Offentlighet och dataskydd

Behandling av personuppgifter i kommunen

EU:s allmänna dataskyddsförordning började tillämpas i maj 2018. Vid sidan av förordningen tillämpas den nationella dataskyddslagen. Lagen preciserar och kompletterar EU:s allmänna dataskyddsförordning.

I dataskyddslagen finns också bestämmelser om bland annat tillsynsmyndigheter och om vissa specifika situationer i anslutning till behandlingen av personuppgifter, såsom sammanjämkningen av yttrandefriheten och skyddet av personuppgifter.

Med dataskyddsförordningen skapas nya rättigheter för medborgarna samt nya skyldigheter för de personuppgiftsansvariga och personuppgiftsbiträdena. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

Målet och syftet med dataskyddsförordningen är att anta de utmaningar som den snabba tekniska utvecklingen och digitaliseringen för med sig samt att förbättra personuppgiftsskyddet i webbmiljö.

Viktiga begrepp

Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person.

En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Definitionen av personuppgifter är med andra ord mycket vid.

Med behandling av personuppgifter avses en åtgärd eller kombination av åtgärder som berör personuppgifter eller uppsättningar av personuppgifter, oberoende av om åtgärderna utförs automatiserat eller manuellt.

Behandling av personuppgifter är insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring av dessa uppgifter. Med behandling av personuppgifter avses också framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt. Likaså utgör justering eller sammanförande, begränsning, radering eller förstöring samt andra åtgärder som vidtas i fråga om personuppgifterna en behandling av uppgifterna.

Ett personregister är en strukturerad samling av personuppgifter som är tillgängligt enligt särskilda kriterier. Samlingen kan vara centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Den personuppgiftsansvarige är alltså den person eller organisation för vars bruk ett personregister inrättas och som har rätt att förfoga över registret.

Med registrerad avses den som en personuppgift gäller.

Med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Krav på behandlingen av personuppgifter

Principerna för behandlingen av personuppgifter är enligt dataskyddsförordningen följande:

  • Laglighet, rimlighet och öppenhet: personuppgifter ska behandlas på ett lagligt, adekvat och öppet sätt i förhållande till den registrerade.
  • Ändamålsbegränsning: personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
  • Uppgiftsminimering: personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
  • Krav på korrekthet: personuppgifterna ska vara korrekta och, om nödvändigt, uppdaterade. Den som behandlar personuppgifterna ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är inexakta och felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
  • Lagringsminimering: uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
  • Integritet och konfidentialitet: uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Säkerhet innebär att uppgifterna ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige ansvara för och kunna visa att dessa principer efterlevs.

Laglig behandling av personuppgifter

Behandlingen av personuppgifter ska grunda sig på lag. I dataskyddsförordningen föreskrivs det om allmänna förutsättningar för att få behandla personuppgifter. Personuppgifter får behandlas exempelvis:

  • om den registrerade otvetydigt har lämnat sitt samtycke
  • om det bestämts om behandlingen i lag eller om behandlingen föranleds av en uppgift eller förpliktelse som ålagts den personuppgiftsansvarige i lag eller anvisats med stöd av lag
  • om den registrerade på grund av ett kund- eller anställningsförhållande, ett medlemskap eller något annat därmed jämförbart förhållande har en saklig anknytning till den personuppgiftsansvariges verksamhet
  • om det gäller en koncerns eller ekonomisk sammanslutnings kund- eller personaluppgifter och uppgifterna behandlas endast inom koncernen eller sammanslutningen
  • om det är fråga om en allmänt tillgänglig uppgift som beskriver en persons ställning, uppgifter och skötseln av dem inom ett offentligt samfund eller inom näringslivet och dessa uppgifter behandlas för att trygga rättigheter och intressen hos den personuppgiftsansvarige eller en sådan tredje part till vilken uppgifterna lämnas ut.

I dataskyddsförordningen och dataskyddslagen finns särskilda bestämmelser om rätten att behandla personuppgifter för särskilda ändamål. Sådana ändamål är:

  • historisk eller vetenskaplig forskning
  • statistikföring
  • myndigheternas planerings- och utredningsuppgifter
  • upprättande av personmatrikel
  • släktforskning
  • direktmarknadsföring och andra adresserade försändelser
  • behandling av personkreditupplysningar.

Uppgifter som gäller särskilda kategorier av personuppgifter får i regel inte behandlas alls. Definitionen av särskilda kategorier av personuppgifter i förordningen motsvarar med vissa ändringar den gamla personuppgiftslagens känsliga personuppgifter.

Med särskilda kategorier av personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Särskilda kategorier av personuppgifter är också genetiska och biometriska uppgifter med vilka man entydigt kan identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Uppgifter som hör till särskilda kategorier av personuppgifter får behandlas om den grund som särskilt nämns i förordningen uppfylls.

En personbeteckning är inte en sådan sekretessbelagd uppgift som avses i 24 § i offentlighetslagen och hör inte till de särskilda kategorierna av personuppgifter. Det finns särskilda bestämmelser om behandlingen av personbeteckningar i dataskyddslagen.

Utlämnande av personuppgifter ur myndigheters personregister

Personuppgifters offentlighet avgörs enligt offentlighetslagen, som också tillämpas på utlämnande av personuppgifter ur myndigheters personregister.

Inte ens offentliga uppgifter i ett personregister får nödvändigtvis lämnas ut till en tredje part. Sättet att lämna ut uppgifter ur ett register är delvis begränsat.

Om en handling är offentlig men samtidigt utgör ett personregister, ska man särskilt försäkra sig om att den eventuella mottagaren med stöd av dataskyddslagstiftningen har rätt att behandla personuppgifter. Behandling av personuppgifter ska alltid ha en laglig grund. I dataskyddsförordningen uppräknas för vilka ändamål personuppgifter får behandlas.

Privatpersoner får offentliga personuppgifter ur kommunens register för vanliga privata ändamål. Till medierna ges motsvarande offentliga uppgifter för redaktionella syften.

När man lämnar ut personuppgifter för redaktionella syften bör man i första hand försäkra sig om att det gäller nämnda redaktionella syfte och att den som begär uppgifterna representerar massmediet i fråga. I oklara fall kan man för att utreda saken ytterligare till exempel fråga efter chefredaktörens namn eller be redaktören visa sitt presskort.

Eftersom uppgiftslämnaren ansvarar för lagligheten i utlämnandet, finns det inte skäl att lämna ut uppgifter utan skriftlig begäran, om man inte med säkerhet känner till syfte och uppgiftsmottagare.

Myndigheterna får använda personuppgifter t.ex. i sina lagstadgade uppgifter. I offentlighetslagen sägs att personuppgifter ur en myndighets personregister får lämnas ut i form av en kopia eller en utskrift eller i elektronisk form, om inte något annat särskilt bestäms i lag och om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter.

Om mottagaren har rätt att behandla uppgifterna, får myndigheten alltså lämna ut de begärda uppgifterna också i form av en kopia eller en utskrift eller i elektronisk form. Ordalydelsen i lagen innebär ingen skyldighet att lämna ut uppgifter på detta sätt.

För direktmarknadsföring och för opinions- eller marknadsundersökningar får personuppgifter dock lämnas ut endast om det särskilt föreskrivs eller om den registrerade har samtyckt till detta. Att en person inte separat förbjuder behandling av sina personuppgifter innebär inte samtycke.

 

När får en kommun publicera personuppgifter på nätet? Alexander Eriksson 17.3.2022

Läs mer

Läs mer om dessa teman

Ett nätverk för dig som jobbar med språk och översättning i kommunsektorn

Kommunförbundet samordnar ett nätverk för översättare i kommunsektorn. Nätverket har också ett diskussions- och mötesforum på Teams.