SFS/1998:204

Hoppa till: navigering, sök

Huvudförfattare: Staffan Malmgren

Personuppgiftslagen (PUL) reglerar hur juridiska och fysiska personer (myndigheter, företag, enskilda, m.fl.) får hantera personuppgifter och tar framförallt sikte på databehandling.

Det finns fyra huvudsakliga frågor man måste undersöka:

  1. Om PUL är tillämplig (2-8 §§)
  2. om behandlingen är tillåten (9-22 §§)
  3. om den är anmälningspliktig (36-37 §§)
  4. vilka krav som ställs på behandlingen när den är igång (9, 23-35 och 42 §§).

Lagen bygger på dataskyddsdirektivet (46/95/EG) och har tillkommit i syfte att skydda den personliga integriteten.

PUL kompletteras av personuppgiftsförordningen (PUF) och datainspektionens föreskrifter (DIFS). Härutöver gäller även ett stort antal registerförfattningar, exempelvis domstolsdataförordningen (2015:729). Även europakonventionens artikel 8 (rätt till privatliv) reglerar den personliga integriteten.

PUL kommer i framtiden ersättas av EUs dataskyddsförordning (EU) 2016/679, som antogs i april 2016 och som kommer börja tillämpas från och med den 25 maj 2018.

1 §

I 2 kap 3 § 2 st. regeringsformen stadgas att det ska finnas lagstöd för den personliga integriteten. Det är denna lag som avses.

2 §

Lagen är alltså subsidiär. Ett exempel på en lag som delvis gäller framför PUL är lagen (2001:99) om den offentliga statistiken. Även tryckfrihetsförordningen har företräde framför PUL, dels på grund av denna paragraf och 7-8 §§, men framförallt pga principen om lex superior.

3 §

Eftersom både "behandling" och "personuppgift" har en vid definition faller i stort sett all elektronisk informationshantering in under lagens tillämpningsområde, om den innehåller information om en nu levande människa (avlidna personer skyddas inte av PUL). Detta inkluderar även digitalfotografering, digital ljudinspelning och omnämnande i löpande text. Regleringen för sådana s.k. ostrukturerade personuppgifter är dock enklare än för personuppgifter som ingår i ett strukturerat register. De förra hanteras enligt missbruksmodellen, de senare enligt hanteringsmodellen.

Uppgifter om ett hushåll (istället för en enskild person), dvs uppgift som hänförs till en väldigt snäv krets, anses i praxis utgöra personuppgifter.

Datainspektionen är tillsynsmyndighet.

Se kommentaren till 30 § angående relationen mellan personuppgiftsansvarig och personuppgiftsbiträde.

4 §

Lagen tar i första hand sikte på den personuppgiftsansvariges placering, inte var exempelvis databasservern fysiskt är placerad. En person bosatt i Sverige kan alltså inte undgå att behöva följa PUL genom att använda en dator i utlandet. Däremot kan det vara otillåtet att överföra information till en sådan dator om den står i ett land som saknar lagstiftning i stil med PUL - se 33 §.

5 §

PUL är i första hand skriven för datoriserad personuppgiftsbehandling, men kan även bli tillämplig vid manuell pappersbaserad uppgiftsbehandling. För detta krävs dock att uppgifterna är ordnade så att man kan söka och sammanställa uppgifter på ett effektivare sätt än att manuellt läsa igenom hela information från början till slut och att sådan sökning eller sammanställning kan ske på minst två kriterier till exempel via separata index och register enligt RÅ 2001 ref. 35 (KTH).

5 a §

Om personuppgifterna finns i ostrukturerat material, exv. löpande text, behöver större delen av PUL (den s.k. hanteringsmodellen) inte tillämpas. Istället används den enklare s.k. missbruksmodellen som beskrivs i andra stycket, och som bara innehåller en regel - personuppgiftshanteringen får inte kränka den personliga integriteten för den/de personer som uppgifterna gäller.

De delar av PUL som inte ska användas med missbruksmodellen handlar om grundläggande regler för hur behandlingen ska gå till (9 §), när behandlingen över huvud taget är tillåten (10 §), begreppet "känsliga personuppgifter" (13-19 §§), personuppgifter om lagöverträdelser (21 §), personnummer (22 §), krav om att informera den registrerade (23-26 §§), rättelse av personuppgifter (28 §), överföring till tredje land (33-34 §§ -- se dock nästa stycke) samt information till allmänheten (42 §).

Det är enligt 49 § straffbart att behandla känsliga uppgifter (13 §) eller uppgifter om lagöverträdelser (21 §), eller att föra över sådana uppgifter till tredje land i strid med 33 §, om detta innebär en kränkning enligt andra stycket.

6 §

"Rent privat bruk" ska tolkas relativt snävt. I RH 2004:51 (Konfirmandlärarmålet) slogs fast att publicering av personuppgifter på en allmänt tillgänglig webbsida inte kunde anses vara privat bruk, även om det görs av en privatperson på fritiden.

7 §

Att PUL inte ska tillämpas i strid mot TF/YGL följer även av principen om lex superior samt exklusivitetsprincipen.

Undantaget för journalistisk verksamhet i andra stycket har i praxis tolkats brett och omfattar de flesta opinionsbildande yttranden på nätet, se NJA 2001 s. 409 (Ramsbromålet) och Daniel Westmans analys. När detta undantag är tillämpligt ska endast säkerhetsbestämmelserna (framförallt 30-32 §§) tillämpas.

8 §

Även om PUL inte direkt hindrar en myndighet från att lämna ut allmäna handlingar, så kan handlingarna beläggas med sekretess enligt OSL 21:7, vilket hindrar utlämnande om det kan antas att detta skulle medföra personuppgiftsbehandling i strid med PUL. I RÅ 2001 ref. 35 ville KTH inte lämna ut studenters betygshandlingar, då de befarade att mottagaren skulle behandlas dessa i strid med PUL (RegR fann dock att det inte fanns anledning att anta detta).

8 a §

Detta bemyndigande för regeringen att föreskriva undantag från delar av PUL sker med stöd av artikel 13 i dataskyddsdirektivet. Det infördes samtidigt som regleringen av ostrukturerade personuppgifter (missbruksmodellen), men har inget direkt samband med denna. Inga undantag har dock veterligen föreskrivits med stöd av denna paragraf.

9 §

Dessa är de grundläggande krav som enligt hanteringsmodellen ska vara uppfyllda för att personuppgiftsbehandling överhuvudtaget ska få ske. De flesta kraven kretsar kring ändamålen för behandlingen

a) Kravet på att behandlingen ska vara laglig kan synas lite överflödigt, men är hämtat från dataskyddsdirektivet artikel 6.

b) "God sed" kommer framförallt i uttryck genom branschöverenskommelser, exv Swedmas branschregler. Att följa dessa ger även undantag från anmälningsplikten.

c) I "särskilda" ligger ett krav på att ändamålen ska vara någorlunda preciserade, ett allt för allmänt hållet ändamål (exv "på förekommen anledning") godkänns inte.

d) Denna punkt uttrycker den s.k. finalitetsprincipen. Se också andra stycket i denna paragraf samt 25 § (om informationsplikt)

e), f) och i) Dessa punkter understryker kravet på att ändamålen är preciserade.

g) och h) Det finns också ett ansvar att rätta felaktiga uppgifter enligt 28 §

Med "historiska ändamål" avses i första hand arkivering (SOU 1997:39 avsnitt 12.4.6.2). Undantagen för forskning och statistik ska läsas i ljuset av de särskilda undantagen för känsliga uppgifter i 19 § och de krav på etikprövning och sekretess som finns på dessa områden.

10 §

Den personuppgiftsansvarige bör börja med att undersöka om uppgifterna i fråga är "vanliga" (10-12 §§), känsliga (13-20 §§), alternativt rör brott (21 §) eller personnummer (22 §) för att sedan undersöka om den tänkta behandlingen är tillåten enligt huvudregeln om samtycke eller något av undantagen. Kraven i 10 § gäller samtliga sorters uppgifter. Huvudregeln enligt hanteringsmodellen är att all behandling som inte uttryckligen är tillåten är förbjuden.

"Vanliga" (icke-känsliga) personuppgifter får alltid behandlas om man har den registrerades samtycke (för vilket det inte finns särskilt stränga formkrav, en kryssruta på ett webbformulär eller tillochmed konkludent handlande kan räcka -- men samtycket kan återkallas (12 §). Se även Datainspektionens information om samtycke. Notera att samtycket måste täcka varje enskild behandling - har man fått samtycke till bara insamling kan detta inte rättfärdiga annan behandling, exv spridning, enligt finalitetsprincipen (se även 9 § d).

Har man inte samtycke kan behandlingen ändå vara tillåten om någon av tillåtlighetsgrunderna i a-f är uppfyllda. Uppräkningen är uttömande (se även SOU 1997:39 avsnitt 12.5.1).

a) För att ett avtal ska kunna utgöra en tillåtlighetsgrund ska det vara slutet med just den registrerade - inte med exempelvis dennes arbetsgivare.

b) Med rättslig skyldighet menas i första hand en lagstadgad plikt för ett företag (eller annat privaträttsligt subjekt) att göra något - exempelvis har en arbetsgivare vid uppsägning på grund av arbetsbrist en skyldighet att upprätta turordningslistor över sina anställda (för myndigheters förpliktelser, se punkt e)

c) Det är osäkert hur brett "vitala intressen" ska tolkas, men det gäller i vart fall sådant som avgörande betydelse för den registrerades liv (se SOU 1997:39 avsnitt 3.5.5 och dataskyddsdirektivets preambelpunkt 31).

d) Exempel på arbetsuppgifter av allmänt intresse är arkivering, forskning och framställning av statistik.

e) Med myndighetsutövning menas här sådana uppgifter som en myndighet enligt lag ska utföra och som har rättsliga effekter för den enskilde. Exempelvis får en domstol registrera uppgifter om parter i ett tviste- eller brottmål.

f) Denna intresseavvägning används ofta i praktiken då intrånget i den personliga integriteten är litet eller obefintligt, och det är opraktiskt att inhämta samtycke i förhand. Både en ideell förenings allmännyttiga verksamhet såväl som ett privat företags vinstintresse kan utgöra ett "berättigat intresse".

11 §

En sådan anmälan från den enskilde kan ske genom e-post. Direktmarknadsföraren får inte ta ut någon avgift av den enskilde i samband med en sådan anmälan. Se även 19 och 20 §§ marknadsföringslagen (2008:486) om när direktmarknadsföring till enskild får och inte får ske.

12 §

Det finns inget särskilt formkrav för hur ett återkallande av samtycke ska ske, utan det kan ske muntligen till den personuppgiftsansvarige (eller någon som företräder denne). Det är dock den som gör återkallandet som har bevisbördan för att det faktiskt skett.

Ett återkallande spelar ingen roll om själva behandlingen sker med stöd av en annan tillåtlighetsgrund än just den registrerades samtycke (dvs någon av grunderna i listan i 10 §).

13 §

Huvudregeln för känsliga uppgifter är att de inte får hanteras alls, men i efterföljande paragrafer (14-20 §§) finns ett antal undantag från detta förbud. Att behandla personuppgifter i strid med förbudet är straffbelagt, se 49 §.

Ett fotografi på en person räknas normalt inte som uppgift om ras/etniskt ursprung eller hälsa.

En uppgift om att en person inte har någon religös övertygelse räknas som känslig.

Även relativt harmlösa uppgifter om hälsa (som att en person skadat foten och är deltidssjukskriven) räknas som känsliga uppgifter.

Uppgifter om kön eller civilstånd räknas inte som uppgift om sexualliv, däremot kan uppgifter om könsbyte räknas.

14 §

Denna paragraf tillför inget materiellt, utan upplyser bara om lagens systematik kring känsliga uppgifter.

15 §

Precis som för "vanliga" personuppgifter så är samtycke en tillåtlighetsgrund. Dock ställs högre krav på hur detta samtycke kommer till uttryck ("[...] lämnat sitt uttryckliga samtycke") - underförstått eller konkludent samtycke räcker inte.

Utöver detta får man även behandla sådana uppgifter som den registrerade själv offentliggjort på ett tydligt sätt, exempelvis när en person "talat ut" om sin hälsa eller sexliv i massmedier, eller när en person ställer upp i ett val för ett visst parti.

16 §

a) "arbetsrätten" ska här tolkas ganska brett. Det kan vara fråga om rättigheter/skyldigheter som är lagstadgade, men också sådana som följer av kollektivavtal eller individuella avtal. Exempelvis kan en arbetsgivare behandla uppgifter om de anställdas fackföreningsmedlemsskap, om arbetsgivaren genom kollektivavtal åtagit sig att göra avdrag på lön för fackföreningsavgift, dvs. en skyldighet som följer av avtal (inte lag).

b) "Vitala intressen" ska tolkas på samma sätt som i 10 § c.

c) Skattemyndigheten måste behandla uppgifter om medlemsskap i svenska kyrkan för att kunna ta ut kyrkoskatt. Detta skatteanspråk är ett exempel på ett rättsligt anspråk.

17 §

Det finns inget uttryckligt krav på att personuppgifterna ska ha någon anknytning till organisationens syfte, men de grundläggande kraven i 9 § sätter stopp för behandling av helt ovidkommande uppgifter.

Rätten att behandla uppgifter om en viss person enligt denna paragraf upphör när personen slutar vara medlem.

Organisationens syfte måste vara politiskt, filosofiskt, religiöst eller fackligt, men dessa begrepp ska tolkas ganska brett. Exempelvis kan alla organisationer som på något vis vill påverka samhället ses som politiska enligt denna paragraf.

18 §

Undantaget täcker såväl den vanliga verksamheten, såväl som tillsynsverksamhet inom hälso- och sjukvårdsområdet. Bestämmelser om tystnadsplikt i hälso- och sjukvården finns bland annat i 21 kap. offentlighets- och sekretesslagen (2009:400) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

19 §

Definitionen av forskning finns i 2 § lagen (2003:460) om etikprövning av forskning som avser människor. Se även Etikprövningsnämndens praxis och datainspektionens broschyr "Personuppgifter i forskningen – vilka regler gäller?".

20 §

Datainspektionen har inte medelat några generella föreskrifter om undantag från 13 §.

21 §

Att behandla personuppgifter i strid med detta förbud är straffbelagt, se 49 §.

Datainspektionen har meddelat en föreskrift om undantag från denna paragraf (DIFS 1998:3), samt medgett undantag i enskilda fall, exv för Antipiratbyrån och IFPI. Det finns även ett stort antal undantag i annan lagstiftning, framförallt i de immaterialrättsliga lagarna (exv 53 g § upphovsrättslagen) och registerförfattningar (jfr 2 § om personuppgiftslagens subsidiaritet.

22 §

Huvudregeln är att personnummer får behandlas om den registrerade frivilligt samtycker till detta. Det ställs dock höga krav på denna frivillighet i datainspektionens praxis: En potentiell kund har inte kunnat anses ge samtycke eftersom denne befunnit sig i en beroendeställning mot ett företag som har en monopolställning (Dnr 246-2007). Små barn har inte ansetts kunna ge giltigt samtycke över huvud taget (samrådsyttrande december 2002).

Det finns sparsamt med praxis kring vad som gör ett ändamål "klart motiverat" om samtycke saknas eller inte har inhämtats, men för att använda det som användaridentitet i datorsystem tordes kräva att det finns särskilda säkerhetskrav på systemet (samrådsyttrande mars 2004).

23 §

Se även 25 § om vilken information som ska lämnas, och 27 § om undantag från informationsskyldigheten. I kravet på att uppgifterna ska lämnas självmant ligger att den registrerade inte ska behöva be om att få informationen.

Om insamlingen sker löpande (exempelvis ett kontokortsföretags insamlande av en kunds transaktioner) behöver information inte lämnas vid varje enskilt insamlingstillfälle, så länge som den registrerade blivit informerad om att och hur detta kommer ske, och detta skett senast vid den första insamlingen.

Om man till den registrerade meddelar osanna uppgifter enligt 23-26 §§ är detta grund för straffansvar, se 49 §

24 §

När man samlar in uppgifter från någon annan part än den registrerade kan det vara svårare att nå denne med information. Principiellt gäller dock samma regel som i 23 § om att information ska lämnas självmant, men det finns några undantag.

För att undantaget i andra stycket ska vara tillämpligt krävs att bestämmelserna är specifika. Vem som helst kan begära ut personuppgifter från myndigheter med stöd av offentlighetsprincipen, som alltså innehåller bestämmelser om utlämnande av (bl.a.) personuppgifter. Offentlighetsprincipen är dock för generell för att insamlaren ska kunna tillämpa detta undantag.

Vad gäller undantaget i tredje stycket finns i dataskyddsdirektivets ingress (i punkt 40) en riktlinje för bedömning av vad som utgör en oproportionerligt stor arbetsinsats när det gäller behandling för historiska, statistiska eller vetenskapliga ändamål; "[...] antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas [kan] tas i beaktande"

25 §

Med identitet avses här namn och address till den fysiska eller juridiska person som är personuppgiftsansvarig. Information om ändamålet med behandlingen är viktig för att upprätthålla finalitetsprincipen, och det krävs att ändamålet är preciserat.

Det finns inget krav på att informationen ska lämnas skriftligen, men det är den personuppgiftsansvarige som har bevisbördan för att visa att informationen har lämnats.

Undantaget i andra stycket leder i praktiken till att informationsplikten inte behöver bli alltför betungande för den personuppgiftsansvarige.

26 §

Det här är ett exempel på en insynsrätt, dvs en rätt för den enskilde att på begäran få insyn i myndigheters (och företags) information, i det här fallet information om den enskilde. Andra exempel på insynsrätter är offentlighetsprincipen och partsinsyn (som i första hand gäller mot myndigheter).

Eftersom begäran ska vara skriftlig och undertecknad räcker det inte med att skicka ett epostmeddelande, utan det måste vara ett fysiskt brev (den personuppgiftsansvarige kan förstås välja att godta även en begäran via epost, men det finns ingen skyldighet att göra detta).

Den enskilde kan även begära att uppgifter ska rättas, om de visar sig vara felaktiga (se 28 §)


27 §

Ett exempel på en sådan föreskrift finns i OSL 25:6 (om uppgifter om hälsotillstånd för en vård- eller behandlingsbehövande).

28 §

Genom att 9 § g kräver att personuppgifter ska vara riktiga så är behandling av felaktiga uppgifter i strid med lagen, och den registrerade kan med stöd av denna paragraf begära att uppgifterna ska rättas. Den personuppgiftsansvarige får dock bestämma vilken åtgärd (rättning, utplåning eller blockering) som ska vidtas.

För att uppgifterna ska anses utplånade ska de inte gå att återskapa. Se 3 § för en definition av "blockering".

29 §

Denna bestämmelse är till skillnad från resten av lagen väldigt specifikt inriktad på en typ av behandling, nämligen automatiskt fattade beslut. Den är tillämplig både på myndigheter och företag. Tanken är att den enskilde ska ha rätt att få sådana beslut manuellt omprövade (jfr 27 § förvaltningslagen för beslut som fattas av myndigheter).

Andra stycket ställer ganska långtgående krav på att den personuppgiftsansvarige kan redogöra för den inre logik i datorsystemet som lett till det automatiska beslutet.

30 §

Den fysiska person som är anställd hos ett företag, och som en del av sina arbetsuppgifter utför personuppgiftsbehandling, anses inte som personuppgiftsbiträde utan bara som medhjälpare under den personuppgiftsansvariges (arbetsgivarens) direkta ansvar. Ett personuppgiftsbiträde måste arbetsrättsligt vara självständig, exempelvis en underleverantör (dock kan både personuppgiftsbiträdet och även den personuppgiftsansvarige vara fysiska personer, bestämmelserna är inte enbart tillämpliga på juridiska personer. Om underleverantören självständigt bestämmer hur behandlingen ska gå till kan denne dock betraktas som personuppgiftsansvarig tillsammans med sin uppdragsgivare.

I kravet på att avtalet ska vara skriftligt ligger inte något krav på att det är fäst på papper, underskrivet eller liknande (jfr 26 §), utan även exv ett epostmeddelande kan betraktas som skriftligt avtal.

31 §

Datainspektionen har i sina allmänna råd "Säkerhet för personuppgifter" gett riktlinjer för hur säker personuppgiftsbehandling ska ske. Ju känsligare personuppgifterna är, desto högre ställs säkerhetskraven. Utöver bestämmelserna i personuppgiftslagen kan även sekretessregler i offentlighets- och sekretesslagen inverka på hur känsliga upppgifterna ska anses vara.

Säkerhetskraven omfattar inte bara att det ska vara svårt för en obehörig att komma åt lagrade personuppgifter, de kan även kräva att man, när man skickar personuppgifter via e-post, är säker på att man kommunicerar med rätt person och att informationen i meddelandet är krypterad (jfr Dnr 685-2008, Dnr 473-2008)

33 §

"Tredje land" omfattar bara länder utanför EU/EES (jfr 3 §). EU-kommissionen analyserar lagstiftningen i olika länder för att avgöra om denna motsvarar kraven på "adekvat skyddsnivå" och gör rapporterna tillgängliga. USA anses inte generellt ha en adekvat skyddsnivå. Tidigare ansågs det tillåtet att överföra uppgifter till ett USA-baserat företag om detta företag tecknat ett s.k. "Safe harbour"-avtal, men EU-domstolen ogiltigförklade detta i mål C-362/14 (Schrems).

Att publicera en webbsida med personuppgifter leder normalt till att personuppgifterna kan läsas från hela världen, inklusive tredje land. Det ses dock inte som en överföring enligt denna paragraf (såvida inte själva webbservern fysiskt är placerad i tredje land) enligt EG-domstolens förhandsbesked C-101/01 (i målet RH 2004:51).

Att föra över uppgifter till tredje land i strid med 33-35 §§ är straffbelagt, se 49 §.

36 §

En anmälan kan göras via Datainspektionens blankett. Det går i dagsläget inte att skicka in anmälan elektroniskt. Närmare bestämmelser finns i DIFS 1998:2 i lydelse enligt DIFS 2001:1.

Datainspektionen gör i normalfallet inte någon rättslig prövning av om den anmälda personuppgiftsbehandlingen är tillåten (se dock 41 § om förhandsprövning av särskilt integritetskänsliga behandlingar). Den personuppgiftsansvarige kan alltså inte förlita sig på att datainspektionen inte lämnat några anmärkningar, utan är alltid ansvarig för att behandlingen är laglig.

Det finns i PUF och DIFS ett antal undantag från anmälningsplikten för

  • Behandling som sker på grund av skyldighet i lag, exv myndigheters skyldighet att lämna ut handlingar eller arkivera handlingar (3 § personuppgiftsförordningen (1998:1191)).
  • Behandling av personuppgifter i löpande text eller ostrukturerat material (4 § personuppgiftsförordningen).
  • Vissa organisationers behandling av sådana känsliga uppgifter om sina medlemmar som har samband med organisationens verksamhet (5 § personuppgiftsförordningen).
  • Behandling som sker med den registrerades samtycke (4 § DIFS 1998:2 i lydelse enligt DIFS 2001:1).
  • Ett antal vanligt förekommande och (sakligt motiverade) typer av behandlingar, exv register över anställda eller kunder (5 § DIFS 1998:2 i lydelse enligt DIFS 2001:1).

En anmälan om att ett personombud har utsetts kan också göras via en blankett från datainspektionen.

Om man i en anmälan anger osanna uppgifter är detta grund för straffansvar, se 49 §

37 §

För en organisation som utför fler än ett fåtal olika sorters personuppgiftsbehandlingar kan det alltså vara mycket praktiskt att utse ett personuppgiftsombud. Till skillnad från personuppgiftsansvarig måste ett personuppgiftsombud alltid vara en fysisk person. Ombudet kan vara anställt hos den personuppgiftsansvarige, men måste ha en tillräckligt självständig position för att kunna utföra sitt uppdrag. Uppdraget kan jämföras med ett revisorsuppdrag.

Notera att enligt 41 § så måste vissa särskilt integritetskänsliga behandlingar alltid förhandsanmälas, även om det finns ett personuppgiftsombud.

41 §

En lista på sådana särskilt integritetskänsliga behandlingar finns i 1 § DIFS 1998:2 i lydelse enligt DIFS 2001:1. Datainspektionen har även en informationssida med anmälningsblanketter.

Till skillnad från vanlig anmälan enligt 36 § så gör i dessa fall datainspektionen en prövning av om behandlingen är laglig.

48 §

Denna bestämmelse om skadeståndsskyldighet gäller framför de generella i skadeståndslagen (se 1 kap. 1 § denna lag), men eftersom den inte reglerar samtliga skadeståndsrättsliga frågor måste den läsas tillsammans med skadeståndslagen (se exv 5 kap. skadeståndslagen om hur skadeståndet beräknas). En kränkning genom felaktig personuppgiftsbehandling kan bedömas både enligt denna paragraf och enligt 2 kap. 3 § skadeståndslagen.

Det är bara den personuppgiftsansvarige, inte -biträden eller -ombud, som kan bli skadeståndsansvariga.

Det finns relativt mycket praxis från JK i skadeståndsärenden för statens felaktiga personuppgiftsbehandling, exv beslut 2002-10-15 (förväxling av avliden) och beslut 2003-09-11 (oriktig uppgift i belastningsregistret).

49 §

Till skillnad från skadeståndsansvar kan straff bara utdömas till en fysisk person. Det är den person som faktiskt utfört handlingen (eller, vad gäller punkt d, underlåtit att anmäla behandlingen) som döms till ansvar, inte den personuppgiftsansvarige (såvida dessa inte är en och samma person).

Ringa överträdelser är framförallt sådana som orsakar mindre skada eller som inte skett uppsåtligen. Om den personuppgiftsansvarige uppmärksammats på den felaktiga behandlingen, men fortsatt med den, bör handlingen inte betraktas som ringa (jfr NJA 2005 s. 361, och, till det motsatta, RH 2004:51).