När behandling av personuppgifter är tillåten

9 § PUL anger de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av personupp-gifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL vara för handen. Bestämmelsen har följande lydelse.

10 §

Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

a. ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b. den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,

c. vitala intressen för den registrerade skall kunna skyddas, d. en arbetsuppgift av allmänt intresse skall kunna utföras,

e. den personuppgiftsansvarige eller en tredje man till vilken per-sonuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f. ett ändamål som rör ett berättigat intresse hos den personupp-giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Personuppgifter får således inte behandlas i några andra fall än dem som anges i bestämmelsen. Vid behandling av känsliga personuppgifter, uppgifter om lagöverträdelser med mera, personnummer eller samordningsnummer krävs det dessutom att behandlingen är tillåten enligt de bestämmelser som gäller för behand-ling av sådana uppgifter (13–22 §§ PUL).

Samtycke

Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som krävs för ett godkänt samtycke diskuteras i avsnitt 5.3.4.2 som behandlar 3 § PUL.

Utöver de fall där den enskilde lämnat sitt samtycke får person-uppgifter behandlas i de sex fall som räknas upp i punkterna a–f. Under de förhållanden som anges där får personuppgifter således behandlas oberoende av den registrerades samtycke.

Nödvändighetskravet

I de fall den registrerade lämnat sitt samtycke till en behandling krävs det inte att behandlingen är nödvändig. I övriga fall måste behand-lingen vara nödvändig för olika syften. Den närmare innebörden av nödvändighetskravet är inte helt klar.81 Som anförs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna auto-matiskt.82 Enligt Datalagskommittén kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen. Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det kanske går nästan lika bra att använda avidentifierade83 uppgifter. Det räcker sannolikt

81 Frågan diskuteras vidare i avsnitt 8.3.2.1.

82 SOU 1997:39 s. 359.

83 I betänkandet används begreppet ”anonyma”, men här torde uppgifter där det inte längre är möjligt att identifiera personen avses. Sådana uppgifter utgör inte längre personuppgifter i PUL:s bemärkelse.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

att det innebär en påtaglig förenkling för den personuppgiftsansva-rige att personuppgifter behandlas på automatiserad väg.84

Behandling för att utföra en arbetsuppgift av allmänt intresse

Den bestämmelse i 10 § PUL som är av särskilt intresse när det gäller registerbaserad forskning är bestämmelsen i punkt d som reglerar möjligheten att behandla personuppgifter utan den enskildes samtycke om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna utföras. I förarbetena anges arkivering, forskning och fram-ställning av statistik som exempel på sådana uppgifter av allmänt intresse.85 Arbetsuppgiften kan utföras av en myndighet eller ett enskilt subjekt. Att någon själv kan tjäna pengar på att utföra arbetsuppgiften utesluter inte enligt Datalagskommittén att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte. Bedömningen av om arbetsuppgiften är av allmänt intresse måste göras mot bakgrund av verksamhetens syfte.86

Behandling av personuppgifter efter en intresseavvägning

En annan bestämmelse som kan ha betydelse i sammanhanget är bestämmelsen om en intresseavvägning i punkt f. Enligt denna bestämmelse får personuppgifter behandlas om behandlingen är nödvändig för att ett ändamål ska kunna tillgodoses som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut. Det krävs dock att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Bestämmelsen är ett slags generalklausul som möjliggör befogad behandling när ingen av de andra bestämmelserna i paragrafen är tillämplig.

I förarbetena anges att det ligger i sakens natur att behandlingen bara får avse uppgifter om sådana registrerade vars intresse inte väger lika tungt som den personuppgiftsansvariges.87 Om en registrerad meddelar den personuppgiftsansvarige att han eller hon inte vill att behandlingen fortsätter, får den registrerades intresse av att slippa

84 SOU 2001:32 s. 95, SOU 2001:100 s. 90.

85 SOU 1997:39 s. 361.

86 Prop. 2000/01:105 s. 36.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

fortsatt behandling som regel anses väga över den personuppgifts-ansvariges intresse av fortsatt behandling; bara i synnerliga undan-tagsfall bör den personuppgiftsansvariges intresse av behandlingen anses väga över intresset hos en registrerad som uttryckligen motsatt sig behandlingen. Finns inte längre förutsättningar för att behandla personuppgifterna enligt någon annan bestämmelse måste de be-handlade uppgifterna förstöras eller avidentifieras; även lagring av personuppgifter anses nämligen som en form av behandling.