1 / 47

Datainspektionen Personuppgiftslagen

Datainspektionen Personuppgiftslagen. Dataråd Gaby Borglund. Datainspektionens (DI:s) organisation. DI:s målsättning. DI har som målsätt-ning att finna den rätta balansen mellan den enskildes behov av integritet och samhällets krav på rationell data-behandling. DI:s arbetsuppgifter.

nell-downs
Download Presentation

Datainspektionen Personuppgiftslagen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. DatainspektionenPersonuppgiftslagen Dataråd Gaby Borglund

  2. Datainspektionens (DI:s) organisation

  3. DI:s målsättning DI har som målsätt-ning att finna den rätta balansen mellan den enskildes behov av integritet och samhällets krav på rationell data-behandling.

  4. DI:s arbetsuppgifter • Förebygger integritetsintrång • Information • Inspektioner och tillsyn • Förhandskontroll • Remisser • Regelgivning • Korrigerar vid risk för övertramp • Hjälper enskilda som råkat illa ut

  5. Information • webbplats: www.datainspektionen.se • föreläsningar • egna konferenser • ”call-center” • 08-657 61 00 • datainspektionen@datainspektionen.se

  6. DI:s inspektionsverksamhet • Planerad - föranmäld • ”Brandkårsutryckning” - ej föranmäld

  7. Personuppgiftslagen(1998:204)

  8. Övergångsbestämmelser för PuL • Trädde i kraft den 24 oktober 1998 • Nio års övergångstid • För manuella register som finns vid ikraftträdandet tillämpas inte vissa bestämmelser i PuL förrän den 1 oktober 2007

  9. Vissa undantag i PuL • Undantag från helalagen • Privata ändamål • Tryckfrihetsförordningen (TF) • Yttrandefrihetsgrundlagen (YGL) • Undantag från allt i lagen utom från säkerhetsbestämmelserna • journalistiskt ändamål • konstnärligt eller litterärt skapande

  10. PuL är subsidiär (2 §) Bestämmelser i annan lag eller förordning gäller i stället för PuL (t.ex. arkivlagen)

  11. Eget ansvar • Den personuppgiftsansvarige skall själv tolka och följa reglerna i PuL • Tillståndsbegreppet borttaget

  12. Personuppgiftsansvarig (3 §) ”Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen.” (som regel är det en organisation som avses – inte chefen!!!!)

  13. Varje åtgärd, t.ex: insamling registrering organisering lagring bearbetning ändring återvinning inhämtande användande utlämnande spridning sammanställning samkörning blockering utplåning förstöring Behandling (3 §)

  14. Personuppgifter (3 §) ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”

  15. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan Info. Internet Person-nummer Känsliga uppgifter Tillåten behandl. Grundl. krav

  16. Grundläggande krav (9 §) • Behandlingen • måste vara laglig • korrekt och i enlighet med god sed • Ändamålen • särskilda, uttryckligt angivna och berättigade ändamål • ej behandla för ändamål som är oförenligt med ursprungliga ändamålet • Uppgifterna • adekvata, relevanta, riktiga och aktuella • inte fler uppgifter än nödvändigt • får ej bevaras längre än nödvändigt

  17. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan Info. Internet Person-nummer Känsliga uppgifter Tillåten behandl. OK

  18. Tillåten behandling (10 §) • Samtycke • eller nödvändigt för a) avtal b) rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning • eller efter en f) intresseavvägning

  19. Samtycke (3 §) • Viljeyttring som ska vara • frivillig • särskild • otvetydig • Tillräcklig information krävs • Skriftligt, muntligt eller i form av konkludent handlande

  20. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan Info. Internet Person-nummer Känsliga uppgifter OK OK

  21. Känsliga uppgifter (13 §) • Uppgifter som avslöjar • ras eller etniskt ursprung • politiska åsikter samt religiösa eller filosofiska övertygelser • medlemskap i fackförening • Uppgifter som rör • hälsa och sexualliv

  22. Undantag (15–19 §§) Uttryckligt samtycke Eget offentliggörande Nödvändigt för arbetsrätten skydda vitala intressen fastställa, göra gällande eller för-svara rättsliga an-språk Ideella organisationer (politiskt, religiöst, filosofiskt eller fackligt syfte) Hälso- och sjukvård Forskning och statistik Myndighet i löpande text (om uppgifterna lämnats i ett ärende -eller är nödvändiga för handläggningen) Förbud mot behandling av känsliga uppgifter (13 §)

  23. Uppgifter om lag-överträdelser (21 §) • Förbjudet för andra än myndigheter • Undantag i DIFS 1998:3, bl.a. • socialtjänstområdet • fristående skolors elevvårdande verksamhet • advokatverksamhet • enstaka uppgifter för: • fastställande av rättsliga anspråk • anmälningsskyldighet enligt lag

  24. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan Info. Internet Person-nummer OK OK OK

  25. Personnummer (22 §) Samtycke, eller klart motiverat med hänsyn till • ändamålet med behandlingen • vikten av en säker identifiering • något annat beaktansvärt skäl

  26. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan Info. Internet OK OK OK OK

  27. Förbud mot överföring till tredje land (= land utanför EU och EES) som ej har adekvat skyddsnivå Undantag:- samtycke eller nödvändigt för - avtal - fastställa, göra gällande eller försvara rättsliga anspråk - skydda vitala intressen för den registrerade - överföring till konventionsstater Överföring av personuppgifter till tredje land (33 - 34 §§)

  28. Personuppgiftsförordningen ändrades 1 januari 2001 Gäller kommuner, landsting, kommunal- förbund Diarier och justerade protokoll får läggas på Internet Personnummer måste tas bort Övriga personuppgifter måste tas bort om det inte rör förtroendevalda saknas risk för integritetsintrång

  29. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan Info. OK OK OK OK OK

  30. Information ska lämnas självmant till de registrerade (23 - 24 §§) • När uppgifter samlas in direkt från den registrerade • När uppgifter inte samlas in direkt från den registrerade • Undantag: • lagstadgad registrering • omöjligt eller oproportioner-ligt stor arbetsinsats • Info behöver inte alls lämnas om det som den registrerade redan känner till

  31. Den information som skall lämnas självmant (25 §) • Den personuppgiftsansvariges identitet • Ändamålen • Övrigt för att den registrerade ska kunna ta tillvara sina rättigheter t.ex. • mottagare av uppgifter • rätt att ansöka om info • rätt till rättelse

  32. Information efter ansökan (26 §) • ”Registerutdrag” • Gratis en gång per kalenderår • Information skall lämnas om: • vilka uppgifter som behandlas • varifrån uppgifterna har hämtats • ändamålen med behandlingen • mottagare av uppgifterna • Den registrerade skall ansöka skriftligt hos den personuppgiftsansvarige.

  33. 10 § 13-21 §§ 9 § 22 § 33 § 23-26 §§ Integritetstrappan OK OK OK OK OK OK

  34. Behandlingar (ändamålen för vilka man behandlar) skall anmälas till DI (36 §) • Undantag bl.a. • om personuppgiftsombud är utsett och anmält • enligt personuppgiftsförordningen enligt DI:s föreskrifter För detaljerad information om anmälnings-plikten se DI:s informationsblad ”Anmälan och förhandskontroll”

  35. ”Sanktioner” (44 - 49 §§) • Förbud • Vite • Skadestånd • Straff (böter eller fängelse upp till 2 år) • lämnar osann uppgift till registrerad eller DI • behandlar känsliga uppgifter i strid mot lagen • lämnar ut personuppgifter till tredje land i strid mot lagen • underlåter att anmäla behandling till DI • I ringa fall inget straff

  36. Personuppgiftsombud

  37. Personuppgiftsombud (3 §) ”Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.”

  38. Personuppgiftsombudet • Fysisk person • Kunskap och tillräckliga kvalifikationer • Självständig ställning • Ges möjlighet att utöva sitt uppdrag

  39. Personuppgiftsombudets uppgifter (38 - 40 §§) • Informera i organisationen om PuL • Intern kontroll • Påpeka brister • Anmälningsskyldighet • Samråda med DI • Hjälpa registrerade • Föra förteckning över behandlingar

  40. Förteckningen ska innehålla • Den personuppgiftsansvariges namn, adress, telefonnummer och organisationsnummer • Ändamålet med behandlingen • Kategorier av registrerade • Kategorier av uppgifter • Eventuella mottagare av uppgifterna (utanför organisationen) • Överföring till tredje land? • Vidtagna säkerhetsåtgärder

  41. Förteckningen kan också innehålla • Uppgiftslämnares namn och telefonnummer • Det legala stödet för behandlingen (10 § a – f) • Känsliga uppgifter? Det legala stödet • Personnummer? Det legala stödet • Hur har informationen lämnats? • Om samtycke krävs; har det inhämtats, och i så fall, hur?

  42. Så, varför ska man ha ett personuppgiftsombud? • Slipper anmäla behandlingar • Någon som kan lagstiftningen och håller frågan levande • ”Integritetsrevisor” • Hjälp för ledning och anställda • DI:s förlängda arm • Någon som kan hjälpa registrerade

  43. Vad säger PuL om IT-säkerheten?

  44. Säkerhetsåtgärder (31 §) • Lämpliga tekniska och organisatoriska åtgärder • tekniska möjligheter • kostnad • risker • känslighet hos uppgifterna

  45. Personuppgiftsbiträde • Behandlar personuppgifter för den personuppgiftsansvariges räkning • Får bara behandla i enlighet med instruktioner • Avtal ska finnas

  46. Beslut om säkerhetsåtgärder (32 §) • DI kan fatta beslut i enskilda fall • Besluten kan förenas med viteDI har givit ut “Allmänna råd om IT-säkerhet”

  47. Datainspektionen Adress: Box 8114 104 20 Stockholm Tel: 08-657 61 00 Fax: 08-652 86 52 E-postadress: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se

More Related