avsnitt 11.7. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.9 i kommitténs betänkande.

Definitionen av de beslut som avses i paragrafen skall ha samma innebörd som enligt artikel 15.1 i EG-direktivet, se bilaga 1.

Första ...

Säkerheten vid behandling

Personer som behandlar personuppgifter

30 §  Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

[S2]Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket.

[S3]Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i frågor som avses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket.

Den fysiska person som är anställd hos ett företag, och som en del av sina arbetsuppgifter utför personuppgiftsbehandling, anses inte som personuppgiftsbiträde utan bara som medhjälpare under den personuppgiftsansvariges (arbetsgivarens) direkta ansvar. Ett personuppgiftsbiträde måste arbetsrättsligt vara självständig, exempelvis en underleverantör (dock kan både personuppgiftsbiträdet och även den personuppgiftsansvarige vara fysiska personer, bestämmelserna är inte enbart tillämpliga på juridiska personer. Om underleverantören självständigt bestämmer hur behandlingen ska gå till kan denne dock betraktas som personuppgiftsansvarig tillsammans med sin uppdragsgivare.

I kravet på att avtalet ska vara skriftligt ligger inte något krav på att det är fäst på papper, underskrivet eller liknande (jfr 26 §), utan även exv ett epostmeddelande kan betraktas som skriftligt avtal.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.10.2 i kommitténs betänkande.

Första stycket skall ha samma innebörd som artikel 16 i EG-direktivet, se bilaga 1.

Andra stycket skall ha samma innebörd som artikel 17.3 och 17.4 i direktivet. Skriftlighetskravet innebär att avtalet måste vara uttryckt i text, men texten kan finnas på ...

Säkerhetsåtgärder

31 §  Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

  1. de tekniska möjligheter som finns,
  2. vad det skulle kosta att genomföra åtgärderna,
  3. de särskilda risker som finns med behandlingen av personuppgifterna, och
  4. hur pass känsliga de behandlade personuppgifterna är.

[S2]När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Datainspektionen har i sina allmänna råd "Säkerhet för personuppgifter" gett riktlinjer för hur säker personuppgiftsbehandling ska ske. Ju känsligare personuppgifterna är, desto högre ställs säkerhetskraven. Utöver bestämmelserna i personuppgiftslagen kan även sekretessregler i offentlighets- och sekretesslagen inverka på hur känsliga upppgifterna ska anses vara.

Säkerhetskraven omfattar inte bara att det ska vara svårt för en obehörig att komma åt lagrade personuppgifter, de kan även kräva att man, när man skickar personuppgifter via e-post, är säker på att man kommunicerar med rätt person och att informationen i meddelandet är krypterad (jfr Dnr 685-2008, Dnr 473-2008)

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.10.2–4 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 17.1 och 17.2 i EGdirektivet, se bilaga 1.

  • HFD 2012:21:Försäkringskassan har vid tillhandahållande av elektroniska självbetjäningstjänster ansetts personuppgiftsansvarig för den behandling som sker innan uppgifterna blir tillgängliga för kassan.

Tillsynsmyndigheten får besluta om säkerhetsåtgärder

32 §  Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.

[S2]I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.10.3 i kommitténs betänkande. Paragrafen fastslår att tillsynsmyndigheten i enskilda fall kan bestämma vilka säkerhetsåtgärder som skall vidtas.

  • HFD 2012:21:Försäkringskassan har vid tillhandahållande av elektroniska självbetjäningstjänster ansetts personuppgiftsansvarig för den behandling som sker innan uppgifterna blir tillgängliga för kassan.

Överföring av personuppgifter till tredje land

Förbud mot överföring av personuppgifter till tredje land

33 §  Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

[S2]Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet. Lag (1999:1210).

"Tredje land" omfattar bara länder utanför EU/EES (jfr 3 §). EU-kommissionen analyserar lagstiftningen i olika länder för att avgöra om denna motsvarar kraven på "adekvat skyddsnivå" och gör rapporterna tillgängliga. USA anses inte generellt ha en adekvat skyddsnivå. Tidigare ansågs det tillåtet att överföra uppgifter till ett USA-baserat företag om detta företag tecknat ett s.k. "Safe harbour"-avtal, men EU-domstolen ogiltigförklade detta i mål C-362/14 (Schrems).

Att publicera en webbsida med personuppgifter leder normalt till att personuppgifterna kan läsas från hela världen, inklusive tredje land. Det ses dock inte som en överföring enligt denna paragraf (såvida inte själva webbservern fysiskt är placerad i tredje land) enligt EG-domstolens förhandsbesked C-101/01 (i målet RH 2004:51).

Att föra över uppgifter till tredje land i strid med 33-35 §§ är straffbelagt, se 49 §.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.11.2 i kommitténs betänkande.

De överföringar som avses i paragrafen är desamma som avses i artikel 25.1 i EG-direktivet, se bilaga 1.

  • RH 2002:71:En person som på Internet registrerat flera sexannonser och därvid hänfört sig till sin f.d. sambo har dömts för grovt förtal och brott mot personuppgiftslagen till ett fängelsestraff. Även fråga om storleken av kränkningsersättning till målsäganden.

Undantag från förbudet mot överföring av personuppgifter till tredje land

34 §  Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att

  1. ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
  2. ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,
  3. rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller
  4. vitala intressen för den registrerade skall kunna skyddas.

[S2]Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för en-skilda vid automatisk databehandling av personuppgifter.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.11.3 i kommitténs betänkande.

Paragrafen innehåller en uppräkning av i vilka fall det är tillåtet att föra över personuppgifter till tredje land. För att personuppgifter skall få föras över till tredje land krävs dock inte bara att överföringen faller under något av fallen i uppräkningen. Den behandling som överföringen ...

35 §  Regeringen får meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också meddela föreskrifter om att överföring av personuppgifter till tredje land är tilllåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter.

[S2]Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

[S3]Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Lag (1998:1436).

Prop. 1997/98:44: Frågan om normgivningsdelegation har behandlats i avsnitt 10. Paragrafens två första stycken överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.11.4 i kommitténs betänkande. I tredje stycket har förtydligats att regeringen, eller om regeringen så bestämmer, tillsynsmyndigheten, i enskilda fall kan besluta om undantag ...

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

36 §  Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs.

[S2]Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.

[S3]Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

En anmälan kan göras via Datainspektionens blankett. Det går i dagsläget inte att skicka in anmälan elektroniskt. Närmare bestämmelser finns i DIFS 1998:2 i lydelse enligt DIFS 2001:1.

Datainspektionen gör i normalfallet inte någon rättslig prövning av om den anmälda personuppgiftsbehandlingen är tillåten (se dock 41 § om förhandsprövning av särskilt integritetskänsliga behandlingar). Den personuppgiftsansvarige kan alltså inte förlita sig på att datainspektionen inte lämnat några anmärkningar, utan är alltid ansvarig för att behandlingen är laglig.

Det finns i PUF och DIFS ett antal undantag från anmälningsplikten för

En anmälan om att ett personombud har utsetts kan också göras via en blankett från datainspektionen.

Om man i en anmälan anger osanna uppgifter är detta grund för straffansvar, se 49 §

Prop. 1997/98:44: Paragrafen överensstämmer i stort med Datalagskommitténs förslag och har berörts i avsnitt 12.12 i kommitténs betänkande.

Första stycket skall ha samma innebörd som artikel 18.1 i EGdirektivet, se bilaga 1. Enligt 50 § f får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats....

  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Anmälan behöver inte göras om det finns ett personuppgiftsombud

37 §  Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första stycket inte göras.

För en organisation som utför fler än ett fåtal olika sorters personuppgiftsbehandlingar kan det alltså vara mycket praktiskt att utse ett personuppgiftsombud. Till skillnad från personuppgiftsansvarig måste ett personuppgiftsombud alltid vara en fysisk person. Ombudet kan vara anställt hos den personuppgiftsansvarige, men måste ha en tillräckligt självständig position för att kunna utföra sitt uppdrag. Uppdraget kan jämföras med ett revisorsuppdrag.

Notera att enligt 41 § så måste vissa särskilt integritetskänsliga behandlingar alltid förhandsanmälas, även om det finns ett personuppgiftsombud.

Prop. 1997/98:44: Beteckningen personuppgiftsombud har behandlats i avsnitt 12. Paragrafen har berörts i avsnitt 12.12 i Datalagskommitténs betänkande.

Det är bara behandlingar som påbörjas efter det att personuppgiftsombudet har anmälts till tillsynsmyndigheten som är undantagna från anmälningsskyldigheten.

Personuppgiftsombudet ...

Personuppgiftsombudets uppgifter

38 §  Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.

[S2]Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

[S3]Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har behandlats i avsnitt 12.12.2.4 i kommitténs betänkande.

Första stycket motsvarar artikel 18.2 första strecksatsen i den andra strecksatsen i EG-direktivet, se bilaga 1. Personuppgiftsombudet skall se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Detta ...

39 §  Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.4 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 18.2 andra strecksatsen i andra strecksatsen i EG-direktivet, se bilaga 1.

40 §  Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Prop. 1997/98:44: Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.4 i kommitténs betänkande.

Paragrafen motsvarar 8 § fjärde stycket i den nuvarande datalagen.

Obligatorisk anmälan av särskilt integritetskänsliga behandlingar

41 §  Regeringen får meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Lag (1998:1436).

En lista på sådana särskilt integritetskänsliga behandlingar finns i 1 §DIFS 1998:2 i lydelse enligt DIFS 2001:1. Datainspektionen har även en informationssida med anmälningsblanketter.

Till skillnad från vanlig anmälan enligt 36 § så gör i dessa fall datainspektionen en prövning av om behandlingen är laglig.

Prop. 1997/98:44: Frågan om normgivningsdelegation har berörts i avsnitt 10. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.5 i kommitténs betänkande.

Av förslaget till lag om ändring i personuppgiftslagen (...

Upplysningar till allmänheten om behandlingar som inte anmälts

42 §  Den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter. Lag (2009:468).

Prop. 1997/98:44: Frågan om upplysningar till allmänheten om behandlingar har behandlats i avsnitt 12. Paragrafen överensstämmer delvis med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.6 i kommitténs betänkande.

Paragrafen skall ha samma innebörd som artikel 21.3 första stycket i EG-direktivet, se bilaga 1.

Frågor ...

Tillsynsmyndighetens befogenheter

43 §  Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

  1. tillgång till de personuppgifter som behandlas,
  2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och
  3. tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

44 §  Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.

45 §  Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

[S2]Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite.

46 §  Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, ska den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet ska omprövas, när yttrandetiden har gått ut.

[S2]Ett vitesföreläggande ska delges den personuppgiftsansvarige. Delgivning enligt 3437 §§delgivningslagen (2010:1932) får användas bara om det med beaktande av vad som har framkommit i det aktuella delgivningsärendet eller vid andra delgivningsförsök med den personuppgiftsansvarige finns anledning att anta att han eller hon har avvikit eller på annat sätt håller sig undan. Lag (2010:1969).

47 §  Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

[S2]Beslut om utplånande får inte meddelas om det är oskäligt. Lag (2009:827).

Prop. 1997/98:44: Frågan om tillsynsmyndighetens befogenheter har behandlats i avsnitt 13. Bestämmelserna i 43–47 §§ överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.14.1 i kommitténs betänkande.

Det bör betonas att möjligheten enligt 46 § att meddela ett tillfälligt beslut om vite är avsedd att utnyttjas ...

Skadestånd

48 §  Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

[S2]Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Denna bestämmelse om skadeståndsskyldighet gäller framför de generella i skadeståndslagen (se 1 kap. 1 § denna lag), men eftersom den inte reglerar samtliga skadeståndsrättsliga frågor måste den läsas tillsammans med skadeståndslagen (se exv 5 kap.skadeståndslagen om hur skadeståndet beräknas). En kränkning genom felaktig personuppgiftsbehandling kan bedömas både enligt denna paragraf och enligt 2 kap. 3 § skadeståndslagen.

Det är bara den personuppgiftsansvarige, inte -biträden eller -ombud, som kan bli skadeståndsansvariga.

Det finns relativt mycket praxis från JK i skadeståndsärenden för statens felaktiga personuppgiftsbehandling, exv beslut 2002-10-15 (förväxling av avliden) och beslut 2003-09-11 (oriktig uppgift i belastningsregistret).

Prop. 1997/98:44: Frågan om skadestånd har behandlats i avsnitt 14. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag, dock att kommittén föreslog att skadestånd även kunde utgå vid behandling i strid med föreskrifter som meddelats med stöd av lagen, och har även berörts i avsnitt 12.13.2.1–3 i kommitténs betänkande.

Bestämmelserna ...

  • NJA 2013 s. 1046:Att lägga ut en tvistemålsdom med namn och adressuppgifter på en internetsida utgör inte en sådan behandling av personuppgifter som omfattas av de s.k. hanteringsreglerna i personuppgiftslagen (1998:204). Däremot har behandlingen inneburit att den namngivnes personliga integritet har kränkts på ett sådant sätt att skadestånd ska utgå. Ersättningen har bestämts till ett schablonbelopp på 3 000 kr.
  • RH 2008:87:Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet enligt samma lag för staten på grund av att domstol enligt käranden åsidosatt lagens krav på personuppgifter vid utformningen av domskäl. Tillika fråga om skadeståndsskyldighet enligt nämnda lag för staten med anledning av underlåtenhet att rätta uppgift i domskäl.

Straff

49 §  Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet

  1. lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
  2. behandlar personuppgifter i strid med 13-21 §§,
  3. för över personuppgifter till tredje land i strid med 33-35 §§,
  4. låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §,
  5. behandlar sådana personuppgifter som avses i 13 och 21 §§ i strid med 5 a § andra stycket, eller
  6. i strid med 5 a § andra stycket för över personuppgifter till tredje land som inte har en sådan adekvat nivå för skyddet av personuppgifterna som avses i 33 §.

[S2]I ringa fall döms inte till ansvar.

[S3]Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet. Lag (2006:398).

Till skillnad från skadeståndsansvar kan straff bara utdömas till en fysisk person. Det är den person som faktiskt utfört handlingen (eller, vad gäller punkt d, underlåtit att anmäla behandlingen) som döms till ansvar, inte den personuppgiftsansvarige (såvida dessa inte är en och samma person).

Ringa överträdelser är framförallt sådana som orsakar mindre skada eller som inte skett uppsåtligen. Om den personuppgiftsansvarige uppmärksammats på den felaktiga behandlingen, men fortsatt med den, bör handlingen inte betraktas som ringa (jfr NJA 2005 s. 361, och, till det motsatta, RH 2004:51).

Prop. 2005/06:173: I paragrafen har två nya punkter (e och f) införts. Dessa tillägg har behandlats i avsnitt 8.5. Vidare har paragrafen ändrats så att de i bestämmelsen angivna gärningarna inte är straffbara om de begås av oaktsamhet av normalgraden. Skälen härtill har redovisats i avsnitt 9.1.2.

Den som uppsåtligen eller av grov oaktsamhet ...

Prop. 1997/98:44: Frågan om straff har behandlats i avsnitt 14. Paragrafen har i förhållande till Datalagskommitténs förslag kompletterats med bestämmelserna i punkt b–d. Datalagskommitténs förslag har berörts i avsnitt 12.13.2.4 i kommitténs betänkande.

Vid bedömandet av om brottet är grovt kan beaktas sådana omständigheter som att de olagligt ...

  • RH 2002:71:En person som på Internet registrerat flera sexannonser och därvid hänfört sig till sin f.d. sambo har dömts för grovt förtal och brott mot personuppgiftslagen till ett fängelsestraff. Även fråga om storleken av kränkningsersättning till målsäganden.
  • RH 2004:51:Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.

Närmare föreskrifter

50 §  Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om

  1. i vilka fall behandling av personuppgifter är tillåten,
  2. vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter,
  3. i vilka fall användning av personnummer är tillåten,
  4. vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla,
  5. vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och
  6. anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Lag (1998:1436).

Prop. 1997/98:44: Frågan om normgivningsdelegation har behandlats i avsnitt 10. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.1.2 i kommitténs betänkande.

Av förslaget till lag om ändring i personuppgiftslagen (...

Överklagande

51 §  Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol.

[S2]Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. Lag (2006:398).

Prop. 2005/06:173: Efter förslag från Lagrådet har andra stycket om att prövningstillstånd krävs vid överklagande till kammarrätt flyttats till en ny paragraf, 53 §.

Prop. 1997/98:44: Frågan om överklagande har behandlats i avsnitt 13. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.14.2 i kommitténs betänkande.

Kravet på prövningstillstånd i andra stycket avser överklagande av länsrättens beslut enligt såväl första stycket som 47 §.

  • RÅ 2010:29:Datainspektionens beslut att inte vidta någon åtgärd med anledning av ett klagomål har inte ansetts vara ett överklagbart beslut.

52 §  En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol.

[S2]Första stycket gäller inte för beslut av riksdagen, regeringen eller riksdagens ombudsmän. Lag (2006:398).

Prop. 2005/06:173: Paragrafen, som är ny och som har utformats i enlighet med Lagrådets förslag, har behandlats i avsnitt 9.3 och innebär att sådana beslut enligt personuppgiftslagen som fattats av myndighet och som direkt berör den enskilde skall kunna överklagas till allmän förvaltningsdomstol. Av den nya 53 § framgår att prövningstillstånd krävs vid överklagande till kammarrätt. ...

  • HFD 2014:55:Ett beslut att inte lämna ut information enligt 26 § personuppgiftslagen på grund av sekretess överklagas i den ordning som anvisas i offentlighets- och sekretesslagen.

53 §  Andra beslut enligt denna lag än sådana som avses i 47, 51 och 52 §§ får inte överklagas.

[S2]Prövningstillstånd krävs vid överklagande till kammarrätten. Lag (2006:398).

Prop. 2005/06:173: Paragrafen, som är ny, har införts på inrådan av Lagrådet. För att det inte skall råda någon tvekan om att inte bara beslut enligt 51 och 52 §§, utan också länsrätts beslut enligt 47 §, kan överklagas har dock regeringen valt en annan formulering av paragrafen än den av Lagrådet föreslagna. Kravet på prövningstillstånd i andra stycket gäller för beslut som avses i såväl 47 § som 51 och 52 §§.

Ändringar och övergångsbestämmelser

Personuppgiftslag (1998:204)

    Övergångsbestämmelse

    1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 24 oktober 1998.
    2. I fråga om behandling av personuppgifter som påbörjats före ikraftträdandet eller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjats före ikraftträdandet skall till och med den 30 september 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.
    3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före ikraftträdandet eller manuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före ikraftträdandet.
    4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.
    5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har trätt i kraft för den aktuella behandlingen.
    6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för den aktuella behandlingen skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.
    7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in innan den nya lagen trätt i kraft för den aktuella behandlingen men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen.
    8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter det att den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall tillämpas de äldre bestämmelserna.
    Förarbeten
    Rskr. 1997/98:180, Prop. 1997/98:44, Bet. 1997/98:KU18
    CELEX-nr
    395L0046
    Ikraftträder
    1998-10-24

Lag (1998:1436) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 1998/99:1, Prop. 1997/98:44, Bet. 1998/99:KU3
Omfattning
ändr. 20, 21, 35, 41, 50 §§
CELEX-nr
395L0046
Ikraftträder
1999-01-01

Lag (1999:1059) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 1999/2000:66, Prop. 1999/2000:6, Bet. 1999/2000:SkU7
Omfattning
ändr. 22 §
Ikraftträder
2000-01-01

Lag (1999:1210) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 1999/2000:51, Prop. 1999/2000:11, Bet. 1999/2000:KU7
Omfattning
ändr. 33, 49 §§
Ikraftträder
2000-01-01

Lag (2003:466) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 2002/03:213, Prop. 2002/03:50, Bet. 2002/03:UbU18
Omfattning
ändr. 19 §
Ikraftträder
2004-01-01

Lag (2006:398) om ändring i personuppgiftslagen (1998:204)

Övergångsbestämmelse

Denna lag träder i kraft den 1 januari 2007. Föreskrifterna i 52 § skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
Förarbeten
Rskr. 2005/06:254, Prop. 2005/06:173, Bet. 2005/06:KU37
Omfattning
ändr. 7, 49, 51 §§; nya 5 a, 8 a, 52, 53 §§, rubr. närmast före 5 a, 8 a §§
Ikraftträder
2007-01-01

Lag (2008:187) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 2007/08:159, Prop. 2007/08:44, Bet. 2007/08:UbU12
Omfattning
ändr. 21 §
Ikraftträder
2008-06-01

Lag (2009:468) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 2008/09:237, Prop. 2008/09:150, Bet. 2008/09:KU24
Omfattning
ändr. 27, 42 §§
Ikraftträder
2009-06-30

Lag (2009:827) om ändring i personuppgiftslagen (1998:204)

Förarbeten
Rskr. 2008/09:290, Prop. 2008/09:165, Bet. 2008/09:JuU23
Omfattning
ändr. 47 §
Ikraftträder
2010-02-15

Lag (2010:1969) om ändring i personuppgiftslagen (1998:204)

Övergångsbestämmelse

  1. Denna lag träder i kraft den 1 april 2011.
  2. Äldre bestämmelser gäller om ett beslut om delgivning enligt 1517 §§delgivningslagen (1970:428) har fattats före den 1 april 2011 eller om en handling har skickats eller lämnats före denna tidpunkt.
Förarbeten
Rskr. 2010/11:30, Prop. 2009/10:237, Bet. 2010/11:JuU2
Omfattning
ändr. 46 §
Ikraftträder
2011-04-01

Ändring, SFS 2018:218

Omfattning
upph.