• Diarienummer:
  • Beslutsdatum: 2004-09-01
  • Beslutsfattare: Rektor
  • Dokumenttyp: Föreskrifter

Orginaldokumentet i sin helhet återfinns i universitetets diarium.

Personuppgiftslagen – anvisningar och blanketter

Innehåll:

Se blanketter i bilagor till höger. 

1. Lagens syfte

Personuppgiftslagen (PuL), SFS 1998:204 gäller sedan den 24 oktober 1998. I samband med att lagen trädde i kraft upphörde Datalagen (1973:289) att gälla.

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I lagen stadgas att den personuppgiftsansvarige, dvs Uppsala universitet i egenskap av myndighet skall se till att (9 §)

a) personuppgifter behandlas bara om det är lagligt

b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed

c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål

d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in – behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in

e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen

f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen

g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella

h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen

i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

2 Anmälan till personuppgiftsombud

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Sådan anmälan skall göras till Uppsala universitets personuppgiftsombud. Anmälningsskyldighet gäller dock inte för behandling av personuppgifter i löpande text. Uppsala universitet har anmält till Datainspektionen att Magnus Hallberg, juridiska avdelningen, utsetts till personuppgiftsombud.

Enligt PuL skall personuppgiftsombudet

– se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt samt påpeka, och om det är nödvändigt, anmäla brister

– samråda med tillsynsmyndigheten, dvs Datainspektionen

– föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför

– hjälpa registrerade att få rättelse

3 Definitioner och förtydliganden

Personuppgifter är all slags information som kan hänföras till en levande person, t ex namn, personnummer och kundnummer.

Observera att även kodade uppgifter anses kunna hänföras till en identifierbar person så länge det faktiskt existerar en kodnyckel.

3.1 Behandling av personuppgifter

Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter; t ex insamling, registrering, lagring, bearbetning, användning, utlämnande, sammanställning eller förstöring.

Personuppgiftslagen omfattar både behandlingar på automatiserad väg i datorer och på manuell väg i register (5 §). Manuella register behöver dock inte anmälas till personuppgiftsombudet.

Personuppgifter får behandlas (10 §) bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

a) ett avtal med den registrerade skall kunna fullgöras

b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet

c) vitala intressen för den registrerade skall kunna skyddas

d) en arbetsuppgift av allmänt intresse skall kunna utföras

e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning

f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade har anmält att han eller hon motsätter sig sådan behandling (11 §).

3.2 Känsliga personuppgifter

Det är förbjudet att behandla s k känsliga personuppgifter som avslöjar (13 §)

a) ras eller etniskt ursprung

b) politiska åsikter

c) religiös eller filosofisk övertygelse, eller

d) medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Känsliga personuppgifter får dock behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §). Sådant uttryckligt samtycke bör inhämtas skriftligt.

Känsliga personuppgifter får även behandlas i ett antal andra fall. För forsknings- och statistikändamål får känsliga personuppgifter behandlas, om behandlingen är nödvändig på sätt som anges i 10 § (se ovan) och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, skall ovan angivna förutsättningar anses uppfyllda (19 §).

3.3 Information till den registrerade

När personuppgifter samlas in direkt från den registrerade skall information lämnas när uppgifterna samlas in (23 §). Om uppgifterna samlas in från någon annan källa skall informationen lämnas i samband med registreringen. Om uppgifterna är avsedda att lämnas ut till tredje man, räcker det dock att informera när uppgifterna lämnas ut första gången. Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Man behöver heller inte informera om detta skulle visa sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats (24 §). Man behöver inte informera om sådant som den registrerade redan känner till (25 §). Den personuppgiftsansvarige är skyldig att efter skriftlig ansökan en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej (26 §).

3.4 Överföring av personuppgifter till tredje land

Det är förbjudet att till tredje land, dvs länder utanför EU/EES, föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid bl a uppgifternas art och ändamålet med behandlingen. Förbudet gäller också överföring av personuppgifter för behandling i tredje land (33 §). Det är dock tillåtet att föra över uppgifter till tredje land, om den registrerade har lämnat sitt samtycke eller om överföringen är nödvändig bl a för att vissa avtal skall kunna fullgöras (34 §).

4 Offentlighets- och sekretesslagen

Enligt 4 kap. 2 § offentlighets- och sekretesslagen skall myndigheten föra en förteckning över register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling. Benämning, tillgänglighet hos andra myndigheter, tillgång via terminal, sekretessbestämmelser, försäljning av personuppgifter skall framgå. På blanketterna som rör anmälan enligt personuppgiftslagen (se nedan) har dessa uppgifter därför lagts in.

5 Arkivering

Grundregeln är att allmänna handlingar, inklusive register, skall arkiveras. För personregister gäller dock att de om möjligt bör föras för en begränsad tid i syfte att minimera risken för otillbörligt integritetsintrång. Gällande bestämmelser rörande arkivering och gallring av allmänna handlingar skall följas. Andra regelverk kan ställa krav på bevarande av personuppgifter för vissa syften, t ex Läkemedelsverkets föreskrifter och allmänna råd (LVFS 1996:17) om klinisk läkemedelsprövning.

6 Rutiner för anmälan

1. Anmälan skall ske till personuppgiftsombudet avseende behandling av personuppgifter enligt personuppgiftslagen.

2. I samband med etikprövning hos regional etikprövningsnämnd skall anmälan också göras till personuppgiftsombudet avseende behandling enligt personuppgiftslagen i forskningssyfte. Blankett 1 skall användas. Efter avslutad etikprövning skall den ansvariga forskaren sända en kopia av etikprövningsnämndens beslut till universitetets personuppgiftsombud.

3. Anmälan om upphörande av personregister eller databehandling enligt personuppgiftslagen skall insändas till personuppgiftsombudet. Blankett 2 skall användas.

7 Mer information

Information om personuppgiftslagen, författningar, pressmeddelanden och annan information finns på Datainspektionens webbplats www.datainspektionen.se. Datainspektionen har telefon 08-657 61 00  

Personuppgiftslagen kan hämtas på riksdagens hemsida www.riksdagen.se

Uppsala universitet, Hantering av allmänna handlingar vid universitetet, maj 2013.

Personuppgiftsombud vid Uppsala universitet:
Magnus Hallberg, Uppsala universitet, Box 256, 751 05 Uppsala
tel 018-471 17 14 , fax 018-471 16 41, e-post Magnus.Hallberg@uadm.uu.se

Ladda ner

Om dokumentet

Beslutsfattare

Rektor

Beslutsdatum

2004-09-01

Ansvarig organisation

Juridiska avdelningen

Kategoriserat som

Forskning, Allmänna studentfrågor

Dokumenttyp

Föreskrifter