Checklista för skydd av dina personuppgifter

Observera att vår checklista innehåller referenser till tidigare lagstiftning och inte till den nya dataskyddsförordningen GDPR.

De grundläggande principerna för personuppgiftsbehandling enligt den tidigare lagstiftning som checklistan baserar sig på är fortfarande desamma. Därför kan checklistan fortfarande användas för att ge en överblick över personuppgiftsskyddet. För en fullständig bild rekommenderar vi dock att du även tar del av vår information om registrerades rättigheter enligt GDPR och våra allmänna råd (Nr 6/2018) om myndigheters informationsplikt.

Verksamheter som behandlar personuppgifter om dig är skyldiga att informera dig, både på eget initiativ och när du ber om det.

1. Rätt till insyn

Alla har rätt att veta om personuppgifter används i en privat eller offentlig verksamhet. Rätten gäller oavsett om du är registrerad eller inte.

Rätten till insyn ges genom att beskrivningar över vilka personuppgifter som behandlas (registerbeskrivningar) hålls allmänt tillgängliga.

Behandlingsbeskrivningen inkluderar:

  • Namn och adress på ansvarig verksamhet (registeransvarig)
  • Vem som eventuellt har ansvaret (registerbiträde)
  • Ändamålet med behandlingen – varför samlas uppgifter in
  • Vilken typ av uppgifter samlas in och används
  • Varifrån har uppgifterna hämtats
  • Till vem uppgifterna eventuellt lämnas ut

Om du är registrerad har du dessutom rätt att få veta:

  • Vilka uppgifter som behandlas om dig

  • Vilken säkerhetsnivå som tillämpas vid behandlingen av dina uppgifter

2. Informationsplikt

Den registeransvariga ska på eget initiativ informera dig om hur dina personuppgifter behandlas.

Informationen ska innehålla åtminstone följande uppgifter:

  • Namn och adress på ansvarig verksamhet (registeransvarig)
  • Ändamålet med behandlingen – varför samlas uppgifter in
  • Vart uppgifter i regel lämnas ut
  • De upplysningar som behövs för att du ska kunna ta tillvara dina rättigheter i samband med behandlingen (t.ex. rätten till insyn, rättelse, utplåning och hur länge uppgifterna sparas)

Informationsplikten gäller både när uppgifterna samlas in direkt från dig själv, eller när informationen kommer från någon annan.

Informationen är gratis om den lämnas högst en gång per kalenderår. Du har rätt att få information snarast möjligt.

Informationsplikten gäller inte om du redan känner till behandlingen eller om insamlingen av personuppgifter är lagstadgad

Undantag från insynsrätt och informationsplikt:

  • Informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredande av brott
  • Informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller någon annans rättigheter
  • Uppgifterna behandlas uteslutande för historisk, vetenskaplig forskning eller statistikföring

För flera undantag se personuppgiftslagen § 15, LL (2007:88)

Andra typer av insyn

Personuppgiftslagen är en generell lag. Om det i annan lag finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla. Det gäller till exempel förvaltningslagens regler gällande partsinsyn och offentlighetslagens bestämmelser om allmänhetens tillgång till allmänna handlingar och information inom offentlig sektor.

Rättelse och utplåning av uppgifter

Skyldigheten till rättelse med mera regleras i personuppgiftslagen § 16, LL (2007:88)

3. Användningen av personbeteckningen

Personbeteckningen kan skapa integritetsrisker. Problemet med personbeteckningen är inte numret i sig, utan hur det används. I vissa sammanhang betraktas personbeteckningen som en hemlig nyckel och den godtas som legitimation om man kan ange namn, adress och personbeteckning. Det kan utnyttjas av oärliga människor.

Personbeteckningen ska således inte användas av ren bekvämlighet. Den får inte ersätta kundnummer, användarnamn på nättjänster eller dylikt.

Användning med ditt samtycke

Samtycket ska vara frivilligt och grunda sig på information om behandlingen och ge dig möjlighet att själv ta ställning till om du accepterar behandlingen. I fall där du inte har någon verklig valmöjlighet måste den registeransvariga finna annat stöd för behandlingen i personuppgiftslagen eller i särskild lag.

Kravet på att samtycket ska vara särskilt innebär att ett generellt samtycke till behandling av personuppgifter inte godtas.

Behandlingen regleras i lag

Till exempel i:

  • körkortslagen (56 § 1 mom. 1) punkten (1991:79)
  • fordonsregistret (21 § 1 mom. b) punkten landskapslagen (1993:19 om besiktning och registrering)

Om det är nödvändigt för att göra en säker identifiering av den registrerade:

  • För att utföra en i lag angiven uppgift
  • För att uppfylla den registrerades eller den registeransvarigas rättigheter eller skyldigheter

I dessa fall är grundförutsättningen för behandling av personbeteckningen att det är viktigt att entydigt individualisera den registrerade för att utföra en sådan uppgift som nämns i bestämmelsen. Till exempel får en skola behandla en skolelevs eller studerandes personbeteckning i samband med att examen avläggs.

Det är således inte tillräckligt att behandla personbeteckningen enbart av det skälet att det skulle förenkla eller påskynda utförandet av en i lag angiven uppgift.

För historisk eller vetenskaplig forskning eller statistikföring:

  • Behovet av att lagra personbeteckningen är aktuell då personuppgifter som erhållits ur olika  personregister behöver förenas i ett forskningssyfte.

Inom vissa verksamhetsområden

Till exempel:

  • Vid kreditgivning
  • I uthyrnings- och utlåningsverksamhet
  • Inom hälso- och sjukvården
  • Inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet
  • I ärenden som gäller anställningsförhållanden och förmåner som har samband med dessa

I dessa fall är individualiseringen av personen nödvändig av rättssäkerhetsskäl. Bestämmelsen ger till exempel hyresvärden, biblioteket och läkaren rätt att samla in och behandla kundens eller patientens personbeteckning.

Dessutom vid automatisk databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning. Det förutsätter att mottagaren redan har tillgång till personbeteckningen.

Personbeteckningen får inte i onödan antecknas på handlingar som skrivs ut eller upprättas på basis av personregistret. Personbeteckningen får till exempel inte antecknas på en postförsändelse så att den blir synlig, eller på cirkulerande arbetsskifts- eller semesterlistor.