SFS 1998:204 Personuppgiftslag

Arbetsrätt och arbetsmiljörätt Förvaltningsrätt Insolvensrätt IT-rätt Ordning och säkerhet Socialrätt

Start / Insolvensrätt / Lag (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet / SFS 1998:204 Personuppgiftslag

SFS 1998_204 Personuppgiftslag

Källa Regeringskansliets rättsdatabaser m.fl.

<div><style type="text/css">                </style> <div id="page1-div" style="position:relative;width:643px;height:903px;"> <img width="643" height="903" src="/Static/i/lagboken/hidden.png" alt="background image"/> 460 SFS 1998:204 Utkom fr�n trycket den 19 maj 1998 Personuppgiftslag; utf�rdad den 29 april 1998. Enligt riksdagens beslut1 f�reskrivs2 f�ljande. 1 Prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180. 2 Jfr Europaparlamentets och r�dets direktiv 95/46/EG av den 24 oktober 1995 om skydd f�r enskilda personer med avseende p� behandling av personuppgifter och om det fria fl�det av s�dana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046). </div> <div id="page2-div" style="position:relative;width:642px;height:902px;"> <img width="642" height="902" src="/Static/i/lagboken/hidden.png" alt="background image"/> 461 SFS 1998:204 Allm�nna best�mmelser Syftet med lagen 1 � Syftet med denna lag �r att skydda m�nniskor mot att deras personliga integritet kr�nks genom behandling av personuppgifter. Avvikande best�mmelser i annan f�rfattning 2 � Om det i en annan lag eller i en f�rordning finns best�mmelser som av- viker fr�n denna lag, skall de best�mmelserna g�lla. Definitioner 3 � I denna lag anv�nds f�ljande beteckningar med nedan angiven bety- delse. Beteckning Behandling (av person- uppgifter) Blockering (av person- uppgifter) Mottagare Personuppgifter Personuppgiftsansvarig Personuppgiftsbitr�de Betydelse Varje �tg�rd eller serie av �tg�rder som vidtas i fr�ga om personuppgifter, vare sig det sker p� automatisk v�g eller inte, t.ex. insamling, regist- rering, organisering, lagring, bearbetning eller �ndring, �tervinning, inh�mtande, anv�ndning, utl�mnande genom �vers�ndande, spridning eller annat tillhandah�llande av uppgifter, samman- st�llning eller samk�ming, blockering, utpl�ning eller f�rst�ring. En �tg�rd som vidtas f�r att personuppgifterna skall vara f�rknippade med information om att de �r sp�rrade och om anledningen till sp�rren och f�r att personuppgifterna inte skall l�mnas ut till tredje man annat �n med st�d av 2 kap. tryckfri- hetsf�rordningen. Den till vilken personuppgifter l�mnas ut. N�r per- sonuppgifter l�mnas ut f�r att en myndighet skall kunna utf�ra s�dan tillsyn, kontroll eller revision som den �r skyldig att sk�ta, anses dock inte myn- digheten som mottagare. All slags information som direkt eller indirekt kan h�nf�ras till en fysisk person som �r i livet. Den som ensam eller tillsammans med andra be- st�mmer �ndam�len med och medlen f�r be- handlingen av personuppgifter Den som behandlar personuppgifter f�r den per- sonuppgiftsansvariges r�kning. </div> <div id="page3-div" style="position:relative;width:643px;height:903px;"> <img width="643" height="903" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 1998:204 Beteckning Personuppgiftsombud Den registrerade Samtycke Tillsynsmyndigheten Tredje land Tredje man Betydelse Den fysiska person som, efter f�rordnande av den personuppgiftsansvarige, sj�lvst�ndigt skall se till att personuppgifter behandlas p� ett korrekt och lagligt s�tt. Den som en personuppgift avser. Varje slag av frivillig, s�rskild och otvetydig vil- jeyttring genom vilken den registrerade, efter att ha f�tt information, godtar behandling av person- uppgifter som r�r honom eller henne. Den myndighet som regeringen utser f�r att ut�va tillsyn. En stat som inte ing�r i Europeiska unionen eller �r ansluten till Europeiska ekonomiska samarbet- somr�det. N�gon annan �n den registrerade, den person- uppgiftsansvarige, personuppgiftsombudet, per- sonuppgiftsbitr�det och s�dana personer som under den personuppgiftsansvariges eller per- sonuppgiftsbitr�dets direkta ansvar har befogen- het att behandla personuppgifter. Till�mpningsomr�de Det territoriella till�mpningsomr�det 4 � Denna lag g�ller f�r s�dana personuppgiftsansvariga som �r etablerade i Sverige. Lagen till�mpas ocks� n�r den personuppgiftsansvarige �r etablerad i tredje land men f�r behandlingen av personuppgifter anv�nder sig av ut- rustning som finns i Sverige. Vad som nu sagts g�ller dock inte om utrust- ningen bara anv�nds f�r att �verf�ra uppgifter mellan ett tredje land och ett annat s�dant land. I det fall som avses i andra stycket f�rsta meningen skall den person- uppgiftsansvarige utse en f�retr�dare f�r sig som �r etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall ocks� g�lla f�r f�retr�daren. Behandling av personuppgifter som omfattas av lagen 5 � Denna lag g�ller f�r s�dan behandling av personuppgifter som helt el- ler delvis �r automatiserad. Lagen g�ller �ven f�r annan behandling av personuppgifter, om uppgifterna ing�r i eller �r avsedda att ing� i en strukturerad samling av 462 </div> <div id="page4-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> personuppgifter som �r tillg�ngliga f�r s�kning eller sammanst�llning enligt SFS 1998:204 s�rskilda kriterier. Undantag f�r privat behandling av personuppgifter 6 � Denna lag g�ller inte f�r s�dan behandling av personuppgifter som en fysisk person utf�r som ett led i en verksamhet av rent privat natur. F�rh�llandet till tryck- och yttrandefriheten 7 � Best�mmelserna i denna lag till�mpas inte i den utstr�ckning det skulle strida mot best�mmelserna om tryck- och yttrandefrihet i tryckfrihets- f�rordningen eller yttrandefrihetsgrundlagen. Best�mmelserna i 9-29 och 3 3 - 4 �� samt 45 � f�rsta stycket och 47- 49 �� skall inte till�mpas p� s�dan behandling av personuppgifter som sker uteslutande f�r journalistiska �ndam�l eller konstn�rligt eller litter�rt ska- pande. F�rh�llandet till offentlighetsprincipen 8 � Best�mmelserna i denna lag till�mpas inte i den utstr�ckning det skulle inskr�nka en myndighets skyldighet enligt 2 kap. tryckfrihetsf�rordningen att l�mna ut personuppgifter. Best�mmelserna hindrar inte heller att en myndighet arkiverar och bevarar allm�nna handlingar eller att arkivmaterial tas om hand av en arkivmyn- dighet. Best�mmelsen i 9 � fj�rde stycket g�ller inte f�r en myndighets an- v�ndning av personuppgifter i allm�nna handlingar. Grundl�ggande krav p� behandlingen av personuppgifter 9 � Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det �r lagligt, b) personuppgifter alltid behandlas p� ett korrekt s�tt och i enlighet med god sed, c) personuppgifter samlas in bara f�r s�rskilda, uttryckligt angivna och ber�ttigade �ndam�l, d) personuppgifter inte behandlas f�r n�got �ndam�l som �r of�renligt med det f�r vilket uppgifterna samlades in, e) de personuppgifter som behandlas �r adekvata och relevanta i f�r- h�llande till �ndam�len med behandlingen, f) inte fler personuppgifter behandlas �n som �r n�dv�ndigt med h�nsyn till �ndam�len med behandlingen, g) de personuppgifter som behandlas �r riktiga och, om det �r n�dv�ndigt, aktuella, h) alla rimliga �tg�rder vidtas f�r att r�tta, blockera eller utpl�na s�dana personuppgifter som �r felaktiga eller ofullst�ndiga med h�nsyn till �nda- m�len med behandlingen, och i) personuppgifter inte bevaras under en l�ngre tid �n vad som �r n�d- v�ndigt med h�nsyn till �ndam�len med behandlingen. 463 </div> <div id="page5-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 1998:204 I fr�ga om f�rsta stycket d g�ller dock att en behandling av personupp- gifter f�r historiska, statistiska eller vetenskapliga �ndam�l inte skall anses som of�renlig med de �ndam�l f�r vilka uppgifterna samlades in. Personuppgifter f�r bevaras f�r historiska, statistiska eller vetenskapliga �ndam�l under l�ngre tid �n som sagts i f�rsta stycket i. Personuppgifterna f�r dock i s�dana fall inte bevaras under en l�ngre tid �n vad som beh�vs f�r dessa �ndam�l. Personuppgifter som behandlas f�r historiska, statistiska eller vetenskap- liga �ndam�l f�r anv�ndas f�r att vidta �tg�rder i fr�ga om den registrerade bara om den registrerade har l�mnat sitt samtycke eller det finns synnerliga sk�l med h�nsyn till den registrerades vitala intressen. N�r behandling av personuppgifter �r till�ten 10 � Personuppgifter f�r behandlas bara om den registrerade har l�mnat sitt samtycke till behandlingen eller om behandlingen �r n�dv�ndig f�r att a) ett avtal med den registrerade skall kunna fullg�ras eller �tg�rder som den registrerade beg�rt skall kunna vidtas innan ett avtal tr�ffas, b) den personuppgiftsansvarige skall kunna fullg�ra en r�ttslig skyldighet, c) vitala intressen f�r den registrerade skall kunna skyddas, d) en arbetsuppgift av allm�nt intresse skall kunna utf�ras, e) den personuppgiftsansvarige eller en tredje man till vilken personupp- gifter l�mnas ut skall kunna utf�ra en arbetsuppgift i samband med myndig- hetsut�vning, eller f) ett �ndam�l som r�r ett ber�ttigat intresse hos den personuppgiftsansva- rige eller hos en s�dan tredje man till vilken personuppgifterna l�mnas ut skall kunna tillgodoses, om detta intresse v�ger tyngre �n den registrerades intresse av skydd mot kr�nkning av den personliga integriteten. Direkt marknadsf�ring 11 � Personuppgifter f�r inte behandlas f�r �ndam�l som r�r direkt mark- nadsf�ring, om den registrerade hos den personuppgiftsansvarige skriftligen har anm�lt att han eller hon mots�tter sig s�dan behandling. Samtycke �terkallas 12 � I de fall d� behandling av personuppgifter bara �r till�ten n�r den re- gistrerade har l�mnat sitt samtycke enligt 10, 15 eller 34 � har den registre- rade r�tt att n�r som helst �terkalla ett l�mnat samtycke. Ytterligare person- uppgifter om den registrerade f�r d�refter inte behandlas. En registrerad har ut�ver vad som f�ljer av f�rsta stycket och 11 � inte r�tt att mots�tta sig s�dan behandling av personuppgifter som �r till�ten enligt denna lag. F�rbud mot behandling av k�nsliga personuppgifter 13 � Det �r f�rbjudet att behandla personuppgifter som avsl�jar a) ras eller etniskt ursprung, 464 b) politiska �sikter, </div> <div id="page6-div" style="position:relative;width:645px;height:904px;"> <img width="645" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> c) religi�s eller filosofisk �vertygelse, eller SFS 1998:204 d) medlemskap i fackf�rening. Det �r ocks� f�rbjudet att behandla s�dana personuppgifter som r�r h�lsa eller sexualliv. Uppgifter av den art som anges i f�rsta och andra styckena betecknas i denna lag som k�nsliga personuppgifter. Undantag fr�n f�rbudet mot behandling av k�nsliga personuppgifter 14 � Det �r trots f�rbudet i 13 � till�tet att behandla k�nsliga personuppgif- ter i de fall som anges i 15-19 ��. I 10 � finns det best�mmelser om i vilka fall behandling av personupp- gifter �ver huvud taget �r till�ten. Samtycke eller offentligg�rande 15 � K�nsliga personuppgifter f�r behandlas, om den registrerade har l�m- nat sitt uttryckliga samtycke till behandlingen eller p� ett tydligt s�tt offent- liggjort uppgifterna. N�dv�ndig behandling 16 � K�nsliga personuppgifter f�r behandlas om behandlingen �r n�dv�n- dig f�r att a) den personuppgifts ansvarige skall kunna fullg�ra sina skyldigheter el- ler ut�va sina r�ttigheter inom arbetsr�tten, b) den registrerades eller n�gon annans vitala intressen skall kunna skyd- das och den registrerade inte kan l�mna sitt samtycke, eller c) r�ttsliga anspr�k skall kunna fastst�llas, g�ras g�llande eller f�rsvaras. Uppgifter som behandlas med st�d av f�rsta stycket a f�r l�mnas ut till tredje man bara om det inom arbetsr�tten finns en skyldighet f�r den per- sonuppgiftsansvarige att g�ra det eller den registrerade uttryckligen har sam- tyckt till utl�mnandet. Ideella organisationer 17 � Ideella organisationer med politiskt, filosofiskt, religi�st eller fackligt syfte f�r inom ramen f�r sin verksamhet behandla k�nsliga personuppgifter om organisationens medlemmar och s�dana andra personer som p� grund av organisationens syfte har regelbunden kontakt med den. K�nsliga person- uppgifter f�r dock l�mnas ut till tredje man bara om den registrerade uttryck- ligen har samtyckt till det. H�lso- och sjukv�rd 18 � K�nsliga personuppgifter f�r behandlas f�r h�lso- och sjukv�rds- �ndam�l, om behandlingen �r n�dv�ndig f�r a) f�rebyggande h�lso- och sjukv�rd, b) medicinska diagnoser, 465 </div> <div id="page7-div" style="position:relative;width:643px;height:903px;"> <img width="643" height="903" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 1998:204 c) v�rd eller behandling, eller d) administration av h�lso- och sjukv�rd. Den som �r yrkesm�ssigt verksam inom h�lso- och sjukv�rdsomr�det och har tystnadsplikt f�r �ven behandla k�nsliga personuppgifter som omfattas av tystnadsplikten. Detsamma g�ller den som �r underkastad en liknande tystnadsplikt och som har f�tt k�nsliga personuppgifter fr�n verksamhet inom h�lso- och sjukv�rdsomr�det. Forskning och statistik 19 � K�nsliga personuppgifter f�r behandlas f�r forsknings- och statistik- �ndam�l, om behandlingen �r n�dv�ndig p� s�tt som s�gs i 10 � och om samh�llsintresset av det forsknings- eller statistikprojekt d�r behandlingen ing�r klart v�ger �ver den risk f�r otillb�rligt intr�ng i enskildas personliga integritet som behandlingen kan inneb�ra. Har behandlingen godk�nts av en forskningsetisk kommitt�, skall f�rut- s�ttningarna enligt f�rsta stycket anses uppfyllda. Med forskningsetisk kom- mitt� avses ett s�dant s�rskilt organ f�r pr�vning av forskningsetiska fr�gor som har f�retr�dare f�r s�v�l det allm�nna som forskningen och som �r knu- tet till ett universitet eller en h�gskola eller till n�gon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter f�r l�mnas ut f�r att anv�ndas i s�dana projekt som avses i f�rsta stycket, om inte n�got annat f�ljer av regler om sekretess och tyst- nadsplikt. Bemyndigande att f�reskriva ytterligare undantag 20 � Regeringen eller den myndighet som regeringen best�mmer f�r i fr�ga om automatiserad behandling av personuppgifter meddela f�reskrifter om ytterligare undantag fr�n f�rbudet i 13 �, om det beh�vs med h�nsyn till ett viktigt allm�nt intresse. Uppgifter om lag�vertr�delser m.m. 21 � Det �r f�rbjudet f�r andra �n myndigheter att behandla personuppgif- ter om lag�vertr�delser som innefattar brott, domar i brottm�l, straffpro- cessuella tv�ngsmedel eller administrativa frihetsber�vanden. Regeringen eller den myndighet som regeringen best�mmer f�r i fr�ga om automatiserad behandling av personuppgifter meddela f�reskrifter om un- dantag fr�n f�rbudet i f�rsta stycket. Regeringen f�r i enskilda fall besluta om undantag fr�n f�rbudet i f�rsta stycket. Regeringen f�r �verl�ta �t tillsynsmyndigheten att fatta s�dana be- slut. Behandling av personnummer 22 � Uppgifter om personnummer f�r utan samtycke behandlas bara n�r det �r klart motiverat med h�nsyn till 466 </div> <div id="page8-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> a) �ndam�let med behandlingen, SFS 1998:204 b) vikten av en s�ker identifiering, eller c) n�got annat beaktansv�rt sk�l. Information till den registrerade Information skall l�mnas sj�lvmant 23 � Om uppgifter om en person samlas in fr�n personen sj�lv, skall den personuppgiftsansvarige i samband d�rmed sj�lvmant l�mna den re- gistrerade information om behandlingen av uppgifterna. 24 � Om personuppgifterna har samlats in fr�n n�gon annan k�lla �n den registrerade, skall den personuppgiftsansvarige sj�lvmant l�mna den regist- rerade information om behandlingen av uppgifterna n�r de registreras. �r uppgifterna avsedda att l�mnas ut till tredje man, beh�ver informationen dock inte ges f�rr�n uppgifterna l�mnas ut f�r f�rsta g�ngen. Information enligt f�rsta stycket beh�ver inte l�mnas, om det finns be- st�mmelser om registrerandet eller utl�mnandet av personuppgifterna i en lag eller n�gon annan f�rfattning. Information beh�ver inte heller l�mnas enligt f�rsta stycket, om detta vi- sar sig vara om�jligt eller skulle inneb�ra en oproportionerligt stor arbets- insats. Om uppgifterna anv�nds f�r att vidta �tg�rder som r�r den re- gistrerade, skall dock information l�mnas senast i samband med att s� sker. Den information som skall l�mnas sj�lvmant 25 � Information enligt 23 eller 24 � skall omfatta a) uppgift om den personuppgiftsansvariges identitet, b) uppgift om �ndam�len med behandlingen, och c) all �vrig information som beh�vs f�r att den registrerade skall kunna ta till vara sina r�ttigheter i samband med behandlingen, s�som information om mottagarna av uppgifterna, skyldighet att l�mna uppgifter och r�tten att an- s�ka om information och f� r�ttelse. Information beh�ver dock inte l�mnas om s�dant som den registrerade re- dan k�nner till. Information skall l�mnas efter ans�kan 26 � Den personuppgiftsansvarige �r skyldig att till var och en som ans�- ker om det en g�ng per kalender�r gratis l�mna besked om personuppgifter som r�r den s�kande behandlas eller ej. Behandlas s�dana uppgifter skall skriftlig information l�mnas ocks� om a) vilka uppgifter om den s�kande som behandlas, b) varifr�n dessa uppgifter har h�mtats, c) �ndam�len med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna l�m- nas ut. En ans�kan enligt f�rsta stycket skall g�ras skriftligen hos den person- uppgiftsansvarige och vara undertecknad av den s�kande sj�lv. Information enligt f�rsta stycket skall l�mnas inom en m�nad fr�n det att ans�kan gjor- 467 </div> <div id="page9-div" style="position:relative;width:646px;height:905px;"> <img width="646" height="905" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 1998:204 des. Om det finns s�rskilda sk�l f�r det, f�r information dock l�mnas senast fyra m�nader efter det att ans�kan gjordes. Information enligt f�rsta stycket beh�ver inte l�mnas om personuppgifter i l�pande text som inte f�tt sin slutliga utformning n�r ans�kan gjordes eller som utg�r minnesanteckning eller liknande. Vad som nu sagts g�ller dock inte om uppgifterna har l�mnats ut till tredje man eller om uppgifterna be- handlas enbart f�r historiska, statistiska eller vetenskapliga �ndam�l eller, n�r det g�ller l�pande text som inte f�tt sin slutliga utformning, om upp- gifterna har behandlats under l�ngre tid �n ett �r. Undantag fr�n informationsskyldigheten vid sekretess och tystnadsplikt 27 � I den utstr�ckning det �r s�rskilt f�reskrivet i lag eller annan f�rfatt- ning eller i beslut som har meddelats med st�d av f�rfattning att uppgifter inte f�r l�mnas ut till den registrerade g�ller inte best�mmelserna i 23-26 ��. En personuppgiftsansvarig som inte �r en myndighet f�r d�rvid i mot- svarande fall som avses i sekretesslagen (1980:100) v�gra att l�mna ut upp- gifter till den registrerade. R�ttelse 28 � Den personuppgiftsansvarige �r skyldig att p� beg�ran av den re- gistrerade snarast r�tta, blockera eller utpl�na s�dana personuppgifter som inte har behandlats i enlighet med denna lag eller f�reskrifter som har ut- f�rdats med st�d av lagen. Den personuppgiftsansvarige skall ocks� under- r�tta tredje man till vilken uppgifterna har l�mnats ut om �tg�rden, om den registrerade beg�r det eller om mera betydande skada eller ol�genhet f�r den registrerade skulle kunna undvikas genom en underr�ttelse. N�gon s�dan un- derr�ttelse beh�ver dock inte l�mnas, om detta visar sig vara om�jligt eller skulle inneb�ra en oproportionerligt stor arbetsinsats. Automatiserade beslut 29 � Om ett beslut som har r�ttsliga f�ljder f�r en fysisk person eller an- nars har m�rkbara verkningar f�r den fysiska personen, grundas enbart p� automatiserad behandling av s�dana personuppgifter som �r avsedda att be- d�ma egenskaper hos personen, skall den som ber�rs av beslutet ha m�jlig- het att p� beg�ran f� beslutet ompr�vat av n�gon person. Var och en som varit f�rem�l f�r ett s�dant beslut som avses i f�rsta stycket har r�tt att p� ans�kan f� information fr�n den personuppgiftsansva- rige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fr�ga om ans�kan och l�mnandet av information g�ller i till�mp- liga delar best�mmelserna i 26 �. 468 </div> <div id="page10-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> S�kerheten vid behandling SFS 1998:204 Personer som behandlar personuppgifter 30 � Ett personuppgiftsbitr�de och den eller de personer som arbetar under bitr�dets eller den personuppgiftsansvariges ledning f�r behandla person- uppgifter bara i enlighet med instruktioner fr�n den personuppgiftsansvarige. Det skall finnas ett skriftligt avtal om personuppgiftsbitr�dets behandling av personuppgifter f�r den personuppgiftsansvariges r�kning. I det avtalet skall det s�rskilt f�reskrivas att personuppgiftsbitr�det f�r behandla person- uppgifterna bara i enlighet med instruktioner fr�n den personuppgifts- ansvarige och att personuppgiftsbitr�det �r skyldigt att vidta de �tg�rder som avses i 31 � f�rsta stycket. Om det i lag eller annan f�rfattning finns s�rskilda best�mmelser om be- handlingen av personuppgifter i det allm�nnas verksamhet i fr�gor som av- ses i f�rsta stycket, skall dessa g�lla i st�llet f�r vad som s�gs i f�rsta stycket. S�kerhets�tg�rder 31 � Den personuppgiftsansvarige skall vidta l�mpliga tekniska och orga- nisatoriska �tg�rder f�r att skydda de personuppgifter som behandlas. �t- g�rderna skall �stadkomma en s�kerhetsniv� som �r l�mplig med beaktande av a) de tekniska m�jligheter som finns, b) vad det skulle kosta att genomf�ra �tg�rderna, c) de s�rskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass k�nsliga de behandlade personuppgifterna �r. N�r den personuppgiftsansvarige anlitar ett personuppgiftsbitr�de, skall den personuppgiftsansvarige f�rvissa sig om att personuppgiftsbitr�det kan genomf�ra de s�kerhets�tg�rder som m�ste vidtas och se till att personupp- giftsbitr�det verkligen vidtar �tg�rderna. Tillsynsmyndigheten f�r besluta om s�kerhets�tg�rder 32 � Tillsynsmyndigheten f�r i enskilda fall besluta om vilka s�kerhets- �tg�rder som den personuppgifts ansvarige skall vidta enligt 31 �. I 45 � finns det best�mmelser om tillsynsmyndighetens m�jligheter att f�rena beslutet med vite. �verf�ring av personuppgifter till tredje land F�rbud mot �verf�ring av personuppgifter till tredje land 33 � Det �r f�rbjudet att till tredje land f�ra �ver personuppgifter som �r under behandling. F�rbudet g�ller ocks� �verf�ring av personuppgifter f�r behandling i tredje land. 469 </div> <div id="page11-div" style="position:relative;width:643px;height:903px;"> <img width="643" height="903" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 1998:204 Undantag fr�n f�rbudet mot �verf�ring av personuppgifter till tredje land 34 � Det �r trots f�rbudet i 33 � till�tet att f�ra �ver personuppgifter till tredje land, om den registrerade har l�mnat sitt samtycke till �verf�ringen el- ler om �verf�ringen �r n�dv�ndig f�r att a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullg�ras eller �tg�rder som den registrerade beg�rt skall kunna vidtas innan ett avtal tr�ffas, b) ett s�dant avtal mellan den personuppgiftsansvarige och tredje man som �r i den registrerades intresse skall kunna ing�s eller fullg�ras, c) r�ttsliga anspr�k skall kunna fastst�llas, g�ras g�llande eller f�rsvaras, eller d) vitala intressen f�r den registrerade skall kunna skyddas. Det �r ocks� till�tet att f�ra �ver personuppgifter f�r anv�ndning enbart i en stat som har anslutit sig till Europar�dets konvention om skydd f�r en- skilda vid automatisk databehandling av personuppgifter. 35 � Regeringen f�r i fr�ga om automatiserad behandling av personupp- gifter meddela f�reskrifter om undantag fr�n f�rbudet i 33 � f�r �verf�ring av personuppgifter till vissa stater. Regeringen f�r ocks� i fr�ga om auto- matiserad behandling av personuppgifter meddela f�reskrifter om att �ver- f�ring av personuppgifter till tredje land �r till�ten, om �verf�ringen regleras av ett avtal som ger tillr�ckliga garantier till skydd f�r de registrerades r�ttig- heter. Regeringen eller den myndighet som regeringen best�mmer f�r vidare i fr�ga om automatiserad behandling av personuppgifter meddela f�reskrifter om undantag fr�n f�rbudet i 33 �, om det beh�vs med h�nsyn till ett viktigt allm�nt intresse eller om det finns tillr�ckliga garantier till skydd f�r de re- gistrerades r�ttigheter. Regeringen f�r under de f�ruts�ttningar som n�mns i andra stycket i en- skilda fall besluta om undantag fr�n f�rbudet i 33 �. Regeringen f�r �verl�ta �t tillsynsmyndigheten att fatta s�dana beslut. Anm�lan till tillsynsmyndigheten Anm�lningsskyldighet 36 � Behandling av personuppgifter som �r helt eller delvis automatiserad omfattas av anm�lningsskyldighet. Den personuppgiftsansvarige skall g�ra en skriftlig anm�lan till tillsynsmyndigheten innan en s�dan behandling eller en serie av s�dana behandlingar med samma eller liknande �ndam�l genom- f�rs. Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anm�las till tillsynsmyndigheten. �ven ett entledigande av ett person- uppgiftsombud skall anm�las till tillsynsmyndigheten. Regeringen eller den myndighet som regeringen best�mmer f�r meddela f�reskrifter om undantag fr�n anm�lningsskyldigheten enligt f�rsta stycket f�r s�dana typer av behandlingar som sannolikt inte kommer att leda till otillb�rligt intr�ng i den personliga integriteten. 470 </div> <div id="page12-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> Anm�lan beh�ver inte g�ras om det finns ett personuppgiftsombud SFS 1998:204 37 � Om den personuppgiftsansvarige har anm�lt till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det �r, beh�ver anm�lan enligt 36 � f�rsta stycket inte g�ras. Personuppgiftsombudets uppgifter 38 � Personuppgiftsombudet skall ha till uppgift att sj�lvst�ndigt se till att den personuppgiftsansvarige behandlar personuppgifter p� ett lagligt och korrekt s�tt och i enlighet med god sed samt p�peka eventuella brister f�r ho- nom eller henne. Har personuppgiftsombudet anledning att misst�nka att den personupp- giftsansvarige bryter mot de best�mmelser som g�ller f�r behandlingen av personuppgifter och vidtas inte r�ttelse s� snart det kan ske efter p�pekande, skall personuppgiftsombudet anm�la f�rh�llandet till tillsynsmyndigheten. Personuppgiftsombudet skall �ven i �vrigt samr�da med tillsynsmyndig- heten vid tveksamhet om hur de best�mmelser som g�ller f�r behandlingen av personuppgifter skall till�mpas. 39 � Personuppgiftsombudet skall f�ra en f�rteckning �ver de behand- lingar som den personuppgiftsansvarige genomf�r och som skulle ha omfat- tats av anm�lningsskyldighet om ombudet inte hade funnits. F�rteckningen skall omfatta �tminstone de uppgifter som en anm�lan enligt 36 � skulle ha inneh�llit. 40 � Personuppgiftsombudet skall hj�lpa registrerade att f� r�ttelse n�r det finns anledning att misst�nka att behandlade personuppgifter �r felaktiga el- ler ofullst�ndiga. Obligatorisk anm�lan av s�rskilt integritetsk�nsliga behandlingar 41 � Regeringen f�r meddela f�reskrifter om att s�dana automatiserade be- handlingar av personuppgifter som inneb�r s�rskilda risker f�r otillb�rligt intr�ng i den personliga integriteten skall f�r f�rhandskontroll anm�las till tillsynsmyndigheten enligt 36 � tre veckor i f�rv�g. Om regeringen har med- delat s�dana f�reskrifter, g�ller inte undantaget fr�n anm�lningsskyldigheten enligt 37 �. Upplysningar till allm�nheten om behandlingar som inte anm�lts 42 � Den personuppgiftsansvarige skall till var och en som beg�r det skyndsamt och p� l�mpligt s�tt l�mna upplysningar om s�dana auto- matiserade eller andra behandlingar av personuppgifter som inte har anm�lts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anm�lan enligt 36 � f�rsta stycket skulle ha omfattat. Den personuppgiftsansvarige �r dock inte skyldig att l�mna ut sekretessbelagda uppgifter eller uppgifter om vilka s�kerhets�tg�rder som har vidtagits. En personuppgiftsansvarig som 471 </div> <div id="page13-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> SFS 1998:204 inte �r myndighet f�r d�rvid i motsvarande fall som avses i sekretesslagen (1980:100) v�gra att l�mna ut uppgifter. Tillsynsmyndighetens befogenheter 43 � Tillsynsmyndigheten har r�tt att f�r sin tillsyn p� beg�ran f� a) tillg�ng till de personuppgifter som behandlas, b) upplysningar om och dokumentation av behandlingen av personupp- gifter och s�kerheten vid denna, och c) tilltr�de till s�dana lokaler som har anknytning till behandlingen av per- sonuppgifter. 44 � Om tillsynsmyndigheten inte efter beg�ran enligt 43 � kan f� tillr�ck- ligt underlag f�r att konstatera att behandlingen av personuppgifter �r laglig, f�r myndigheten vid vite f�rbjuda den personuppgiftsansvarige att behandla personuppgifter p� n�got annat s�tt �n genom att lagra dem. 45 � Om tillsynsmyndigheten konstaterar att personuppgifter behandlas el- ler kan komma att behandlas p� ett olagligt s�tt, skall myndigheten genom p�pekanden eller liknande f�rfaranden f�rs�ka �stadkomma r�ttelse. G�r det inte att f� r�ttelse p� n�got annat s�tt eller �r saken br�dskande, f�r myn- digheten vid vite f�rbjuda den personuppgiftsansvarige att forts�tta att be- handla personuppgifterna p� n�got annat s�tt �n genom att lagra dem. Om den personuppgiftsansvarige inte frivilligt f�ljer ett beslut om s�ker- hets�tg�rder enligt 32 � som vunnit laga kraft, f�r tillsynsmyndigheten f�re- skriva vite. 46 � Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 �, skall den personuppgiftsansvarige ha f�tt tillf�lle att yttra sig. Om saken �r br�d- skande, f�r myndigheten dock i avvaktan p� yttrandet meddela ett tillf�lligt beslut om vite. Det tillf�lliga beslutet skall ompr�vas, n�r yttrandetiden har g�tt ut. Ett vitesf�rel�ggande skall delges den personuppgiftsansvarige. Delgiv- ning enligt 12 � delgivningslagen (1970:428) f�r anv�ndas bara om det finns sk�l att anta att den personuppgiftsansvarige har avvikit eller p� annat s�tt h�ller sig undan. 47 � Tillsynsmyndigheten f�r hos l�nsr�tten i det l�n d�r myndigheten �r bel�gen ans�ka om att s�dana personuppgifter som har behandlats p� ett olagligt s�tt skall utpl�nas. Beslut om utpl�nande f�r inte meddelas om det �r osk�ligt. Skadest�nd 48 � Den personuppgiftsansvarige skall ers�tta den registrerade f�r skada och kr�nkning av den personliga integriteten som en behandling av person- uppgifter i strid med denna lag har orsakat. Ers�ttningsskyldigheten kan i den utstr�ckning det �r sk�ligt j�mkas, om den personuppgiftsansvarige visar att felet inte berodde p� honom eller 472 henne. </div> <div id="page14-div" style="position:relative;width:644px;height:904px;"> <img width="644" height="904" src="/Static/i/lagboken/hidden.png" alt="background image"/> Straff SFS 1998:204 49 � Till b�ter eller f�ngelse i h�gst sex m�nader eller, om brottet �r grovt, till f�ngelse i h�gst tv� �r d�ms den som upps�tligen eller av oaktsamhet a) l�mnar osann uppgift i s�dan information till registrerade som f�re- skrivs i denna lag, i anm�lan till tillsynsmyndigheten enligt 36 � eller till till- synsmyndigheten n�r myndigheten beg�r information enligt 43 �, b) behandlar personuppgifter i strid med 13-21 ��, c) f�r �ver personuppgifter till tredje land i strid med 33-35 ��, eller d) l�ter bli att g�ra anm�lan enligt 36 � f�rsta stycket eller enligt f�re- skrifter meddelade med st�d av 41 �. Den som �vertr�tt ett vitesf�rel�ggande enligt 44 � eller 45 � f�rsta stycket d�ms inte till ansvar f�r en g�rning som omfattas av vitesf�re- l�ggandet. N�rmare f�reskrifter 50 � Regeringen eller den myndighet som regeringen best�mmer f�r i fr�ga om automatiserad behandling av personuppgifter meddela n�rmare f�reskrifter om a) i vilka fall behandling av personuppgifter �r till�ten, b) vilka krav som st�lls p� den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall anv�ndning av personnummer �r till�ten, d) vad en anm�lan eller ans�kan till en personuppgiftsansvarig skall inne- h�lla, e) vilken information som skall l�mnas till registrerade och hur informa- tionen skall l�mnas, och f) anm�lan till tillsynsmyndigheten och f�rfarandet n�r anm�lda uppgifter har �ndrats. �verklagande 51 � Tillsynsmyndighetens beslut enligt denna lag om annat �n f�reskrifter f�r �verklagas hos allm�n f�rvaltningsdomstol. Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten. Tillsynsmyndigheten f�r best�mma att dess beslut skall g�lla �ven om det �verklagas. Ikrafttr�dande- och �verg�ngsbest�mmelser 1. Denna lag tr�der i kraft den 24 oktober 1998, d� datalagen (1973:289) skall upph�ra att g�lla. Den �ldre lagen g�ller dock fortfarande i fr�ga om �ver- klagande av beslut som har meddelats f�re den 24 oktober 1998. 2.I fr�ga om behandling av personuppgifter som p�b�rjats f�re ikraft- tr�dandet eller behandling som utf�rs f�r ett visst best�mt �ndam�l om be- handling f�r �ndam�let p�b�rjats f�re ikrafttr�dandet skall till och med den 30 september 2001 den �ldre lagen till�mpas i st�llet f�r den nya. Detta g�l- ler �ven best�mmelserna i den �ldre lagen om �verklagande. 473 </div> <div id="page15-div" style="position:relative;width:643px;height:903px;"> <img width="643" height="903" src="/Static/i/lagboken/hidden.png" alt="background image"/> 474 SFS 1998:204 3. Best�mmelserna i 9, 10, 13 och 21 �� i den nya lagen skall inte b�rja till�mpas f�rr�n den 1 oktober 2007 i fr�ga om s�dan manuell behandling av personuppgifter som p�b�rjats f�re ikrafttr�dandet eller manuell behandling som utf�rs f�r ett visst best�mt �ndam�l om manuell behandling f�r �ndam�- let p�b�rjats f�re ikrafttr�dandet. 4.1 fr�ga om personuppgifter som vid ikrafttr�dandet lagras f�r historisk forskning skall best�mmelserna i 9, 10, 13 och 21 �� i den nya lagen b�rja till�mpas f�rst n�r uppgifterna behandlas p� n�got annat s�tt. Innan dess skall motsvarande best�mmelser i den �ldre lagen till�mpas. De angivna be- st�mmelserna i den nya lagen skall dock inte till f�ljd av vad som nu sagts b�rja till�mpas tidigare �n vad som f�ljer av 2 eller 3. 5. Anm�lan enligt 36 � i den nya lagen f�r g�ras innan den nya lagen har tr�tt i kraft f�r den aktuella behandlingen. 6. Ett samtycke som har l�mnats innan den nya lagen har tr�tt i kraft f�r den aktuella behandlingen skall g�lla �ven efter ikrafttr�dandet om sam- tycket uppfyller kraven i den nya lagen. 7. Har en beg�ran om registerutdrag enligt 10 � i den �ldre lagen kommit in innan den nya lagen tr�tt i kraft f�r den aktuella behandlingen men har ut- draget inte expedierats f�re ikrafttr�dandet skall framst�llningen anses som en ans�kan enligt 26 � i den nya lagen. 8. Den nya lagens best�mmelser om skadest�nd skall bara till�mpas om den omst�ndighet som yrkandet h�nf�r sig till har intr�ffat efter det att den nya lagen har tr�tt i kraft f�r den aktuella behandlingen. I annat fall till�mpas de �ldre best�mmelserna. P� regeringens v�gnar G�RAN PERSSON LAILA FREIVALDS (Justitiedepartementet) </div> </div>

460

SFS 1998:204

Utkom fr�n trycket
den 19 maj 1998

Personuppgiftslag;

utf�rdad den 29 april 1998.

Enligt riksdagens beslut1 f�reskrivs2 f�ljande.

Prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180.

Jfr Europaparlamentets och r�dets direktiv 95/46/EG av den 24 oktober 1995 om

skydd f�r enskilda personer med avseende p� behandling av personuppgifter och om
det fria fl�det av s�dana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex
395L0046).

461

SFS 1998:204

Allm�nna best�mmelser

Syftet med lagen

1 � Syftet med denna lag �r att skydda m�nniskor mot att deras personliga

integritet kr�nks genom behandling av personuppgifter.

Avvikande best�mmelser i annan f�rfattning

2 � Om det i en annan lag eller i en f�rordning finns best�mmelser som av-
viker fr�n denna lag, skall de best�mmelserna g�lla.

Definitioner

3 � I denna lag anv�nds f�ljande beteckningar med nedan angiven bety-
delse.

Beteckning

Behandling (av person-
uppgifter)

Blockering (av person-

uppgifter)

Mottagare

Personuppgifter

Personuppgiftsansvarig

Personuppgiftsbitr�de

Betydelse

Varje �tg�rd eller serie av �tg�rder som vidtas i
fr�ga om personuppgifter, vare sig det sker p�
automatisk v�g eller inte, t.ex. insamling, regist-
rering, organisering, lagring, bearbetning eller
�ndring, �tervinning, inh�mtande, anv�ndning,
utl�mnande genom �vers�ndande, spridning eller
annat tillhandah�llande av uppgifter, samman-
st�llning eller samk�ming, blockering, utpl�ning
eller f�rst�ring.

En �tg�rd som vidtas f�r att personuppgifterna
skall vara f�rknippade med information om att de
�r sp�rrade och om anledningen till sp�rren och
f�r att personuppgifterna inte skall l�mnas ut till
tredje man annat �n med st�d av 2 kap. tryckfri-
hetsf�rordningen.

Den till vilken personuppgifter l�mnas ut. N�r per-
sonuppgifter l�mnas ut f�r att en myndighet skall
kunna utf�ra s�dan tillsyn, kontroll eller revision
som den �r skyldig att sk�ta, anses dock inte myn-
digheten som mottagare.

All slags information som direkt eller indirekt kan
h�nf�ras till en fysisk person som �r i livet.

Den som ensam eller tillsammans med andra be-
st�mmer �ndam�len med och medlen f�r be-
handlingen av personuppgifter

Den som behandlar personuppgifter f�r den per-
sonuppgiftsansvariges r�kning.

SFS 1998:204

Beteckning

Personuppgiftsombud

Den registrerade

Samtycke

Tillsynsmyndigheten

Tredje land

Tredje man

Betydelse

Den fysiska person som, efter f�rordnande av den
personuppgiftsansvarige, sj�lvst�ndigt skall se till
att personuppgifter behandlas p� ett korrekt och
lagligt s�tt.

Den som en personuppgift avser.

Varje slag av frivillig, s�rskild och otvetydig vil-

jeyttring genom vilken den registrerade, efter att

ha f�tt information, godtar behandling av person-
uppgifter som r�r honom eller henne.

Den myndighet som regeringen utser f�r att ut�va

tillsyn.

En stat som inte ing�r i Europeiska unionen eller
�r ansluten till Europeiska ekonomiska samarbet-
somr�det.

N�gon annan �n den registrerade, den person-

uppgiftsansvarige, personuppgiftsombudet, per-
sonuppgiftsbitr�det och s�dana personer som
under den personuppgiftsansvariges eller per-
sonuppgiftsbitr�dets direkta ansvar har befogen-
het att behandla personuppgifter.

Till�mpningsomr�de

Det territoriella till�mpningsomr�det

4 � Denna lag g�ller f�r s�dana personuppgiftsansvariga som �r etablerade
i Sverige.

Lagen till�mpas ocks� n�r den personuppgiftsansvarige �r etablerad i

tredje land men f�r behandlingen av personuppgifter anv�nder sig av ut-
rustning som finns i Sverige. Vad som nu sagts g�ller dock inte om utrust-
ningen bara anv�nds f�r att �verf�ra uppgifter mellan ett tredje land och ett
annat s�dant land.

I det fall som avses i andra stycket f�rsta meningen skall den person-

uppgiftsansvarige utse en f�retr�dare f�r sig som �r etablerad i Sverige. Vad
som anges i denna lag om den personuppgiftsansvarige skall ocks� g�lla f�r
f�retr�daren.

Behandling av personuppgifter som omfattas av lagen

5 � Denna lag g�ller f�r s�dan behandling av personuppgifter som helt el-
ler delvis �r automatiserad.

Lagen g�ller �ven f�r annan behandling av personuppgifter, om

uppgifterna ing�r i eller �r avsedda att ing� i en strukturerad samling av

462

personuppgifter som �r tillg�ngliga f�r s�kning eller sammanst�llning enligt SFS 1998:204

s�rskilda kriterier.

Undantag f�r privat behandling av personuppgifter

6 � Denna lag g�ller inte f�r s�dan behandling av personuppgifter som en
fysisk person utf�r som ett led i en verksamhet av rent privat natur.

F�rh�llandet till tryck- och yttrandefriheten

7 � Best�mmelserna i denna lag till�mpas inte i den utstr�ckning det skulle
strida mot best�mmelserna om tryck- och yttrandefrihet i tryckfrihets-
f�rordningen eller yttrandefrihetsgrundlagen.

Best�mmelserna i 9-29 och 3 3 - 4 �� samt 45 � f�rsta stycket och 47-

49 �� skall inte till�mpas p� s�dan behandling av personuppgifter som sker
uteslutande f�r journalistiska �ndam�l eller konstn�rligt eller litter�rt ska-
pande.

F�rh�llandet till offentlighetsprincipen

8 � Best�mmelserna i denna lag till�mpas inte i den utstr�ckning det skulle
inskr�nka en myndighets skyldighet enligt 2 kap. tryckfrihetsf�rordningen
att l�mna ut personuppgifter.

Best�mmelserna hindrar inte heller att en myndighet arkiverar och bevarar

allm�nna handlingar eller att arkivmaterial tas om hand av en arkivmyn-
dighet. Best�mmelsen i 9 � fj�rde stycket g�ller inte f�r en myndighets an-
v�ndning av personuppgifter i allm�nna handlingar.

Grundl�ggande krav p� behandlingen av personuppgifter

9 � Den personuppgiftsansvarige skall se till att

a) personuppgifter behandlas bara om det �r lagligt,
b) personuppgifter alltid behandlas p� ett korrekt s�tt och i enlighet med

god sed,

c) personuppgifter samlas in bara f�r s�rskilda, uttryckligt angivna och

ber�ttigade �ndam�l,

d) personuppgifter inte behandlas f�r n�got �ndam�l som �r of�renligt

med det f�r vilket uppgifterna samlades in,

e) de personuppgifter som behandlas �r adekvata och relevanta i f�r-

h�llande till �ndam�len med behandlingen,

f) inte fler personuppgifter behandlas �n som �r n�dv�ndigt med h�nsyn

till �ndam�len med behandlingen,

g) de personuppgifter som behandlas �r riktiga och, om det �r n�dv�ndigt,

aktuella,

h) alla rimliga �tg�rder vidtas f�r att r�tta, blockera eller utpl�na s�dana

personuppgifter som �r felaktiga eller ofullst�ndiga med h�nsyn till �nda-
m�len med behandlingen, och

i) personuppgifter inte bevaras under en l�ngre tid �n vad som �r n�d-

v�ndigt med h�nsyn till �ndam�len med behandlingen.

463

SFS 1998:204 I fr�ga om f�rsta stycket d g�ller dock att en behandling av personupp-

gifter f�r historiska, statistiska eller vetenskapliga �ndam�l inte skall anses
som of�renlig med de �ndam�l f�r vilka uppgifterna samlades in.

Personuppgifter f�r bevaras f�r historiska, statistiska eller vetenskapliga

�ndam�l under l�ngre tid �n som sagts i f�rsta stycket i. Personuppgifterna
f�r dock i s�dana fall inte bevaras under en l�ngre tid �n vad som beh�vs f�r
dessa �ndam�l.

Personuppgifter som behandlas f�r historiska, statistiska eller vetenskap-

liga �ndam�l f�r anv�ndas f�r att vidta �tg�rder i fr�ga om den registrerade

bara om den registrerade har l�mnat sitt samtycke eller det finns synnerliga

sk�l med h�nsyn till den registrerades vitala intressen.

N�r behandling av personuppgifter �r till�ten

10 � Personuppgifter f�r behandlas bara om den registrerade har l�mnat
sitt samtycke till behandlingen eller om behandlingen �r n�dv�ndig f�r att

a) ett avtal med den registrerade skall kunna fullg�ras eller �tg�rder som

den registrerade beg�rt skall kunna vidtas innan ett avtal tr�ffas,

b) den personuppgiftsansvarige skall kunna fullg�ra en r�ttslig skyldighet,
c) vitala intressen f�r den registrerade skall kunna skyddas,
d) en arbetsuppgift av allm�nt intresse skall kunna utf�ras,
e) den personuppgiftsansvarige eller en tredje man till vilken personupp-

gifter l�mnas ut skall kunna utf�ra en arbetsuppgift i samband med myndig-
hetsut�vning, eller

f) ett �ndam�l som r�r ett ber�ttigat intresse hos den personuppgiftsansva-

rige eller hos en s�dan tredje man till vilken personuppgifterna l�mnas ut
skall kunna tillgodoses, om detta intresse v�ger tyngre �n den registrerades
intresse av skydd mot kr�nkning av den personliga integriteten.

Direkt marknadsf�ring

11 � Personuppgifter f�r inte behandlas f�r �ndam�l som r�r direkt mark-

nadsf�ring, om den registrerade hos den personuppgiftsansvarige skriftligen
har anm�lt att han eller hon mots�tter sig s�dan behandling.

Samtycke �terkallas

12 � I de fall d� behandling av personuppgifter bara �r till�ten n�r den re-

gistrerade har l�mnat sitt samtycke enligt 10, 15 eller 34 � har den registre-
rade r�tt att n�r som helst �terkalla ett l�mnat samtycke. Ytterligare person-
uppgifter om den registrerade f�r d�refter inte behandlas.

En registrerad har ut�ver vad som f�ljer av f�rsta stycket och 11 � inte r�tt

att mots�tta sig s�dan behandling av personuppgifter som �r till�ten enligt
denna lag.

F�rbud mot behandling av k�nsliga personuppgifter

13 � Det �r f�rbjudet att behandla personuppgifter som avsl�jar

a) ras eller etniskt ursprung,

464 b) politiska �sikter,

c) religi�s eller filosofisk �vertygelse, eller SFS 1998:204
d) medlemskap i fackf�rening.
Det �r ocks� f�rbjudet att behandla s�dana personuppgifter som r�r h�lsa

eller sexualliv.

Uppgifter av den art som anges i f�rsta och andra styckena betecknas i

denna lag som k�nsliga personuppgifter.

Undantag fr�n f�rbudet mot behandling av k�nsliga
personuppgifter

14 � Det �r trots f�rbudet i 13 � till�tet att behandla k�nsliga personuppgif-

ter i de fall som anges i 15-19 ��.

I 10 � finns det best�mmelser om i vilka fall behandling av personupp-

gifter �ver huvud taget �r till�ten.

Samtycke eller offentligg�rande

15 � K�nsliga personuppgifter f�r behandlas, om den registrerade har l�m-

nat sitt uttryckliga samtycke till behandlingen eller p� ett tydligt s�tt offent-
liggjort uppgifterna.

N�dv�ndig behandling

16 � K�nsliga personuppgifter f�r behandlas om behandlingen �r n�dv�n-
dig f�r att

a) den personuppgifts ansvarige skall kunna fullg�ra sina skyldigheter el-

ler ut�va sina r�ttigheter inom arbetsr�tten,

b) den registrerades eller n�gon annans vitala intressen skall kunna skyd-

das och den registrerade inte kan l�mna sitt samtycke, eller

c) r�ttsliga anspr�k skall kunna fastst�llas, g�ras g�llande eller f�rsvaras.
Uppgifter som behandlas med st�d av f�rsta stycket a f�r l�mnas ut till

tredje man bara om det inom arbetsr�tten finns en skyldighet f�r den per-

sonuppgiftsansvarige att g�ra det eller den registrerade uttryckligen har sam-

tyckt till utl�mnandet.

Ideella organisationer

17 � Ideella organisationer med politiskt, filosofiskt, religi�st eller fackligt
syfte f�r inom ramen f�r sin verksamhet behandla k�nsliga personuppgifter
om organisationens medlemmar och s�dana andra personer som p� grund av

organisationens syfte har regelbunden kontakt med den. K�nsliga person-
uppgifter f�r dock l�mnas ut till tredje man bara om den registrerade uttryck-
ligen har samtyckt till det.

H�lso- och sjukv�rd

18 � K�nsliga personuppgifter f�r behandlas f�r h�lso- och sjukv�rds-
�ndam�l, om behandlingen �r n�dv�ndig f�r

a) f�rebyggande h�lso- och sjukv�rd,

b) medicinska diagnoser,

465

SFS 1998:204 c) v�rd eller behandling, eller

d) administration av h�lso- och sjukv�rd.
Den som �r yrkesm�ssigt verksam inom h�lso- och sjukv�rdsomr�det och

har tystnadsplikt f�r �ven behandla k�nsliga personuppgifter som omfattas
av tystnadsplikten. Detsamma g�ller den som �r underkastad en liknande
tystnadsplikt och som har f�tt k�nsliga personuppgifter fr�n verksamhet
inom h�lso- och sjukv�rdsomr�det.

Forskning och statistik

19 � K�nsliga personuppgifter f�r behandlas f�r forsknings- och statistik-

�ndam�l, om behandlingen �r n�dv�ndig p� s�tt som s�gs i 10 � och om
samh�llsintresset av det forsknings- eller statistikprojekt d�r behandlingen
ing�r klart v�ger �ver den risk f�r otillb�rligt intr�ng i enskildas personliga
integritet som behandlingen kan inneb�ra.

Har behandlingen godk�nts av en forskningsetisk kommitt�, skall f�rut-

s�ttningarna enligt f�rsta stycket anses uppfyllda. Med forskningsetisk kom-
mitt� avses ett s�dant s�rskilt organ f�r pr�vning av forskningsetiska fr�gor
som har f�retr�dare f�r s�v�l det allm�nna som forskningen och som �r knu-
tet till ett universitet eller en h�gskola eller till n�gon annan instans som i
mera betydande omfattning finansierar forskning.

Personuppgifter f�r l�mnas ut f�r att anv�ndas i s�dana projekt som avses

i f�rsta stycket, om inte n�got annat f�ljer av regler om sekretess och tyst-
nadsplikt.

Bemyndigande att f�reskriva ytterligare undantag

20 � Regeringen eller den myndighet som regeringen best�mmer f�r i
fr�ga om automatiserad behandling av personuppgifter meddela f�reskrifter
om ytterligare undantag fr�n f�rbudet i 13 �, om det beh�vs med h�nsyn till
ett viktigt allm�nt intresse.

Uppgifter om lag�vertr�delser m.m.

21 � Det �r f�rbjudet f�r andra �n myndigheter att behandla personuppgif-
ter om lag�vertr�delser som innefattar brott, domar i brottm�l, straffpro-
cessuella tv�ngsmedel eller administrativa frihetsber�vanden.

Regeringen eller den myndighet som regeringen best�mmer f�r i fr�ga om

automatiserad behandling av personuppgifter meddela f�reskrifter om un-
dantag fr�n f�rbudet i f�rsta stycket.

Regeringen f�r i enskilda fall besluta om undantag fr�n f�rbudet i f�rsta

stycket. Regeringen f�r �verl�ta �t tillsynsmyndigheten att fatta s�dana be-
slut.

Behandling av personnummer

22 � Uppgifter om personnummer f�r utan samtycke behandlas bara n�r
det �r klart motiverat med h�nsyn till

466

a) �ndam�let med behandlingen, SFS 1998:204
b) vikten av en s�ker identifiering, eller
c) n�got annat beaktansv�rt sk�l.

Information till den registrerade

Information skall l�mnas sj�lvmant

23 � Om uppgifter om en person samlas in fr�n personen sj�lv, skall den
personuppgiftsansvarige i samband d�rmed sj�lvmant l�mna den re-
gistrerade information om behandlingen av uppgifterna.

24 � Om personuppgifterna har samlats in fr�n n�gon annan k�lla �n den
registrerade, skall den personuppgiftsansvarige sj�lvmant l�mna den regist-
rerade information om behandlingen av uppgifterna n�r de registreras. �r
uppgifterna avsedda att l�mnas ut till tredje man, beh�ver informationen
dock inte ges f�rr�n uppgifterna l�mnas ut f�r f�rsta g�ngen.

Information enligt f�rsta stycket beh�ver inte l�mnas, om det finns be-

st�mmelser om registrerandet eller utl�mnandet av personuppgifterna i en
lag eller n�gon annan f�rfattning.

Information beh�ver inte heller l�mnas enligt f�rsta stycket, om detta vi-

sar sig vara om�jligt eller skulle inneb�ra en oproportionerligt stor arbets-
insats. Om uppgifterna anv�nds f�r att vidta �tg�rder som r�r den re-
gistrerade, skall dock information l�mnas senast i samband med att s� sker.

Den information som skall l�mnas sj�lvmant

25 � Information enligt 23 eller 24 � skall omfatta

a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om �ndam�len med behandlingen, och
c) all �vrig information som beh�vs f�r att den registrerade skall kunna ta

till vara sina r�ttigheter i samband med behandlingen, s�som information om
mottagarna av uppgifterna, skyldighet att l�mna uppgifter och r�tten att an-

s�ka om information och f� r�ttelse.

Information beh�ver dock inte l�mnas om s�dant som den registrerade re-

dan k�nner till.

Information skall l�mnas efter ans�kan

26 � Den personuppgiftsansvarige �r skyldig att till var och en som ans�-
ker om det en g�ng per kalender�r gratis l�mna besked om personuppgifter
som r�r den s�kande behandlas eller ej. Behandlas s�dana uppgifter skall
skriftlig information l�mnas ocks� om

a) vilka uppgifter om den s�kande som behandlas,
b) varifr�n dessa uppgifter har h�mtats,
c) �ndam�len med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna l�m-

nas ut.

En ans�kan enligt f�rsta stycket skall g�ras skriftligen hos den person-

uppgiftsansvarige och vara undertecknad av den s�kande sj�lv. Information
enligt f�rsta stycket skall l�mnas inom en m�nad fr�n det att ans�kan gjor-

467

SFS 1998:204 des. Om det finns s�rskilda sk�l f�r det, f�r information dock l�mnas senast

fyra m�nader efter det att ans�kan gjordes.

Information enligt f�rsta stycket beh�ver inte l�mnas om personuppgifter

i l�pande text som inte f�tt sin slutliga utformning n�r ans�kan gjordes eller
som utg�r minnesanteckning eller liknande. Vad som nu sagts g�ller dock
inte om uppgifterna har l�mnats ut till tredje man eller om uppgifterna be-
handlas enbart f�r historiska, statistiska eller vetenskapliga �ndam�l eller,
n�r det g�ller l�pande text som inte f�tt sin slutliga utformning, om upp-
gifterna har behandlats under l�ngre tid �n ett �r.

Undantag fr�n informationsskyldigheten vid sekretess och tystnadsplikt

27 � I den utstr�ckning det �r s�rskilt f�reskrivet i lag eller annan f�rfatt-
ning eller i beslut som har meddelats med st�d av f�rfattning att uppgifter
inte f�r l�mnas ut till den registrerade g�ller inte best�mmelserna i 23-26 ��.
En personuppgiftsansvarig som inte �r en myndighet f�r d�rvid i mot-
svarande fall som avses i sekretesslagen (1980:100) v�gra att l�mna ut upp-
gifter till den registrerade.

R�ttelse

28 � Den personuppgiftsansvarige �r skyldig att p� beg�ran av den re-
gistrerade snarast r�tta, blockera eller utpl�na s�dana personuppgifter som
inte har behandlats i enlighet med denna lag eller f�reskrifter som har ut-
f�rdats med st�d av lagen. Den personuppgiftsansvarige skall ocks� under-
r�tta tredje man till vilken uppgifterna har l�mnats ut om �tg�rden, om den
registrerade beg�r det eller om mera betydande skada eller ol�genhet f�r den
registrerade skulle kunna undvikas genom en underr�ttelse. N�gon s�dan un-
derr�ttelse beh�ver dock inte l�mnas, om detta visar sig vara om�jligt eller
skulle inneb�ra en oproportionerligt stor arbetsinsats.

Automatiserade beslut

29 � Om ett beslut som har r�ttsliga f�ljder f�r en fysisk person eller an-
nars har m�rkbara verkningar f�r den fysiska personen, grundas enbart p�

automatiserad behandling av s�dana personuppgifter som �r avsedda att be-
d�ma egenskaper hos personen, skall den som ber�rs av beslutet ha m�jlig-
het att p� beg�ran f� beslutet ompr�vat av n�gon person.

Var och en som varit f�rem�l f�r ett s�dant beslut som avses i f�rsta

stycket har r�tt att p� ans�kan f� information fr�n den personuppgiftsansva-

rige om vad som har styrt den automatiserade behandling som lett fram till
beslutet. I fr�ga om ans�kan och l�mnandet av information g�ller i till�mp-

liga delar best�mmelserna i 26 �.

468

S�kerheten vid behandling SFS 1998:204

Personer som behandlar personuppgifter

30 � Ett personuppgiftsbitr�de och den eller de personer som arbetar under
bitr�dets eller den personuppgiftsansvariges ledning f�r behandla person-
uppgifter bara i enlighet med instruktioner fr�n den personuppgiftsansvarige.

Det skall finnas ett skriftligt avtal om personuppgiftsbitr�dets behandling

av personuppgifter f�r den personuppgiftsansvariges r�kning. I det avtalet
skall det s�rskilt f�reskrivas att personuppgiftsbitr�det f�r behandla person-
uppgifterna bara i enlighet med instruktioner fr�n den personuppgifts-
ansvarige och att personuppgiftsbitr�det �r skyldigt att vidta de �tg�rder som
avses i 31 � f�rsta stycket.

Om det i lag eller annan f�rfattning finns s�rskilda best�mmelser om be-

handlingen av personuppgifter i det allm�nnas verksamhet i fr�gor som av-
ses i f�rsta stycket, skall dessa g�lla i st�llet f�r vad som s�gs i f�rsta stycket.

S�kerhets�tg�rder

31 � Den personuppgiftsansvarige skall vidta l�mpliga tekniska och orga-
nisatoriska �tg�rder f�r att skydda de personuppgifter som behandlas. �t-
g�rderna skall �stadkomma en s�kerhetsniv� som �r l�mplig med beaktande

a) de tekniska m�jligheter som finns,
b) vad det skulle kosta att genomf�ra �tg�rderna,
c) de s�rskilda risker som finns med behandlingen av personuppgifterna,

och

d) hur pass k�nsliga de behandlade personuppgifterna �r.
N�r den personuppgiftsansvarige anlitar ett personuppgiftsbitr�de, skall

den personuppgiftsansvarige f�rvissa sig om att personuppgiftsbitr�det kan
genomf�ra de s�kerhets�tg�rder som m�ste vidtas och se till att personupp-
giftsbitr�det verkligen vidtar �tg�rderna.

Tillsynsmyndigheten f�r besluta om s�kerhets�tg�rder

32 � Tillsynsmyndigheten f�r i enskilda fall besluta om vilka s�kerhets-
�tg�rder som den personuppgifts ansvarige skall vidta enligt 31 �.

I 45 � finns det best�mmelser om tillsynsmyndighetens m�jligheter att

f�rena beslutet med vite.

�verf�ring av personuppgifter till tredje land

F�rbud mot �verf�ring av personuppgifter till tredje land

33 � Det �r f�rbjudet att till tredje land f�ra �ver personuppgifter som �r
under behandling. F�rbudet g�ller ocks� �verf�ring av personuppgifter f�r
behandling i tredje land.

469

SFS 1998:204

Undantag fr�n f�rbudet mot �verf�ring av personuppgifter till tredje
land

34 � Det �r trots f�rbudet i 33 � till�tet att f�ra �ver personuppgifter till
tredje land, om den registrerade har l�mnat sitt samtycke till �verf�ringen el-
ler om �verf�ringen �r n�dv�ndig f�r att

a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall

kunna fullg�ras eller �tg�rder som den registrerade beg�rt skall kunna vidtas
innan ett avtal tr�ffas,

b) ett s�dant avtal mellan den personuppgiftsansvarige och tredje man

som �r i den registrerades intresse skall kunna ing�s eller fullg�ras,

c) r�ttsliga anspr�k skall kunna fastst�llas, g�ras g�llande eller f�rsvaras,

eller

d) vitala intressen f�r den registrerade skall kunna skyddas.
Det �r ocks� till�tet att f�ra �ver personuppgifter f�r anv�ndning enbart i

en stat som har anslutit sig till Europar�dets konvention om skydd f�r en-
skilda vid automatisk databehandling av personuppgifter.

35 � Regeringen f�r i fr�ga om automatiserad behandling av personupp-
gifter meddela f�reskrifter om undantag fr�n f�rbudet i 33 � f�r �verf�ring
av personuppgifter till vissa stater. Regeringen f�r ocks� i fr�ga om auto-
matiserad behandling av personuppgifter meddela f�reskrifter om att �ver-
f�ring av personuppgifter till tredje land �r till�ten, om �verf�ringen regleras

av ett avtal som ger tillr�ckliga garantier till skydd f�r de registrerades r�ttig-
heter.

Regeringen eller den myndighet som regeringen best�mmer f�r vidare i

fr�ga om automatiserad behandling av personuppgifter meddela f�reskrifter
om undantag fr�n f�rbudet i 33 �, om det beh�vs med h�nsyn till ett viktigt
allm�nt intresse eller om det finns tillr�ckliga garantier till skydd f�r de re-
gistrerades r�ttigheter.

Regeringen f�r under de f�ruts�ttningar som n�mns i andra stycket i en-

skilda fall besluta om undantag fr�n f�rbudet i 33 �. Regeringen f�r �verl�ta
�t tillsynsmyndigheten att fatta s�dana beslut.

Anm�lan till tillsynsmyndigheten

Anm�lningsskyldighet

36 � Behandling av personuppgifter som �r helt eller delvis automatiserad
omfattas av anm�lningsskyldighet. Den personuppgiftsansvarige skall g�ra
en skriftlig anm�lan till tillsynsmyndigheten innan en s�dan behandling eller
en serie av s�dana behandlingar med samma eller liknande �ndam�l genom-
f�rs.

Om den personuppgiftsansvarige utser ett personuppgiftsombud skall

detta anm�las till tillsynsmyndigheten. �ven ett entledigande av ett person-
uppgiftsombud skall anm�las till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen best�mmer f�r meddela

f�reskrifter om undantag fr�n anm�lningsskyldigheten enligt f�rsta stycket
f�r s�dana typer av behandlingar som sannolikt inte kommer att leda till
otillb�rligt intr�ng i den personliga integriteten.

470

Anm�lan beh�ver inte g�ras om det finns ett personuppgiftsombud SFS 1998:204

37 � Om den personuppgiftsansvarige har anm�lt till tillsynsmyndigheten
att ett personuppgiftsombud utsetts och vem det �r, beh�ver anm�lan enligt
36 � f�rsta stycket inte g�ras.

Personuppgiftsombudets uppgifter

38 � Personuppgiftsombudet skall ha till uppgift att sj�lvst�ndigt se till att
den personuppgiftsansvarige behandlar personuppgifter p� ett lagligt och
korrekt s�tt och i enlighet med god sed samt p�peka eventuella brister f�r ho-
nom eller henne.

Har personuppgiftsombudet anledning att misst�nka att den personupp-

giftsansvarige bryter mot de best�mmelser som g�ller f�r behandlingen av
personuppgifter och vidtas inte r�ttelse s� snart det kan ske efter p�pekande,
skall personuppgiftsombudet anm�la f�rh�llandet till tillsynsmyndigheten.

Personuppgiftsombudet skall �ven i �vrigt samr�da med tillsynsmyndig-

heten vid tveksamhet om hur de best�mmelser som g�ller f�r behandlingen
av personuppgifter skall till�mpas.

39 � Personuppgiftsombudet skall f�ra en f�rteckning �ver de behand-
lingar som den personuppgiftsansvarige genomf�r och som skulle ha omfat-
tats av anm�lningsskyldighet om ombudet inte hade funnits. F�rteckningen

skall omfatta �tminstone de uppgifter som en anm�lan enligt 36 � skulle ha
inneh�llit.

40 � Personuppgiftsombudet skall hj�lpa registrerade att f� r�ttelse n�r det
finns anledning att misst�nka att behandlade personuppgifter �r felaktiga el-
ler ofullst�ndiga.

Obligatorisk anm�lan av s�rskilt integritetsk�nsliga behandlingar

41 � Regeringen f�r meddela f�reskrifter om att s�dana automatiserade be-
handlingar av personuppgifter som inneb�r s�rskilda risker f�r otillb�rligt
intr�ng i den personliga integriteten skall f�r f�rhandskontroll anm�las till
tillsynsmyndigheten enligt 36 � tre veckor i f�rv�g. Om regeringen har med-
delat s�dana f�reskrifter, g�ller inte undantaget fr�n anm�lningsskyldigheten
enligt 37 �.

Upplysningar till allm�nheten om behandlingar som inte
anm�lts

42 � Den personuppgiftsansvarige skall till var och en som beg�r det
skyndsamt och p� l�mpligt s�tt l�mna upplysningar om s�dana auto-
matiserade eller andra behandlingar av personuppgifter som inte har anm�lts
till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anm�lan
enligt 36 � f�rsta stycket skulle ha omfattat. Den personuppgiftsansvarige �r
dock inte skyldig att l�mna ut sekretessbelagda uppgifter eller uppgifter om
vilka s�kerhets�tg�rder som har vidtagits. En personuppgiftsansvarig som

471

SFS 1998:204 inte �r myndighet f�r d�rvid i motsvarande fall som avses i sekretesslagen

(1980:100) v�gra att l�mna ut uppgifter.

Tillsynsmyndighetens befogenheter

43 � Tillsynsmyndigheten har r�tt att f�r sin tillsyn p� beg�ran f�

a) tillg�ng till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-

gifter och s�kerheten vid denna, och

c) tilltr�de till s�dana lokaler som har anknytning till behandlingen av per-

sonuppgifter.

44 � Om tillsynsmyndigheten inte efter beg�ran enligt 43 � kan f� tillr�ck-
ligt underlag f�r att konstatera att behandlingen av personuppgifter �r laglig,
f�r myndigheten vid vite f�rbjuda den personuppgiftsansvarige att behandla
personuppgifter p� n�got annat s�tt �n genom att lagra dem.

45 � Om tillsynsmyndigheten konstaterar att personuppgifter behandlas el-
ler kan komma att behandlas p� ett olagligt s�tt, skall myndigheten genom
p�pekanden eller liknande f�rfaranden f�rs�ka �stadkomma r�ttelse. G�r det
inte att f� r�ttelse p� n�got annat s�tt eller �r saken br�dskande, f�r myn-
digheten vid vite f�rbjuda den personuppgiftsansvarige att forts�tta att be-
handla personuppgifterna p� n�got annat s�tt �n genom att lagra dem.

Om den personuppgiftsansvarige inte frivilligt f�ljer ett beslut om s�ker-

hets�tg�rder enligt 32 � som vunnit laga kraft, f�r tillsynsmyndigheten f�re-
skriva vite.

46 � Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 �, skall
den personuppgiftsansvarige ha f�tt tillf�lle att yttra sig. Om saken �r br�d-

skande, f�r myndigheten dock i avvaktan p� yttrandet meddela ett tillf�lligt

beslut om vite. Det tillf�lliga beslutet skall ompr�vas, n�r yttrandetiden har
g�tt ut.

Ett vitesf�rel�ggande skall delges den personuppgiftsansvarige. Delgiv-

ning enligt 12 � delgivningslagen (1970:428) f�r anv�ndas bara om det finns
sk�l att anta att den personuppgiftsansvarige har avvikit eller p� annat s�tt
h�ller sig undan.

47 � Tillsynsmyndigheten f�r hos l�nsr�tten i det l�n d�r myndigheten �r
bel�gen ans�ka om att s�dana personuppgifter som har behandlats p� ett
olagligt s�tt skall utpl�nas.

Beslut om utpl�nande f�r inte meddelas om det �r osk�ligt.

Skadest�nd

48 � Den personuppgiftsansvarige skall ers�tta den registrerade f�r skada
och kr�nkning av den personliga integriteten som en behandling av person-
uppgifter i strid med denna lag har orsakat.

Ers�ttningsskyldigheten kan i den utstr�ckning det �r sk�ligt j�mkas, om

den personuppgiftsansvarige visar att felet inte berodde p� honom eller

472 henne.

Straff

SFS 1998:204

49 � Till b�ter eller f�ngelse i h�gst sex m�nader eller, om brottet �r grovt,
till f�ngelse i h�gst tv� �r d�ms den som upps�tligen eller av oaktsamhet

a) l�mnar osann uppgift i s�dan information till registrerade som f�re-

skrivs i denna lag, i anm�lan till tillsynsmyndigheten enligt 36 � eller till till-
synsmyndigheten n�r myndigheten beg�r information enligt 43 �,

b) behandlar personuppgifter i strid med 13-21 ��,
c) f�r �ver personuppgifter till tredje land i strid med 33-35 ��, eller
d) l�ter bli att g�ra anm�lan enligt 36 � f�rsta stycket eller enligt f�re-

skrifter meddelade med st�d av 41 �.

Den som �vertr�tt ett vitesf�rel�ggande enligt 44 � eller 45 � f�rsta

stycket d�ms inte till ansvar f�r en g�rning som omfattas av vitesf�re-
l�ggandet.

N�rmare f�reskrifter

50 � Regeringen eller den myndighet som regeringen best�mmer f�r i
fr�ga om automatiserad behandling av personuppgifter meddela n�rmare
f�reskrifter om

a) i vilka fall behandling av personuppgifter �r till�ten,
b) vilka krav som st�lls p� den personuppgiftsansvarige vid behandling av

personuppgifter,

c) i vilka fall anv�ndning av personnummer �r till�ten,
d) vad en anm�lan eller ans�kan till en personuppgiftsansvarig skall inne-

h�lla,

e) vilken information som skall l�mnas till registrerade och hur informa-

tionen skall l�mnas, och

f) anm�lan till tillsynsmyndigheten och f�rfarandet n�r anm�lda uppgifter

har �ndrats.

�verklagande

51 � Tillsynsmyndighetens beslut enligt denna lag om annat �n f�reskrifter
f�r �verklagas hos allm�n f�rvaltningsdomstol.

Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten.
Tillsynsmyndigheten f�r best�mma att dess beslut skall g�lla �ven om det

�verklagas.

Ikrafttr�dande- och �verg�ngsbest�mmelser

1. Denna lag tr�der i kraft den 24 oktober 1998, d� datalagen (1973:289)

skall upph�ra att g�lla. Den �ldre lagen g�ller dock fortfarande i fr�ga om �ver-

klagande av beslut som har meddelats f�re den 24 oktober 1998.

2.I fr�ga om behandling av personuppgifter som p�b�rjats f�re ikraft-

tr�dandet eller behandling som utf�rs f�r ett visst best�mt �ndam�l om be-
handling f�r �ndam�let p�b�rjats f�re ikrafttr�dandet skall till och med den
30 september 2001 den �ldre lagen till�mpas i st�llet f�r den nya. Detta g�l-
ler �ven best�mmelserna i den �ldre lagen om �verklagande.

473

474

SFS 1998:204

3. Best�mmelserna i 9, 10, 13 och 21 �� i den nya lagen skall inte b�rja

till�mpas f�rr�n den 1 oktober 2007 i fr�ga om s�dan manuell behandling av
personuppgifter som p�b�rjats f�re ikrafttr�dandet eller manuell behandling
som utf�rs f�r ett visst best�mt �ndam�l om manuell behandling f�r �ndam�-
let p�b�rjats f�re ikrafttr�dandet.

4.1 fr�ga om personuppgifter som vid ikrafttr�dandet lagras f�r historisk

forskning skall best�mmelserna i 9, 10, 13 och 21 �� i den nya lagen b�rja
till�mpas f�rst n�r uppgifterna behandlas p� n�got annat s�tt. Innan dess
skall motsvarande best�mmelser i den �ldre lagen till�mpas. De angivna be-
st�mmelserna i den nya lagen skall dock inte till f�ljd av vad som nu sagts
b�rja till�mpas tidigare �n vad som f�ljer av 2 eller 3.

5. Anm�lan enligt 36 � i den nya lagen f�r g�ras innan den nya lagen har

tr�tt i kraft f�r den aktuella behandlingen.

6. Ett samtycke som har l�mnats innan den nya lagen har tr�tt i kraft f�r

den aktuella behandlingen skall g�lla �ven efter ikrafttr�dandet om sam-
tycket uppfyller kraven i den nya lagen.

7. Har en beg�ran om registerutdrag enligt 10 � i den �ldre lagen kommit

in innan den nya lagen tr�tt i kraft f�r den aktuella behandlingen men har ut-
draget inte expedierats f�re ikrafttr�dandet skall framst�llningen anses som
en ans�kan enligt 26 � i den nya lagen.

8. Den nya lagens best�mmelser om skadest�nd skall bara till�mpas om

den omst�ndighet som yrkandet h�nf�r sig till har intr�ffat efter det att den
nya lagen har tr�tt i kraft f�r den aktuella behandlingen. I annat fall till�mpas
de �ldre best�mmelserna.

P� regeringens v�gnar

G�RAN PERSSON

LAILA FREIVALDS
(Justitiedepartementet)

;

Viktiga lagar inom insolvensrätten

Konkurslag (1987:672)
Lag (1996:764) om företagsrekonstruktion
Skuldsaneringslag (2016:675)
Utsökningsbalk (1981:774)

JP Infonets insolvensrättsliga tjänster

Arbetar du med insolvensrätt? I JP Infonets tjänster hittar du det juridiska grundmaterial du behöver som beslutsunderlag samt den senaste praxisutvecklingen snabbt analyserad och kommenterad. Se allt inom insolvensrätt.

Tjänster

Utbildningar

Juridisk rådgivning

SFS 1998:204 Personuppgiftslag

Viktiga lagar inom insolvensrätten

JP Infonets insolvensrättsliga tjänster

Om Lagboken.se