Många känner till begreppet personuppgifter och att hanteringen av dessa regleras i personuppgiftslagen (PuL). Få känner dock till den praktiska innebörden av regleringen och omfattningen av de skyldigheter som följer av den. För att klargöra det tar vi hjälp av Ida Karlsson från Advokatfirman Lindahl.
All information som direkt eller indirekt kan knytas till en person som är i livet utgör så kallade personuppgifter. Personuppgiftslagen (PuL) reglerar på vilket sätt de här personuppgifterna får behandlas. Tillämpningsområdet är mycket vidsträckt och regleringen omfattar till exempel insamling, organisering, lagring, bearbetning, användning och utlämnande av uppgifter. Enkelt uttryckt omfattar regleringen i princip alla åtgärder som vidtas beträffande personuppgifter. Men under vilka förutsättningar är det då tillåtet att behandla personuppgifter?
– Huvudregeln är att det krävs samtycke från den person vars personuppgifter behandlas. Under vissa förutsättningar kan det vara tillåtet att behandla personuppgifter även utan samtycke, men lagen bygger på att den enskilde ska ha möjlighet att invända mot behandlingen, berättar Ida Karlsson, som arbetar på Advokatfirman Lindahl.
Samtycket måste vara frivilligt, särskilt, otvetydigt och lämnas efter att den vars personuppgifter behandlas har fått tillräcklig information om det. Samtycket behöver inte vara skriftligt, men det är ofta att föredra för att undanröja risken för framtida tveksamheter.
Det är viktigt att den information som lämnas är tillräckligt tydlig. Informationen ska omfatta uppgifter om den som är personuppgiftsansvarig, det vill säga den som är ansvarig för behandlingen av uppgifterna. Den ska även ange ändamålen med behandlingen samt all övrig information som behövs för att den registrerade ska kunna tillvarata sina rättigheter.
– Många företag har ofta en standardformulering som används, men den information som lämnas är ofta alldeles för kortfattad och allmän, säger Ida Karlsson.
Om det förkommer brister i informationen kan det få stora konsekvenser, eftersom det kan medföra att samtycket inte godtas. Då riskerar behandlingen av uppgifterna att strida mot PuL, vilket bland annat kan medföra skadeståndsskyldighet. Skadeståndet beräknas bland annat utifrån hur många personer som drabbats och kan alltså bli kostsamt för ett företag om bristfällig information lämnats till en stor grupp människor.
Ett område där frågorna om behandling av personuppgifter uppmärksammats särskilt är inom arbetslivet, där personuppgifter rutinmässigt förekommer i allt från löneregister och adresslistor till behörighetssystem, kompetensdatabaser och logguppgifter. Även kameraövervakning av anställda har blivit allt vanligare och det är lätt att tro att man som arbetsgivare får behandla uppgifter om sina anställda utan begränsning. Men sådan hantering måste också göras i enlighet med PuL.
Vid behandling av anställdas personuppgifter kan dessutom nya frågor uppstå, såsom den beroendeställning som en arbetstagare i allmänhet befinner sig i gentemot sin arbetsgivare. Beroendeställningen medför en risk för att ett lämnat samtycke inte betraktas som frivilligt och att samtycket därför inte alltid ges samma betydelse som i andra sammanhang. Det innebär att det är viktigt att vara särskilt noggrann innan behandlingen påbörjas, för att verkligen säkerställa att den är tillåten.
– Som företagare har man ofta allt fokus på verksamheten och det är därför lätt att glömma bort frågorna om hur personuppgifter behandlas i verksamheten. Det är dock viktigt att komma ihåg att en felaktig behandling kan få stora konsekvenser och det är därför en bra idé att se över sina rutiner och säkerställa att PuL följs, konstaterar Ida Karlsson.