Sekretess och datainspektionen
Denna sida är uppdaterad 2010-08-01

Samhället har genom lagar tagit ansvar för att känsliga uppgifter om enskilda individer inte skall hanteras hur som helst. Detta handlar dels om att känslig information inte skall spridas hur som helst och dels om att känslig information inte får användas i tveksamma syften.

Datalagen
Datalagen tillkom 1973 för att skydda den enskildes integritet i samband med datorbearbetning av personuppgifter. Centralt i datalagen var definitionen av personregister. Alla register där uppgifterna på ett eller annat sätt kan hänföras till en enskild individ är ett personregister. För att få lagra uppgifter i ett personregister krävdes dels att den registeransvarige hade licens och ofta även ett tillstånd för varje register. Tillståndspliktiga register var:

• Register med känsliga uppgifter eller omdömen om personer.
• Register med personer som inte har anknytning till den registeransvariga, exempelvis personer som inte är anställda, kunder eller elever.
• Samkörning av två eller flera personregister

Tillstånden utfärdades av datainspektionen. Personuppgifter inom landstingen för direkt sjukvård var undantagna från kravet om tillstånd. Däremot krävdes tillstånd för alla forskningsprojekt som datorbehandlade personuppgifter. Utvecklingen har gjort att delar av datalagen blivit inaktuella. Datalagen ersattes därför i oktober 1998 av personuppgiftslagen. Den gamla datalagen fanns kvar under en övergångsperiod av tre år. Oktober 2001 upphörde den gamla datalagen helt att gälla.

Personuppgiftslagen (SFS 1998:204)
Enligt ett riksdagsbeslut trädde 24 Oktober 1998 nya personuppgiftslagen i kraft. Den bygger på gemensamma regler som har beslutats av EU och ersätter den tidigare datalagen. Alla personregister som anmälts till datainspektionen före 24 oktober 1998 kommer att följa den gamla datalagen under en övergångstid av tre år. Alla personregister som startar efter nya personuppgiftslagen trätt i kraft följer reglerna för nya personuppgiftslagen.
    Personuppgiftslagen omfattar alla personuppgifter som kan hänföras till en person och som ingår i en samlad struktur av information. Lagen omfattar alla samlingar av personuppgifter, oavsett om de datorbehandlas eller bearbetas på annat sätt (SFS 1998:204:5§). Samlingar av personuppgifter som är av rent privat natur, exempelvis telefon och adresslista till släkt och vänner, omfattas ej av personuppgiftslagen (SFS 1998:204:§6). Om personuppgiftslagen kommer i konflikt med tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen så skall personuppgiftslagen vara underordnad de andra förordningarna / lagarna.

Personuppgifter får bara behandlas/bearbetas om (SFS 1998:204:§10):

• Den registrerade lämnat sitt samtycke till bearbetningen.
• Bearbetningen krävs för att kunna fullgöra ett avtal med den registrerade.
• Bearbetningen krävs för att den som är ansvarig för personregistret skall kunna fullgöra en rättslig skyldighet.
• Bearbetningen behövs för att kunna skydda vitala intressen för den registrerade.
• Bearbetningen krävs för att kunna utföra arbetsuppgifter av allmänt intresse
• Bearbetningen krävs i samband med myndighetsutövning.
• Bearbetningen rör ett berättigat intresse hos den som ansvarar för registret och om detta intresse väger tyngre än den registrerades eget intresse av skydd mot kränkning av den personliga integriteten.

En huvudtanke i personuppgiftslagen är alltså att uppgifter om enskilda människor bara får samlas in efter direkt godkännande av den enskilde (vissa undantag finns). De andra grundläggande kraven på behandling av personuppgifter är (SFS 1998:204:§9) (lite omskrivet för att förenkla förståelsen):

• En personuppgiftsansvarig (=Den som ytterst bestämmer ändamål med och medel för behandling av personuppgifterna) skall ansvara för att personuppgiftslagens intentioner följs. Personuppgiftsansvarig är den organisation/förvaltning/företag man arbetar inom.
• Uppgifterna skall behandlas korrekt och enligt god sed.
• Uppgifter får inte samlas in utan ett särskilt uttryckligt angivet berättigat ändamål. Uppgifterna får efter insamlandet inte utan vidare användas för andra ändamål än det de samlades in för från början.
• Endast de uppgifter som är nödvändiga, adekvata och relevanta för ändamålet får samlas in.
• Alla rimliga åtgärder skall vidtas för att se till att insamlade uppgifter är riktiga och om nödvändigt aktuella. Alla rimliga åtgärder skall vidtas för att rätta felaktiga uppgifter.
• Uppgifterna bevaras inte längre än nödvändigt med hänsyn till ändamålet.
• Personuppgifter som insamlas för historiska, statistiska eller vetenskapliga ändamål kan användas för att vidta åtgärder om enskilda registrerade endast om den registrerade lämnar sitt samtycke eller (om den registrerade av olika skäl inte kan lämna sitt samtycke) om det finns synnerliga skäl att anta att åtgärden ligger i den registrerades intresse.

Huvudtanken är att endast mindre känsliga personuppgifter skall lagras i personregister. I princip förbjuds all bearbetning av känsliga personuppgifter. Med känsliga personuppgifter menas information om ras, etniskt ursprung, politiska-religiösa-filosofiska åsikter, medlemskap i fackförening samt uppgifter om hälsa eller sexualliv. Uppgifter om hälsa är som bekant vanliga i forskningssammanhang. Det är dock tillåtet att hantera även känsliga personuppgifter vid följande vanliga "undantag":

• I personuppgiftslagen från 1998 avgavs att om den registrerade lämnar sitt samtycke (SFS 1998:204:§15) är det tillåtet att hantera känsliga personuppgifter. I kompletteringar till etikprövningslagen och personuppgiftslagen som genomfördes 2008 (regeringens proposition 2007/08:44) anges att personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21§ personuppgiftslagen räcker det inte att den registrerade gett sitt samtycke till registreringen, projektet måste även godkännas av etikprövningsnämnd.
• Den registrerade har redan tidigare på ett tydligt sätt offentliggjort uppgifterna (SFS 1998:204:§15).
• Den som ansvarar för personregistret behöver registret för att kunna fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten (SFS 1998:204:§16).
• Den registrerades eller någon annans vitala intresse skall kunna skyddas och den registrerade inte kan lämna sitt samtycke (SFS 1998:204:§16).
• Registret behövs för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
• Ideella organisationer får inom ramen för sin verksamhet föra personregister innehållande känsliga uppgifter om sina egna medlemmar och om andra personer som organisationen har regelbundna kontakter med (SFS 1998:204:§17). De uppgifter som är känsliga får inte lämnas ut till tredje man utan den registrerades uttryckliga samtycke (SFS 1998:204:§17).
• Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål (SFS 1998:204:§18).
• Forskningsprojekt där projektet är godkänt av forskningsetisk kommitté (SFS 1998:204:§19).

Som man kan se finns det ganska många undantag som medger hantering av känsliga personuppgifter. Viktigt är dock att registren följer de grundläggande kraven för behandling av personuppgifter (SFS 1998:204:§9, se ovan) och att de anmäls på korrekt sätt (se nedan).

Personuppgiftsförordningen (SFS 1998:1191)
Regeringen utfärdade 3 September 1998 personuppgiftsförordningen. Den ger kompletteringar och förtydliganden till personuppgiftslagen, bland annat om anmälningsplikt och förhandskontroll..

Anmälan av personregister

• All behandling av personuppgifter som är helt eller delvis automatiserad (=personregister) skall anmälas! (SFS 1998:204:36§). Anmälan måste göras innan uppgifter börjar samlas in.
• Om personliga uppgifter (exempelvis namn) nämns i löpande text är detta inte ett personregister och behöver då inte anmälas (SFS 1998:1191:4§). Även om den löpande texten inte behöver anmälas gäller personuppgiftslagen. Tillstånd från personen som nämns måste inhämtas och även de övriga de grundläggande kraven på behandling av personuppgifter (se ovan) gäller.
• Personuppgiftsansvarig (i regel organisationen, företaget) ansvarar för att anmälan blir gjord (SFS 1998:204:36§).
• Personuppgiftsansvarig kan utse ett internt personuppgiftsombud (SFS 1998:204:36§). Personuppgiftsombudet fungerar som datainspektionens förlängda arm genom att självständigt se till att den personuppgiftsansvarige följer personuppgiftslagen (SFS 1998:204:38§).
• Anmälan av personregister skall ske antingen till datainspektionen eller till den egna organisationens personuppgiftsombud. Personuppgiftsombudet skall föra en förteckning över alla register som har anmälts till ombudet (SFS 1998:204:39§). Om anmälan görs till organisationens eget personuppgiftsombud behöver anmälan inte göras till datainspektionen (SFS 1998:204:39§).

I praktiken innebär det att om du arbetar inom ett landsting eller ett större företag så finns i er organisation en eller flera utsedda personuppgiftsombud. Dessa har till uppgift att hålla redan på alla personregister i organisationen. Ofta har de gjort i ordning en särskild blankett som du skall fylla i och skicka in. Om din organisation saknar personuppgiftsombud (ovanligt) måste anmälan göras direkt till datainspektionen på särskild blankett som kan laddas ner från datainspektionens hemsida.

Förhandskontroll av datainspektionen
Vissa särskilt integritetskänsliga behandlingar av personuppgifter ska anmälas till Datainspektionen för förhandskontroll. I forskningssammanhang handlar det om att anmälan ska alltid göras om personuppgifter om genetiska anlag som har framkommit efter genetisk undersökning behandlas. En förhandskontroll innebär att Datainspektionen gör en bedömning av om den planerade behandlingen är förenlig med lagstiftningen. Anmälan ska göras senast tre veckor innan behandlingen är tänkt att börja. Anmälan behöver inte göras om det i lag eller förordning finns särskilda föreskrifter.

Praktiska synpunkter
Om man har ett personregister i en dator där uppgifter såsom namn, personnummer och dylikt saknas kan uppgifterna inte direkt hänföras till en enskild individ. Om man i datorn har lagrat ett löpnummer för varje individ och på annat ställe har en kodnyckel som berättar om hur löpnummer kan paras ihop med individer (vanligt i forskningsstudier) så är detta att betrakta som ett anmälningspliktigt personregister.
  En webbsida med löpande text omfattas av personuppgiftslagen. Tillstånd från personer som nämns måste inhämtas (om det inte är hänvisningar till redan gjorda publikationer). Löpande text har som nämnts ovan inget krav på anmälan.

Denna webbsida är författad av
Doc. Ronny Gunnarsson
Distriktsläkare/Familjeläkare

Läs om regler för ansvar och copyright som gäller för denna webbsida.