Personuppgiftslagen/sekretess

PuL – Personuppgiftslagen – kort orientering

Personuppgiftslagen (PuL), trädde i kraft 24 oktober 1998. PuL ersätter datalagen.
I stadens verksamhet är det nödvändigt att behandla personuppgifter för olika ändamål.
PuL hindrar inte detta. Alla personuppgifter, som behövs för att kunna handlägga
ärenden inom ett verksamhetsområde, är det också tillåtet att behandla. I praktiken är
det därför tillåtet att i ganska stor utsträckning behandla personuppgifter. Men eftersom
PuL sätter gränser för när personuppgifter får behandlas blir intrycket lätt att
personuppgifter knappast alls får behandlas. PuL har emellertid inte medfört någon
nämnvärd förändring när det gäller hanteringen av personuppgifter i staden. Vid
förändringar i verksamheten eller vid en utökning av behandlingen av personuppgifter
bör man dock vara uppmärksam på lagens begränsningar. I det följande lämnas en
kortfattad information om lagens innehåll.

Syfte
Syftet med PuL är att skydda människor mot att deras personliga integritet kränks när
personuppgifter behandlas.
 

Tillämpning
PuL gäller all behandling av personuppgifter som sker automatiskt, dvs. med hjälp av
datorer eller någon annan form av IT-teknik. PuL gäller även för manuell behandling i
vissa fall, till exempel när de manuellt behandlade personuppgifterna ingår i ett register.
 

Personuppgifter
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en
fysisk person som är i livet. För att avgöra om en person är identifierbar räcker det alltså
med att informationen indirekt kan hänföras till en individ. Exempel på personuppgifter som går att hänföra till en fysisk person är namn, personnummer, bild och ljuduppgifter om personer, adresser, telefonnummer, bilnummer, fastighetsbeteckningar etc.

 

Behandling av personuppgifter
Med behandling menas allt man gör med personuppgifter, vare sig det sker genom
databehandling eller inte, till exempel insamling, registrering, lagring, bearbetning,
utlämnande, spridning, sammanställning, samkörning, förstöring etc. Så fort man
skriver om en person - behandlar personuppgifter - i löpande text eller i ett register
gäller PuL. En behandling av personuppgifter måste vara tillåten enligt PuL. Det innebär att den
person, som uppgifterna avser, antingen har lämnat sitt samtycke till behandlingen eller
att behandlingen uppfyller något annat villkor i lagen.

 

Harmlösa personuppgifter
Harmlösa personuppgifter kan som regel behandlas. Harmlösa uppgifter kan till
exempel vara beslut om tjänstetillsättningar, stipendier eller andra positiva uppgifter.
Vissa arbetsrelaterade uppgifter som namn, befattning, telefonnummer och e-postadress
till arbetet kan, med vissa undantag till exempel inom socialtjänsten, även betraktas som
harmlösa. Samtycke bör dock inhämtas när det gäller fotografier.
 

Tillåten behandling
Huvudregeln för att få behandla personuppgifter är, enligt 10 §, samtycke men i många
fall får personuppgifter behandlas utan att den personuppgiftsansvarige inhämtar
samtycke. Samtycke krävs inte om behandlingen är nödvändig för att den
personuppgiftsansvarige ska kunna:
· träffa eller fullgöra ett avtal med den registrerade,
· fullgöra en rättslig skyldighet,
· skydda vitala intressen för den registrerade,
· utföra en arbetsuppgift av allmänt intresse,
· utföra en arbetsuppgift i samband med myndighetsutövning,
· tillgodose ett berättigat intresse, om detta intresse väger tyngre än den registrerades
  intresse av skydd mot kränkning av den personliga integriteten.
 

Inom Stockholms stad är varje nämnd/styrelse personuppgiftsansvarig.
 

När personuppgifter får behandlas – grundläggande krav
För att en behandling ska vara tillåten krävs inte bara att behandlingen av
personuppgifter kan hänföras till något av de fall som anges i 10 §. Behandlingen måste
också utföras i enlighet med de grundläggande kraven, som framgår av 9 §, nämligen:
· personuppgifter får behandlas bara om det är lagligt,
· personuppgifter ska alltid behandlas på ett korrekt sätt och i enlighet med god sed,
· personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade
  ändamål,
· personuppgifter får inte behandlas för något annat ändamål än det som uppgifterna
  samlades in för,
· personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till
  ändamålen med behandlingen,
· fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till
  ändamålen med behandlingen,
· personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, aktuella,
· alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana
  personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med
  behandlingen, och
· personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med
  hänsyn till ändamålen med behandlingen.
Ändamålen för vilka personuppgifterna samlas in ska vara ”särskilda, uttryckligt
angivna och berättigade”. Ändamål ska alltså anges för varje verksamhetsområde där
personuppgifter krävs. Vad som kan anses vara berättigat får avgöras utifrån den
berörda verksamheten. Är det till exempel fråga om bygglov krävs vissa
personuppgifter, för bevakning av skolplikten krävs vissa personuppgifter, för
löneutbetalningar krävs vissa personuppgifter etc.
 

Känsliga personuppgifter
Uppgifter som avslöjar hälsa eller sexualliv, ras eller etniskt ursprung, religiösa,
filosofiska eller politiska åsikter, medlemskap i fackförening är enligt PuL 13 § känsliga
personuppgifter. Behandling av känsliga personuppgifter är inte tillåten. Det finns dock
vissa undantag, som framgår av efterföljande paragrafer.
 

Personnummer
Utan samtycke får personnummer eller samordningsnummer behandlas bara när det är
klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker
identifiering eller något annat beaktansvärt skäl.
 

Information till den registrerade
PuL föreskriver att den registrerade ska informeras när uppgifter om denne behandlas.
Information ska lämnas av berörd förvaltning i samband med behandlingen.
Den enskilde har också rätt att en gång per år kostnadsfritt få besked om några
personuppgifter behandlas eller inte. Ansökan, som ska vara skriftlig och egenhändigt
undertecknad, skickas till respektive nämnd eller styrelse.
 

Intranätet och Internet
Det finns särskilda bestämmelser om vad som får läggas ut på internet. Harmlösa
uppgifter samt uppgifter om förtroendevalda kan som regel läggas ut. En uppgift som är
offentlig kan inte alltid läggas ut. I huvudsak gäller samma regler för stadens intranät som för internet.
 

Personuppgiftsombud
Nämnden eller styrelsen kan utse ett eller flera personuppgiftsombud. PuL-ombud ska
självständigt se till att personuppgifter behandlas på ett lagligt och korrekt sätt och i
enlighet med god sed. PuL-ombud ska föra en förteckning över de behandlingar som
nämnden eller styrelsen genomför.
 

Lagstiftning
Personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) gäller för
all verksamhet. Om det finns avvikande bestämmelser i annan lag eller förordning gäller
dock de bestämmelserna. För socialtjänsten finns lagen om behandling av
personuppgifter inom socialtjänsten (2001:454) och förordningen om behandling av
personuppgifter inom socialtjänsten (2001:637). Författningarna kan hämtas på
www.riksdagen.se.

Dela: