4.3 Personuppgiftslagen
Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid lärosätet.
Inledning
Ny regel efter 1 januari 2007
Några begrepp i personuppgiftslagen
Grundläggande krav på behandling av personuppgifter
Tillåten behandling av personuppgifter
Samtycke
Behandling av känsliga personuppgifter
Behandling av personnummer
Information till den registrerade
Säkerhet vid behandling av personuppgifter
Överföring av personuppgifter till tredje land
Personuppgifter på Internet
Lag (2001/02:44) om biobanker inom hälso- och sjukvården m.m.
Personuppgiftsombud och anmälan av personuppgiftsbehandling
Personuppgiftslagen och behandling av personuppgift för forsknings- och statistikändamål samt för annat ändamål t.ex. administrativt ändamål
Blanketter
Personuppgiftslagen (SFS 1998:204) (PuL) syftar till att skydda människor mot att deras personliga integritet kränks i samband med behandling av deras personuppgifter. PuL omfattar i princip all behandling av personuppgifter.Undantag görs dock för behandling av personuppgifter för privata ändamål som t.ex. ett privat förande av ett adressregister. PuL:s bestämmelser gäller inte heller i den utsträckning bestämmelserna skulle strida mot tryck- och yttrandefriheten eller skulle inskränka offentlighetsprincipen. Om det i annan lag eller förordning finns bestämmelser som avviker från PuL, gäller dessa bestämmelser istället. PuL är således subsidär d.v.s. träder åt sidan i förhållandet till annan lagstiftning.
Sedan den 1 januari 2007 har det införts en ny regel. Den nya regeln medför att vid viss behandling av personuppgifter så tillämpas en missbruksmodell istället för en hanteringsmodell som tillämpas generellt. Undantagsregeln har till syfte att underlätta den vardagliga behandlingen av personuppgifter där det normalt sett inte finns några risker för kränkning av att den personliga integriteten. Undantagsregeln omfattar behandling av personuppgifter i löpande text i ordbehandlingssystem och på Internet, ljud- och bildupptagningar och korrespondens per e-post. Undantaget kan t.ex. omfatta klasslistor och listor över medarbetare.
Undantagsregeln innebär att vardaglig behandling av personuppgifter i princip får utföras fritt så länge personuppgiftsbehandlingen inte kränker den enskilde vars uppgifter behandlingen avser. Kränkande behandling är alltid otillåten och att en kränkande åtgärd kan komma att bedömas som brott mot PuL.
Vid behandling av personuppgifter i regelrätta register eller andra samlingar av personuppgifter som är ordnade så att det ska bli enklare att söka efter eller sammanställa personuppgifter, till exempel databaser eller stora dokument- och ärendehanteringssystem gäller PuL som tidigare för alla personuppgifter i ett sådant system.
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter
Känsliga personuppgifter
Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv.
Behandling
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte.
Blockering
Personuppgifter spärras för eventuell korrigering vid felaktig personuppgift
Medhjälpare
Fysik person som behandlar personuppgifter under den personuppgiftsansvariges ledning t.ex. anställd
Personuppgiftsbiträde
Fysisk eller juridisk person som behandlar personuppgifter på personuppgiftsansvariges uppdrag, t.ex. konsultbyrå
Mottagare
Den till vilken personuppgifter lämnas ut. Myndighet anses inte som mottagare när personuppgifter lämnas ut för att myndigheten ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta.
Personuppgiftsombud (PUO)
Fysisk person som, efter förordnande av den personupp-giftsansvarige, självständigt har att tillse att personuppgifter inom verksamheten behandlas på ett korrekt och lagligt sätt.
Den registrerade
Fysisk person som en personuppgift avser.
Samtycke
Varje form av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, samtycker till behandling av hans eller hennes personuppgifter.
Tredje land
Stat som inte ingår i den Europeiska unionen, eller är ansluten till Europeiska ekonomiska samarbetsområdet.
Tredje man
Annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombud, personuppgiftsbiträde eller person som under den personuppgiftsansvariges eller personuppgiftsbiträdets ledning har befogenhet att behandla personuppgifter.
Personuppgifter får bara behandlas om det är lagligt och att de behandlas på ett korrekt sätt samt i enlighet med god sed. Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det för vilket de ursprungligen samlades in. De uppgifter som behandlas måste vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Personuppgifterna får bara behandlas om det är nödvändigt med hänsyn till ändamålet, de måste vara riktiga d.v.s. överensstämma med verkligheten och om det är nödvändigt även vara aktuella. Personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet måste rättas, blockeras eller utplånas. Till sist får personuppgifterna inte bevaras under längre tid än vad som är nödvändigt. För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särskilda regler.
Personuppgifter får som huvudregel endast behandlas med den registrerades samtycke. Behandling kan även få ske om den är nödvändig för att,
ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, 3 vitala intressen för den registrerade skall kunna skyddas,
en arbetsuppgift av allmänt intresse skall kunna utföras,
den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man som personuppgifterna lämnas ut till skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd
Ovan uppräkning är uttömmande och avser alla situationer när behandling av personuppgifter är tillåten. Vid behandling av känsliga personuppgifter och personnummer måste behandlingen därtill vara tillåten enligt de bestämmelser som gäller för sådana personuppgifter. ( se nedan p. 7 och 8).
PuL reglerar bl.a. under vilka förutsättningar som det är tillåtet för t.ex. lärosätet att behandla någon persons personuppgifter. Utgångspunkten är att det är den registrerade som s.a.s. äger sina egna personuppgifter och har att själv ta ställning i vad mån de personuppgifter som avser honom/henne skall få behandlas och av vem. För att detta skall vara möjligt måste den registrerade först ges information om vad personuppgiftsbehandlingen innebär och därefter ges möjlighet att ta ställning till i vad mån han/hon samtycker till behandlingen (informerat samtycke).
Från denna huvudregel finns omfattande undantag i PuL där behandling av personuppgifter kan ske utan att samtycke föreligger. . D.v.s. den registrerade får under vissa förutsättningar tåla att dennes personuppgifterna behandlas och även i vissa sammanhang mot den registrerades vilja.
Som huvudregel kan den registrerade när som helst återkalla sitt samtycke med att inga ytterligare personuppgiftsbehandlingar därefter får företas med de insamlade personuppgifterna avseende hans/hennes personuppgifter. De redan insamlade personuppgifterna får dock kvarstå dock utan att ytterligare behandling av dessa uppgifter får ske.
Enligt PuL är det förbjudet att behandla känsliga personuppgifter. Känsliga personuppgifter är personuppgifter som
avslöjar ras eller etniskt ursprung,
avslöjar politiska åsikter,
avslöjar religiös eller filosofisk övertygelse
avslöjar medlemskap i fackförening,
rör hälsa och sexualliv.
Behandling av känsliga personuppgifter kan . situationer där behandlingen är nödvändig för att den personuppgiftsansvarige,
skall kunna fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten,
skall kunna skydda vitala intressen hos den registrerade eller någon annan och den registrerade inte kan lämna sitt samtycke,
skall kunna fastställa, göra gällande eller försvara rättsliga anspråk.
såsom varande ideell förening behandla personuppgifter i föreningen där syftet har relevans på känsliga personuppgifter t.ex. patientföreningar, fackföreningar, trossamfund,
som verksam inom hälso- och sjukvården.
Känsliga personuppgifter får behandlas utan den registrerades samtycke för forskning och statistik, om behandlingen är nödvändig och om samhällsintresset av projektet klart väger över riskerna för otillbörligt intrång i den personliga integriteten. Om behandlingen har godkänts av en regional etikprövningsnämnd, skall dessa förutsättningar anses uppfyllda. Reglerna för behandling av känsliga personuppgifter gäller utöver de krav som ställs under punkt 4 och 5. Dessa punkter anger krav som ställs vid all behandling av personuppgifter.
Behandling av personnummer får ske med den registrerades samtycke. Personnummer får utan samtycke behandlas i övrigt när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Om personuppgifter samlas in från den registrerade själv, skall information om behandlingen självmant lämnas den registrerade. Lämpligen kan detta ske i samband med insamlandet. Om personuppgifter samlas in från någon annan källa än de registrerade, skall information lämnas den registrerade när personuppgifterna för första gången registreras.
Om personuppgifter samlas in från den registrerade själv, skall information om behandlingen självmant lämnas den registrerade. Lämpligen kan detta ske i samband med insamlandet. Om personuppgifter samlas in från någon annan källa än de registrerade, skall information lämnas den registrerade när personuppgifterna för första gången registreras
Om personuppgifter är avsedda att lämnas ut till tredje man, skall informationen lämnas till den registrerade senast när personuppgifterna lämnas ut för första gången.
Beträffande barn under 15 år skall information lämnas till vårdnadshavare, barn mellan 15-18 år skall få tillgång till informationen tillsammans med vårdnadshavaren.
Utöver skyldigheten för lärosätet att självmant informera om personuppgiftsbehandlingen så finns det regler som ger den registrerade rätt att på egen begäran få information om pågående behandling av hans/hennes personuppgifter, en s.k. begäran om registerutskrift. En sådan begäran, som skall vara egenhändigt underskriven av den registrerade, kan ställas en gång per kalenderår.
9.1 Undantag från informationsskyldigheten
Information behöver inte lämnas alls, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i annan lag eller någon annan författning. Ett exempel är här utlämnande av personuppgifter i samband med att tillmötesgå en begäran i enlighet med offentlighetsprincipen.
Informationsskyldigheten kan också begränsas av regler om sekretess och tystnadsplikt. Information behöver inte lämnas om sådant som den registrerade redan känner till. Inte heller behöver information lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om personuppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att en sådan åtgärd vidtas.
Lärosätet har som personuppgiftsansvarig att tillförsäkra att en lämplig säkerhetsnivå upprätthålls vid behandling av personuppgifter. Medarbetaren som i sin anställning har att behandla personuppgifter är skyldig att följa de säkerhetsåtgärder som anvisas.
I bestämmandet av lämplig säkerhetsnivå bör följande beaktas,
de tekniska möjligheter som föreligger,
kostnader i samband med genomförande av dessa åtgärder,
om det föreligger särskilda risker vid den aktuella personuppgiftsbehandlingen
med beaktandet av hur känsliga de behandlade personuppgifterna är,
antalet behandlade personuppgifter.
Med lämplig säkerhetsnivå menas, en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig. Det skall finnas en balans mellan nedlagda kostnader och ansträngningar i relation till allvarlighetsgranden av de behandlade personuppgifterna.
Vid anlitande av utomstående personuppgiftsbiträde för uppdrag som utgör behandling av personuppgifter, skall det finnas ett skriftligt avtal (personuppgiftsbiträdesavtal) som särskilt reglerar säkerhetsfrågorna. Det är lärosätet som har det slutgiltiga ansvaret och därtill det rättsliga ansvaret gentemot den registrerade.
Det finns ett generellt förbud mot att föra över personuppgifter som är under behandling till ett tredje land d.v.s. ett land utanför EU och EES. Det är dock tillåtet att t.ex. föra över personuppgifter till tredje land med den registrerades samtycke. Ytterligare undantag finns uppräknande i PuL.
Behandling av personuppgifter över Internet innebär att personuppgifter blir tillgängliga för alla med anslutning till Internet över hela världen. PuL blir nästan alltid tillämplig vid sådana situationer. Om t.ex. en webbplats accessbegränsas kommer frågan om personuppgifternas tillgänglighet att avgöras med hänvisning till vilka länder webbplatsen de facto då blir tillgänglig. Överföring av personuppgifter till land inom EU- och EES-området betraktas inte som överföring till tredje land och är tillåten, givetvis under förutsättning att övriga regler i PuL beaktats.
Den registrerades samtycke innebär att det är tillåtet att tillgängliggöra hans/hennes personuppgifter på Internet. Även i de fall där samtycke av något skäl inte inhämtas kan det vara tillåtet att tillgängliggöra personuppgifter t.ex. på en webbplats i informationssyfte. Det kan vara tillåtet att tillgängliggöra personuppgifter utan samtycke om mottagarlandet har en adekvat skyddsnivå för personuppgifter. Detta innebär att harmlösa personuppgifter får publiceras på Internet utan den registrerades samtycke då sådana uppgifter inte anses kräva något skydd. Det anses inte utgöra något integritetsintrång att tillgängliggöra dem på Internet. Skyddsnivån för harmlösa personuppgifter uttrycks som att de inte behöver något skydd alls. Vilka personuppgifter som kan anses utgöra harmlösa personuppgifter måste bedömas från fall till fall. Utgångspunkten måste vara i vad mån den registrerade kan uppleva publiceringen som ett integritetsintrång. Om osäkerhet råder i vad mån de registrerade kommer att uppleva en publicering t.ex. på en webbplats såsom integritetskränkande, kan det vara en god regel att efterfråga hans/hennes samtycke. Behandling av personuppgifter för privata ändamål över Internet betraktas inte som privat behandling med hänvisning till att personuppgifterna blir tillgängliga över hela världen. Exempel på personuppgifter som torde kunna uppfattas som harmlösa skulle kunna vara arbetsrelaterade personuppgifter som, namn, befattning, telefonnummer, e-postadress och torde normalt kunna publiceras på en webbplats utan medarbetarens samtycke. Däremot rekommenderas inte att publicera personuppgifter som hemadress, hemtelefonnummer eller foton utan att samtycke inhämtas. Exempel på studenters namn, studiegrupp och student-e-postadress vid lärosätet torde normalt kunna publiceras. Däremot beträffande personuppgifter som hemadress, telefonnummer eller foton rekommenderas att samtycke inhämtas. Kallelser, föredragningslistor och protokoll kan publiceras om informationen inte innehåller integritetskänsliga personuppgifter. Vilka personuppgifter som kan uppfattas som integritetskänsliga måste bedömas från fall till fall, vilket innebär att alla protokoll måste granskas och bedömning skall ske innan publicering.
Utgångspunkten måste vara i vad mån den registrerade kan uppleva publiceringen som ett integritetsintrång. Om osäkerhet råder i vad mån de registrerade kommer att uppleva en publicering t.ex. på en webbplats såsom integritetskränkande, kan det vara en god regel att efterfråga hans/hennes samtycke.
Behandling av personuppgifter för privata ändamål över Internet betraktas inte som privat behandling med hänvisning till att personuppgifterna blir tillgängliga över hela världen.
Exempel på personuppgifter som torde kunna uppfattas som harmlösa skulle kunna vara arbetsrelaterade personuppgifter som, namn, befattning, telefonnummer, e-postadress och torde normalt kunna publiceras på en webbplats utan medarbetarens samtycke. Däremot rekommenderas inte att publicera personuppgifter som hemadress, hemtelefonnummer eller foton utan att samtycke inhämtas.
Exempel på studenters namn, studiegrupp och student-e-postadress vid lärosätet torde normalt kunna publiceras. Däremot beträffande personuppgifter som hemadress, telefonnummer eller foton rekommenderas att samtycke inhämtas.
Kallelser, föredragningslistor och protokoll kan publiceras om informationen inte innehåller integritetskänsliga personuppgifter. Vilka personuppgifter som kan uppfattas som integritetskänsliga måste bedömas från fall till fall, vilket innebär att alla protokoll måste granskas och bedömning skall ske innan publicering.
Lagen om biobanker i hälso- och sjukvården m.m. trädde i kraft den 1 januari 2003. Lagen gäller för biobanker som består av vävnadsprover som tagits och samlats in för ett visst ändamål från patienter eller annan provgivare inom hälso- och sjukvården och som bevaras tills vidare eller för en bestämd tid. En förutsättning för att materialet skall omfattas av lagen är att materialets ursprung kan spåras till en viss person. Endast biobanker som inrättas av vårdgivare omfattas av lagen. En biobank kan av vårdgivaren ställas till förfogande för något annat ändamål än det ursprungliga t.ex. för forskning vid ett lärosäte. Lärosätet kan då få tillgång till en biobank varvid en sådan biobank benämns sekundär biobank. En sekundär biobank skall anmälas
De personuppgifter som hänför sig till det biologiska materialet i biobanken och som förvaras ianslutning därtill är i formell mening inte en del av biobanken. Dessa personuppgifter omfattas av PuL:s stadganden
Biobanker som upprättas av universitet inom dess verksamhet och inte kan härledas från hälso-ochsjukvården omfattas inte av biobankslagen och utgör inte en s.k. sekundär biobank. I det fallet utgör upprättandet av biobanken en behandling av personuppgifter i enlighet med PuL.
Enligt PuL skall all behandling av personuppgifter generellt anmälas till Datainspektionen. Lärosätet har tillsatt ett personuppgiftsombud och anmält detta till Datainspektionen.
Anmälan av behandling av personuppgifter sker därmed till personuppgiftsombudet.
att självständigt tillse att personuppgifter behandlas på ett lagligt och korrekt sätt i enlighet med god sed samt i förekommande fall påpeka brister för den personuppgiftsansvarige,
att om självrättelse inte sker efter personuppgiftsombudets interna påpekande anmäla missförhållanden till Datainspektionen,
att samråda med Datainspektionen vid tveksamhet rörande lagens tillämpning,
att föra förteckning över pågående personuppgiftsbehandlingar,
att hjälpa den registrerade med rättelse och information.
- Behandling av personuppgift för forsknings- och statistikändamål där samtycke inhämtats eller där annat särskilt lagstöd gäller, skall anmälas till personuppgiftsombudet. (bilaga 1).
- Behandling av personuppgift för administrativt ändamål, där samtycke inhämtats eller annat särskilt lagstöd gäller, skall anmälas till personuppgiftsombudet (bilaga 2).
- Behandling av personuppgift för forsknings- och statistikändamål, innehållande känsliga personupp-gifter där samtycke inte inhämtats, får behandlas om forskningsprojektet och den däri ingående behandlingen av personuppgifter har godkänts av en Regional etikprövningsnämnd i enlighet med Lagen (2003:460) om etikprövning av forskning som avser människor. Den regionala etikprövnings-nämnden tar således ställning till forskningsprojektet både utifrån etisk synvinkel som till behandlingen av personuppgifternas laglighet utifrån PuL. Anmälan görs till personuppgiftsombudet efter att den Regionala etikprövningsnämnden har prövat ärendet och nämndens beslut bifogas (bilaga 1)
- Behandling av personuppgift för forsknings- och statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och där ansökan inte skall behandlas av Regional etikprövningsnämnd, skall anmälas till Datainspektionen. Anmälan till Datainspektionen skall ske tre veckor innan behandlingen av personuppgifterna påbörjas. Anmälan görs till personuppgiftsombudet efter Datainspektionens prövning och Datainspektionens beslut bifogas (bilaga 1).
- Behandling av personuppgift för forsknings- och statistikändamål där behandling av personuppgifter avser genetiska anlag som framkommit efter genetisk undersökning. Anmälan sker till Datainspektionen för förhandskontroll och skall ske tre veckor innan behandling av personuppgifter påbörjas. Anmälan görs till personuppgiftsombudet efter Datainspektionens prövning och Datainspektionens beslut bifogas (bilaga 1).
- Avanmälan. När en behandling av personuppgifter är avslutade skall dessa normalt avidentifieras. Ta kontakt med personuppgiftsombudet för vidare åtgärd (bilaga 3).
Blankett för Anmälan av behandling av personuppgift för forsknings- och statistikändamål, bilaga 1.
Blankett för Anmälan för förhandskontroll enligt personuppgiftslagen 41§rekvireras från Datainspektionen och blankett för Anmälan av behandling av personuppgift för forsknings- och statistikändamål, bilaga 1 Blankett för Anmälan av behandling av personuppgifter för annat ändamål t.ex. för administrativt ändamål, bilaga 2. Blankett för Avanmälan avseende behandling av personuppgift, bilaga 3. Personuppgiftslagen och behandling av personuppgift för forsknings- och statistikändamål samt för annat ändamål t.ex. administrativt ändamål
Övrigt