Den 24 oktober 1998 träder en ny lag i kraft, personuppgiftslagen (1998:204), förkortad PUL. Samtidigt upphör datalagen från 1973. I anledning av den nya lagstiftningen vill jag lämna följande kortfattade upplysningar.

Personuppgiftslagen - syfte mm 

Syftet med den nya lagen är att hindra att den personliga integriteten kränks genom behandling av personuppgifter. Lagen bygger på ett EG-direktiv.

Det gamla systemet med licens och tillstånd avskaffas. Istället läggs ansvaret för att den s.k. behandlingen av personuppgifter sker på ett lagligt sätt, på den som behandlar sådana uppgifter. Viss anmälningsskyldighet till Datainspektionen finns dock fortfarande. 

Personuppgifter 

Personuppgifter är, som tidigare, alla uppgifter som kan hänföras till en nu levande fysisk person. Personuppgifter är exempelvis namn, personnummer, adress och telefonnummer. 

Behandling av personuppgifter 

I PUL används begreppet behandling av personuppgifter. Behandling innebär all hantering av personuppgifter, oavsett om det sker genom databehandling eller om det sker manuellt. 

Exempel på behandling av personuppgifter är; insamling, registrering, lagring, bearbetning, utlämnande sammanställning eller samkörning 

Undantag från PUL 

PUL gäller inte för behandling av personuppgifter som utförs som ett led i en verksamhet som är av rent privat natur. Bestämmelserna i lagen gäller heller inte om det skulle strida mot bestämmelserna om tryck- och yttrandefrihet. Slutligen skall vissa bestämmelser inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. 

Personuppgiftsansvarig och personuppgiftsbiträde 

Den som bestämmer hur och varför personuppgifter skall behandlas kallas personuppgiftsansvarig. Vanligtvis är detta en juridisk person. KB är en juridisk person, en statlig myndighet. Det är alltså KB som enligt lagens mening är personuppgiftsansvarig. Ytterst ansvarig för att de nya reglerna följs är, som tidigare, den verkställande ledningen.

Personuppgiftsbiträde är den som för den personuppgiftsansvarige behandlar personuppgifterna, dvs. en fysisk person men utanför den egna organisationen. 

Samtycke 

Liksom tidigare kan en registrerad person ge sitt samtycke till att hans/hennes personuppgifter behandlas. Samtycket kan vara såväl muntligt som skriftligt. 

Anmälningsskyldighet m.m. 

Den personuppgiftsansvarige skall anmäla behandling av personuppgifter som är helt eller delvis automatiserad till Datainspektionen. Anmälan behöver dock inte göras om den personuppgiftsansvarige förordnat ett personuppgiftsombud. Även personuppgiftsombudet är en fysisk person och skall se till att personuppgifterna behandlas på ett lagligt och korrekt sätt. Själva tillsättningen, och eventuellt entledigandet, av personuppgiftsombudet skall dock anmälas till Datainspektionen.

Regeringen har vidare meddelat undantag från anmälningsskyldigheten beträffande personuppgifter i löpande text. 

Datainspektionen har rätt att, med stöd av PUL och personuppgiftsförordningen, meddela föreskrifter om undantag från anmälningsskyldigheten. Enligt dessa behöver man inte anmäla behandling av personuppgifter som sker efter att samtycke från den registrerade inhämtats. 

Övergångsbestämmelser och sammanfattning 

PUL träder i kraft den 24 oktober i 1998. För behandling av personuppgifter som påbörjats före denna dag skall emellertid PUL börja tillämpas först den 1 oktober 2001. Det innebär att datalagen (1973:289) fortfarande gäller befintliga register. Vidare säger övergångsbestämmelserna att ett tidigare meddelat samtycke till behandling av personuppgifter gäller även efter den 24 oktober om det uppfyller de krav som ställs i PUL. 

Susanna Broms, 1998-10-20

Författningar mm 

Personuppgiftslag (1998:204)

Personuppgiftsförordning (1998:1191)

Regeringens proposition 1997/98:44

Behandling av personuppgifter - Information om PUL - Regeringskansliet, september 1998

Information om PUL - Faktablad Justitiedepartementet Ju 98.01, september 1998

Datainspektionens föreskrifter om upphävande av vissa föreskrifter om personregister enligt datalagen (1973:289) (DIFS 1998:1)

Datainspektionens föreskrifter i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen (DIFS 1998:2)