Gällande rätt för personuppgiftsbehandling För att skydda den enskildes personliga integritet, finns ett behov För att skydda den enskildes personliga integritet, finns ett behov

av bestämmelser som begränsar vilka personuppgifter som får behand-las och hur en sådan behandling får gå till. Generella regler för all behandling av personuppgifter finns i personuppgiftslagen. Genom lagen har Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana

SOU 2017:80 Bestämmelser om behandling av personuppgifter

uppgifter genomförts i svensk rätt. Direktivet syftar till att garan-tera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på be-handling av personuppgifter. Syftet är också att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet från 1995 gäller inte för behandling av per-sonuppgifter på områden som faller utanför gemenskapsrätten, t.ex.

allmän säkerhet, försvar och statens verksamhet på straffrättens område. En kompletterande rättsakt finns i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp-gifter som behandlas inom ramen för polissamarbete och straffrätts-ligt samarbete (dataskyddsrambeslutet). Rambeslutet är tillämpstraffrätts-ligt på uppgifter som överförs eller görs tillgängliga mellan EU:s med-lemsstater och mellan medmed-lemsstater och EU-organ. Däremot gäller dataskyddsrambeslutet inte för nationell personuppgiftsbehandling.

Utgångspunkten för all personuppgiftsbehandling är, som vi nämnt, i svensk rätt personuppgiftslagen. Lagen är generellt tillämp-lig och gäller både för myndigheter och enskilda som behandlar per-sonuppgifter. Rent privat behandling av personuppgifter är dock undantagen från lagens tillämpningsområde (se 6 § PuL). Syftet med personuppgiftslagen är att skydda människor mot att deras person-liga integritet kränks genom behandling av personuppgifter (se 1 § PuL).

Bestämmelser i personuppgiftslagen är subsidiära i förhållande till annan lag eller förordning. Om det i andra författningar finns be-stämmelser som avviker från personuppgiftslagen, ska dessa bestäm-melser således tillämpas (se 2 § PuL). Lagen gäller för sådan behand-ling av personuppgifter som är helt eller delvis automatiserad. Den gäller också för annan personuppgiftsbehandling, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person-uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se 5 § PuL).

Med personuppgifter avses enligt personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk per-son som är i livet (se 3 § PuL). Inte endast uppgifter i text omfattas av lagen, utan det kan också röra sig om exempelvis bilder och ljudupptagningar. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter.

Bestämmelser om behandling av personuppgifter SOU 2017:80

Det kan t.ex. gälla insamling, registrering, organisering, lagring, be-arbetning, användning eller utlämnande av uppgifter (se 3 § PuL).

Personuppgiftslagen innehåller (se 9 § PuL) grundläggande krav på behandlingen av personuppgifter. Ett sådant krav är att person-uppgifter bara får behandlas om det är lagligt och sker på ett korrekt sätt. Uppgifterna får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandlas för något ändamål som är oförenligt med det ändamål som de samlades in för. Vidare ställer personuppgiftslagen krav på att de personuppgifter som be-handlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Därut-över ska de uppgifter som behandlas vara riktiga och, om det är nöd-vändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullstän-diga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Som huvudregel krävs för behandling av personuppgifter att den registrerade har lämnat sitt samtycke till behandlingen (se 10 § PuL).

Även utan den enskildes samtycke får dock personuppgifter behand-las, om behandlingen är nödvändig för att vissa lagstadgade skyldig-heter ska kunna fullgöras eller vissa intressen ska kunna skyddas.

Dessutom får personuppgifter behandlas om den personuppgifts-ansvariges berättigade intresse av en behandling vid en intresseavväg-ning väger tyngre än den registrerades intresse av skydd för sin per-sonliga integritet.

Känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening får som huvudregel inte behandlas (se 13 § PuL). Detsamma gäller för behandling av uppgifter som rör hälsa eller sexualliv. Personuppgiftslagen innehåller dock en rad undantag från huvudregeln (se 14–20 §§ PuL). Bland undantagen anges att känsliga personuppgifter får behandlas om den registre-rade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Likaså kan behandling av känsliga personuppgifter vara tillåten om behandlingen av olika an-ledningar anses nödvändig, exempelvis för vissa hälso- och sjuk-vårdsändamål.

SOU 2017:80 Bestämmelser om behandling av personuppgifter

Av 21 § PuL framgår att det är förbjudet för andra än myndig-heter att behandla personuppgifter om lagöverträdelser som inne-fattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgiftslagen innehåller utöver de bestämmelser som nu framhållits, även bl.a. bestämmelser om i vilka fall information om be-handling av personuppgifter ska lämnas till den enskilde (se 23–27 §§), om rättelse (se 28 §), om säkerheten vid behandling (se 30–32 §§), om överföring av personuppgifter till tredje land (se 33–35 §§) och om tillsyn (se 36–41 §§ och 43–47 §§). En behandling av person-uppgifter i strid med personuppgiftslagen, kan ge den enskilde rätt till ersättning för skada och kränkning av den personliga integri-teten (se 48 §).

4.4 Nya EU-rättsliga instrument om dataskydd