PERSONUPPGIFTSLAG
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras personliga
integritet kränks genom behandling av personuppgifter.
Avvikande bestämmelse i annan författning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker
från denna lag, skall de bestämmelserna gälla.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven betydelse.
Behandling (av personuppgifter)
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig
det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering,
lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande
genom översändande, spridning eller annat tillhandahållande av uppgifter,
sammanställning eller samkörning, blockering, utplåning eller förstöring.
Blockering (av personuppgifter)
En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information
om att de är spärrade och om anledningen till spärren och för att personuppgifterna
inte skall lämnas ut till tredje man annat än med stöd av 2 kap.
tryckfrihetsförordningen.
Mottagare
Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att
en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är
skyldig att sköta, anses dock inte myndigheten som mottagare.
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som
är i livet.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt
skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registrerade
Den som en personuppgift avser.
Samtycke
Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den
registrerade, efter att ha fått information, godtar behandling av personuppgifter som
rör honom eller henne.
Tillsynsmyndigheten
Den myndighet som regeringen utser för att utöva tillsyn.
Tredje land
En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska
samarbetsområdet. Tredje man Någon annan än den registrerade, den
personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana
personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta
ansvar har befogenhet att behandla personuppgifter.
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i
Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men
för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad
som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter
mellan ett tredje land och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige
utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om
den personuppgiftsansvarige skall också gälla för företrädaren.
Behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller
delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i
eller är avsedda att ingå i en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk
person utför som ett led i en verksamhet av rent privat natur.
Förhållandet till tryck-och yttrandefriheten
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle
strida mot bestämmelserna om tryck- och yttrandefrihet i tryck- frihetsförordningen
eller yttrandefrihetsgrundlagen.
Bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47-49 §§ skall inte
tillämpas på sådan behandling av personuppgifter som sker uteslutande för
journalistiska ändamål eller konstnärligt eller litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle
inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut
personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna
handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 §
fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna
handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade
ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för
vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till
ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till
ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med
behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med
hänsyn till ändamålen med behandlingen.
I fråga om första stycket d gäller dock att en behandling av personuppgifter för
historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med
de ändamål för vilka uppgifterna samlades in.
Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål
under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana
fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål
får användas för att vidta åtgärder i fråga om den registrerade bara om den
registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till
den registrerades vitala intressen.
När behandling av personuppgifter är tillåten
10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke
till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den
registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut
skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller
hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses,
om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av
den personliga integriteten.
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt
marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har
anmält att han eller hon motsätter sig sådan behandling.
Samtycke återkallas
12 § I de fall då behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade
rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om
den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att
motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller
etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller
sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga
personuppgifter.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga
personuppgifter i de fall som anges i 15-19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud
taget är tillåten.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat
sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort
uppgifterna.
Nödvändig behandling
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för
att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina
rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den
registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man
bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att
göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt
syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om
organisationens medlemmar och sådana andra personer som på grund av organisationens
syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till
tredje man bara om den registrerade uttryckligen har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas för hälso- och
sjukvårdsändamål, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har
tystnadsplikt får även behandla känsliga personuppgifter som omfattas av
tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och
som har fått känsliga personuppgifter från verksamhet inom hälso- och
sjukvårdsområdet.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och
statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om
samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår
klart väger över den risk för otillbörligt intrång i enskildas personliga integritet
som behandlingen kan innebära.
Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna
enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant
särskilt organ för prövning av forskningsetiska frågor som har företrädare för
såväl det allmänna som forskningen och som är knutet till ett universitet eller en
högskola eller till någon annan instans som i mera betydande omfattning finansierar
forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första
stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om
automatiserad behandling av personuppgifter meddela föreskrifter om ytterligare undantag
från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om
lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella
tvångsmedel eller administrativa frihetsberövanden.
Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad
behandling av personuppgifter meddela föreskrifter om undantag från förbudet i första
stycket.
Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket.
Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Behandling av personnummer
22 § Uppgifter om personnummer får utan samtycke behandlas bara när det är
klart motiverat med hänsyn till a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant
23 § Om uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige i samband därmed självmant lämna den registrerade information
om behandlingen av uppgifterna.
24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade
information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda
att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna
lämnas ut för första gången.
Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om
registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan
författning.
Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara
omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna
används för att vidta åtgärder som rör den registrerade, skall dock information
lämnas senast i samband med att så sker.
Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna ta till vara
sina rättigheter i samband med behandlingen, såsom information om mottagarna av
uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och
få rättelse.
Information behöver dock inte lämnas om sådant som den registrerade redan känner till.
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om
det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande
behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också
om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
En ansökan enligt första stycket skall göras skriftligen hos den
personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt
första stycket skall lämnas inom en månad från det att ansökan gjordes.
Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader
efter det att ansökan gjordes. Information enligt första stycket behöver inte lämnas
om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan
gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock
inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart
för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller
löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under
längre tid än ett år.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 §; I den utsträckning det är särskilt föreskrivet i lag eller annan
författning eller i beslut som har meddelats med stöd av författning att uppgifter inte
får lämnas ut till den registrerade gäller inte bestämmelserna i 23-26 §§. En
personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses
i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade.
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den registrerade
snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i
enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den
personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har
lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada
eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse.
Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt
eller skulle innebära en oproportionerligt stor arbetsinsats.
Automatiserade beslut
29 § Om ett beslut som har rättsliga följder för en fysisk person eller annars
har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad
behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen,
skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av
någon person.
Var och en som varit föremål för ett sådant beslut som avses i första stycket har
rätt att på ansökan få information från den personuppgiftsansvarige om vad som har
styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och
lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.
Säkerheten vid behandling
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar under
biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i
enlighet med instruktioner från den personuppgiftsansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av
personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det
särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i
enlighet med instruktioner från den personuppgiftsansvarige och att
personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första
stycket.
Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av
personuppgifter i det allmännas verksamhet i frågor som avses i första stycket, skall
dessa gälla i stället för vad som sägs i första stycket.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna
skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den
personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de
säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen
vidtar åtgärderna.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka
säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet
med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter för behandling
i tredje land.
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter
till tredje land, om den registrerade otvetydigt har samtyckt till överföringen eller
när överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna
fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett
avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den
registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller
d) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning enbart i en stat
som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk
databehandling av personuppgifter.
35 § Regeringen får i fråga om automatiserad behandling av personuppgifter
meddela föreskrifter om undantag från förbudet i 33 § för överföring av
personuppgifter till vissa stater. Regeringen får också i fråga om automatiserad
behandling av personuppgifter meddela föreskrifter om att överföring av personuppgifter
till tredje land är tillåten, om överföringen regleras av ett avtal som ger
tillräckliga garantier till skydd för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare i fråga om
automatiserad behandling av personuppgifter meddela föreskrifter om undantag från
förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om
det finns tillräckliga garantier till skydd för de registrerades rättigheter.
Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall
besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt
tillsynsmyndigheten att fatta sådana beslut.
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatiserad
omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig
anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana
behandlingar med samma eller liknande ändamål genomförs.
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till
tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till
tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
undantag från anmälningsskyldigheten enligt första stycket för sådana typer av
behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den
personliga integriteten.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett
personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första
stycket inte göras.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt
och i enlighet med god sed samt påpeka eventuella brister för honom eller henne.
Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter
mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte
rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla
förhållandet till tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid
tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall
tillämpas.
39 § Personuppgiftsombudet skall föra en förteckning över de behandlingar som
den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet
om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en
anmälan enligt 36 § skulle ha innehållit.
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga eller
ofullständiga.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att sådana automatiserade
behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång
i den personliga integriteten skall för förhandskontroll anmälas till
tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana
föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt
och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra
behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten.
Upplysningarna skall omfatta det som en anmälan enligt 36 § första stycket skulle ha
omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda
uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En
personuppgiftsansvarig som inte är myndighet får därvid i motsvarande fall som avses i
sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten
vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt
underlag för att konstatera att behandlingen av personuppgifter är laglig, får
myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter
på något annat sätt än genom att lagra dem.
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan
komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller
liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på
något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den
personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat
sätt än genom att lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder
enligt 32 § som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite.
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den
personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får
myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det
tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige. Delgivning enligt 12 §
delgivningslagen (1970:428) får användas bara om det finns skäl att anta att den
personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan.
47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt
skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada och
kränkning av den personliga integriteten som en behandling av personuppgifter i strid med
denna lag har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den
personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Straff
49 § Till böter eller fängelse i högst sex månader eller, om brottet är
grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna
lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när
myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter
meddelade med stöd av 41 §.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms
inte till ansvar för en gärning som omfattas av vitesföreläggandet.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om
automatiserad behandling av personuppgifter meddela närmare föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla,
e) vilken information som skall lämnas till registrerade och hur informationen skall
lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har
ändrats.
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får
överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid
överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall
gälla även om det överklagas.
______________________________________
Denna sida ingår i projektet
"Personuppgiftslagen och yttrandefriheten",
producerat i juni 1998 av Christoph Andersson och Susanne Bertman
Examensarbete i "Global electronic journalism", 20 poäng,
Södertörns högskola i samarbete med JMK, Stockholms universitet
http://www.jmk.su.se/global/global98/private/christop/finalpro/pul.htm