Personuppgiftslagen (PuL)

Syftet med är att PuL skydda enskilda personer mot kränkning av den personliga integriteten vid registrering och databehandling av personuppgifter.
Personuppgiftslagen kommer från den 18 maj 2018 att ersättas av ett Dataskyddsdirektiv. De närmare reglerna om dess tillämpning är ännu inte klara.

PuL omfattar alla former av behandling av personuppgifter och inte bara automatisk databehandling av personregiste. PuL, som bygger på ett EG-direktiv, har fått mycket kritik bland annat för att den är svår att tillämpa i praktiken.

PuL i korthet:

  • PuL gäller så fort någon form av behandling av personuppgift sker i en dator.   
           
  • Behandla inte fler personuppgifter än nödvändigt och endast relevanta uppgifter.
           
  • Enligt huvudregeln ska vid behandling samtycke inhämtas från den som ”äger” personuppgiften. Undantag finns men det är säkrast att inhämta samtycke vid osäkerhet. Ett muntligt samtycke räcker. Var extra försiktig om det gäller känsliga personuppgifter.
         
  • Den som ”äger” personuppgiften måste alltid informeras före behandlingen om vilka uppgifter, vad de ska användas till, hur man kan ändra eller rätta uppgifterna.
          
  • Överföringar till tredje land, bland annat publicering på Internet, är tillåtet så länge det finns adekvat skyddsnivå. Harmlösa uppgifter kan läggas ut på Internet utan samtycke. 

Tillämpningsområde

PuL är tillämplig på helt eller delvis automatiserad behandling av personuppgifter. Även viss manuell behandling omfattas om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning. Med personuppgift menas all information som kan kopplas till en levande person till exempel namn, personnummer, anställningsnummer, e-postadress eller en bild. Med behandling menas alla former av hantering av personuppgifter, till exempel insamling, registrering och lagring.

Lagen gäller inte för rent privat behandling av personuppgifter. Det är till exempel tillåtet att föra privat adressbok i datorn utan att först inhämta samtycke från släkt och vänner. Lagen gäller inte heller för behandling av personuppgifter som sker uteslutande för journalistiska ändamål, konstnärligt eller litterärt skapande.

De detaljerade hanteringsreglerna i PuL har sin grund i dataskyddsprinciper som togs fram när stora dataregister började bli vanliga i samhället. De principerna är fortfarande giltiga för system där man enkelt kan söka och ställa samman personuppgifter, till exempel traditionella myndighetsregister, stora ärendehanteringssystem eller andra databaser. Tekniken har dock utvecklats och i dag används datorer och IT för vardaglig ostrukturerad hantering av personuppgifter som normalt inte är integritetskänslig, exempelvis löpande text på Internet. Hanteringsreglerna i PuL har därför ansetts alltför omfattande och byråkratiska för att tillämpas vid behandling av personuppgifter som inte är inlagda i ett register eller i annan struktur som är gjord för att söka fram uppgifterna. 

Mer information

Samtidigt med PUL har regeringen utfärdat en särskild förordning, Personuppgiftsförordningen, med kompletterande och utfyllande bestämmelser till lagen. Dessutom har Datainspektionen beslutat om särskilda föreskrifter vad gäller vissa bestämmelser i PuL.