Hur mycket vill du låna?

  • Kreditbelopp:
  • Månadsränta:

Så fungerar Personuppgiftslagen (PUL)

Syftet med PUL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Använd snabbnavigeringen i menyn nedan för att hitta informationen du letar efter.

Snabbnavigering

Vad är personuppgifter?
Syftet med lagen
Publicering av uppgifter – vad gäller?
Dina rättigheter
Blockera eller spärra mina personuppgifter
Vad är förbjudet i lagen?
Samtycke och registerutdrag
Straff och skadestånd
Polisanmälan vid brott mot PUL
Datainspektionen utövar tillsyn

 

Vad räknas som personuppgifter?

Personuppgifter definieras i lagen som all slags information som direkt eller indirekt kan kopplas till en fysisk person. Exempel på personuppgifter är namn, personnummer, postadress och e-postadress.

Varför behövs PUL?

Personuppgiftslagen, som ofta förkortas PUL eller PuL, är en svensk lag som trädde i kraft 24 oktober 1998. Den innehåller regler för hur våra personuppgifter får behandlas av myndigheter, företag eller andra organisationer.

Dina personuppgifter, som uppgifter om hur mycket du tjänar, om du är gift eller var du bor, får inte samlas in eller spridas hur som helst. Lagen finns alltså till för att skydda oss mot att vår integritet kränks.

Med personuppgift avses all slags information som direkt och indirekt gäller en person som är i livet. Både bilder och text kan räknas som information.

Integritetsfrågan får ökad betydelse genom internet

Sedan internet slog igenom i slutet av 90-talet har integritetsfrågan blivit allt viktigare. Det är numera enkelt att publicera uppgifter på nätet och den svenska offentlighetsprincipen möjliggör att personuppgifter ofta är tillåtna för vem som helst att inhämta. PUL anger på vilket sätt uppgifterna får användas, för även om uppgifterna i sig är offentliga får de inte missbrukas.

Lagen är en konsekvens av den svenska implementeringen av EU:s dataskyddsdirektiv 95/46/EG. I andra EU-länder finns liknande skyddslagar tänkta att underlätta flödet av information inom unionen. Tidigare fanns datalagen från 1973.

PUL kommer ersättas av ny EU-lag

Tidigast 2018 planeras den svenska personuppgiftslagen att ersättas av en ny lag som en direkt följd av EU:s nya lagar om personuppgiftsbehandling som togs fram 2012.

 

Syftet med lagen

PUL är till för att skydda medborgarnas personliga uppgifter från att missbrukas. Företag eller myndigheter får till exempel inte samla in eller sprida personuppgifter hur som helst.

LÄS MER: Vad är konsumentkreditlagen?

I korthet tillkom lagen för att skydda vår personliga integritet när våra personuppgifter behandlas. Tanken är att det är du själv som bestämmer vilka personuppgifter som får behandlas.

Känsliga uppgifter får inte behandlas

Den personliga integriteten ska inte kunna kränkas och känsliga personuppgifter får inte behandlas överhuvudtaget. Dock finns vissa undantag. Reglerna bygger på samtycke och att de som registreras får information.

 

Publicering av uppgifter - vad gäller?

Reglerna för vad som får publiceras beror på hur personuppgifterna är strukturerade. En databas eller ett register anses ha strukturerade uppgifter och då gäller betydligt fler regler.

Ostrukturerade uppgifter får publiceras

Ostrukturerade uppgifter kan vara löpande text i e-post eller böcker. I princip är det tillåtet att publicera personuppgifter på en blogg eller liknande så länge det är i löpande text, förutsatt att man inte kränker personen i fråga.

Reglerna är alltså betydligt mindre stränga när det kommer till ostrukturerat material.

Personuppgifter finns i en mängd olika register

I ett stort antal register finns uppgifter om enskilda personer som kan behandlas av myndigheter, företag, föreningar och andra enskilda. En del sådana register kan vara sökbara på webben för vem som helst.

Företag behöver utgivningsbevis

Ett företag som samlar personuppgifter och publicerar de på webben måste ha erhållit ett utgivningsbevis. Detta innebär i korthet att företaget har fått grundlagsskyddad rätt att publicera sin databas enligt lagen om yttrandefrihet.

Den personuppgiftsansvarige ansvarar för behandlingen

Det är den personuppgiftsansvarige som är ansvarig för hur behandlingen av personuppgifter går till. Oftast är detta ett företag eller en myndighet men kan också vara en enskild firma. Är det en enskild firma så är den som äger firman personligt ansvarig.

Hur samlas uppgifterna in?

Personuppgifter kan samlas in automatiskt eller på annan väg. För företag är det viktigt att känna till att den registrerade måste ha gett sitt samtycke till inhämtning av personuppgifter.

Du har rätt att ta del de uppgifter som finns om dig

Utöver detta måste det finnas en möjlighet för de som registreras att ta del av de uppgifter som registrerats om dem. Uppgifterna får inte ändras eller spridas vidare hursomhelst. Dock finns vissa undantag.

Krav på den som samlar in personuppgifter

 Personuppgifter behandlas endast om det är tillåtet enligt lagen.

 Personuppgifter måste behandlas på ett korrekt sätt och i enlighet med god sed.

 Personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.

 Personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

 De personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen.

 Fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

 De personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella

 Alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen

 Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Källa: PUL 9 §

När får personuppgifter behandlas?

I PuL:s 10 § står när personuppgifter får behandlas. Det får bara ske om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen av uppgifterna är nödvändig för att:

 Ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas.

 Den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet.

 Vitala intressen för den registrerade skall kunna skyddas.

 En arbetsuppgift av allmänt intresse skall kunna utföras.

 Den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

 Ett ändamål som rör ett berättigat intresse hos den personuppgifts ansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

 

Dina rättigheter enligt PUL

Reglerna i lagen beror på hur personuppgifterna är strukturerade. Strukturerade uppgifter är till exempel databaser eller register. Ostrukturerade uppgifter är löpande text. Om dina uppgifter finns i en databas har du rätt till ett registerutdrag en gång per år.

Du har även rätt att få besked om hur dina personuppgifter kan komma att behandlas samt om syftet med behandlingen. Ansökan om ett registerutdrag ska göras skriftligen.

Upptäckt felaktiga uppgifter om dig själv?

Upptäcker du att det lagras felaktiga uppgifter om dig kan du begära att uppgifterna rättas. Om uppgifterna inte har behandlats i enligt med personuppgiftslagen måste den ansvarige snarast rätta, ta bort eller blockera uppgifterna.

Dessutom har du rätt att slippa utsättas för direkt marknadsföring men du behöver då meddela detta skriftligt. E-post räcker.

 

Blockera eller spärra mina personuppgifter

Många ser publicering som ett intrång i den enskilda integriteten och vill inte att deras uppgifter ska ligga ute för vem som helst att titta på. Men att få bort personuppgifter från en sajt är inte alltid så enkelt. Om uppgifterna finns i löpande text på en blogg eller annan hemsida har du små möjligheter att få dem borttagna.

Om sajten vägrar ta bort uppgifterna?

Om sajten (den ansvarige utgivaren) inte vill hjälpa till med att ta bort publicerade uppgifter är det i princip mycket svårt. Du behöver kunna bevisa att behandlingen av uppgifterna är kränkande, vilket avgörs från fall till fall.

Dock kan du anmäla för brott mot andra lagar, till exempel om personuppgifterna förekommer i samband med olaga hot, tvång, hets mot folkgrupp eller förtal.

Vänd dig till Datainspektionen

Om den ansvarige utgivaren vägrar att rätta eller ta bort uppgifter som behandlas i strid mot lagen har du möjlighet att vända dig till Datainspektionen med ett klagomål. De bestämmer sedan ifall de vill gå vidare och granska ärendet.

Vad åtgärder vidtar Datainspektionen?

Skulle Datainspektionen konstatera att personuppgifterna behandlas på ett olagligt sätt, kommer de i första hand att kontakta den ansvarige. Skulle uppmaningen inte följas kan Datainspektionen som ett sista utväg förbjuda fortsatt behandling av personuppgifter. I förlängningen kan detta också leda till skadestånd.

Kreditupplysningsföretagens register

När du lånar pengar eller handlar något på kredit, ansöker om ett kreditkort eller köper på avbetalning, behöver långivaren kunna avgöra om du ska få krediten. Detta är för att alla krediter är förenliga med en risk och att det är mindre risk att låna ut till någon som skött sin ekonomi bra.

Av det skälet finns kreditupplysningsföretag som hämtar in information och säljer den till långivaren. Upplysningen innehåller framförallt information om ekonomiska förhållanden men även personliga uppgifter som eventuellt giftermål kan ingå.

Långivaren kopplar upp sig mot kreditföretagets register när informationen inhämtas.

Ingen rätt att bli struken

Sveriges största kreditupplysningsföretag har sina dataregister med uppgifter om alla personer som fyllt 16 år i Sverige och om alla företag i landet. De hämtar i första hand sina uppgifter från myndigheter. Du har dessvärre ingen rätt att bli struken ur kreditupplysningsföretagens register.

Reglerna i PUL beror i övrigt på hur uppgifterna är strukturerade. Ett företag som har en databas där man kan söka efter personuppgifter anses vara strukturerad. I en löpande text anses uppgifterna vara ostrukturerade. För strukturerade uppgifter är reglerna fler och hårdare.

Du har rätt att be om ett registerutdrag

Hos den personuppgiftsansvarige (ofta en kommun, myndighet eller ett företag) har du alltid rätt att ansöka om ett registerutdrag kring vilka personuppgifter som finns lagrade om dig.

Genom Statens Personadressregister (SPAR) kan du begära reklamspärr för att förhindra att din adress lämnas ut från SPAR för ändamål som har att göra med reklam.

Vänd dig till Datainspektionen om du tycker att dina personliga uppgifter behandlas i strid med lagen. Om uppgifterna publiceras som en del av journalistisk verksamhet gäller dock inte PUL. Vad som avses vara journalistik verksamhet är en ständig fråga för debatt.

 

Vad är förbjudet enligt lagen?

Enligt PUL 21 § första stycket är det förbjudet att "behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden". Dock gäller detta förbud inte myndigheter.

I det andra stycket framgår att uppgiftsbehandlingen är tillåten för forskningsändamål men bara om behandlingen av uppgifterna godkänts enligt lagen om etikprövning.

Undantag om syftet är konstnärligt eller journalistiskt

Dessutom kan regeringen bevilja undantag från förbudet. Vidare gäller att undantag finns för ändamål där syftet är journalistiskt eller konstnärligt. Huruvida en verksamhet klassas som journalistik eller konst råder förvisso delade meningar om, då i stort sett vem som helst kan kalla sig journalist.

Domstolen har tidigare prövat fall där det rått tveksamt och bedömt huruvida ändamålet anses vara journalistiskt. Med journalistiska ändamål menas ändamål vars syfte är att  "att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten".

När gäller inte PUL?

Om personuppgiftslagen går emot bestämmelserna i grundlagarna yttrandefrihetsgrundlagen och tryckfrihetsförordningen så tillämpas den inte. Grundlagarna har företräde.

Utöver detta tillämpas inte PUL om den skulle inkräkta på offentlighetsprincipen, som säger att en myndighet har en skyldighet att lämna ut uppgifter som är offentliga.

 

Samtycke & registerutdrag

Generellt gäller att lagring och behandling av personuppgifter tillåts om individen ger sitt samtycke. Samtycket är en formalitet när man ingår olika avtal.

Om du tar ett lån godkänner du att dina uppgifter behandlas

Den som tar ett lån, ingår ett användaravtal för en viss tjänst, ansöker om ett kreditkort eller köper en bil, godkänner att företaget behandlar personuppgifterna. Ofta finns en klausul i avtalet som de flesta godkänner utan att ha läst igenom.

Datainspektionen menar dock att kunder ska kunna tacka nej till lagring av personuppgifter men ändå kunna få tillgång till tjänsten, undantaget då personuppgifterna är nödvändiga för att företaget ska kunna utföra tjänsten.

Om du inte vill att dina personuppgifter ska lagras hos ett företag där du är eller har varit kund, bör du kontakta företaget och be de att ta bort all information de har om dig.

Rätt att begära registerutdrag

Du har även rätt enligt PUL att utan avgift begära ett registerutdrag (en gång per år) i vilket det framgår vilka uppgifter som finns sparade om dig. För att få ut ett registerutdrag krävs att du skickar en underskriven begäran till den personuppgiftsansvarige (företaget eller myndigheten).

Du kan inte e-posta din begäran utan det behöver vara en fysisk begäran. Personuppgiftsansvarige blir då skyldig att skicka en skriftlig kopia av samtlig information.

 

Straff och skadestånd

För att brott mot lagen ska vara straffbart krävs att den som brutit mot lagen har gjort det med uppsåt eller visat grov oaktsamhet. Det är straffbart att:

 Lämna osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen.

 Behandla känsliga personuppgifter eller uppgifter om lagöverträdelser i strid med personuppgiftslagens bestämmelser.

 Föra över personuppgifter till tredje land (utanför EU och EES) i strid med personuppgiftslagens bestämmelser.

 Låta bli att göra en anmälan om behandling till Datainspektionen när sådan krävs.

Källa: Datainspektionen

Skadestånd och fängelse 

Om den personuppgiftsansvarige bryter mot reglerna i lagen kan denne bli skyldig att betala skadestånd till personen för den skada och kränkning som den felaktiga behandlingen av personuppgifter har orsakat.

För allvarliga brott mot PUL kan man dömas i fängelse i högst två år. Man kan även dömas till böter i vissa fall.

Du har även möjlighet att vända dig till en allmän domstol för att pröva om du är berättigad skadestånd av den personuppgiftsansvarige. Om den ansvarige är en myndighet kan du vända dig till Justititekanslern.

 

Polisanmälan vid brott mot PUL

En anmälan om brott mot PUL görs hos polisen. Även Datainspektionen kan göra en anmälan om de finner att ett brott har begåtts. Därefter är det upp till en åklagare att besluta om åtal ska väckas.

 

Datainspektionen utövar tillsyn av PUL

Datainspektionen är tillsynsmyndighet enligt 2 § personuppgiftsförordningen och dess beslut får överklagas till allmän förvaltningsdomstol, det vill säga i första instans till förvaltningsrätt (51 § PuL).

Flera företag har personuppgiftsombud

Jobbar du på ett företag som behandlar personuppgifter? Du kan utse ett personuppgiftsombud, vilket är en person som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen.

Datainspektionen anordnar regelbundet kurser för personuppgiftsombud. Du kan även få vägledning och hjälp på deras hemsida.

MER LÄSNING: Så funkar nya amorteringskravet 

2016-09-21

Vi behandlar din ansökan,
vänligen vänta...