SFS 1998_204 Personuppgiftslag

Källa Regeringskansliets rättsdatabaser m.fl.

background image

460

SFS 1998:204

Utkom från trycket
den 19 maj 1998

Personuppgiftslag;

utfärdad den 29 april 1998.

Enligt riksdagens beslut1 föreskrivs2 följande.

1

Prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180.

2

Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om

skydd för enskilda personer med avseende på behandling av personuppgifter och om
det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex
395L0046).

background image

461

SFS 1998:204

Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att skydda människor mot att deras personliga

integritet kränks genom behandling av personuppgifter.

Avvikande bestämmelser i annan författning

2 § Om det i en annan lag eller i en förordning finns bestämmelser som av-
viker från denna lag, skall de bestämmelserna gälla.

Definitioner

3 § I denna lag används följande beteckningar med nedan angiven bety-
delse.

Beteckning

Behandling (av person-
uppgifter)

Blockering (av person-

uppgifter)

Mottagare

Personuppgifter

Personuppgiftsansvarig

Personuppgiftsbiträde

Betydelse

Varje åtgärd eller serie av åtgärder som vidtas i
fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte, t.ex. insamling, regist-
rering, organisering, lagring, bearbetning eller
ändring, återvinning, inhämtande, användning,
utlämnande genom översändande, spridning eller
annat tillhandahållande av uppgifter, samman-
ställning eller samköming, blockering, utplåning
eller förstöring.

En åtgärd som vidtas för att personuppgifterna
skall vara förknippade med information om att de
är spärrade och om anledningen till spärren och
för att personuppgifterna inte skall lämnas ut till
tredje man annat än med stöd av 2 kap. tryckfri-
hetsförordningen.

Den till vilken personuppgifter lämnas ut. När per-
sonuppgifter lämnas ut för att en myndighet skall
kunna utföra sådan tillsyn, kontroll eller revision
som den är skyldig att sköta, anses dock inte myn-
digheten som mottagare.

All slags information som direkt eller indirekt kan
hänföras till en fysisk person som är i livet.

Den som ensam eller tillsammans med andra be-
stämmer ändamålen med och medlen för be-
handlingen av personuppgifter

Den som behandlar personuppgifter för den per-
sonuppgiftsansvariges räkning.

background image

SFS 1998:204

Beteckning

Personuppgiftsombud

Den registrerade

Samtycke

Tillsynsmyndigheten

Tredje land

Tredje man

Betydelse

Den fysiska person som, efter förordnande av den
personuppgiftsansvarige, självständigt skall se till
att personuppgifter behandlas på ett korrekt och
lagligt sätt.

Den som en personuppgift avser.

Varje slag av frivillig, särskild och otvetydig vil-

jeyttring genom vilken den registrerade, efter att

ha fått information, godtar behandling av person-
uppgifter som rör honom eller henne.

Den myndighet som regeringen utser för att utöva

tillsyn.

En stat som inte ingår i Europeiska unionen eller
är ansluten till Europeiska ekonomiska samarbet-
sområdet.

Någon annan än den registrerade, den person-

uppgiftsansvarige, personuppgiftsombudet, per-
sonuppgiftsbiträdet och sådana personer som
under den personuppgiftsansvariges eller per-
sonuppgiftsbiträdets direkta ansvar har befogen-
het att behandla personuppgifter.

Tillämpningsområde

Det territoriella tillämpningsområdet

4 § Denna lag gäller för sådana personuppgiftsansvariga som är etablerade
i Sverige.

Lagen tillämpas också när den personuppgiftsansvarige är etablerad i

tredje land men för behandlingen av personuppgifter använder sig av ut-
rustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrust-
ningen bara används för att överföra uppgifter mellan ett tredje land och ett
annat sådant land.

I det fall som avses i andra stycket första meningen skall den person-

uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad
som anges i denna lag om den personuppgiftsansvarige skall också gälla för
företrädaren.

Behandling av personuppgifter som omfattas av lagen

5 § Denna lag gäller för sådan behandling av personuppgifter som helt el-
ler delvis är automatiserad.

Lagen gäller även för annan behandling av personuppgifter, om

uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av

462

background image

personuppgifter som är tillgängliga för sökning eller sammanställning enligt SFS 1998:204

särskilda kriterier.

Undantag för privat behandling av personuppgifter

6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur.

Förhållandet till tryck- och yttrandefriheten

7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle
strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets-
förordningen eller yttrandefrihetsgrundlagen.

Bestämmelserna i 9-29 och 3 3 - 4 §§ samt 45 § första stycket och 47-

49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker
uteslutande för journalistiska ändamål eller konstnärligt eller litterärt ska-
pande.

Förhållandet till offentlighetsprincipen

8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle
inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen
att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar

allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyn-
dighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets an-
vändning av personuppgifter i allmänna handlingar.

Grundläggande krav på behandlingen av personuppgifter

9 § Den personuppgiftsansvarige skall se till att

a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med

god sed,

c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och

berättigade ändamål,

d) personuppgifter inte behandlas för något ändamål som är oförenligt

med det för vilket uppgifterna samlades in,

e) de personuppgifter som behandlas är adekvata och relevanta i för-

hållande till ändamålen med behandlingen,

f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn

till ändamålen med behandlingen,

g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,

aktuella,

h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana

personuppgifter som är felaktiga eller ofullständiga med hänsyn till ända-
målen med behandlingen, och

i) personuppgifter inte bevaras under en längre tid än vad som är nöd-

vändigt med hänsyn till ändamålen med behandlingen.

463

background image

SFS 1998:204 I fråga om första stycket d gäller dock att en behandling av personupp-

gifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses
som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga

ändamål under längre tid än som sagts i första stycket i. Personuppgifterna
får dock i sådana fall inte bevaras under en längre tid än vad som behövs för
dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskap-

liga ändamål får användas för att vidta åtgärder i fråga om den registrerade

bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga

skäl med hänsyn till den registrerades vitala intressen.

När behandling av personuppgifter är tillåten

10 § Personuppgifter får behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som

den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken personupp-

gifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndig-
hetsutövning, eller

f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-

rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut
skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades
intresse av skydd mot kränkning av den personliga integriteten.

Direkt marknadsföring

11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-

nadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen
har anmält att han eller hon motsätter sig sådan behandling.

Samtycke återkallas

12 § I de fall då behandling av personuppgifter bara är tillåten när den re-

gistrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registre-
rade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare person-
uppgifter om den registrerade får därefter inte behandlas.

En registrerad har utöver vad som följer av första stycket och 11 § inte rätt

att motsätta sig sådan behandling av personuppgifter som är tillåten enligt
denna lag.

Förbud mot behandling av känsliga personuppgifter

13 § Det är förbjudet att behandla personuppgifter som avslöjar

a) ras eller etniskt ursprung,

464 b) politiska åsikter,

background image

c) religiös eller filosofisk övertygelse, eller SFS 1998:204
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör hälsa

eller sexualliv.

Uppgifter av den art som anges i första och andra styckena betecknas i

denna lag som känsliga personuppgifter.

Undantag från förbudet mot behandling av känsliga
personuppgifter

14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgif-

ter i de fall som anges i 15-19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av personupp-

gifter över huvud taget är tillåten.

Samtycke eller offentliggörande

15 § Känsliga personuppgifter får behandlas, om den registrerade har läm-

nat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offent-
liggjort uppgifterna.

Nödvändig behandling

16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-
dig för att

a) den personuppgifts ansvarige skall kunna fullgöra sina skyldigheter el-

ler utöva sina rättigheter inom arbetsrätten,

b) den registrerades eller någon annans vitala intressen skall kunna skyd-

das och den registrerade inte kan lämna sitt samtycke, eller

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a får lämnas ut till

tredje man bara om det inom arbetsrätten finns en skyldighet för den per-

sonuppgiftsansvarige att göra det eller den registrerade uttryckligen har sam-

tyckt till utlämnandet.

Ideella organisationer

17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt
syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter
om organisationens medlemmar och sådana andra personer som på grund av

organisationens syfte har regelbunden kontakt med den. Känsliga person-
uppgifter får dock lämnas ut till tredje man bara om den registrerade uttryck-
ligen har samtyckt till det.

Hälso- och sjukvård

18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårds-
ändamål, om behandlingen är nödvändig för

a) förebyggande hälso- och sjukvård,

b) medicinska diagnoser,

465

background image

SFS 1998:204 c) vård eller behandling, eller

d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och

har tystnadsplikt får även behandla känsliga personuppgifter som omfattas
av tystnadsplikten. Detsamma gäller den som är underkastad en liknande
tystnadsplikt och som har fått känsliga personuppgifter från verksamhet
inom hälso- och sjukvårdsområdet.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-

ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om
samhällsintresset av det forsknings- eller statistikprojekt där behandlingen
ingår klart väger över den risk för otillbörligt intrång i enskildas personliga
integritet som behandlingen kan innebära.

Har behandlingen godkänts av en forskningsetisk kommitté, skall förut-

sättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kom-
mitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor
som har företrädare för såväl det allmänna som forskningen och som är knu-
tet till ett universitet eller en högskola eller till någon annan instans som i
mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses

i första stycket, om inte något annat följer av regler om sekretess och tyst-
nadsplikt.

Bemyndigande att föreskriva ytterligare undantag

20 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela föreskrifter
om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till
ett viktigt allmänt intresse.

Uppgifter om lagöverträdelser m.m.

21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-
ter om lagöverträdelser som innefattar brott, domar i brottmål, straffpro-
cessuella tvångsmedel eller administrativa frihetsberövanden.

Regeringen eller den myndighet som regeringen bestämmer får i fråga om

automatiserad behandling av personuppgifter meddela föreskrifter om un-
dantag från förbudet i första stycket.

Regeringen får i enskilda fall besluta om undantag från förbudet i första

stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana be-
slut.

Behandling av personnummer

22 § Uppgifter om personnummer får utan samtycke behandlas bara när
det är klart motiverat med hänsyn till

466

background image

a) ändamålet med behandlingen, SFS 1998:204
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.

Information till den registrerade

Information skall lämnas självmant

23 § Om uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige i samband därmed självmant lämna den re-
gistrerade information om behandlingen av uppgifterna.

24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den regist-
rerade information om behandlingen av uppgifterna när de registreras. �r
uppgifterna avsedda att lämnas ut till tredje man, behöver informationen
dock inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns be-

stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta vi-

sar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbets-
insats. Om uppgifterna används för att vidta åtgärder som rör den re-
gistrerade, skall dock information lämnas senast i samband med att så sker.

Den information som skall lämnas självmant

25 § Information enligt 23 eller 24 § skall omfatta

a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna ta

till vara sina rättigheter i samband med behandlingen, såsom information om
mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att an-

söka om information och få rättelse.

Information behöver dock inte lämnas om sådant som den registrerade re-

dan känner till.

Information skall lämnas efter ansökan

26 § Den personuppgiftsansvarige är skyldig att till var och en som ansö-
ker om det en gång per kalenderår gratis lämna besked om personuppgifter
som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall
skriftlig information lämnas också om

a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-

nas ut.

En ansökan enligt första stycket skall göras skriftligen hos den person-

uppgiftsansvarige och vara undertecknad av den sökande själv. Information
enligt första stycket skall lämnas inom en månad från det att ansökan gjor-

467

background image

SFS 1998:204 des. Om det finns särskilda skäl för det, får information dock lämnas senast

fyra månader efter det att ansökan gjordes.

Information enligt första stycket behöver inte lämnas om personuppgifter

i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller
som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock
inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna be-
handlas enbart för historiska, statistiska eller vetenskapliga ändamål eller,
när det gäller löpande text som inte fått sin slutliga utformning, om upp-
gifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som har meddelats med stöd av författning att uppgifter
inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-26 §§.
En personuppgiftsansvarig som inte är en myndighet får därvid i mot-
svarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut upp-
gifter till den registrerade.

Rättelse

28 § Den personuppgiftsansvarige är skyldig att på begäran av den re-
gistrerade snarast rätta, blockera eller utplåna sådana personuppgifter som
inte har behandlats i enlighet med denna lag eller föreskrifter som har ut-
färdats med stöd av lagen. Den personuppgiftsansvarige skall också under-
rätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den
registrerade begär det eller om mera betydande skada eller olägenhet för den
registrerade skulle kunna undvikas genom en underrättelse. Någon sådan un-
derrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller
skulle innebära en oproportionerligt stor arbetsinsats.

Automatiserade beslut

29 § Om ett beslut som har rättsliga följder för en fysisk person eller an-
nars har märkbara verkningar för den fysiska personen, grundas enbart på

automatiserad behandling av sådana personuppgifter som är avsedda att be-
döma egenskaper hos personen, skall den som berörs av beslutet ha möjlig-
het att på begäran få beslutet omprövat av någon person.

Var och en som varit föremål för ett sådant beslut som avses i första

stycket har rätt att på ansökan få information från den personuppgiftsansva-

rige om vad som har styrt den automatiserade behandling som lett fram till
beslutet. I fråga om ansökan och lämnandet av information gäller i tillämp-

liga delar bestämmelserna i 26 §.

468

background image

Säkerheten vid behandling SFS 1998:204

Personer som behandlar personuppgifter

30 § Ett personuppgiftsbiträde och den eller de personer som arbetar under
biträdets eller den personuppgiftsansvariges ledning får behandla person-
uppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling

av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet
skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla person-
uppgifterna bara i enlighet med instruktioner från den personuppgifts-
ansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som
avses i 31 § första stycket.

Om det i lag eller annan författning finns särskilda bestämmelser om be-

handlingen av personuppgifter i det allmännas verksamhet i frågor som av-
ses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket.

Säkerhetsåtgärder

31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och orga-
nisatoriska åtgärder för att skydda de personuppgifter som behandlas. �&t-
gärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande

av

a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,

och

d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall

den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan
genomföra de säkerhetsåtgärder som måste vidtas och se till att personupp-
giftsbiträdet verkligen vidtar åtgärderna.

Tillsynsmyndigheten får besluta om säkerhetsåtgärder

32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhets-
åtgärder som den personuppgifts ansvarige skall vidta enligt 31 §.

I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att

förena beslutet med vite.

�verföring av personuppgifter till tredje land

Förbud mot överföring av personuppgifter till tredje land

33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter för
behandling i tredje land.

469

background image

SFS 1998:204

Undantag från förbudet mot överföring av personuppgifter till tredje
land

34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till
tredje land, om den registrerade har lämnat sitt samtycke till överföringen el-
ler om överföringen är nödvändig för att

a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall

kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas
innan ett avtal träffas,

b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man

som är i den registrerades intresse skall kunna ingås eller fullgöras,

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,

eller

d) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning enbart i

en stat som har anslutit sig till Europarådets konvention om skydd för en-
skilda vid automatisk databehandling av personuppgifter.

35 § Regeringen får i fråga om automatiserad behandling av personupp-
gifter meddela föreskrifter om undantag från förbudet i 33 § för överföring
av personuppgifter till vissa stater. Regeringen får också i fråga om auto-
matiserad behandling av personuppgifter meddela föreskrifter om att över-
föring av personuppgifter till tredje land är tillåten, om överföringen regleras

av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättig-
heter.

Regeringen eller den myndighet som regeringen bestämmer får vidare i

fråga om automatiserad behandling av personuppgifter meddela föreskrifter
om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt
allmänt intresse eller om det finns tillräckliga garantier till skydd för de re-
gistrerades rättigheter.

Regeringen får under de förutsättningar som nämns i andra stycket i en-

skilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta
åt tillsynsmyndigheten att fatta sådana beslut.

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

36 § Behandling av personuppgifter som är helt eller delvis automatiserad
omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra
en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller
en serie av sådana behandlingar med samma eller liknande ändamål genom-
förs.

Om den personuppgiftsansvarige utser ett personuppgiftsombud skall

detta anmälas till tillsynsmyndigheten. �ven ett entledigande av ett person-
uppgiftsombud skall anmälas till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer får meddela

föreskrifter om undantag från anmälningsskyldigheten enligt första stycket
för sådana typer av behandlingar som sannolikt inte kommer att leda till
otillbörligt intrång i den personliga integriteten.

470

background image

Anmälan behöver inte göras om det finns ett personuppgiftsombud SFS 1998:204

37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten
att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt
36 § första stycket inte göras.

Personuppgiftsombudets uppgifter

38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och
korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för ho-
nom eller henne.

Har personuppgiftsombudet anledning att misstänka att den personupp-

giftsansvarige bryter mot de bestämmelser som gäller för behandlingen av
personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande,
skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndig-

heten vid tveksamhet om hur de bestämmelser som gäller för behandlingen
av personuppgifter skall tillämpas.

39 § Personuppgiftsombudet skall föra en förteckning över de behand-
lingar som den personuppgiftsansvarige genomför och som skulle ha omfat-
tats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen

skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha
innehållit.

40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga el-
ler ofullständiga.

Obligatorisk anmälan av särskilt integritetskänsliga behandlingar

41 § Regeringen får meddela föreskrifter om att sådana automatiserade be-
handlingar av personuppgifter som innebär särskilda risker för otillbörligt
intrång i den personliga integriteten skall för förhandskontroll anmälas till
tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har med-
delat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten
enligt 37 §.

Upplysningar till allmänheten om behandlingar som inte
anmälts

42 § Den personuppgiftsansvarige skall till var och en som begär det
skyndsamt och på lämpligt sätt lämna upplysningar om sådana auto-
matiserade eller andra behandlingar av personuppgifter som inte har anmälts
till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan
enligt 36 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är
dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om
vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som

471

background image

SFS 1998:204 inte är myndighet får därvid i motsvarande fall som avses i sekretesslagen

(1980:100) vägra att lämna ut uppgifter.

Tillsynsmyndighetens befogenheter

43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-

gifter och säkerheten vid denna, och

c) tillträde till sådana lokaler som har anknytning till behandlingen av per-

sonuppgifter.

44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräck-
ligt underlag för att konstatera att behandlingen av personuppgifter är laglig,
får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla
personuppgifter på något annat sätt än genom att lagra dem.

45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas el-
ler kan komma att behandlas på ett olagligt sätt, skall myndigheten genom
påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det
inte att få rättelse på något annat sätt eller är saken brådskande, får myn-
digheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att be-
handla personuppgifterna på något annat sätt än genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säker-

hetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten före-
skriva vite.

46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall
den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är bråd-

skande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt

beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har
gått ut.

Ett vitesföreläggande skall delges den personuppgiftsansvarige. Delgiv-

ning enligt 12 § delgivningslagen (1970:428) får användas bara om det finns
skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt
håller sig undan.

47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

Skadestånd

48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada
och kränkning av den personliga integriteten som en behandling av person-
uppgifter i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om

den personuppgiftsansvarige visar att felet inte berodde på honom eller

472 henne.

background image

Straff

SFS 1998:204

49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet

a) lämnar osann uppgift i sådan information till registrerade som före-

skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till till-
synsmyndigheten när myndigheten begär information enligt 43 §,

b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt före-

skrifter meddelade med stöd av 41 §.

Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första

stycket döms inte till ansvar för en gärning som omfattas av vitesföre-
läggandet.

Närmare föreskrifter

50 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela närmare
föreskrifter om

a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av

personuppgifter,

c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall inne-

hålla,

e) vilken information som skall lämnas till registrerade och hur informa-

tionen skall lämnas, och

f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter

har ändrats.

�verklagande

51 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter
får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det

överklagas.

Ikraftträdande- och övergångsbestämmelser

1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)

skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om över-

klagande av beslut som har meddelats före den 24 oktober 1998.

2.I fråga om behandling av personuppgifter som påbörjats före ikraft-

trädandet eller behandling som utförs för ett visst bestämt ändamål om be-
handling för ändamålet påbörjats före ikraftträdandet skall till och med den
30 september 2001 den äldre lagen tillämpas i stället för den nya. Detta gäl-
ler även bestämmelserna i den äldre lagen om överklagande.

473

background image

474

SFS 1998:204

3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja

tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av
personuppgifter som påbörjats före ikraftträdandet eller manuell behandling
som utförs för ett visst bestämt ändamål om manuell behandling för ändamå-
let påbörjats före ikraftträdandet.

4.1 fråga om personuppgifter som vid ikraftträdandet lagras för historisk

forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja
tillämpas först när uppgifterna behandlas på något annat sätt. Innan dess
skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna be-
stämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts
börja tillämpas tidigare än vad som följer av 2 eller 3.

5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har

trätt i kraft för den aktuella behandlingen.

6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för

den aktuella behandlingen skall gälla även efter ikraftträdandet om sam-
tycket uppfyller kraven i den nya lagen.

7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit

in innan den nya lagen trätt i kraft för den aktuella behandlingen men har ut-
draget inte expedierats före ikraftträdandet skall framställningen anses som
en ansökan enligt 26 § i den nya lagen.

8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om

den omständighet som yrkandet hänför sig till har inträffat efter det att den
nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall tillämpas
de äldre bestämmelserna.

På regeringens vägnar

G�RAN PERSSON

LAILA FREIVALDS
(Justitiedepartementet)

Viktiga lagar inom förvaltningsrätt

Viktiga lagar inom förvaltningsrätt

JP Infonets förvaltningsrättsliga tjänster

JP Infonets förvaltningsrättsliga tjänster

Hanterar du förvaltningsrättsliga frågeställningar i ditt arbete? Vi på JP Infonet kan hjälpa dig att reda ut förvaltningsrättsliga frågor oavsett om du arbetar på en kommun, statlig myndighet, domstol eller advokatbyrå. Vi ger råd och stöd med bland annat handläggning, kommunalrätt, delegationsordningar, offentlighet och sekretess, omprövning av beslut och laglighetsprövning. Se allt inom förvaltningsrätt.