Innehåll

Lagar & Förordningar

Lagar & Förordningar är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO - gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.
SFS1998-0204

Personuppgiftslag (1998:204)

Personuppgiftslagen

Denna lag upphör enl. Lag (2018:218) att gälla den 25 maj 2018.

Angående övergångsbestämmelser, se Lag (2018:218)

Utfärdad den 29 april 1998.
Utkom från trycket den 19 maj 1998

Allmänna bestämmelser

Syftet med lagen

Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Avvikande bestämmelser i annan författning

Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla.

Definitioner

I denna lag används följande beteckningar med nedan angiven betydelse.

Beteckning

Betydelse

Behandling (av personuppgifter)

 

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

 

Blockering (av personuppgifter)

 

En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

 

Mottagare

 

Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

 

Personuppgifter

 

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

 

Personuppgiftsansvarig

 

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

 

Personuppgiftsbiträde

 

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

 

Personuppgiftsombud

 

Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

 

Den registrerade

 

Den som en personuppgift avser.

 

Samtycke

 

Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

 

Tillsynsmyndigheten

 

Den myndighet som regeringen utser för att utöva tillsyn.

 

Tredje land

 

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

 

Tredje man

 

Någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.

 
Hänvisad författning:

Ang. personuppgiftsombud se 38–40 §§ – Datainspektionen är tillsynsmyndighet enl. Personuppgiftsförordning (1998:1191)2 §, inf. efter denna lag.

Rättsfall:

Försäkringskassa ansågs personuppgiftsansvarig vid tillhandahållande av elektroniska självbetjäningstjänster för behandling som skett innan uppgifterna varit tillgängliga för kassan HFD 2012:21.

Personuppgifter Skriftliga svar som en examinand lämnat på ett prov samt examinators anteckningar C‑434/16 Nowak. Ang. tillsynsmyndighetens oberoende, se C-614/10 kommissionen/Österrike. Ang. begreppet personuppgifter, se C-141/12 Y.S. Ang. överföring av personuppgifter mellan myndigheter, se C-201/14 Bara m.fl.

Tillämpningsområde

Det territoriella tillämpningsområdet

Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige.

Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren.

Rättsfall:

HFD 2014:66 anm. vid offentlighets- och sekretesslagen (2009:400)21:7. Bih.

Ang. territoriellt tillämpningsområde i fall där behandling av personuppgifter sker centralt inom en koncern med dotterbolag i flera länder, se C-131/12 Google Spain och Google. Ang. verksamhet i andra EU-medlemsstater, se C-230/14 Weltimmo.

Behandling av personuppgifter som omfattas av lagen

Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.

Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Rättsfall:

Manuell behandling av personuppgifter i betygshandlingar sorterade i viss ordning ansågs inte falla in under denna § R 2001:35; ej heller manuell behandling av vissa uppgifter från alkoholtestning AD 2013:19.

Ang. tillämpning på sökmotorleverantörer och rätten att bli ”bortglömd”, se C-131/12 Google Spain och Google. En dynamisk IP‑adress som en leverantör av elektroniska informations- eller kommunikationstjänster registrerar i samband med att en person besöker en webbplats utgör en personuppgift C-582/14 Breyer.

Undantag för behandling av personuppgifter i ostrukturerat material

Rubriken införd g. SFS2006-0398

Bestämmelserna i 9, 10, 13–19, 21–26, 28, 33, 34 och 42 §§ behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.

Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet.

Rättsfall:

Kameraövervakning av entréer i flerfamiljshus ansågs otillåten enl. 2 st. HFD 2011:77 – Kameraövervakning av allmänna utrymmen i gymnasieskola under skoltid ansågs otillåten HFD 2012:16 – Fråga om tillämpning av undantagsregeln enl. denna § HFD 2015:3.

SFS 2006:398

Undantag för privat behandling av personuppgifter

Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

Rättsfall:

Undantaget enl. denna paragraf ej tillämpligt på lagring i dator av domstols digitalt framställda dagboksblad H 2015:180.

Ej tillämplig på kamerautrustning som även övervakar område dit allmänheten har tillträde C-212/13 Ryneš.

Förhållandet till tryck- och yttrandefriheten

Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Bestämmelserna i 5 a, 9–29 och 33–44 §§ samt 45 § första stycket och 47–49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.

Rättsfall:

Ang. tillämpningen av proportionalitetsprincipen vid avvägning mellan skydd för privatliv och yttrandefrihet C-101/01 Lindqvist. Ang. behandling uteslutande för journalistiska ändamål, se C-73/07 Tietosuojavaltuutettu.

SFS 2006:398

Förhållandet till offentlighetsprincipen

Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.

Rättsfall:

Utlämnande av uppgifter om offentliganställdas inkomster C-465/00 Österreichischer Rundfunk m.fl.

Föreskrifter om undantag från vissa bestämmelser

Rubriken införd g. SFS2006-0398

Regeringen får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till

  1. rikets säkerhet,

  2. försvaret,

  3. allmän säkerhet,

  4. förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler som gäller för lagreglerade yrken,

  5. åtal för brott,

  6. ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen,

  7. myndighetsutövning som avser tillsyn, inspektion eller reglering i fråga om sådant som nämns i c–f, eller

  8. skyddet av fri- och rättigheter.

Rättsfall:

Ang. p. d), se C-473/12 IPI (privatdetektiv).

SFS 2006:398

Grundläggande krav på behandlingen av personuppgifter

Den personuppgiftsansvarige skall se till att

  1. personuppgifter behandlas bara om det är lagligt,

  2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

  3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

  4. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

  5. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

  6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

  7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

  8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

  9. personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Rättsfall:

Kravet på laglig behandling av personuppgifter innebär att behandlingen ska vara förenlig med bestämmelserna i PUL HFD 2016:40.

Ang. villkor för att en behandling av personuppgifter ska vara laglig, se C‑73/16, Puškár.

När behandling av personuppgifter är tillåten

Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

  1. ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

  2. den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,

  3. vitala intressen för den registrerade skall kunna skyddas,

  4. en arbetsuppgift av allmänt intresse skall kunna utföras,

  5. den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

  6. ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Rättsfall:

Jfr 12 § – Ang. f): R 2001:68, 2002:54, 2008:83 (behandling av biometriska data i form av fingeravläsning i samband med skolmåltider ansågs kräva samtycke) – R 2010:19 (publicering av konkursbouppteckning på Internet ansågs kräva samtycke).

Ang. e): Fråga om särskilt register betr. unionsmedborgare som ej är medborgare i registerhållande stat strider mot unionsrättens diskrimineringsförbud samt fråga om behandlingen av uppgifterna kan anses nödvändig C-524/06 Huber. Ang. f): C-468/10 och C-469/10 ASNEF och FECEMD (direkt effekt). Betr. begreppet 'nödvändig för ändamål som rör berättigade intressen hos tredje man’ C-13/16 Rīgas satiksme. Avvägning mellan offentlighetsintresset och skyddet för den personliga integriteten vid publicering av namn m.m. på mottagare av jordbruksstöd C-92/09 och C-93/09 Volker und Markus Schecke och Eifert p. 56 ff.

Direkt marknadsföring

Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Samtycke återkallas

I de fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Förbud mot behandling av känsliga personuppgifter

Det är förbjudet att behandla personuppgifter som avslöjar

  1. ras eller etniskt ursprung,

  2. politiska åsikter,

  3. religiös eller filosofisk övertygelse, eller

  4. medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.

Rättsfall:

Ang. behandling av känsliga personuppgifter, se C-101/01 Lindqvist.

Undantag från förbudet mot behandling av känsliga personuppgifter

Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.

Samtycke eller offentliggörande

Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Hänvisad författning:

Jfr 12 §.

Nödvändig behandling

Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att

  1. den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,

  2. den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller

  3. rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.

Ideella organisationer

Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det.

Hälso- och sjukvård

Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för

  1. förebyggande hälso- och sjukvård,

  2. medicinska diagnoser,

  3. vård eller behandling, eller

  4. administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.

Hänvisad författning:

Ang. tystnadsplikt se t.ex. Offentlighets- och sekretesslag (2009:400)21:1 och 25, inf. i Bih. och Patientsäkerhetslag (2010:659) 6:12 ff, inf. efter lagen 2017:30. Bih.

Forskning och statistik

Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.

Anmärkt författning:

F (2003:247) om behandling av personuppgifter i Statistiska centralbyråns undersökning om förtroendevalda i kommuner och landsting 2003.

SFS 2003:466

Bemyndigande att föreskriva ytterligare undantag

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.

SFS 1998:1436

Uppgifter om lagöverträdelser m.m.

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Hänvisad författning:

Se Personuppgiftsförordning (1998:1191)9 § efter denna lag.

Rättsfall:

Ansökan från säkerhetsföretag om undantag från förbudet i 1 st. i syfte att lösa bensinstationsbranschens problem med obetalda tankningar bifölls ej HFD 2016:8.

SFS 2008:187

Behandling av personnummer

Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till

  1. ändamålet med behandlingen,

  2. vikten av en säker identifiering, eller

  3. något annat beaktansvärt skäl.

SFS 1999:1059

Information till den registrerade

Information skall lämnas självmant

Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna.

Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

Den information som skall lämnas självmant

Information enligt 23 eller 24 § skall omfatta

  1. uppgift om den personuppgiftsansvariges identitet,

  2. uppgift om ändamålen med behandlingen, och

  3. all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall lämnas efter ansökan

Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

  1. vilka uppgifter om den sökande som behandlas,

  2. varifrån dessa uppgifter har hämtats,

  3. ändamålen med behandlingen, och

  4. till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Rättsfall:

Beslut att ej lämna ut information enl. denna § pga. sekretess skulle överklagas i den ordning som anvisas i offentlighets- och sekretesslagen HFD 2014:55.

Fråga om hur långt tillbaka i tiden en sökande kan begära information C-553/07 Rijkeboer. Ang. rätten för den som ansöker om uppehållstillstånd att få tillgång till personuppgifter, se C-141/12 Y.S.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter till den registrerade.

SFS 2009:468

Rättelse

Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Rättsfall:

Fråga om rättelse borde ske av uppgift i beskattningsdatabasen om en persons tillhörighet till registrerat trossamfund R 2006:13R 2006:86 I och II anm. vid lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet 3:3.

Automatiserade beslut

Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.

Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.

Säkerheten vid behandling

Personer som behandlar personuppgifter

Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket.

Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i frågor som avses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket.

Säkerhetsåtgärder

Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

  1. de tekniska möjligheter som finns,

  2. vad det skulle kosta att genomföra åtgärderna,

  3. de särskilda risker som finns med behandlingen av personuppgifterna, och

  4. hur pass känsliga de behandlade personuppgifterna är.

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Tillsynsmyndigheten får besluta om säkerhetsåtgärder

Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.

I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.

Överföring av personuppgifter till tredje land

Förbud mot överföring av personuppgifter till tredje land

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Rättsfall:

Äldre rätt:R 1992:86.

Betr. ”överföring av uppgifter till tredje land”, se C-101/01 Lindqvist.

SFS 1999:1210

Undantag från förbudet mot överföring av personuppgifter till tredje land

Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att

  1. ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

  2. ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,

  3. rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller

  4. vitala intressen för den registrerade skall kunna skyddas.

Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

Allmän anmärkning:

Jfr 12 § – Konventionen intagen i SÖ 1982:50.

Regeringen får meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Hänvisad författning:

Se Personuppgiftsförordning (1998:1191)12 § efter denna lag.

Rättsfall:

Ang. överföring av personuppgifter till Förenta staterna och nationella tillsynsmyndigheternas befogenheter, se C-362/14 Schrems.

SFS 1998:1436

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs.

Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.

Hänvisad författning:

Se Personuppgiftsförordning (1998:1191)3–7 §§ efter denna lag.

Anmälan behöver inte göras om det finns ett personuppgiftsombud

Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första stycket inte göras.

Personuppgiftsombudets uppgifter

Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit.

Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Obligatorisk anmälan av särskilt integritetskänsliga behandlingar

Regeringen får meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §.

SFS 1998:1436

Upplysningar till allmänheten om behandlingar som inte anmälts

Den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter.

SFS 2009:468

Tillsynsmyndighetens befogenheter

Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

  1. tillgång till de personuppgifter som behandlas,

  2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och

  3. tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.

Hänvisad författning:

Se Lag (1985:206) om viten inf. under FörvProc (i slutet).

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite.

Hänvisad författning:

Se anm. vid 44 §.

Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, ska den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet ska omprövas, när yttrandetiden har gått ut.

Ett vitesföreläggande ska delges den personuppgiftsansvarige. Delgivning enligt 34–37 §§ delgivningslagen (2010:1932) får användas bara om det med beaktande av vad som har framkommit i det aktuella delgivningsärendet eller vid andra delgivningsförsök med den personuppgiftsansvarige finns anledning att anta att han eller hon har avvikit eller på annat sätt håller sig undan.

SFS 2010:1969

Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

SFS 2009:827

Skadestånd

Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Hänvisad författning:

Ang. skadeståndsanspråk mot staten se F (1995:1301) om handläggning av skadeståndsanspråk mot staten, inf. under SkadestL.

Rättsfall:

Skadestånd för att en tvistemålsdom med namn och adressuppgifter lagts ut på en internetsida H 2013:1046.

Straff

    Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet

  1. lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,

  2. behandlar personuppgifter i strid med 13–21 §§,

  3. för över personuppgifter till tredje land i strid med 33–35 §§,

  4. låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §,

  5. behandlar sådana personuppgifter som avses i 13 och 21 §§ i strid med 5 a § andra stycket, eller

  6. i strid med 5 a § andra stycket för över personuppgifter till tredje land som inte har en sådan adekvat nivå för skyddet av personuppgifterna som avses i 33 §.

I ringa fall döms inte till ansvar.

Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.

Rättsfall:

Äldre rätt:H 1987:426H 2001:409 (även fråga om strafflags tillämplighet i tiden) – Fråga om uppgifter utgjort ”känsliga personuppgifter” och om de överförts till tredje land genom att läggas ut på hemsida på Internet; även fråga om ringa fall H 2005:361.

SFS 2006:398

Närmare föreskrifter

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om

  1. i vilka fall behandling av personuppgifter är tillåten,

  2. vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter,

  3. i vilka fall användning av personnummer är tillåten,

  4. vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla,

  5. vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och

  6. anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats.

SFS 1998:1436

Överklagande

Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol.

Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.

Hänvisad författning:

Ang. 1 st. se Lag (1971:289) om allmänna förvaltningsdomstolar14 § inf. under FörvProc.

Rättsfall:

Datainspektionens beslut att ej vidta någon åtgärd med anledning av inkommet klagomål ansågs ej överklagbart R 2010:29.

SFS 2006:398

En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol.

Första stycket gäller inte för beslut av riksdagen, regeringen eller riksdagens ombudsmän.

SFS 2006:398

Andra beslut enligt denna lag än sådana som avses i 47, 51 och 52 §§ får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

SFS 2006:398

Ikraftträdande- och övergångsbestämmelser

SFS 1998:204

1. Denna lag träder i kraft d. 24 okt. 1998, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före d. 24 okt. 1998.

2. I fråga om behandling av personuppgifter som påbörjats före ikraftträdandet eller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjats före ikraftträdandet skall till och med d. 30 sept. 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.

3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän d. 1 okt. 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före ikraftträdandet eller manuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före ikraftträdandet.

4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.

5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har trätt i kraft för den aktuella behandlingen.

6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för den aktuella behandlingen skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.

7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in innan den nya lagen trätt i kraft för den aktuella behandlingen men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen.

8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter det att den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall tillämpas de äldre bestämmelserna.

SFS 1998:1436

Denna lag träder i kraft d. 1 jan. 1999.

SFS 1999:1059

Denna lag träder i kraft d. 1 jan. 2000.

SFS 1999:1210

Denna lag träder i kraft d. 1 jan. 2000.

SFS 2003:466

Denna lag träder i kraft d. 1 jan. 2004.

SFS 2006:398

Denna lag träder i kraft d. 1 jan. 2007. Föreskrifterna i 52 § skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.

SFS 2008:187

Denna lag träder i kraft d. 1 juni 2008.

SFS 2009:468

Denna lag träder i kraft d. 30 juni 2009.

SFS 2009:827

Denna lag träder i kraft d. 15 febr. 2010.

SFS 2010:1969

1. Denna lag träder i kraft d. 1 april 2011.

2. Äldre bestämmelser gäller om ett beslut om delgivning enligt 1517 §§ delgivningslagen (1970:428) har fattats före d. 1 april 2011 eller om en handling har skickats eller lämnats före denna tidpunkt.

Lag 1998:204

Författare: Gaby Borglund

Författare till den ursprungliga kommentaren.

Författare: David Törngren

Författare: David Törngren

Personuppgiftslagen (1998:204) (PUL) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Genom PUL införlivades med svensk lagstiftning Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (härefter dataskyddsdirektivet). Syftet med dataskyddsdirektivet är att åstadkomma en likvärdig skyddsnivå i medlemsstaterna så att personuppgifter kan flöda fritt mellan staterna. Direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, t.ex. behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. På dessa områden finns det dock annan EU-rättslig reglering om dataskydd, t.ex. det s.k. dataskyddsrambeslutet (2008/977/RIF). PUL, som i huvudsak följer dataskyddsdirektivets text och disposition, omfattar all automatiserad behandling av personuppgifter samt viss manuell behandling av personuppgifter. Lagen är således tillämplig även på behandling som inte omfattas av dataskyddsdirektivet. Rent privat användning av personuppgifter är undantagen. Undantag görs även med hänsyn till offentlighetsprincipen och tryck- och yttrandefriheten. Den 1 januari 2007 ändrades PUL i syfte att underlätta behandlingen av personuppgifter. Genom ändringen infördes en s.k. missbruksmodell inom delar av lagens tillämpningsområde. En missbruksmodell innebär att regleringen tar sikte på missbruk av personuppgifter. Detta till skillnad från den hanteringsmodell som dataskyddsdirektivet bygger på och som innebär att varje led i hanteringen av personuppgifter regleras, oavsett om behandlingen innebär en integritetskränkning eller inte. Genom den missbruksmodell som införts i PUL har behandling av personuppgifter i ostrukturerat material undantagits från de flesta av lagens hanteringsregler. Sådan behandling är tillåten utan andra restriktioner än att den registrerades personliga integritet inte får kränkas. Förarbeten finns i SOU 1997:39 Integritet Offentlighet Informationsteknik, prop. 1997/98:44, 1997/98:KU18 och SOU 2004:6 Översyn av personuppgiftslagen, prop. 2005/06:173. Lagstiftningen kommenteras i Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen En kommentar, 4 uppl. 2011 (härefter Öman/Lindblom, 2011); Roger Petersson, Klas Reinholdsson, Personuppgiftslagen i praktiken, 3 uppl. 2004 samt Agne Lindberg, Daniel Westman, Praktisk IT-rätt, 2001. Datainspektionen är tillsynsmyndighet enligt PUL, se även förordningen (2007:975) med instruktion för Datainspektionen. PUL kompletteras med regler i personuppgiftsförordningen (1998:1191) (PUF) samt föreskrifter från Datainspektionen som publiceras i myndighetens författningssamling (DIFS). Datainspektionen ger även ut allmänna råd och informationsskrifter som finns tillgängliga på myndighetens webbplats, www.datainspektionen.se. Beslut har fattats om en omfattande reform av EU:s dataskyddsreglering. Dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning (2016/679) och ett nytt dataskyddsdirektiv (2016/680) ska gälla för de brottsbekämpande myndigheternas behandling av personuppgifter. Den nya dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och det nya dataskyddsdirektivet ska ha genomförts i nationell rätt senast den 6 maj 2018.

Kommentar till övergångsbestämmelserna

Övergångsbestämmelsen träffar både behandlingar som omfattades av datalagen (personregister) och sådana som datalagen inte gällde för, t.ex. löpande text.

Författare: David Törngren

Se 2 kap. 6 § 2 st. regeringsformen.

Författare: David Törngren

Skyddet omfattar endast fysiska personer som är i livet, se definitionen av personuppgifter i 3 § samt SOU 1997:39 s. 337 f., Öman/Lindblom, 2011 s. 86 f. och RÅ 2004 ref. 104.

Författare: David Törngren

PUL är subsidiär i förhållande till annan lag eller förordning. Avvikande bestämmelser finns bl.a. i särskilda registerförfattningar (jfr prop. 1997/98:44 s. 41). Dessa författningar reglerar framför allt myndigheters behandling av personuppgifter. Vissa registerförfattningar reglerar även behandling av personuppgifter i den privata sektorn, t.ex. patientdatalagen (2008:355). Flertalet registerförfattningar kompletterar reglerna i PUL, vilket innebär att i den mån registerförfattningen inte innehåller avvikande bestämmelser är reglerna i PUL tillämpliga. Exempel på sådana registerförfattningar är lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. På senare tid har det blivit vanligare att registerförfattningar gäller i stället för PUL. Regleringen i registerförfattningen är då uttömmande och PUL gäller inte inom registerförfattningens tillämpningsområde, se t.ex. polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:146). Avvikande bestämmelser kan även förekomma i andra författningar, t.ex. kameraövervakningslagen (2013:460) som gäller i stället för PUL i fråga om fast uppsatt övervakningsutrustning.

Författare: David Törngren

För personuppgifter i allmänna handlingar gäller sekretess om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL, se 21 kap. 7 § offentlighets- och sekretesslagen (2009:400), SOU 2004:6 s. 248 ff. och SOU 2010:4 s. 320 ff.

Författare: David Törngren

Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter, se SOU 1997:39 s. 332. När det gäller behandling som inte är automatiserad är dock lagens tillämpningsområde begränsat enligt 5 §.

Författare: David Törngren

Blockering kan användas t.ex. när det inte är naturligt att rätta en felaktig uppgift eftersom de rätta förhållandena inte kan utredas (jfr 9 § 1 st. h och 28 §). Se SOU 1997:39 s. 332 och 401 samt prop. 1997/98:44 s. 117.

Författare: David Törngren

Mottagare omfattar i princip alla som personuppgifter lämnas ut till, även den registrerade och personuppgiftsbiträden, se 26 § 1 st. d och SOU 1997:39 s. 333 f.

Författare: David Törngren

Skyddet omfattar endast fysiska personer som är i livet. Juridiska personer, avlidna och ofödda omfattas inte, se SOU 1997:39 s. 337 f. och RÅ 2004 ref. 104. Definitionen av personuppgifter omfattar både direkta personuppgifter, t.ex. namn och personnummer, och indirekta personuppgifter, t.ex. adresser och telefonnummer. För att det ska vara fråga om en personuppgift krävs bara att en fysisk person kan identifieras med hjälp av informationen. Den personuppgiftsansvarige behöver inte själv förfoga över samtliga uppgifter som gör identifieringen möjlig. Det innebär att även krypterade uppgifter omfattas av lagen, om den personuppgiftsansvarige eller någon annan kan göra uppgifterna läsbara och därmed identifiera individer, se SOU 1997:39 s. 338. Även avbildningar av personer, t.ex. fotografier, kan vara personuppgifter. När det gäller frågan huruvida IP-adresser är personuppgifter, se EU-domstolens dom den 24 november 2011 i mål 70/10 (Scarlet/SABAM) EU-domstolens dom den 19 oktober 2016 i mål C-582/14 (Brever) och Kammarrätten i Stockholms dom den 8 juni 2007 i mål nr 285-07. I EU-domstolens dom den 17 juli 2014 i mål C-141/12 och C-372/12 ansågs en rättslig analys avseende en ansökan om uppehållstillstånd inte i sig utgöra personuppgifter. I EU-domstolens dom den 20 december 2017 i mål C-434/16 ansågs de skriftliga svar som en examinand lämnat på ett prov för yrkesexamen, liksom examinatorns anteckningar angående dessa svar, utgöra personuppgifter.

Författare: David Törngren

Personuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till (se SOU 1997:39 s. 333 f.). Flera personuppgiftsansvariga kan ha ett gemensamt ansvar t.ex. för ett register som de för tillsammans. En juridisk person är personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga, var och en i sin verksamhet. I registerförfattningar regleras ofta vem som är personuppgiftsansvarig, se t.ex. 2 kap. 4 § polisdatalagen (2010:361). I fråga om personuppgiftsansvar vid tillhandahållande av elektroniska självbetjäningstjänster, se HFD 2012 ref. 21.

Författare: David Törngren

Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Det kan t.ex. vara fråga om en leverantör av molntjänster som anlitas av den personuppgiftsansvarige. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde, se SOU 1997:39 s. 333 f.

Författare: David Törngren

Personuppgiftsombudets uppgifter framgår av 38–40 §§. Se även Datainspektionen informerar 2, Personuppgiftsombudet.

Författare: David Törngren

Är situationen sådan att den registrerade i praktiken inte kan avstå från att lämna sitt medgivande kan samtycket inte anses frivilligt. Även det förhållande att en registrerad allmänt sett har en underordnad eller beroende ställning i förhållande till den personuppgiftsansvarige bör beaktas, se SOU 1997:39 s. 342.

Författare: David Törngren

Det krävs inte att samtycket är skriftligt. Samtycket måste däremot vara individuellt. Det är inte tillräckligt att en organisation, t.ex. en fackförening, som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar, se SOU 1997:39 s. 340 f. Om samtycket ska läggas till grund för behandling av känsliga personuppgifter krävs, utöver vad som anges i 3 §, att samtycket är uttryckligt (se 15 §).

Författare: David Törngren

Datainspektionen är tillsynsmyndighet, se 2 § PUF och förordningen (2007:975) med instruktion för Datainspektionen.

Författare: David Törngren

Stater som anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108) behandlas genom undantag i 34 § inte heller som tredje land.

Författare: David Törngren

Beträffande personuppgiftsansvariga som är etablerade i Sverige ska PUL tillämpas inte bara i Sverige utan också i de andra EU-länder där den personuppgiftsansvarige bedriver verksamhet utan att vara etablerad. Om den personuppgiftsansvarige är etablerad både i Sverige och i ett annat EU-land ska PUL tillämpas i fråga om den behandling som utförs i Sverige, och det andra EU-landets lag i fråga om den behandling som utförs där. Det är i det fallet oklart vilka regler som ska tillämpas i de EU-länder där den personuppgiftsansvarige inte är etablerad men ändå bedriver verksamhet. Se SOU 1997:39 s. 347 f. och prop. 1997/98:44 s. 55.

Författare: David Törngren

Begreppet ”etablering” har en EU-gemensam innebörd. En etablering på en medlemsstats territorium förutsätter en ”effektiv och faktisk verksamhet med hjälp av en stabil struktur”, se beaktandesats 19 i dataskyddsdirektivet. Det kan t.ex. vara fråga om en filial eller ett dotterbolag. Begreppet etablering omfattar all verklig och faktisk verksamhet, även om den är ytterst liten, som utövas med hjälp av en fast struktur, se EU-domstolens dom den 1 oktober 2015 i mål C-230/14 (“Weltimmo”). Endast det förhållande att ett företags webbplats är tillgänglig i en medlemsstat kan inte utgöra grund för en etablering, se EU-domstolens dom den 28 juli 2016 i mål C 191/15 (“Verein für Konsumenteninformation”). En sökmotorleverantör som etablerat en filial eller ett dotterbolag i en medlemsstat för att marknadsföra och sälja reklamutrymme hos sökmotorn har ansetts etablerad i den medlemsstaten, se EU-domstolens dom den 13 maj 2014 i mål C-131/12 (”Google”).

Författare: David Törngren

Utrustning kan t.ex. vara terminaler och frågeformulär, se SOU 1997:39 s. 348.

Författare: David Törngren

Företrädaren kan vara en fysisk eller juridisk person eller en svensk myndighet, se SOU 1997:39 s. 348.

Författare: David Törngren

All automatiserad behandling av personuppgifter omfattas av lagen. Lagen omfattar alltså inte endast traditionella register och databaser utan även personuppgifter i löpande text samt bild- och ljudupptagningar. I fråga om begreppet automatiserad, se SOU 1997:39 s. 344 f. och prop. 1997/98:44 s. 39. Att lagen gäller vid delvis automatiserad behandling innebär att den kan vara tillämplig på manuell insamling av uppgifter som sedan ska behandlas automatiserat.

Författare: David Törngren

Det som avses är manuella register.

Författare: David Törngren

För att PUL ska vara tillämplig på manuell behandling krävs att det finns uppgifter samlade om fler än en person, se SOU 1997:39 s. 339 f. Det krävs också en viss beständighet för att något ska kunna sägas vara en samling. Däremot krävs inte att alla handlingar eller akter finns på ett och samma ställe. Det måste gå att söka bland uppgifterna i samlingen. Kriterierna ska avse enskilda personer. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift omfattas inte av PUL. Personuppgifterna måste vara sorterade enligt något slags system. Någon form av förberedelse eller bearbetning måste ha ägt rum för att personuppgifter i ett antal dokument ska kunna anses ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Tillgängligheten måste ha åstadkommits genom något särskilt arrangemang för sökning bland uppgifterna, t.ex. kortregister eller sökmarkörer. Sökning av personuppgifter ska kunna ske på ett effektivare sätt än genomgång och granskning dokument för dokument, se RÅ 2001 ref. 35.

Författare: David Törngren

Genom den s.k. missbruksregeln undantas behandling av personuppgifter i s.k. ostrukturerat material från en rad av lagens hanteringsregler, se prop. 2005/06:173 s. 18 f. och 58 f. Lagens regler om säkerheten vid behandling i 30–32 §§ omfattas dock inte av undantaget. Behandling som omfattas av missbruksregeln är tillåten så länge den inte innebär en kränkning av enskildas personliga integritet. Behandling i strid med undantagsregeln kan medföra skadeståndsskyldighet och är i vissa fall straffbar, se 48 och 49 §§.

Författare: David Törngren

Tillämpningsområdet för missbruksregeln behandlas i prop. 2005/06:173 s. 19 f. och 58. Det som omfattas är s.k. ostrukturerat material, t.ex. löpande text i ordbehandlingsprogram, i e-post eller på internet samt ljud- eller bildupptagningar. Inspelningar vid kameraövervakning har som regel ansetts utgöra ostrukturerat material, se HFD 2012 ref. 16. Från och med den 1 juli 2013 är dock PUL inte längre tillämplig på användning av sådan övervakningsutrustning som omfattas av kameraövervakningslagen (2013:460). Om det ostrukturerade materialet infogas i en databas med personuppgiftsanknuten struktur, t.ex. ett ärendehanteringssystem, är undantagsregeln inte tillämplig, se prop. 2005/06:173 s. 58. I RÅ 2008 ref. 83 ansågs 5 a § inte tillämplig på behandling av personuppgifter i en databas i syfte att identifiera elever vid användning av en s.k. tallriksautomat. I HFD 2015 ref. 3 ansågs däremot missbruksregeln vara tillämplig på viss personuppgiftsbehandling som utfördes vid bakgrundskontroll av arbetssökande.

Författare: David Törngren

När det gäller frågan om vad som ska anses som en kränkning, se prop. 2005/06:173 s. 26 f. och 58 f. Reglerna i 9 och 10 §§ PUL kan användas som en utgångspunkt för bedömningen. Har dessa bestämmelser följts, trots att de i och för sig inte är tillämpliga, föreligger inte någon kränkning. Det torde i vissa fall gälla även om behandlingen har omfattat känsliga personuppgifter. I förarbetena har angetts några riktlinjer för bedömningen (se prop. 2005/06:173 s. 29). Där anges bl.a. att man inte ska behandla personuppgifter för otillbörliga syften, inte samla in en stor mängd uppgifter om en person utan godtagbara skäl, rätta uppgifter som visar sig vara felaktiga eller missvisande, inte förtala eller förolämpa någon annan samt inte bryta mot sekretess eller tystnadsplikt. Frågan om en kameraövervakning kunde anses vara kränkande eller inte prövades i HFD 2012 ref. 16. Sedan den 1 juli 2013 omfattas dock inte kameraövervakning av PUL utan av kameraövervakningslagen (2013:460).

Författare: David Törngren

Paragrafen innebär att enskilda för rent privat bruk kan föra en elektronisk dagbok eller registrera sina grannar eller släktingar. Privat korrespondens via e-post omfattas också av undantaget. Däremot omfattas inte behandling som innebär att ett obegränsat antal personer får tillgång till personuppgifterna, t.ex. genom webbsidor, se EU-domstolens dom den 6 november 2003 i mål C-101/01 (”konfirmandlärarmålet”). Webbsidor kan dock omfattas av grundlagsskydd eller av undantaget för journalistisk verksamhet, se 7 §. Webbsidor som omfattas av PUL är vidare ofta undantagna från lagens hanteringsregler genom missbruksregeln i 5 a §, se prop. 2005/06:173 s. 19 f. Högsta domstolen har bedömt att undantaget för privat behandling inte omfattar en fysisk persons behandling av personuppgifter i ett s.k. massuttag av dagboksblad från en domstol, se NJA 2015 s. 180. Samma bedömning gjordes i fråga om ett mer begränsat uttag av dagboksblad i elektronisk form, se NJA 2015 s. 624. I EU-domstolens dom den 11 december 2014 i mål nr C-212/13 ansågs undantaget för privat behandling inte vara tillämpligt på användning av kameraövervakningsutrustning som installerats i en bostad för att skydda husägarens egendom, hälsa och liv när övervakningen även omfattade ett område dit allmänheten hade tillträde.

Författare: David Törngren

Detta är en förtydligande upplysning om att bestämmelserna i lagen inte får tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF och YGL. Beträffande förhållandet mellan dataskyddsdirektivet och den svenska tryck- och yttrandefriheten, se prop. 1997/98:44 s. 49 ff.

Författare: David Törngren

Syftet med bestämmelsen är att seriös journalistik, konstnärlig och litterär verksamhet ska kunna bedrivas obehindrat även om verksamheten inte omfattas av reglerna i TF eller YGL, se SOU 1997:39 s. 264 och prop. 1997/98:44 s. 52. Bestämmelserna i 31–32 §§ om säkerhetsåtgärder ska dock tillämpas även på sådana behandlingar. Det är endast behandling som sker uteslutande för något av de angivna ändamålen som är undantagen. EU-domstolen har uttalat att ”journalistisk verksamhet” inte endast omfattar traditionellt journalistiskt arbete, utan all verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten, se EU-domstolens dom den 16 december 2008 i mål C-73/07 (”Satamedia”). Se även NJA 2001 s. 409.

Författare: David Törngren

Detta är en förtydligande upplysning om att bestämmelserna i lagen inte får tillämpas i den utsträckning det skulle strida mot 2 kap. tryckfrihetsförordningen. I fråga om dataskyddsdirektivets förhållande till offentlighetsprincipen, se prop. 1997/98:44 s. 43 ff.

Författare: David Törngren

Bevarandet eller omhändertagandet behöver inte vara föreskrivet i författning. Det räcker att det är fråga om allmänna handlingar. Även bevarande av sådana handlingar som enligt 2 kap. 9 § TF blir allmänna först sedan de tagits om hand för arkivering omfattas, se prop. 1997/98:44 s. 119 f.

Författare: David Törngren

Detta innebär att myndigheter, trots vad som anges i 9 § 4 st., får använda information i allmänna handlingar för att ”vidta åtgärder” i förhållande till enskilda, se prop. 1997/98:44 s. 120.

Författare: David Törngren

Se prop. 2005/06:173 s. 54 f. Bemyndigandet har hittills inte utnyttjats.

Författare: David Törngren

I 9 § anges krav som måste uppfyllas vid all personuppgiftsbehandling. För att behandlingen ska vara tillåten krävs även att behandlingen är tillåten enligt 10 §.

Författare: David Törngren

Högsta förvaltningsdomstolen har gjort bedömningen att kravet på laglighet inte har någon självständig betydelse, utan endast innebär att behandling av personuppgifter ska vara förenlig med PUL och de föreskrifter som meddelats med stöd av lagen, se HFD 2016 ref. 40.

Författare: David Törngren

Det är osäkert om kravet på att behandlingen ska ske på ett korrekt sätt har någon självständig betydelse, se SOU 1997:39 s. 349 f.

Författare: David Törngren

Vad som är god sed vid behandling av personuppgifter får enligt prop. 1997/98:44 s. 143 avgöras i rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter som kan meddelas med stöd av PUL, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig.

Författare: David Törngren

Att ändamålet ska vara särskilt innebär att en alltför allmänt hållen ändamålsangivelse inte kan godtas. Det är möjligt att ange flera ändamål när uppgifterna samlas in. Ändamålen ska vara uttryckligt angivna, men behöver inte nedtecknas. Reglerna om information i 23–24 §§ PUL medför dock som regel att ändamålet måste uppges när en behandling påbörjas. Dessutom är den personuppgiftsansvarige skyldig att uppge ändamålet i en anmälan till Datainspektionen eller till var och en som begär en sådan upplysning, se 36, 41 och 42 §§ PUL samt SOU 1997:39 s. 350 f. och prop. 1997/98:44 s. 63 f.

Författare: David Törngren

I 9 § 1 st. d regleras den s.k. finalitetsprincipen som begränsar möjligheterna att bestämma nya ändamål för redan insamlade uppgifter. Vad som är oförenligt med de ursprungliga ändamålen får enligt SOU 1997:39 s. 351 bestämmas genom praxis och de mer preciserade regler som regeringen eller Datainspektionen kan utfärda. Ett utlämnande till tredje man får inte vara oförenligt med de ursprungliga ändamålen. När det gäller vidarebehandling för historiska, statistiska och vetenskapliga ändamål finns särreglering i 9 § 2 st. Beträffande utlämnande med stöd av offentlighetsprincipen, se 8 § PUL och 21 kap. 7 § OSL.

Författare: David Törngren

Bestämmelsen innebär en skyldighet för den personuppgiftsansvarige att begränsa mängden personuppgifter till vad som är nödvändigt för att uppnå ändamålen med behandlingen, se SOU 1997:39 s. 351.

Författare: David Törngren

Om avsikten med en behandling är att registrera uppgifter som inges i ett ärende torde uppgifterna anses vara riktiga om de stämmer överens med de inkomna uppgifterna, även om de inte överensstämmer med de verkliga förhållandena.

Författare: David Törngren

Bestämmelsen innebär att den personuppgiftsansvarige har en skyldighet att på eget initiativ vidta rimliga åtgärder för att rätta, blockera eller utplåna uppgifter. Jfr 28 § som innebär en skyldighet att rätta, blockera eller utplåna uppgifter på begäran av den registrerade samt 43–47 §§ som ger tillsynsmyndigheten befogenhet att vidta åtgärder för att tvinga fram korrigering.

Författare: David Törngren

Det kan vara nödvändigt att bevara personuppgifter under en längre tid även om uppgifterna inte används aktivt. När det gäller myndigheters arkivering och bevarande av allmänna handlingar, se 8 § 2 st. och arkivlagen (1990:782). Bestämmelser om gallring finns ofta i de särskilda registerförfattningarna, se t.ex. 2 kap. 12 och 13 §§ polisdatalagen (2010:361). Uppgifter som bevaras för historiska, statistiska eller vetenskapliga ändamål är föremål för särskild reglering i 9 § 3 och 4 st., se SOU 1997:39 s. 353 f. och prop. 1997/98:44 s. 121.

Författare: David Törngren

Bestämmelsen behandlas i SOU 1997:39 s. 353 f. och prop. 1997/98:44 s. 64 f. och 121 f.

Författare: David Törngren

Bestämmelsen gäller inte för myndigheters användning av personuppgifter i allmänna handlingar, se 8 § 2 st. och prop. 1997/98:44 s. 64 f. och 120 f.

Författare: David Törngren

Någon av förutsättningarna i paragrafen måste alltid vara uppfylld för att personuppgifter ska få behandlas, se SOU 1997:39 s. 357 f. och prop. 1997/98:44 s. 65 f. Behandling av vissa slag av personuppgifter förutsätter även att ytterligare förutsättningar är uppfyllda, se 13–22 §§ PUL.

Författare: David Törngren

Begreppet samtycke definieras i 3 §.

Författare: David Törngren

Det kan inte anses nödvändigt att behandla personuppgifter om ändamålet enkelt och billigt kan tillgodoses på annat sätt, t.ex. genom att anonyma uppgifter används, se SOU 1997:39 s. 359. Nödvändighetskravet behandlas i EU-domstolens dom den 16 december 2008 i mål C−524/06 (”Huber”).

Författare: David Törngren

När det gäller fullgörelse av ett avtal krävs det att den registrerade själv är avtalspart. Ett avtal mellan den personuppgiftsansvarige och en juridisk person kan således inte åberopas som stöd för behandling av uppgifter om anställda hos den juridiska personen, se SOU 1997:39 s. 359 f.

Författare: David Törngren

Begreppet rättslig skyldighet har en EU-gemensam innebörd, men det kan i nationell rätt bestämmas vilka skyldigheter som ska fullgöras. Inte bara offentligrättsliga författningsbestämmelser och myndighetsbeslut kan grunda sådana rättsliga skyldigheter som avses. Även de civilrättsliga turordningsbestämmelser som gäller vid uppsägning av arbetstagare torde kunna innebära en skyldighet för arbetsgivare att upprätta listor över sina anställda. Däremot förefaller det oklart om en förpliktelse som någon har åtagit sig genom avtal med någon annan kan vara en sådan rättslig skyldighet som avses, se SOU 1997:39 s. 360 f.

Författare: David Törngren

Här avses i vart fall sådant som är livsviktigt, se SOU 1997:39 s. 360 f.

Författare: David Törngren

Exempel på arbetsuppgifter av allmänt intresse är arkivering, forskning och framställning av statistik. Arbetsuppgiften kan utföras av en myndighet eller ett enskilt subjekt. Att någon själv kan tjäna pengar på att utföra arbetsuppgiften utesluter inte att den ändå kan vara av allmänt intresse, t.ex. när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag, se SOU 1997:39 s. 361 f.

Författare: David Törngren

Myndighetsutövningen kan utföras av en myndighet eller vara anförtrodd ett enskilt subjekt.

Författare: David Törngren

Publicering av en konkursbouppteckning på internet har inte ansetts tillåten, se RÅ 2010 ref. 19. Behandling av biometriska uppgifter i samband med användning av s.k. tallriksautomater har inte ansetts kunna ske med stöd av 10 § f., se RÅ 2008 ref. 83. När det gäller möjligheten att efter en intresseavvägning lämna ut personuppgifter till tredje man i syfte att göra det möjligt för denne att väcka skadeståndstalan mot den som personuppgifterna avser, se EU-domstolens dom den 4 maj 2017 i mål C-13/16. Vid tillämpning av 21 kap. 7 § OSL görs en intresseavvägning enligt denna punkt, se RÅ 2001 ref. 68 och RÅ 2002 ref. 54. Om en registrerad meddelar att han eller hon vill slippa fortsatt behandling, väger dennes intresse av att slippa behandlingen som regel över den personuppgiftsansvariges intresse av att utföra den. Beträffande följderna av ett sådant meddelande, se SOU 1997:39 s. 362 och i fråga om direkt marknadsföring 11 § PUL. Se även Öman/Lindblom, 2011, s. 240 ff. Om det inte längre finns förutsättningar att behandla personuppgifter efter en intresseavvägning måste de behandlade uppgifterna förstöras eller avidentifieras, såvida inte behandlingen är tillåten med stöd av någon annan bestämmelse i 10 §.

Författare: David Törngren

Behandling av personuppgifter för ändamål som rör direkt marknadsföring kan vara tillåten, t.ex. efter en intresseavvägning enligt 10 § f. Avgift eller liknande får inte tas ut av den registrerade för att denne ska få utöva rätten att motsätta sig behandling. Däremot finns det inte någon reglering som medför att den registrerade kan få ersättning för utlägg för t.ex. portokostnader. Skriftlighetskravet innebär att anmälan måste vara uttryckt i text, men texten kan finnas på papper likaväl som i elektronisk form (t.ex. e-post). Se SOU 1997:39 s. 365 f. och prop. 1997/98:44 s. 122 f. samt 4 § 2 st. lagen (1998:527) om det statliga personadressregistret.

Författare: David Törngren

Paragrafen behandlas i SOU 1997:39 s. 364 f., prop. 1997/98:44 s. 123 och Öman/Lindblom 2011, s. 278 ff.

Författare: David Törngren

En återkallelse kan ske muntligen eller skriftligen till den personuppgiftsansvarige eller någon som på laglig grund företräder denne. Det är den registrerade som har bevisbördan för att en återkallelse skett och tidpunkten för återkallelsen.

Författare: David Törngren

Behandlingen av redan insamlade uppgifter får alltså fortsätta, men uppgifterna får inte uppdateras eller kompletteras (se prop. 1997/98:44 s. 123).

Författare: David Törngren

I paragrafen finns ett generellt förbud mot behandling av känsliga personuppgifter. Trots förbudet är det tillåtet att behandla sådana personuppgifter om det finns stöd för det i 15–19 §§. Uppgifter om lagöverträdelser m.m. och personnummer anses inte som känsliga personuppgifter men omfattas av särskilda skyddsregler i 21 och 22 §§ PUL.

Författare: David Törngren

En isolerad uppgift om vilket kön en person har kan inte anses vara en uppgift som rör dennes sexualliv, se SOU 1997:39 s. 368. Inte heller information om civilstånd torde anses vara en sådan uppgift. Däremot är förmodligen en uppgift om att någon har bytt kön en uppgift som kan anses röra den personens hälsa eller sexualliv. EU-domstolen fann i en dom den 6 november 2003 i mål C-101/01 (det s.k. konfirmandlärarmålet) att uppgifter om att en person skadat sin fot och var deltidssjukskriven utgjorde en personuppgift om hälsa, se även NJA 2005 s. 361, RH 2004:51 och Öman/Lindblom, 2011, s. 282 ff.

Författare: David Törngren

Undantag från förbudet att behandla personuppgifter finns även i andra författningar, se t.ex. 8 § PUF som ger myndigheter rätt att under vissa förutsättningar behandla känsliga personuppgifter i löpande text.

Författare: David Törngren

Det räcker inte att ett undantag i 15–19 §§ är tillämpligt för att känsliga personuppgifter ska få behandlas. Behandlingen måste även ha stöd i någon av bestämmelserna i 10 §.

Författare: David Törngren

Begreppet samtycke definieras i 3 §. Vid behandling av känsliga personuppgifter krävs därutöver att samtycket är uttryckligt.

Författare: David Törngren

Personuppgifter som någon annan avslöjat omfattas inte, om inte den registrerade själv offentligt bekräftat uppgifterna. Ett exempel på offentliggörande är att den som uppgifterna avser ställer upp i val till riksdagen eller offentligt företräder ett politiskt parti, se SOU 1997:39 s. 370.

Författare: David Törngren

När det gäller nödvändighetskravet, se SOU 1997:39 s. 359 och 369 samt EU-domstolens dom den 16 december 2008 i mål C−524/06 (”Huber”).

Författare: David Törngren

Uttrycket ”inom arbetsrätten” bör inte ges en alltför snäv betydelse – i stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande anställda och deras organisationer torde omfattas, se SOU 1997:39 s. 370 f. I paragrafens 2 st. begränsas möjligheten att lämna ut uppgifter som behandlas med stöd av 1 st. a.

Författare: David Törngren

Behandling kan ske också för att skydda vitala intressen hos någon annan än den registrerade (jfr 10 § c). Ett exempel är när hälsouppgifter om en medvetslös och svårt skadad potentiell organdonator behandlas för att hitta en lämplig mottagare av organet, se SOU 1997:39 s. 376.

Författare: David Törngren

Bestämmelsen kan exempelvis vara tillämplig när känsliga personuppgifter har betydelse för rätten att få försäkringsersättning eller för att få teckna en viss försäkring, se SOU 1997:39 s. 375 f.

Författare: David Törngren

Bestämmelsen begränsar inte myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF.

Författare: David Törngren

Frågan om en person är medlem i en organisation eller inte får avgöras enligt vanliga regler med ledning av bl.a. organisationens stadgar. En organisation får inte med stöd av denna bestämmelse behandla känsliga uppgifter om en person som, t.ex. efter utträde eller uteslutning, inte längre är medlem och inte heller på grund av organisationens mål har regelbunden kontakt med organisationen, se SOU 1997:39 s. 373 f.

Författare: David Törngren

Paragrafen behandlas i SOU 1997:39 s. 376 f. och prop. 1997/98:44 s. 68 f. och 126.

Författare: David Törngren

Se även patientdatalagen (2008:355).

Författare: David Törngren

I fråga om tystnadsplikt, se 21 kap. 1–4 §§, 25 kap. 1–3, 6, 8, 10–11, 13–14 §§, OSL och 6 kap. 12–16 §§ patientsäkerhetslagen (2010:659). Rätten för vissa personer som omfattas av tystnadsplikt att behandla personuppgifter innebär inte nödvändigtvis att dessa personer är att betrakta som personuppgiftsansvariga, se SOU 1997:39 s. 377.

Författare: David Törngren

De överväganden som ska göras vid godkännande av forskning som innefattar behandling av känsliga personuppgifter anges i 7–11 a §§ lagen (2003:460) om etikprövning av forskning som avser människor, se prop. 2002/03:50 s. 210.

Författare: David Törngren

Här avses även sådan statistikframställning som sker återkommande, se prop. 1997/98:44 s. 127.

Författare: David Törngren

Vid avvägningen ska det ske en helhetsbedömning av samtliga omständigheter. Faktorer som kan beaktas är bl.a. projektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att inhämta samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna försämra undersökningsresultatet beaktas, se prop. 1997/98:44 s. 127.

Författare: David Törngren

Här avses sådana kommittéer eller liknande som idag finns knutna till de medicinska fakulteterna, t.ex. Vetenskapsrådet och Forskningsrådet för arbetsliv och socialvetenskap.

Författare: David Törngren

Bestämmelsen innebär inte någon skyldighet att lämna ut personuppgifter, se prop. 1997/98:44 s. 128.

Författare: David Törngren

Se 8 § PUF.

Författare: David Törngren

Bestämmelsen i 21 § 2 st. innebär att också enskilda forskningshuvudmän får behandla personuppgifter om lagöverträdelser under förutsättning att behandlingen har godkänts vid etikprövning, se prop. 2007/08:44 s. 52.

Författare: David Törngren

Se 9 § PUF och Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Reglering som medger att andra än myndigheter behandlar personuppgifter om lagöverträdelser m.m. finns också i 53 g § upphovsrättslagen (1960:729).

Författare: David Törngren

Högsta förvaltningsdomstolen har uttalat att möjligheten att i ett enskilt fall besluta om undantag från förbudet för enskilda att behandla uppgifter om lagöverträdelser bör utnyttjas med restriktivitet, se HFD 2016 ref. 8.

Författare: David Törngren

Bestämmelserna om personnummer har i princip oförändrade förts över från datalagen (1973:289). I fråga om återgivande av personnummer på datautskrifter, se prop. 1997/98:44 s. 77.

Författare: David Törngren

Om personuppgifter samlas in från den registrerade själv ska information ges i samband med insamlandet. Undantag gäller för sådant som den registrerade redan känner till (25 § 2 st.) samt om sekretess eller tystnadsplikt föreligger (27 §). Det finns inte något krav på att informationen ska vara skriftlig, se SOU 1997:39 s. 386.

Författare: David Törngren

Om personuppgifter samlas in från någon annan källa än den registrerade själv ska informationen som huvudregel lämnas när uppgifterna registreras. Det finns inte något krav på att informationen ska vara skriftlig, se SOU 1997:39 s. 386. Undantag från skyldigheten att lämna information finns i 24 § 2 och 3 st., 25 § 2 st. samt 27 §.

Författare: David Törngren

Se SOU 1997:39 s. 386 f. Bestämmelser av detta slag finns bl.a. i registerförfattningar, t.ex. förordningen (1998:1234) om det statliga personregistret och patientdatalagen (2008:355).

Författare: David Törngren

Den registrerade kan t.ex. sakna fast adress. Försök att nå den registrerade bör dock göras.

Författare: David Törngren

Faktorer som kan beaktas vid bedömningen är t.ex. antalet registrerade, uppgifternas ålder och de åtgärder som kan vidtas i stället för att den registrerade personligen informeras, se Öman/Lindblom, 2011, s. 382 ff.

Författare: David Törngren

Här avses namn och kontaktuppgifter rörande den fysiska eller juridiska person som är personuppgiftsansvarig, se SOU 1997:39 s. 385.

Författare: David Törngren

I 26 § regleras rätten för den registrerade att ansöka om s.k. registerutdrag, se SOU 1997:39 s. 389 f. och prop. 1997/98:44 s. 81 f. Undantag finns i 26 § 3 st. och 27 §. Personuppgifter som behandlas enligt den förenklade regleringen i 5 a § PUL omfattas inte av rätten till registerutdrag. I EU-domstolens dom den 17 juli 2014 i mål C-141/12 och C-372/12 ansågs det tillräckligt för att uppfylla rätten till registerutdrag enligt artikel 12 a i dataskyddsdirektivet, att sökanden ges tillgång till en fullständig sammanställning i begriplig form av de personuppgifter som behandlas. Sökanden ansågs däremot inte ha rätt till en kopia av de handlingar där personuppgifterna förekommer.

Författare: David Törngren

Den personuppgiftsansvarige är bara skyldig att utnyttja de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade, se prop. 1997/98:44 s. 83.

Författare: David Törngren

Information som inte har strukturerats så att sökning av personuppgifter underlättas.

Författare: David Törngren

Koncept, utkast och liknande.

Författare: David Törngren

Text som tillkommit för att förbereda ett ärende, t.ex. en föredragningspromemoria.

Författare: David Törngren

Paragrafen behandlas i SOU 1997:39 s. 394 f. och prop. 1997/98:44 s. 84 f.

Författare: David Törngren

En personuppgiftsansvarig som inte är myndighet får använda bestämmelserna i offentlighets- och sekretesslagen för att vägra att lämna ut information till de registrerade, se prop. 1997/98:44 s. 84 ff.

Författare: David Törngren

Inga formkrav finns för denna begäran, se prop. 1997/98:44 s. 133.

Författare: David Törngren

Den personuppgiftsansvarige måste skyndsamt utreda om framförda anmärkningar är befogade och, om så är fallet, snarast vidta korrigering. Det är i princip den personuppgiftsansvarige som själv väljer korrigeringsmetod, dvs. om de aktuella personuppgifterna ska rättas, blockeras eller utplånas. Begränsningar i fråga om valet kan dock finnas i annan lagstiftning, se prop. 1997/98:44 s. 134. När det gäller en registrerads rätt gentemot en sökmotorleverantör att information inte ska redovisas i en förteckning över sökresultat rörande den registrerade, se EU-domstolens dom den 13 maj 2014 i mål C-131/12 (”Google”).

Författare: David Törngren

Det finns inte någon formell skyldighet att självmant underrätta i flera led. I prop. 1997/98:44 s. 134 f. har dock förutsatts att de personuppgiftsansvariga frivilligt på lämpligt sätt ser till att mildra skadeverkningarna av felaktiga eller ofullständiga uppgifter som självmant har rättats.

Författare: David Törngren

Det som avses är personliga egenskaper såsom arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande, se prop. 1997/98:44 s. 88.

Författare: David Törngren

Granskningen ska utföras av en människa som har makt att ersätta det automatiserade beslutet med ett annat. Rätten till omprövning innebär dock inte att det automatiserade beslutet måste ersättas med ett nytt beslut, se prop. 1997/98:44 s. 135.

Författare: David Törngren

Informationsskyldigheten avser bara vad som har styrt behandlingen, dvs. den tekniska processen, se prop. 1997/98:44 s. 135.

Författare: David Törngren

Paragrafen behandlas i SOU 1997:39 s. 407 f. och prop. 1997/98:44 s. 90 f. och 136.

Författare: David Törngren

Skriftlighetskravet innebär att avtalet måste vara uttryckt i text, men texten kan finnas på papper likaväl som i elektronisk form. Något krav på undertecknande finns inte, se prop. 1997/98:44 s. 136.

Författare: David Törngren

Här avses särskilt bestämmelser om tystnadsplikt och sekretess, se prop. 1997/98:44 s. 136.

Författare: David Törngren

Se SOU 1997:39 s. 409 f. och prop. 1997/98:44 s. 92.

Författare: David Törngren

T.ex. vilka fysiska och logiska säkerhetshjälpmedel som finns tillgängliga på marknaden, se SOU 1997:39 s. 409.

Författare: David Törngren

En väsentlig faktor vid bedömningen är antalet personer som de behandlade personuppgifterna avser, se SOU 1997:39 s. 409.

Författare: David Törngren

Se Datainspektionens allmänna råd om säkerhet för personuppgifter.

Författare: David Törngren

Det är den personuppgiftsansvarige som har ansvaret gentemot den registrerade, även när ett personuppgiftsbiträde anlitats, se prop. 1997/98:44 s. 93.

Författare: David Törngren

Genom ett beslut i det enskilda fallet får den personuppgiftsansvarige preciserat vilka åtgärder som han eller hon måste vidta för att uppfylla säkerhetskraven. Följs inte beslutet kan Datainspektionen föreskriva vite, se 45 § 2 st. PUL.

Författare: David Törngren

Paragrafen fick denna lydelse den 1 januari 2000 (se prop. 1999/2000:11). Personuppgifter får föras över till tredje land om landet har en adekvat nivå för skyddet av personuppgifter. Frågan om skyddsnivån i ett tredje land är adekvat kan bedömas på olika sätt beroende på omständigheterna i det enskilda fallet. Kommissionen har genom en rad beslut konstaterat att skyddsnivån i vissa länder är adekvat, se 13 § PUF och bilaga 1 till förordningen. Om det inte finns något behov av skydd kan skyddsnivån vara adekvat även om dataskydd saknas i mottagarlandet. Uppgifterna ska vara sådana att det är uppenbart att det saknas risk för integritetskränkningar, se prop. 1999/2000:11 s. 14 ff. För att personuppgifter ska få föras över till tredje land räcker det inte att överföringen är tillåten enligt denna paragraf. Behandlingen måste också vara tillåten enligt 10 § PUL och, om det är känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer som ska föras över, även vara tillåten enligt 13–22 §§ PUL. Se även 7 § 2 st. PUL. I NJA 2005 s. 361 behandlas frågan om uppgifter överförts till tredje land genom att läggas ut på en webbplats. Någon sådan överföring ansågs i detta fall inte ha förekommit.

Författare: David Törngren

I fråga om omfattningen av förbudet, se SOU 1997:39 s. 413 f.

Författare: David Törngren

Se SOU 1997:39 s. 414 f. och prop. 1997/98:44 s. 93 f. Det räcker inte att överföringen är tillåten enligt denna paragraf. Behandlingen måste också vara tillåten enligt övriga bestämmelser i PUL, t.ex. 9 och 10 §§.

Författare: David Törngren

Begreppet samtycke definieras i 3 §. Ett samtycke berättigar bara till överföring av uppgifter om den som lämnat samtycket. Samtycket måste finnas innan överföringen påbörjas, jfr NJA 2005 s. 361. Beträffande återkallelse av samtycke, se 12 §.

Författare: David Törngren

När det gäller nödvändighetskravet, se SOU 1997:39 s. 359 och 414 samt EU-domstolens dom den 16 december 2008 i mål C-524/06 (”Huber”).

Författare: David Törngren

Beträffande undantaget för stater som anslutit sig till Europarådets konvention, se prop. 1997/98:44 s. 96.

Författare: David Törngren

Kommissionen kan enligt dataskyddsdirektivet besluta att ett visst tredje land har en adekvat skyddsnivå eller att standardvillkor ger tillräckliga garantier till skydd för de registrerades rättigheter, se prop. 1997/98:44 s. 94 f. Kommissionens beslut genomförs i svensk rätt genom 13 § PUF och bilagorna 1 och 2 till förordningen. Se också 13 a § PUF och bilaga 3 till förordningen.

Författare: David Törngren

Se 12 § PUF, som innebär att kommuner, landsting och kommunalförbund får lägga ut sina diarier samt justerade protokoll från sammanträden med fullmäktige eller nämnd på internet förutsatt att vissa personuppgifter uteslutits, samt 14 § PUF. Bestämmelser som medger överföring till tredje land utan hinder av förbudet i 33 § finns även i andra författningar, se t.ex. 114 kap. 29 § socialförsäkringsbalken och 3 § förordningen (2000:1222) om internationellt tullsamarbete.

Författare: David Törngren

Se 14 § PUF.

Författare: David Törngren

Enligt 36 § 1 st. gäller en generell anmälningsplikt för helt eller delvis automatiserad behandling av personuppgifter. Det finns dock omfattande undantag från anmälningsplikten, se 36 § 3 st. och 37 § PUL, 3–6 §§ PUF och Datainspektionens föreskrifter (DIFS 1998:2).

Författare: David Törngren

Se 5 § PUL.

Författare: David Törngren

Se Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

Författare: David Törngren

Se 3–6 §§ PUF samt Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

Författare: David Törngren

Se Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

Författare: David Törngren

Det är bara behandlingar som påbörjas efter det att personuppgiftsombudet har anmälts till Datainspektionen som är undantagna.

Författare: David Törngren

Personuppgiftsombudet ska vara en fysisk person, se 3 § PUL. En person som är anställd hos t.ex. ett aktiebolag kan utses. Uppdraget ska dock gå till den fysiska personen, inte till bolaget. Det finns inte några särskilda kvalifikationsregler, och anmälan till Datainspektionen enligt 36 § PUL innebär inte någon lämplighetsprövning. Ombudet måste ha en sådan position att han eller hon vågar påpeka fel och brister. Ombudet kan vara anställt hos den personuppgiftsansvarige och måste då ges en sådan ställning att uppgifterna kan utövas självständigt i förhållande till arbetsgivaren. Frågan om personuppgiftsombudets ställning i arbetsrättsligt hänseende behandlas i prop. 1997/98:44 s. 140. Personuppgiftsombudet måste förvissa sig om att den personuppgiftsansvarige följer bestämmelserna i PUL och i anknytande lagstiftning. Vilken omfattning kontrollen ska ha får avgöras från fall till fall. Omfattningen beror bl.a. på hur verksamheten är organiserad. Ombudet bör t.ex. granska rutinerna för behandling av personuppgifter och de krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på sin personal. Se Datainspektionens informationsskrift Personuppgiftsombudet (Datainspektionen informerar 2).

Författare: David Törngren

Den personuppgiftsansvarige förväntas lyssna på personuppgiftsombudet och inom rimlig tid rätta till eventuella brister.

Författare: David Törngren

Den 1 mars 2013 upphävdes 10 § PUF, vilket innebär att anmälan för förhandskontroll inte längre krävs vid behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning. Krav på förhandsanmälan finns dock i andra författningar, t.ex. 2 § förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Beträffande innehållet i anmälan, se Datainspektionens föreskrifter (DIFS 1998:2). Av 11 § PUF framgår att Datainspektionen ska fatta beslut huruvida åtgärder ska vidtas eller inte med anledning av anmälan. I beslutet uttalar Datainspektionen huruvida den anmälda behandlingen är förenlig med dataskyddsreglerna.

Författare: David Törngren

Se 6 § Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

Författare: David Törngren

Beträffande tillsynsmyndighetens befogenheter, se SOU 1997:39 s. 443 f. och prop. 1997/98:44 s. 102. Regleringen om domstolarnas självständighet i 11 kap. 3 § regeringsformen har inte ansetts utgöra hinder mot att Datainspektionen utövar tillsyn mot en domstols publicering av uppropslistor på internet, se Högsta förvaltningsdomstolens beslut den 16 maj 2014 i mål 6894-13.

Författare: David Törngren

Allmänna bestämmelser om vite finns i lagen (1985:206) om viten.

Författare: David Törngren

Bestämmelsen är avsedd att utnyttjas bara i undantagsfall när saken är klar och så brådskande att ett yttrande från den personuppgiftsansvarige inte kan avvaktas, se prop. 1997/98:44 s. 142.

Författare: David Törngren

Denna möjlighet är tänkt att användas endast i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av personuppgifterna med de regler som gäller, se prop. 1997/98:44 s. 142.

Författare: David Törngren

I fråga om bedömningen av vad som är oskäligt, se prop. 1997/98:44 s. 142 f.

Författare: David Törngren

Bestämmelserna är sådana specialbestämmelser om skadestånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1972:207). I den utsträckning en ersättningsfråga inte berörs i PUL tillämpas dock de allmänna reglerna i skadeståndslagen (se prop. 1997/98:44 s. 143 f.). Ersättningsskyldighet gentemot den registrerade föreligger så snart behandling har skett i strid med någon bestämmelse i PUL. Det är emellertid bara skada eller kränkning som den olagliga behandlingen fört med sig som ersätts. Orsakssambandet ska vara adekvat. Ersättningen får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Angående skadestånd av staten, se förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. När det gäller skadeståndets storlek, se NJA 2013 s. 1046.

Författare: David Törngren

För att ersättningsskyldighet ska uppkomma räcker det att den registrerade bevisar att det från den personuppgiftsansvariges sida förekommit en olaglig behandling av den registrerades uppgifter och att denna behandling kränkt honom eller henne. Därefter är det upp till den personuppgiftsansvarige att bevisa att den olagliga behandlingen inte berodde på honom eller henne, se prop. 1997/98:44 s. 144. Den personuppgiftsansvarige är gentemot den registrerade alltid, dvs. även om ett personuppgiftsbiträde anlitats eller ett personuppgiftsombud utsetts, ansvarig för all den behandling som han eller hon svarar för. Ett fel av t.ex. ett anlitat personuppgiftsbiträde får således anses bero på den personuppgiftsansvarige. En annan sak är att den personuppgiftsansvarige i allmänhet kan få ersättning av ett försumligt personuppgiftsbiträde för ersättning som måste betalas till den registrerade. När den registrerade har lämnat felaktiga eller ofullständiga uppgifter och detta lett till en olaglig behandling kan felet normalt inte anses bero på den personuppgiftsansvarige. En olaglig behandling som beror på felaktigheter i den utrustning som den personuppgiftsansvarige ansvarar för får dock som regel anses bero på den personuppgiftsansvarige, se prop. 1997/98:44 s. 144.

Författare: David Törngren

Se även 4 kap. 9 c § BrB.

Författare: David Törngren

I prop. 1997/98:44 s. 145 f. ges exempel på omständigheter som kan medföra att brottet ska bedömas som grovt.

Författare: David Törngren

Den 1 januari 2007 avkriminaliserades oaktsamhet av normalgraden. Endast uppsåtligt brott och grov oaktsamhet omfattas numera av straffbestämmelsen. Angående de subjektiva rekvisiten för straffbarhet, se prop 2005/06:173 s. 45.

Författare: David Törngren

Vad som är ringa fall får bedömas med hänsyn till samtliga omständigheter i det enskilda fallet, se prop. 1999/2000:11 s. 21 och NJA 2005 s. 361.

Författare: David Törngren

Se 16 § PUF.

Författare: David Törngren

Se Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

Författare: David Törngren

Se prop. 2005/06:173 s. 50 ff. Behörig domstol är Förvaltningsrätten i Stockholm.

Författare: David Törngren

Datainspektionens beslut att inte vidta någon åtgärd med anledning av ett klagomål har inte ansetts vara ett överklagbart beslut, se RÅ 2010 ref. 29.

Författare: David Törngren

Kravet på prövningstillstånd avser även överklagande av förvaltningsrättens beslut enligt 47 § PUL.