Personuppgiftslagstiftningen

Inledning

Myndigheter samlar in och lagrar stora mängder personuppgifter och för att skydda den personliga integriteten finns detaljerad lagstiftning om hur personuppgifter ska behandlas. PSI-lagen begränsar inte dessa bestämmelser (4 §). Bestämmelser i personuppgiftslagstiftningen reglerar både tillgängliggörandet av personuppgifter (för vidareutnyttjande), och själva vidareutnyttjandet.

När det gäller att lämna ut personuppgifter har det betydelse om tillhandahållandet följer bestämmelserna om allmänna handlingar eller inte. En person eller ett företag som ska vidareutnyttja handlingar som innehåller personuppgifter måste försäkra sig om att det är tillåtet, oavsett formen för utlämnandet. De rättsliga förutsättningarna för olika typer av vidareutnyttjande diskuteras inte närmare i denna vägledning.

Personuppgiftslagen

Det svenska regelverket för behandling av personuppgifter finns framför allt i personuppgiftslagen (1998:204), PUL. Lagen genomför det s.k. dataskyddsdirektivet i svensk rätt. PUL gäller bl.a. för all automatiserad behandling av personuppgifter (5 §) som inte uttryckligen undantas från lagens tillämpningsområde. Sådana undantag finns bl.a. för enskildas yttrandefrihet (7 §) eller för den behandling som är särreglerad i en s.k. registerförfattning, dvs. en särskild lag eller förordning som reglerar personuppgiftsbehandlingen i en bestämd offentlig verksamhet (2 §). Det är normalt den myndighet som behandlar personuppgifter, t.ex. gör dem tillgängliga på webbplatsen, som är personuppgiftsansvarig och därmed ska se till att lagens bestämmelser följs.

Det är vanligt att myndighetshandlingar som är efterfrågade för vidareutnyttjande innehåller personuppgifter, både om enskilda medborgare och om tjänstemän eller politiker. Enligt PUL är en personuppgift ”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet” (3 §). En handling utan t.ex. namn eller personnummer kan anses innehålla personuppgifter om det med rimliga ansträngningar går att knyta informationen till en fysisk person. Därför räcker det ofta inte att ta bort identifierande uppgifter såsom namn. En sådan maskering kan dock medföra att en annars otillåten behandling blir tillåten enligt PUL.

Hanteringsreglerna

Personuppgiftslagen, liksom EU:s dataskyddsdirektiv, bygger i grunden på den s.k. hanteringsmodellen. Denna regleringsmodell innebär att användarnas integritet skyddas genom detaljerade regler som anger när och hur personuppgifter får behandlas. Den som behandlar personuppgifter måste dels ha rättsligt stöd för detta (10 §), dels uppfylla vissa grundläggande krav på behandlingen (9 §). För vissa typer av uppgifter ställs högre krav för att behandling ska vara tillåten, t.ex. känsliga personuppgifter (13 §) eller uppgifter om personnummer eller samordningsnummer (22 §). Därutöver ger PUL enskilda personer vissa rättigheter i samband med att deras personuppgifter behandlas, t.ex. rätt att få information om behandlingen (23–27 §). Det krävs särskilda förutsättningar för att personuppgifter ska få överföras till ett tredje land, dvs. ett land utanför EU och EES (33–35 §).

När en myndighet tillgängliggör personuppgifter i elektronisk form (t.ex. för vidareutnyttjande) måste det följa personuppgiftslagstiftningens regler. Myndigheten måste t.ex. ha rättsligt stöd för behandlingen och se till att de grundläggande kraven på behandlingen uppfylls. Längre fram ser vi närmare på tillämpningen av personuppgiftslagstiftningens regler i samband med tillgängliggörande av information i elektronisk form, se huvudalternativet respektive andrahandsalternativet.

Missbruksregeln

Hanteringsreglerna i PUL behöver enligt en undantagsregel inte tillämpas på en ostrukturerad behandling, dvs. behandling av personuppgifter ”som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter”. Behandlingen är tillåten när personuppgifter inte ingår i eller är avsedda att ingå i traditionella databaser som är strukturerade så att de underlättar sökning efter t.ex. namn eller personnummer. Förutsättningen är dock att behandlingen inte kan anses kränka den registrerades personliga integritet (5 a §). Läs mer om vad som kan räknas som en kränkning i samband med att en myndighet tillgängliggör information i elektronisk form.

Särskilda registerförfattningar

Behandlingen av personuppgifter hos myndigheter är många gånger särreglerad i registerförfattningar som uttryckligen begränsar för vilka ändamål de aktuella uppgifterna får behandlas och vem uppgifterna får lämnas ut till. Ibland regleras även avgifter. I praktiken begränsar sådana bestämmelser ofta en myndighets möjlighet att göra uppgifterna tillgängliga i elektronisk form för vidareutnyttjande. Däremot begränsar de inte enskilda personers eller företags rätt att ta del av allmänna handlingar enligt 2 kap TF, dvs. i form av utskrifter. Registerförfattningars regler om sök- och sammanställningsbegränsningar kan däremot i vissa fall påverka vad som anses vara en förvarad och därmed allmän handling hos en myndighet (TF 2:3 tredje stycket).