Ett av de mest uppmärksammade fallen är det så kallade konfirmandlärarmålet, där en anställd på sitt arbetes webbplats hade lagt ut presentationer av sina kollegor. I en av presentationerna nämndes att personen hade varit sjukskriven på grund av en skadad fot. Eftersom uppgifter om hälsa betraktas som särskilt känsliga personuppgifter bedömdes det som en otillåten behandling enligt Pul.
– Konfirmandläraren hade blivit fälld även med dagens regler om ostrukturerade personuppgifter. Uppgifter om hälsa riskerar ofta att ses som kränkande om de publiceras i fel sammanhang och på fel sätt, säger Karl-Fredrik Björklund, advokat på advokatfirman Carler.
”Alla företag måste följa Pul, men det behöver inte orsaka problem.”
Karl-Fredrik Björklund , Carler
Datalagen kom 1973
Under 70- och 80-talet införde många länder lagstiftning som reglerade företags och myndigheters automatiska databehandling för att förhindra att människors personliga integritet kränktes. I Sverige infördes datalagen redan 1973.
Med tiden blev det intressant, lönsamt och nödvändigt för företag och myndigheter att utbyta personuppgifter med varandra. Inom ett land var det inga större problem, eftersom alla lydde under samma lagstiftning och det som var tillåtet för företag A inte kunde vara förbjudet för företag B.
Handel och informationsutbyte vill gärna korsa gränser. I EG ansåg man att medlemsländernas olika skyddsnivåer utgjorde ett handelshinder och i mitten av 90-talet antogs ett direktiv kallat personupppgiftsdirektivet. Ett EG-direktiv är en instruktion till medlemsländerna att anpassa sin lagstiftning till specifika krav. Personuppgiftsdirektivet ålade medlemsländerna att införa specifik lagstiftning för när och hur personuppgifter fick hanteras. I Sverige resulterade det i att den gamla datalagen ersattes av Personuppgiftslagen (Pul).
Reglerna i direktivet handlar inte i första hand om personuppgiftsbehandlingen är tillåten eller förbjuden, utan om hur behandlingen ska ske för att vara tillåten.
Måste följas av alla
– Alla företag och myndigheter måste följa Pul. Däremot behöver det inte alltid ställa till problem. De som framför allt behöver tänka på Pul är de som behandlar stora mängder personuppgifter, där de registrerade kan känna sig kränkta, säger Karl-Fredrik Björklund på advokatfirman Carler.
För att veta om det man tänker göra är förenligt med Pul måste man undersöka fyra saker: tillämpligheten, tillåtenheten, anmälan och behandlingen.
Den första frågan är om Pul över huvud taget är tillämplig. Eftersom lagen definierar begreppen ”behandling” och ”personuppgift” mycket brett faller nästan all databehandling som har en koppling till levande personer under den. Behandling för rent privat bruk undantas dock, men så fort uppgifterna görs tillgängliga för andra, till exempel om de publiceras på internet, är det inte fråga om rent privat bruk.
Svensk lagstiftning har ett särskilt undantag för tryck- och yttrandefrihetssyfte och om den lagstiftningen är tillämplig sätts reglerna i Pul helt ur spel (läs mer i rutan ”Så fungerar ett utgivningsbevis” nedanför). Pul sätts även delvis ur spel när det är fråga om personuppgiftsbehandling för journalistiska ändamål eller konstnärligt skapande.
Ett närliggande undantag för så kallade ostrukturerade personuppgifter infördes 2007. För uppgifter som inte är strukturerade så att de lätt går att söka och sammanställa, exempelvis omnämnande av personer i löpande text, ersätts personuppgift
slagens detaljerade hanteringsmodell av en missbruksprincip. Det är en generell regel som förbjuder sådan behandling (exempelvis publicering) som kränker den personliga integriteten.
De svenska tryck- och yttrandefrihetsgrundlagarna (TF/YGL) sätter Pul ur spel vad gäller informationsbehandling som syftar till att publicera informationen. Var och en kan få sin webbplats skyddad enligt dessa lagar genom att ansöka om ett utgivningsbevis hos Radio- och TV-verket.
För att få ett utgivningsbevis krävs att man uppfyller ett antal krav. TF/YGL bygger på ett ensamansvar, det vill säga att en ansvarig utgivare bär ansvar för det som förekommer i publiceringen, oavsett vem som har skrivit. För att det ska vara rimligt krävs att ansvarige utgivaren har full kontroll över innehållet på webbplatsen.
Med och utan samtycke
Andra frågan är om den behandling man vill göra är tillåten. Lagstiftningen har som huvudregel att behandling som sker med samtycke från den registrerade är tillåten. Även utan den registrerades samtycke kan behandling vara tillåten om det är för något av de syften som anges i lagtexten.
För vissa känsliga uppgifter, exempelvis sådana som avslöjar etniskt ursprung, politiska åsikter eller religiös övertygelse eller sådana som rör hälsa eller sexualliv, görs en strängare bedömning. Sådana uppgifter får inte behandlas om det inte finns ett uttryckligt samtycke från den registrerade, alternativt att behandlingen sker för vissa angivna syften som anses vara angelägna ur allmän synpunkt.
Uppgifter om lagbrott får över huvud taget inte behandlas av andra än myndigheter. Den statliga myndigheten Datainspektionen kan dock bevilja ett undantag från dessa förbud, om det behövs med hänsyn till ett viktigt allmänt intresse.
Anmälan till Datainspektionen
Bara för att behandlingen är tillåten är man inte färdig att sätta igång. Behandling av personuppgifter är som grundregel anmälningspliktig till Datainspektionen. Myndigheten ska känna till vilka potentiellt integritetskränkande databehandlingar som försiggår.
Eftersom i princip alla företag gör någon form av personuppgiftsbehandling finns det långtgående undantag från anmälningsplikten. Datainspektionen har till exempel meddelat undantag för vanliga personal- och kundregister. I praktiken är det främst registrering utan den registrerades godkännande som är anmälningspliktig.
Det finns även ett generellt undantag. Om man utser ett personuppgiftsombud behöver man inte anmäla behandlingen. Man måste dock anmäla det faktum att man har utsett ett personuppgiftsombud.
– Det är oftast bättre att ha ett personuppgiftsombud, inte bara för att administrationen minskar. Man har också någon att fråga, ombudet ska fungera lite som en internrevisor och ha koll på lagens krav, säger Karl-Fredrik Björklund på Carler.
Krav på själva behandlingen
När man har undersökt om behandlingen är tillåten och eventuellt gjort en anmälan till Datainspektionen kan man börja sin behandling. Pul ställer långtgående och detaljerade krav på hur det ska gå till. Framför allt får man bara samla in uppgifter för särskilda, uttryckligen angivna och berättigade ändamål.
Uppgifterna ska vara korrekta och felaktigheter ska korrigeras. De registrerade ska informeras om behandlingen, kunna få besked om vilka uppgifter om dem som behandlas samt kunna påtala ändring om det visar sig att uppgifterna inte stämmer. Om tillåtligheten grundade sig på den registrerades samtycke ska denne ha möjlighet att återkalla sitt samtycke.
Pul ställer även krav på säkerheten. Ju känsligare uppgifterna är, desto högre säkerhet krävs. Nyligen kritiserade till exempel Datainspektionen Apoteket för att de skickade elektroniska recept, det vill säga uppgifter om personers hälsa, i okrypterad form.
Bilddagboken är en av Sveriges största communities, med hundratusentals medlemmar och därmed många personuppgifter att säkra och hålla reda på.
Hur hanterar Bilddagboken personuppgifter?
– När man skapar en dagbok kräver vi att man lämnar e-post och kön, övriga uppgifter är frivilliga. Vi loggar även ip-adress för alla meddelanden som skickas på sajten, för att kunna lämna ut till polisen om det skulle förekomma hot eller trakasserier, säger Sebastian Winding på Bilddagboken.
– Vi har inget personuppgiftsombud eftersom de enda uppgifter vi kräver är e-post och kön. Vi har varit i kontakt med Datainspektionen angående detta och fått svaret att det för denna typ av uppgifter inte krävs något ombud.
Är Pul bra eller ställer lagen orimliga krav?
– Pul är grunden för en stor del av vårt säkerhetsarbete eftersom en bild kan vara en personuppgift. Vi tar varje dag bort bilder på personer som inte önskar bli publicerade. I förhållande till BBS-lagen omfattar Pul minst en lika stor del av det dagliga säkerhetsarbetet.
Ip-adresser är personuppgifter
En av anledningarna till att Pul möttes av så starka protester när lagen infördes var att begreppen som användes i lagtexten var vaga och tycktes kunna täcka in i stort sett vad som helst. Till viss del stämmer det, exempelvis omfattar begreppet behandling i stort sett allt man kan tänkas göra med uppgifter, inklusive att bara lagra dem. Lagen gäller alltså inte bara internetpublicering av uppgifter.
Även begreppet personuppgift har fått en vid definition och innebär allt som direkt eller indirekt kan hänföras till en levande person. I praxis har exempelvis dynamiska ip-adresser ansetts utgöra personuppgifter, trots att de inte går att hänföra till en person av någon annan än användarens internetleverantör (som dessutom bara kan hänföra en viss adress till en användares abonnemang, ingen kan veta vem som sitter vid datorn). Fotografier, videoinspelningar med mera kan vara personuppgifter, även om de vanligtvis faller under regleringen för ostrukturerade personuppgifter.
Webbplats inte överföring
I det så kallade konfirmandlärarmålet, som vi nämnde i artikelns inledning, bad Hovrätten om ett förhandsbesked från EG-domstolen, en process där medlemsländernas domstolar kan begära en närmare precisering av hur bestämmelserna i ett direktiv ska tolkas. En av frågorna rörde begreppet ”överföring till tredje land”, det vill säga ett land som inte är med i EU och inte omfattas av persondatadirektivet. EG-domstolen menade att även om publicering på en webbplats medför att uppgifterna kan hämtas från alla länder är det inte överföring i direktivets mening. Däremot kan det vara det om webbservern står i ett land utanför EU.
– All överföring inom EES är okej, men många företag behöver föra uppgifter till andra länder. Kommissionen har en lista över godkända länder som har en lagstiftning som motsvarar kraven i Pul och personuppgiftsdirektivet. USA:s lagstiftning anses inte uppfylla kraven, så för att göra det möjligt att ändå överföra uppgifter till amerikanska företag och organisationer har EU-kommissionen och amerikanska handelsministeriet utarbetat regler genom vilka företag och organisationer kan förbinda sig att följa personuppgiftsdirektivet. Uppgifterna kan då föras över till dessa företag och organisationer i USA, säger Karl-Fredrik Björklund.
”I Ramsbrofallet blev en person åtalad för brott mot Pul.”
Ett annat uppmärksammat fall är det så kallade Ramsbrofallet, där en person på sin webbplats ”hängt ut” ett antal bankchefer. Personen blev åtalad för brott mot personuppgiftslagen, men Högsta domstolen kom fram till att undantaget för journalistiska ändamål var tillämpligt och att behandlingen inte omfattades av Pul.
Även om de flesta anser att den personliga integriteten är värdefull ansätts den från många håll, både av kommersiella och av allmängiltiga intressen. Den tekniska utvecklingen gör att man hela tiden måste göra avvägningar.
Personuppgiftslagens tekniskt komplicerade struktur, där i stort sett varje regel har undantag, gör det svårt att ge ett enkelt svar på frågan ”Är det här tillåtet?”, men om man gör en utredning kan man i de flesta fall vara ganska säker på det svar man får.
Foto: Andreas Eklund
Så går du vidare, externa länkar:
» www.datainspektionen.se/ – Datainspektionen har redogjort för vilka krav Pul ställer i olika typsituationer. Deras jurister kan även svara på frågor om hur Pul ska tillämpas.
» www.rtvv.se/ – Radio- och TV-verket hanterar ansökning om utgivningsbevis för den som vill omfattas av YGL:s regler.
» http://regeringen.se/sb/d/108/a/1173 – Propositionen till 1998 års personuppgiftslag.
» http://regeringen.se/sb/d/108/a/2673 – Inför 2007 års översyn av personuppgiftslagen gjordes en utredning som bland annat beskriver hur lagen tillämpats i praxis.
1. Publicera en idrottsförenings medlemslista på nätet (ostrukturerade personuppgifter).
2. Namnge personer på en blogg (journalistiska ändamål).
3. Ha ett register över kunder (ingen anmälningsskyldighet).
4. Föra över uppgifter till ett dotterbolag, även utanför europeiska ekonomiska samarbetsområdet, EES. (Om företaget har bindande koncernregler för personuppgiftsbehandling som uppfyller kraven i Pul).
5. Nästan vad som helst, så länge man inte delar med sig av uppgifterna.
1. Publicera nakenbilder på någon (kränker den personliga integriteten).
2. Lägga ut företagets kundregister på en webbplats (otillräcklig säkerhet).
3. Föra register över anställda som misstänks ha snattat på lagret (hantering av brottsuppgifter kräver Datainspektionens tillstånd).
4. Använda personuppgifter i ett annat syfte än det de samlades in för.
5. Skicka direktreklam till kunder i ett kundregister som skriftligen har anmält att de inte vill ha sådan.