Några viktiga begrepp

3 § PUL innehåller definitioner av vissa grundläggande begrepp. Avsikten är att definitionerna i PUL ska ha samma innebörd som enligt dataskyddsdirektivet.24

Behandling (av personuppgifter) avser varje åtgärd eller serie av

åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i be-stämmelsen insamling, registrering, organisering, lagring, bearbet-ning eller ändring, återvinbearbet-ning, inhämtande, användbearbet-ning, utlämnan-de genom översändanutlämnan-de, spridning eller annat tillhandahållanutlämnan-de av uppgifter, sammanställning eller sambearbetning, blockering, utplå-ning eller förstöring. Så snart personuppgifter på något sätt hanteras är det enligt förarbetena fråga om en behandling som faller inom PUL:s tillämpningsområde, om behandlingen är automatisk eller avser ett manuellt personregister.25 Avsikten är att alla former av hante-ring ska omfattas.

24 SOU 1997:39 s. 327.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

Mottagare definieras som den till vilken personuppgifter lämnas

ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Defini-tionen av personuppgifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena anförs att en uppgift om en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer efter-som denna uppgift i kombination med andra uppgifter kan ge upp-lysning om den personens föräldrar och avkomma.26

Enligt förarbetena omfattas även kodade personuppgifter av PUL, så länge någon kan göra uppgifterna läsbara och därmed identifiera individer.27 Även sådana uppgifter som i sig är anonyma men som möjliggör identifikation genom så kallad bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av upp-gifterna, inte att den personuppgiftsansvarige själv förfogar över samt-liga uppgifter som gör identifieringen möjlig. I förarbetena anges som exempel ett trafikföretag som kan registrera när ett personligt och numrerat så kallat månadskort används vid resor. Även om trafikföretaget inte registrerat vem som innehar månadskortet, kan det ändå vara fråga om en personuppgift eftersom den uppgiften kan finnas registrerad på något annat håll, till exempel hos den skola eller socialförvaltning som delat ut kortet.

Som exempel på personuppgifter kan nämnas personnummer, registreringsnummer för fordon, kundnummer och lägenhetsnum-mer.

Personuppgiftsansvarig är den som ensam eller tillsammans med

andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av person-uppgifter i lagens mening finns det en eller flera personuppgifts-ansvariga för den behandlingen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av person-uppgifter sker i enlighet med bestämmelserna i PUL. Som huvud-regel kan därför bara fysiska personer, juridiska personer, utländska

26 SOU 1997:39 s. 338.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

filialer eller myndigheter betraktas som personuppgiftsansvariga, inte några andra ”organ” som saknar rättskapacitet och således inte kan ådömas skadestånd.28

Personuppgiftsbiträde är den som behandlar personuppgifter för

den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträde. Den personuppgiftsan-svarige har skadeståndsansvar gentemot de registrerade för person-uppgiftsbiträdets behandling av personuppgifter. Personuppgifts-biträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.

Ett personuppgiftsombud är en fysisk person som, efter förord-nande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Den registrerade är den som en personuppgift avser. Av

defini-tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.

Med samtycke avses enligt definitionen varje slag av frivillig, sär-skild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Det krävs inte att samtycket är skriftligt.29

Vid en tvist torde dock den personuppgiftsansvarige ha bevisbördan för att den registrerade har lämnat sitt samtycke. Ett skriftligt sam-tycke kan därför ändå vara lämpligt.

Enligt definitionen ska det vara den registrerade som blir infor-merad och godtar behandlingen av sina personuppgifter. Det är så-ledes den registrerade själv som ska lämna sitt samtycke. Att till exem-pel en organisation som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar är inte tillräckligt. Samtycket måste vara individuellt.30

Frågan om samtycket i alla lägen måste avges personligen, det vill säga av den registrerade själv, har diskuterats i förarbetena.31

Datalagskommittén konstaterade att det verkar klart att ett ombud, en ställföreträdare eller en god man kan framföra den registrerades frivilliga, särskilda och informerade viljeyttring till den personupp-giftsansvarige (eller dennes ombud), och enligt kommittén bör ett

28 SOU 1997:39 s. 336.

29 SOU 1997:39 s. 341.

30 Ibid.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

ombud eller en ställföreträdare kunna lämna samtycke på den re-gistrerades vägnar.

Det har inte ställts upp några särskilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade och att den som faktiskt kan tillgodogöra sig information om vad en behand-ling innebär och som faktiskt kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen, kan lämna ett rätts-ligt giltigt samtycke. Det anses naturrätts-ligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv.32 Frågan om när någon har sådan mognad att han eller hon förstår vad sam-tycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.

Datalagskommittén tar vidare upp frågan om vad kravet på fri-villighet innebär. I förarbetena nämns som exempel den situation att samtycke till viss uppgiftsbehandling uppställs som en förutsätt-ning för att den registrerade ska få något som han eller hon önskar eller behöver, till exempel ett telefonabonnemang, en livsnödvändig sjukvårdsbehandling eller en anställning. Det konstateras att om situ-ationen är sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Det anförs dock att undantag får göras om det kan visas att den registrerade skulle ha lämnat sam-tycket även utan ”tvånget”. Även omständigheten att en registrerad kan ha en underordnad eller beroende ställning i förhållande till den personuppgiftsansvarige bör beaktas vid bedömningen av om ett samtycke har lämnats frivilligt.

Kravet på att samtycket ska vara särskilt medför att ett generellt samtycke till uppgiftsbehandling inte accepteras. Den registrerade ska informeras om vilken eller vilka behandlingar som ska göras och de är dessa, och inga andra, som det särskilda samtycket avser.33

Definitionen av begreppet samtycke innebär också att ett så kallat hypotetiskt samtycke inte kan godtas. Med hypotetiskt samtycke avses att man på olika grunder antar att individen i fråga skulle ha samtyckt om han eller hon hade ställts inför frågan.

32 Ibid.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

Tillsynsmyndigheten är den myndighet som regeringen utser för

att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyn-dighet.