Sekretess och datainspektionen
Denna sida är uppdaterad 2010-08-01
Kort sammanfattning av denna webbsida: Behandling av personuppgifter i forskningssammanhang skall nästan alltid anmälas. Anmälan måste göras innan uppgifterna börjar samlas in. I ett landsting eller ett större företag finns oftast en eller flera utsedda personuppgiftsombud. Dessa har till uppgift att hålla redan på alla personregister i organisationen. Oftast räcker det att anmälan görs på en särskild blankett som skickas till organisationens egen personuppgiftsombud. |
Samhället har genom lagar tagit ansvar för att känsliga uppgifter om enskilda individer inte skall hanteras hur som helst. Detta handlar dels om att känslig information inte skall spridas hur som helst och dels om att känslig information inte får användas i tveksamma syften.
Datalagen
Datalagen
tillkom 1973 för att skydda den enskildes integritet i samband med datorbearbetning av
personuppgifter. Centralt i datalagen var definitionen av personregister. Alla register
där uppgifterna på ett eller annat sätt kan hänföras till en enskild individ är ett
personregister. För att få lagra uppgifter i ett personregister krävdes dels att den
registeransvarige hade licens och ofta även ett tillstånd för varje register.
Tillståndspliktiga register var:
Tillstånden utfärdades av datainspektionen. Personuppgifter inom landstingen för direkt sjukvård var undantagna från kravet om tillstånd. Däremot krävdes tillstånd för alla forskningsprojekt som datorbehandlade personuppgifter. Utvecklingen har gjort att delar av datalagen blivit inaktuella. Datalagen ersattes därför i oktober 1998 av personuppgiftslagen. Den gamla datalagen fanns kvar under en övergångsperiod av tre år. Oktober 2001 upphörde den gamla datalagen helt att gälla.
Personuppgiftslagen (SFS 1998:204)
Enligt ett riksdagsbeslut trädde 24 Oktober 1998 nya
personuppgiftslagen i kraft. Den bygger på
gemensamma regler som har beslutats av EU och ersätter den tidigare datalagen. Alla
personregister som anmälts till datainspektionen före 24 oktober 1998 kommer att följa
den gamla datalagen under en övergångstid av tre år. Alla personregister som
startar efter nya personuppgiftslagen trätt i kraft följer reglerna för nya
personuppgiftslagen.
Personuppgiftslagen omfattar alla
personuppgifter som kan hänföras till en person och som ingår i en samlad struktur av
information. Lagen omfattar alla samlingar av personuppgifter, oavsett om de
datorbehandlas eller bearbetas på annat sätt (SFS 1998:204:5§). Samlingar av
personuppgifter som är av rent privat natur, exempelvis telefon och adresslista till
släkt och vänner, omfattas ej av personuppgiftslagen (SFS 1998:204:§6). Om
personuppgiftslagen kommer i konflikt med tryck- och yttrandefrihet i
tryckfrihetsförordningen eller yttrandefrihetsgrundlagen så skall personuppgiftslagen
vara underordnad de andra förordningarna / lagarna.
Personuppgifter får bara behandlas/bearbetas om (SFS 1998:204:§10):
En huvudtanke i personuppgiftslagen är alltså att uppgifter om enskilda människor bara får samlas in efter direkt godkännande av den enskilde (vissa undantag finns). De andra grundläggande kraven på behandling av personuppgifter är (SFS 1998:204:§9) (lite omskrivet för att förenkla förståelsen):
Huvudtanken är att endast mindre känsliga personuppgifter skall lagras i personregister. I princip förbjuds all bearbetning av känsliga personuppgifter. Med känsliga personuppgifter menas information om ras, etniskt ursprung, politiska-religiösa-filosofiska åsikter, medlemskap i fackförening samt uppgifter om hälsa eller sexualliv. Uppgifter om hälsa är som bekant vanliga i forskningssammanhang. Det är dock tillåtet att hantera även känsliga personuppgifter vid följande vanliga "undantag":
Som man kan se finns det ganska många undantag som medger hantering av känsliga personuppgifter. Viktigt är dock att registren följer de grundläggande kraven för behandling av personuppgifter (SFS 1998:204:§9, se ovan) och att de anmäls på korrekt sätt (se nedan).
Personuppgiftsförordningen (SFS 1998:1191)
Regeringen utfärdade 3 September 1998
personuppgiftsförordningen. Den ger
kompletteringar och förtydliganden till personuppgiftslagen, bland annat om
anmälningsplikt och förhandskontroll..
Anmälan av personregister
I praktiken innebär det att om du arbetar inom ett landsting eller ett större företag så finns i er organisation en eller flera utsedda personuppgiftsombud. Dessa har till uppgift att hålla redan på alla personregister i organisationen. Ofta har de gjort i ordning en särskild blankett som du skall fylla i och skicka in. Om din organisation saknar personuppgiftsombud (ovanligt) måste anmälan göras direkt till datainspektionen på särskild blankett som kan laddas ner från datainspektionens hemsida.
Förhandskontroll av datainspektionen
Vissa särskilt integritetskänsliga behandlingar av personuppgifter ska
anmälas till Datainspektionen för förhandskontroll. I forskningssammanhang
handlar det om att anmälan ska alltid göras om personuppgifter om genetiska
anlag som har framkommit efter genetisk undersökning behandlas. En
förhandskontroll innebär att Datainspektionen gör en bedömning av om den
planerade behandlingen är förenlig med lagstiftningen. Anmälan ska göras senast
tre veckor innan behandlingen är tänkt att börja. Anmälan behöver inte göras om
det i lag eller förordning finns särskilda föreskrifter.
Praktiska synpunkter
Om man har ett personregister i en dator där uppgifter såsom namn, personnummer
och dylikt saknas kan uppgifterna inte direkt hänföras till en enskild individ. Om man i
datorn har lagrat ett löpnummer för varje individ och på annat ställe har en kodnyckel
som berättar om hur löpnummer kan paras ihop med individer (vanligt i forskningsstudier)
så är detta att betrakta som ett anmälningspliktigt personregister.
En webbsida med löpande text omfattas av personuppgiftslagen. Tillstånd från
personer som nämns måste inhämtas (om det inte är hänvisningar till redan gjorda
publikationer). Löpande text har som nämnts ovan inget krav på anmälan.
Denna webbsida är författad av
Doc. Ronny Gunnarsson
Distriktsläkare/Familjeläkare
Läs om regler för ansvar och copyright som gäller för denna webbsida.