Sekretess och datainspektionen
Denna sida är uppdaterad 2010-08-01

Kort sammanfattning av denna webbsida:
Behandling av personuppgifter i forskningssammanhang skall nästan alltid anmälas. Anmälan måste göras innan uppgifterna börjar samlas in. I ett landsting eller ett större företag finns oftast en eller flera utsedda personuppgiftsombud. Dessa har till uppgift att hålla redan på alla personregister i organisationen. Oftast räcker det att anmälan görs på en särskild blankett som skickas till organisationens egen personuppgiftsombud.

Samhället har genom lagar tagit ansvar för att känsliga uppgifter om enskilda individer inte skall hanteras hur som helst. Detta handlar dels om att känslig information inte skall spridas hur som helst och dels om att känslig information inte får användas i tveksamma syften.

Datalagen
Datalagen tillkom 1973 för att skydda den enskildes integritet i samband med datorbearbetning av personuppgifter. Centralt i datalagen var definitionen av personregister. Alla register där uppgifterna på ett eller annat sätt kan hänföras till en enskild individ är ett personregister. För att få lagra uppgifter i ett personregister krävdes dels att den registeransvarige hade licens och ofta även ett tillstånd för varje register. Tillståndspliktiga register var:

Tillstånden utfärdades av datainspektionen. Personuppgifter inom landstingen för direkt sjukvård var undantagna från kravet om tillstånd. Däremot krävdes tillstånd för alla forskningsprojekt som datorbehandlade personuppgifter. Utvecklingen har gjort att delar av datalagen blivit inaktuella. Datalagen ersattes därför i oktober 1998 av personuppgiftslagen. Den gamla datalagen fanns kvar under en övergångsperiod av tre år. Oktober 2001 upphörde den gamla datalagen helt att gälla.

Personuppgiftslagen (SFS 1998:204)
Enligt ett riksdagsbeslut trädde 24 Oktober 1998 nya personuppgiftslagen i kraft. Den bygger på gemensamma regler som har beslutats av EU och ersätter den tidigare datalagen. Alla personregister som anmälts till datainspektionen före 24 oktober 1998 kommer att följa den gamla datalagen under en övergångstid av tre år. Alla personregister som startar efter nya personuppgiftslagen trätt i kraft följer reglerna för nya personuppgiftslagen.
    Personuppgiftslagen omfattar alla personuppgifter som kan hänföras till en person och som ingår i en samlad struktur av information. Lagen omfattar alla samlingar av personuppgifter, oavsett om de datorbehandlas eller bearbetas på annat sätt (SFS 1998:204:5§). Samlingar av personuppgifter som är av rent privat natur, exempelvis telefon och adresslista till släkt och vänner, omfattas ej av personuppgiftslagen (SFS 1998:204:§6). Om personuppgiftslagen kommer i konflikt med tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen så skall personuppgiftslagen vara underordnad de andra förordningarna / lagarna.

Personuppgifter får bara behandlas/bearbetas om (SFS 1998:204:§10):

En huvudtanke i personuppgiftslagen är alltså att uppgifter om enskilda människor bara får samlas in efter direkt godkännande av den enskilde (vissa undantag finns). De andra grundläggande kraven på behandling av personuppgifter är (SFS 1998:204:§9) (lite omskrivet för att förenkla förståelsen):

Huvudtanken är att endast mindre känsliga personuppgifter skall lagras i personregister. I princip förbjuds all bearbetning av känsliga personuppgifter. Med känsliga personuppgifter menas information om ras, etniskt ursprung, politiska-religiösa-filosofiska åsikter, medlemskap i fackförening samt uppgifter om hälsa eller sexualliv. Uppgifter om hälsa är som bekant vanliga i forskningssammanhang. Det är dock tillåtet att hantera även känsliga personuppgifter vid följande vanliga "undantag":

Som man kan se finns det ganska många undantag som medger hantering av känsliga personuppgifter. Viktigt är dock att registren följer de grundläggande kraven för behandling av personuppgifter (SFS 1998:204:§9, se ovan) och att de anmäls på korrekt sätt (se nedan).

Personuppgiftsförordningen (SFS 1998:1191)
Regeringen utfärdade 3 September 1998 personuppgiftsförordningen. Den ger kompletteringar och förtydliganden till personuppgiftslagen, bland annat om anmälningsplikt och förhandskontroll..

Anmälan av personregister

I praktiken innebär det att om du arbetar inom ett landsting eller ett större företag så finns i er organisation en eller flera utsedda personuppgiftsombud. Dessa har till uppgift att hålla redan på alla personregister i organisationen. Ofta har de gjort i ordning en särskild blankett som du skall fylla i och skicka in. Om din organisation saknar personuppgiftsombud (ovanligt) måste anmälan göras direkt till datainspektionen på särskild blankett som kan laddas ner från datainspektionens hemsida.

Förhandskontroll av datainspektionen
Vissa särskilt integritetskänsliga behandlingar av personuppgifter ska anmälas till Datainspektionen för förhandskontroll. I forskningssammanhang handlar det om att anmälan ska alltid göras om personuppgifter om genetiska anlag som har framkommit efter genetisk undersökning behandlas. En förhandskontroll innebär att Datainspektionen gör en bedömning av om den planerade behandlingen är förenlig med lagstiftningen. Anmälan ska göras senast tre veckor innan behandlingen är tänkt att börja. Anmälan behöver inte göras om det i lag eller förordning finns särskilda föreskrifter.

Praktiska synpunkter
Om man har ett personregister i en dator där uppgifter såsom namn, personnummer och dylikt saknas kan uppgifterna inte direkt hänföras till en enskild individ. Om man i datorn har lagrat ett löpnummer för varje individ och på annat ställe har en kodnyckel som berättar om hur löpnummer kan paras ihop med individer (vanligt i forskningsstudier) så är detta att betrakta som ett anmälningspliktigt personregister.
  En webbsida med löpande text omfattas av personuppgiftslagen. Tillstånd från personer som nämns måste inhämtas (om det inte är hänvisningar till redan gjorda publikationer). Löpande text har som nämnts ovan inget krav på anmälan.


Denna webbsida är författad av
Doc. Ronny Gunnarsson
Distriktsläkare/Familjeläkare

Läs om regler för ansvar och copyright som gäller för denna webbsida.