Krav på behandlingen av personuppgifter

9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Bestämmelsen har följande lydelse.

9 §

Den personuppgiftsansvarige skall se till att

a. personuppgifter behandlas bara om det är lagligt,

b. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

c. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d. personuppgifter inte behandlas för något ändamål som är oför-enligt med det för vilket uppgifterna samlades in,

e. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g. de personuppgifter som behandlas är riktiga och, om det är nöd-vändigt, aktuella,

h. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i. personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

I fråga om första stycket d gäller dock att en behandling av per-sonuppgifter för historiska, statistiska eller vetenskapliga ändamål inte

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

skall anses som oförenlig med de ändamål för vilka uppgifterna sam-lades in.

Personuppgifter får bevaras för historiska, statistiska eller veten-skapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Det är den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda, även om den personuppgiftsansvarige anlitat ett person-uppgiftsbiträde eller utsett ett personuppgiftsombud. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen. Den registrerades samtycke befriar alltså inte den personuppgiftsansvarige från att se till att kraven i bestäm-melsen är uppfyllda.

Enligt 9 § punkt a och b har den personuppgiftsansvarige ansvar för att personuppgifter endast behandlas om det är lagligt och alltid behandlas på ett korrekt sätt och i enlighet med god sed. När det är lagligt att behandla personuppgifter framgår av PUL, till exempel 10 och 13–20 §§, och anknytande lagstiftning.52 I vilka fall det är olagligt att behandla personuppgifter kan vidare framgå av annan lagstiftning, till exempel brottsbalken och marknadsföringslagen. Dessa rättskällor kan också ange riktlinjer för vad som är ett korrekt sätt att behandla personuppgifter. Vad som är god sed vid behand-ling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av PUL, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa samman-slutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig.53

En av de centrala bestämmelserna i PUL är 9 § punkt c, enligt vilken personuppgifter enbart får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Bestämmelsen innebär att ända-målen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in.54 Ändamålen måste då anges uttryckligen.

52 SOU 1997:39 s. 350.

53 Prop. 1997/98:44 s. 143

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

Det finns inte något krav på att ändamålsangivelsen ska nedtecknas. Bestämmelserna i 23–25 §§ PUL om skyldigheten att lämna informa-tion till den registrerade när personuppgifterna samlas in medför emellertid ofta att ändamålen måste uppges redan när behandlingen påbörjas. Den personuppgiftsansvarige är vidare alltid skyldig att uppge ändamålen antingen i en anmälan till tillsynsmyndigheten (36 § PUL) eller till var och en som begär en sådan upplysning (42 § PUL). Om den personuppgiftsansvarige har anmält ett personuppgifts-ombud till Datainspektionen behöver den personuppgiftsansvarige inte göra en anmälan enligt 36 § PUL. Det följer dock av 39 § PUL att personuppgiftsombudet ska göra en förteckning över de behand-lingar som den personuppgiftsansvarige genomför och att förteck-ningen ska omfatta åtminstone de uppgifter som en anmälan enligt 36 § PUL skulle ha innehållit. Även här ska ändamålen med behand-lingen således anges. Ändamålen ska vidare anges i ett sådant besked som den personuppgiftsansvarige är skyldig att tillhandahålla den registrerade enligt 26 § PUL. Bestämmelsen medför en skyldighet för den personuppgiftsansvarige att en gång per år till den som an-söker om det lämna besked om personuppgifter som rör den sökande behandlas eller inte. Om uppgifter om den sökande behandlas ska beskedet, utöver ändamålet med behandlingen, innehålla bland annat uppgift om vilka uppgifter som behandlas och varifrån de hämtats. Ändamålen ska vidare vara särskilda. Det innebär enligt förarbetena att en alltför allmänt hållen ändamålsangivelse inte godtas.55 Hur pass detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav på att vara särskild får emellertid avgöras i praxis. Enligt för-arbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten kan man när det gäller tolkningen av begreppet sär-skilda få viss ledning av kraven i artikel 6 i Dataskyddsdirektivet och 9 § punkten e och f i PUL att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen och att inte fler uppgifter får behandlas än som är nöd-vändigt med hänsyn till ändamålet med behandlingen.56 Om inte ändamålet har en viss grad av precision kan det vara svårt att avgöra om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Kan man inte avgöra vilka personupp-gifter som behövs för att ändamålet ska kunna uppfyllas är målet inte särskilt utan allmänt. Det är möjligt att ange flera

55 Ibid.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

mål när uppgifterna samlas in, även om de olika ändamålen inte är förenliga med varandra.

De ändamål som personuppgifterna ska samlas in för ska också vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av PUL och anknytande lagstiftning. Det anförs i förarbetena att det är osäkert om bestämmelsen om berät-tigade ändamål har någon självständig betydelse.57 Den har dock tagits med i den svenska lagen för säkerhets och fullständighets skull.

Enligt 9 § punkt d får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna så kallade finalitetsprincip är av central betydelse vid be-handling av personuppgifter. Den innebär att det, när bebe-handling för nya ändamål ska ske, måste göras en prövning av om dessa ända-mål är oförenliga med de ursprungligen angivna. Bestämmelsen gör det extra viktigt att tänka efter före och vid insamlingen av upp-gifterna ange alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna.58 Vad som är oförenligt med de ursprung-liga ändamålen får enligt förarbetena bestämmas genom praxis och kompletterande föreskrifter.59 Det bör dock finnas ett visst spelrum vid tolkningen av begreppet oförenligt.60 Senare behandling behöver alltså inte direkt motsvaras av ett från början angivet ändamål.

Det anges inte i förarbetena till PUL vad som ska beaktas vid prövningen av om de nya ändamålen är oförenliga med ursprung-ligen bestämda. I förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten uttalades följande.

Enligt utredningens uppfattning bör man vid denna ”oförenlighets-prövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. Vid sådant förhållande blir det fråga om en restriktiv tillämpning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att

57 SOU 1997:39 s. 350.

58 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 203.

59 SOU 1997:39 s. 351.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

handla redan insamlade personuppgifter för andra ändamål blir följakt-ligen litet.61

Behandlingen av personuppgifterna för de nya ändamålen måste, liksom behandlingen för de ursprungliga, vara tillåten enligt 10 § och, om det rör sig om känsliga personuppgifter, dessutom enligt 13–20 §§.62 Det krävs inte i sig att den registrerade samtycker till behandlingen för de nya ändamålen eller att ny information till de registrerade lämnas enligt bestämmelserna i 23–25 §§.

Även ett utlämnande av personuppgifter till någon annan är en typ av behandling och måste vara förenligt med de ursprungliga ända-målen. Den som utlämnar personuppgifterna måste beakta vad den som vill ha ut uppgifterna ska använda dem till och jämföra den till-tänkta användningen med de ursprungliga ändamålen. Det är därför inte möjligt att kringgå finalitetsprincipen genom att en personupp-giftsansvarig lämnar ut uppgifterna till någon annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprung-liga.63 Det bör dock noteras att den som fått ut uppgifterna inte är bunden av de ändamål som den utlämnande personuppgiftsansva-rige bestämt utan bara av de ändamål som han eller hon själv har bestämt för sin behandling innan de begärdes ut.

Finalitetsprincipen har också betydelse för möjligheten att sam-bearbeta uppgifter. Med sambearbetning av uppgifter avses maskinell bearbetning av uppgifter i ett personregister tillsammans med upp-gifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig.64 PUL innehåller inte något uttryckligt förbud mot sambearbetning av uppgifter. Däremot begränsar bestämmelsen i praktiken möjligheten till sambearbetning, eftersom en uppgift inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Ändamålsbestämmelsen anger således inte bara ramen för vilka uppgifter som får behandlas utan också när sambearbetning av uppgifter får ske.65

Artikel 29-gruppen66 har i april 2013 gett ut en rapport avseende ändamålsprincipen (the principle of purpose limitiation), det vill

61 SOU 1999:109 s. 160.

62 SOU 1997:39 s. 351.

63 Ibid.

64 Prop. 2002/03:135 s. 58 f.

65 Prop. 2000/01:126 s. 33 f. och 59 f, prop. 2001/02:144 s. 41, prop. 2004/05:70 s. 75.

66 Artikel 29-gruppen (Article 29 Working Party on Data Protection) består av en företrä-dare för varje nationell tillsynsmyndighet i medlemsstaterna, en företräföreträ-dare för EU-kommissionen samt den europeiske datatillsynsmannen. Gruppen har bildats för att data-skyddsdirektivet ska tillämpas på ett enhetligt sätt i medlemsstaterna och har fått sitt namn av artikel 29 i dataskyddsdirektivet. I artikel 30 finns bestämmelser om gruppens uppgifter.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

säga artikel 6 b i dataskyddsdirektivet som motsvarar 9 § punkt c och d i PUL.67 Rapporten innehåller en utförlig analys av principen och syftar till att förtydliga dess betydelse och erbjuda riktlinjer för hur den ska tillämpas i praktiken. I rapporten konstateras att prin-cipen förbjuder behandling som är oförenlig med det ursprungliga syftet i stället för att kräva att det senare syftet ska vara förenligt med det ursprungliga. Denna formulering är avsedd att skänka viss flexibilitet till systemet. Senare behandling för ett annat ändamål behöver inte nödvändigtvis vara oförenligt med det första ändamålet. Detta får avgöras från fall till fall. Vid denna ändamålsprövning ska främst förhållandet mellan det ursprungliga ändamålet och det senare ändamålet beaktas. Vidare ska det sammanhang som uppgifternas samlades in i och de rimliga förväntningarna från dem som gifterna rör beaktas. Hänsyn måste också tas till vilken typ av upp-gifter det rör sig om och vilken effekt vidare behandling kan få för dem som uppgifterna rör. Vilka säkerhetsåtgärder den personupp-giftsansvarige vidtagit för att garantera korrekt behandling och förhindra oriktig behandling är också av betydelse.

Det följer av 9 § punkt e att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Det innebär enligt förarbetena att uppgifternas be-skaffenhet måste korrespondera med det mål man vill uppnå med behandlingen.68 Enligt punkt f får inte fler personuppgifter las än som är nödvändigt med hänsyn till ändamålen med behand-lingen. Det är i första hand den personuppgiftsansvarige som har att bedöma vilka uppgifter som är adekvata och relevanta i för-hållande till de ändamål han eller hon har bestämt för behandlingen samt hur många personuppgifter som krävs för att uppnå ändamålet med behandlingen.69 Det ligger dock på den personuppgiftsansvarige att förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.

Det är vidare den personuppgiftsansvarige som har ansvar för att de behandlade personuppgifterna enligt 9 § punkt g är riktiga och, om det är nödvändigt, aktuella.

Gruppen är rådgivande och oberoende och förutom att verka för en enhetlig rättstillämpning ska gruppen bland annat yttra sig till EU-kommissionen om skyddsnivån i gemenskapen och i tredje land samt ge råd till kommissionen om förslag till ändringar av direktivet. Dessutom ska gruppen avge yttranden om branschöverenskommelser som utarbetas inom EU.

67 Opinion 03/2013 on purpose limitation (00569/13 EN WP 203).

68 SOU 1997:39 s. 126.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

Den personuppgiftsansvarige ska, enligt 9 § punkt h, självmant vidta rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I förarbetena betonas i detta sam-manhang vikten av att de behandlade uppgifterna håller en hög kva-litet eftersom användningen av felaktiga, missvisande eller ofullstän-diga uppgifter kan förorsaka registrerade och andra stora skador och stor förtret i övrigt.70 Sådana problem kan enligt förarbetena förebyggas genom en sund källkritik och noggrannhet samt genom att det dokumenteras varifrån olika uppgifter har hämtats.

Enligt 9 § punkt i får personuppgifter inte bevaras länge än nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras.71 Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras i identifierbart skick.72

Enligt 8 § andra stycket ska bestämmelserna i PUL inte hindra att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I 9 § andra–fjärde styckena PUL finns särskilda bestämmelser som avser behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Bestämmelserna medför att behandling av personuppgifter för dessa ändamål har en särskild position.

Behandling för historiska ändamål syftar i första hand på beva-randet av personuppgifter i arkiv.73 Det följer av 8 § andra stycket PUL att bestämmelserna i lagen inte hindrar att en myndighet arki-verar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Undantaget för behandling av person-uppgifter för historiska ändamål har således störst betydelse för enskilda arkiv, till exempel arkiv som förs av föreningar och företag.74

För att undantagsbestämmelsen ska vara tillämplig på enskilda arkiv krävs enligt förarbetena en nedtecknad plan för bevarande av viss kvalitet med syfte att bevara uppgifterna för överskådlig framtid.75

Med behandling för statistiska ändamål avses enligt förarbetena i första hand framställning av numeriska sammanställningar av

70 SOU 1997:39 s. 351.

71 SOU 1997:39 s. 351.

72 Öman, S. och Lindblom, H.-O. Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 213.

73 SOU 1997:39 s. 353 ff.

74 Öman, S., och Lindblom H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 221.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

tära observationer som kan hänföras till händelser, flöden eller till-stånd och verksamhet för att göra sådana sammanställningar.76

Med behandling för vetenskapliga ändamål menas enligt förarbe-tena sådan behandling som har koppling till den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut.77 Även vetenskapligt utförda epidemiologiska undersökningar omfattas. Släktforskning faller däremot utanför, liksom annan forskning eller utredningsverk-samhet av mera privat natur. Utgångspunkterna är att det måste finnas ett samhällsintresse av att forskningen bedrivs och att den måste vara vetenskaplig i någon mening.

Enligt andra stycket ska en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses som oför-enlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter kan användas för vetenskaplig forskning och sta-tistik oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Personuppgifter som samlats in för ett visst forsknings- och statistikprojekt kan således senare också användas i ett annat sådant projekt.78

Det följer av tredje stycket att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som följer av första stycket i. Personuppgifterna får emellertid inte bevaras under en längre tid än vad som behövs för dessa ändamål.79

Personuppgifter som inte längre behövs för de ursprungligen bestäm-da änbestäm-damålen får således bevaras för att använbestäm-das för historiska, statistiska eller vetenskapliga ändamål. När uppgifterna har använts färdigt för dessa ändamål måste de emellertid avidentifieras eller utplånas. Vid vetenskaplig forskning finns dock särskilda krav på dokumentation och reproducerbarhet. Det innebär att personupp-gifter som använts i ett forskningsprojekt kan behöva bevaras under lång tid efter det att projektet avslutats. Personuppgifter som använts färdigt för statistiska eller vetenskapliga ändamål får bevaras i arkiv för historiska ändamål.

Enligt fjärde stycket får personuppgifter som behandlas för histo-riska, statistiska eller vetenskapliga ändamål användas för att vidta åtgärder i fråga om den registrerade endast om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till

76 Prop. 1997/98:44 s. 127.

77 SOU 1993:10 s.198, SOU 1997:39 s. 302, prop. 1997/98:44 s. 127.

78 SOU 1997:39 s. 309 f.

79 Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 222 f.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

den registrerades vitala intressen. Det följer av 8 § andra stycket PUL att bestämmelsen inte gäller för en myndighets användning av personuppgifter i allmänna handlingar. Huvudregeln är således att den personuppgiftsansvariga ska kunna visa att den enskilde har lämnat sitt samtycke för att personuppgifterna ska få användas för att vidta åtgärder. Personuppgifterna får emellertid alltid användas för att vidta åtgärder om det finns synnerliga skäl med hänsyn till den enskildes vitala intressen. Ett exempel på ett sådant tillfälle är enligt förarbetena att en forskare som undersöker ett misstänkt sam-band mellan intag av en medicin och någon allvarlig sjukdom upp-täcker att det faktiskt finns ett sådant samband och därför varnar de registrerade som har fått medicinen så att de kan låta undersöka sig och få behandling.80