konfirmandlärarmålet

ett åtal som gällde publicering av personuppgifter på internet och som har fått betydelse för rättstillämpningen. Åtalet gällde också publicering av känsliga uppgifter på en webbsida. – En konfirmandlärare publicerade 1998 en webbsida med korta presentationer av henne själv och hennes arbetskamrater. Bland annat skrev hon att en av dem hade skadat foten och var deltidssjukskriven. Hon åtalades då av åklagare och dömdes i tingsrätten till 4 000 kronor i böter för att hon hade:

  • – behandlat personuppgifter utan att anmäla det till dåvarande Datainspektionen†, att hon hade:
  • – pub­licerat känsliga upp­gifter och för att hon:
  • – genom publiceringen på internet hade gjort uppgift­erna tillgängliga i tredje land.

– Konfirmandläraren överklagade till Göta hovrätt, som begärde ett utlåtande från EU‑domstolen (som då hette EG‑dom­stolen). EU‑dom­stolen fann att publiceringen av uppgifterna inte var tillåten, men att publicering på internet inte kunde jämställas med att göra uppgifter tillgängliga i tredje land. (Med ”tredje land” menas länder utanför EU plus Norge, Liechtenstein och Schweiz – EES.) Efter EU‑domstolens utlåtande fann Göta hovrätt konfirmandläraren skyldig till brott mot (den senare avskaffade) Personuppgiftslagen† (PuL) och mot EU:s dataskyddsdirektiv†, men inte för att ha överfört uppgifterna till tredje land. Men hon fick inget straff. – Målets betydelse gäller alltså främst möjligheten att publicera personuppgifter på internet, där de i princip blir tillgängliga i hela världen. Detta är alltså i sig inte förbjudet enligt EU‑rätten.

[eu] [juridik] [personuppgifter] [rättsfall och skandaler] [ändrad 5 september 2022]

missbruksregeln

benämning på den avskaffade lag som sade att uppgifter som kränker en persons per­son­liga integritet inte fick hanteras i ostrukturerade data. – Detta föreskrevs i paragraf 5a i den avskaffade Personuppgiftslagen† (PuL). Annars var personuppgifter i ostrukturerade data undantagna från Personuppgiftslagen. – Personuppgifts­lagen ersattes 2018 med EU:s gemensamma Dataskyddsförordning, som inte gör skillnad mellan strukturerade och ostrukturerade personuppgifter. Alla personuppgifter faller därmed under missbruksregelns princip. – Som kränk­ande personuppgifter räknas framför allt det som i missbruksregeln kallades för känsliga personuppgifter.

[dataskyddsförordningen] [inaktuellt] [lagar] [personuppgifter] [ändrad 22 december 2022]

Dataskyddsförordningen

EU:s förordning om dataskydd för personuppgifter. – Grundtanken i förord­ningen är att varje person ska ha bestämmanderätt över sina personuppgifter. Förordningen gäller som lag i EU:s medlemsländer sedan den 25 maj 2018. Då ersatte den i Sverige Personuppgiftslagen† (PuL), och för hela EU har den ersatt Dataskyddsdirektivet†. Att förordningen är gemensam för hela EU motiveras med att företag och andra organisationer inte ska behöva rätta sig efter olika lagar och regler i olika EU‑länder. Förordningen gäller inte privatpersoner och deras digitala adressböcker eller andra data för privat bruk. – De fem grundprinciperna i Dataskyddsförordningen är:

  • – Individen är källan. Personuppgifter ska komma från den som de gäller;
  • – Rätt att veta. Var och en ska ha rätt att veta vilka personuppgifter som lagras om en, och vad de används till;
  • Samtycke. Det ska krävas godkännande av den registrerade för lagring av personuppgifter;
  • – Minimering. Man får inte samla in och spara fler personuppgifter än vad som är befogat med tanke på syftet;
  • – Hårda straffavgifter. Företag och andra organisationer som bryter mot reglerna kan åläggas att betala höga avgifter.

– Viktiga inslag i EU:s dataskyddsförordning är:

  • – registering av personuppgifter kräver samtycke av den som det gäller;
  • – om det gäller personer under 16 år måste man ha vårdnadshavares samtycke;
  • – i samband med registreringen måste man informera om vilket rättsligt stöd man har för att samla in och lagra personuppgifterna;
  • – man får sedan inte bredda användningen av personuppgifterna;
  • – företag och organisationer som samlar in och lagrar uppgifter som kan ha allvarliga konsekvenser för de berördas personliga integritet måste göra en konsekvensbedömning och i allvarliga fall samråda med tillsynsmyndigheten (i Sverige Integritetsskyddsmyndigheten). Detta gäller alltid för uppgifter om minderåriga;
  • – företag eller organisation som huvudsakligen hanterar personuppgifter eller har minst 250 anställda måste ha ett dataskyddsombud som ser till att Dataskyddsförordningen efterlevs;
  • – alla dataintrång eller andra incidenter som kan leda till att personuppgifter kommer på avvägar måste dokumenteras, och i allvarliga fall rapporteras till tillsynsmyndigheten. Om dataintrånget kan leda till allvarliga risker för de personer som uppgifterna gäller (till exempel ekonomisk förlust) måste man även informera dem;
  • – om en organisation överlämnar personuppgifter till en annan organisation måste den första organisationen meddela den andra ifall uppgifterna senare ändras;
  • – personuppgifter i ostrukturerat material (till exempel på webbsidor) ska nu behandlas enligt samma regler som personuppgifter i strukturerade databaser. Detta gäller även för personuppgifter som har lagts in innan Dataskyddsförordningen trädde i kraft;
  • – när man samlar in personuppgifter måste man informera de berörda om vem man är, varför man gör det, vad uppgifterna ska användas till och vilken rätt man har att samla in uppgifterna. Man måste också upplysa om vart man kan vända sig med klagomål;
  • – de berörda har rätt att se vilken information som har samlats in om dem, att få felaktiga uppgifter rättade, att bli strukna (se också rätt att bli bortglömd), att invända mot hur personuppgifterna an­vänds och att flytta personuppgifterna (till exempel från ett företag till ett annat, som när man byter teleoperatör);
  • – företag som inte följer Dataskyddsförordningen kan åläggas att betala straffavgifter på upp till 20 miljoner euro, för stora företag ännu mer.

– Att det är en förordning i stället för ett direktiv innebär att bestämmelserna gäller som lag i alla EU‑länder (samt Island, Liechtenstein och Norge). Det finns visst utrymme för nationella anpassningar, se Dataskyddslagen. Grundlagen påverkas inte av Dataskyddsförordningen. Tryckfrihetsförordningen och Yttrandefrihetsgrund­lagen gäller som tidigare. Läs också om ePrivacy-förordningen. – Hela texten på svenska finns på denna länk. – Se också ISO 27701. – IDG:s artiklar om Dataskyddsförordningen: länk.

– På engelska: General data protection regulation, förkortat GDPR.

[dataskydd] [dataskyddsförordningen] [eu] [juridik] [personuppgifter] [ändrad 29 november 2019]

OBS-portalen

Polismyndighetens databas med ”operativ brotts-, spanings och kriminalunder­rätt­else­infor­ma­tion”. – OBS‑portalen fick 2015 kritik av Säkerhets- och integritetsskyddsnämnden (se detta yttrande, borttaget, men se kopia) och 2016 av dåvarande Datainspektionen† (se detta beslut) för att personuppgifterna i databasen var för lätta att komma åt för obehöriga, och för att språkbruket var olämpligt.

[juridik] [personuppgifter] [svenska myndigheter] [ändrad 29 december 2020]

TrustArc

ett amerikanskt företag som utvecklar teknik som hjälper andra företag att efterleva lagar och bestämmelser om personuppgifter. Företag kan sätta TrustArcs märke på sina webbsidor för att markera att de uppfyller TrustArcs krav, se denna länk. – TrustArc grundades 1997 som TRUSTe. Det var en branschorganisation fram till 2008, då det omvandlades till ett företag. 2017 bytte företaget namn till TrustArc. – Se trustarc.com.

[företag] [namnbyte] [personuppgifter] [ändrad 14 februari 2018]

Statens personadressregister

(SPAR) – ett statligt offentligt register över alla som är folkbokförda i Sverige. Alltså svenska medborgare som är bosatta i Sverige och utländska medborgare som är folkbokförda här. – I SPAR finns bland annat uppgifter om namn, personnummer, bostadsadress, even­tu­ell särskild postadress, even­tu­ell maka eller make, medborgarskap och eventuellt ägande av fastighet. – SPAR får sina uppgifter från Skatteverkets folkbokföring. Uppgifterna är delvis offentliga. – Företag kan köpa adressuppgifter från SPAR; andra uppgifter är bara tillgängliga för vissa myndigheter och för den det gäller. – Se SPAR:s webbsidor (länk).

– In English: SPAR is the acronym for the Swedish population address register – please refer to the summary in English at this site: link. – For more summaries in English, please click at this link.

[personuppgifter] [svenska myndigheter] [ändrad 30 april 2021]