Inte för att jag har nåt emot att folk behandlar varandra väl på Internet, men det faktum att staten gör allt för att kontrollera oss gör mig lite irriterad. Det är som om dom inte riktigt litar på att deras eget folk sköter sig,och givetvis vill spela storebror. Nej, lite anarki är alltid nyttigt.
PERSONUPPGIFTSLAG
Syftet med lagen
1 § Syftet med denna lag är att skydda människor
mot att deras personliga integritet kränks
genom behandling av personuppgifter.
Avvikande bestämmelse
i annan författning
2 § Om det i en annan lag eller i en förordning finns
bestämmelser som avviker från denna lag,
skall de bestämmelserna gälla.
Definitioner
3 § I denna lag används följande beteckningar
med nedan angiven betydelse.
Behandling (av
personuppgifter)
Varje åtgärd eller serie av åtgärder som
vidtas i fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte, t.ex. insamling, registrering,
organisering, lagring, bearbetning eller
ändring, återvinning, inhämtande, användning,
utlämnande genom översändande, spridning eller
annat tillhandahållande av uppgifter, sammanställning
eller samkörning, blockering, utplåning eller
förstöring.
Blockering (av
personuppgifter)
En åtgärd som vidtas för att personuppgifterna
skall vara förknippade med information om att de
är spärrade och om anledningen till spärren och
för att personuppgifterna inte skall lämnas ut till
tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Mottagare
Den till vilken personuppgifter lämnas ut. När personuppgifter
lämnas ut för att en myndighet
skall kunna utföra sådan tillsyn, kontroll eller revision
som den är skyldig att sköta, anses dock
inte myndigheten som mottagare.
Personuppgifter
All slags information som direkt eller indirekt kan hänföras
till en fysisk person som är i livet.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen
med och medlen för
behandlingen av personuppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges
räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av den personuppgiftsansvarige,
självständigt skall se
till att personuppgifter behandlas på ett korrekt och lagligt
sätt.
Den registrerade
Den som en personuppgift avser.
Samtycke
Varje slag av frivillig, särskild och otvetydig viljeyttring
genom vilken den registrerade, efter att
ha fått information, godtar behandling av personuppgifter
som rör honom eller henne.
Tillsynsmyndigheten
Den myndighet som regeringen utser för att utöva tillsyn.
Tredje land
En stat som inte ingår i Europeiska unionen eller är
ansluten till Europeiska ekonomiska
samarbetsområdet. Tredje man Någon annan än
den registrerade, den personuppgiftsansvarige,
personuppgiftsombudet, personuppgiftsbiträdet och sådana
personer som under den
personuppgiftsansvariges eller personuppgiftsbiträdets direkta
ansvar har befogenhet att
behandla personuppgifter.
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna
lag gäller för sådana personuppgiftsansvariga
som är etablerade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige
är etablerad i tredje land men för
behandlingen av personuppgifter använder sig av utrustning
som finns i Sverige. Vad som nu
sagts gäller dock inte om utrustningen bara används
för att överföra uppgifter mellan ett tredje
land och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall
den personuppgiftsansvarige utse en
företrädare för sig som är etablerad i Sverige.
Vad som anges i denna lag om den
personuppgiftsansvarige skall också gälla för
företrädaren.
Behandling av personuppgifter som omfattas av lagen
5 § Denna
lag gäller för sådan behandling av personuppgifter
som helt eller delvis är
automatiserad.
Lagen gäller även för annan behandling av personuppgifter,
om uppgifterna ingår i eller är
avsedda att ingå i en strukturerad samling av personuppgifter
som är tillgängliga för sökning eller
sammanställning enligt särskilda kriterier.
Undantag för privat behandling av personuppgifter
6 § Denna
lag gäller inte för sådan behandling av personuppgifter
som en fysisk person utför
som ett led i en verksamhet av rent privat natur.
Förhållandet till tryck-och yttrandefriheten
7 § Bestämmelserna
i denna lag tillämpas inte i den utsträckning det skulle
strida mot
bestämmelserna om tryck- och yttrandefrihet i tryck- frihetsförordningen
eller
yttrandefrihetsgrundlagen.
Bestämmelserna i 9-29 och 33-44 §§ samt 45 §
första stycket och 47-49 §§ skall inte tillämpas
på sådan behandling av personuppgifter som sker uteslutande
för journalistiska ändamål eller
konstnärligt eller litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna
i denna lag tillämpas inte i den utsträckning det skulle
inskränka en
myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen
att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar
och bevarar allmänna handlingar
eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen
i 9 § fjärde stycket
gäller inte för en myndighets användning av personuppgifter
i allmänna handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige
skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt
och i enlighet med god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt
angivna och berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål
som är oförenligt med det för vilket
uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta
i förhållande till ändamålen med
behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt
med hänsyn till ändamålen med
behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det
är nödvändigt, aktuella,
h) alla rimliga åtgärder vidtas för att rätta,
blockera eller utplåna sådana personuppgifter som
är
felaktiga eller ofullständiga med hänsyn till ändamålen
med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än
vad som är nödvändigt med hänsyn till
ändamålen med behandlingen.
I fråga om första stycket d gäller dock att en
behandling av personuppgifter för historiska,
statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka
uppgifterna samlades in.
Personuppgifter får bevaras för historiska, statistiska
eller vetenskapliga ändamål under längre tid
än som sagts i första stycket i. Personuppgifterna
får dock i sådana fall inte bevaras under en
längre tid än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska
eller vetenskapliga ändamål får
användas för att vidta åtgärder i fråga
om den registrerade bara om den registrerade har lämnat
sitt samtycke eller det finns synnerliga skäl med hänsyn
till den registrerades vitala intressen.
När behandling av personuppgifter är tillåten
10 § Personuppgifter
får behandlas bara om den registrerade har lämnat
sitt samtycke till
behandlingen eller om behandlingen är nödvändig
för att
a) ett avtal med den registrerade skall kunna fullgöras
eller åtgärder som den registrerade begärt
skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig
skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken
personuppgifter lämnas ut skall
kunna utföra en arbetsuppgift i samband med myndighetsutövning,
eller
f) ett ändamål som rör ett berättigat intresse
hos den personuppgiftsansvarige eller hos en sådan
tredje man till vilken personuppgifterna lämnas ut skall
kunna tillgodoses, om detta intresse väger
tyngre än den registrerades intresse av skydd mot kränkning
av den personliga integriteten.
Direkt marknadsföring
11 § Personuppgifter
får inte behandlas för ändamål som rör
direkt marknadsföring, om den
registrerade hos den personuppgiftsansvarige skriftligen har
anmält att han eller hon motsätter sig
sådan behandling.
Samtycke återkallas
12 § I de
fall då behandling av personuppgifter bara är tillåten
när den registrerade har lämnat
sitt samtycke enligt 10, 15 eller 34 § har den registrerade
rätt att när som helst återkalla ett
lämnat samtycke. Ytterligare personuppgifter om den registrerade
får därefter inte behandlas.
En registrerad har utöver vad som följer av första
stycket och 11 § inte rätt att motsätta sig
sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är
förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana
personuppgifter som rör hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena
betecknas i denna lag som känsliga
personuppgifter.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är
trots förbudet i 13 § tillåtet att behandla känsliga
personuppgifter i de fall som anges
i 15-19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling
av personuppgifter över huvud taget är
tillåten.
Samtycke eller offentliggörande
15 § Känsliga
personuppgifter får behandlas, om den registrerade har
lämnat sitt uttryckliga
samtycke till behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna.
Nödvändig behandling
16 § Känsliga
personuppgifter får behandlas om behandlingen är nödvändig
för att
a) den personuppgiftsansvarige skall kunna fullgöra sina
skyldigheter eller utöva sina rättigheter
inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen
skall kunna skyddas och den registrerade
inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas,
göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket
a får lämnas ut till tredje man bara om det
inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige
att göra det eller den
registrerade uttryckligen har samtyckt till utlämnandet.
Ideella organisationer
17 § Ideella
organisationer med politiskt, filosofiskt, religiöst eller
fackligt syfte får inom ramen
för sin verksamhet behandla känsliga personuppgifter
om organisationens medlemmar och
sådana andra personer som på grund av organisationens
syfte har regelbunden kontakt med den.
Känsliga personuppgifter får dock lämnas ut till
tredje man bara om den registrerade uttryckligen
har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga
personuppgifter får behandlas för hälso- och
sjukvårdsändamål, om behandlingen
är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och
sjukvårdsområdet och har tystnadsplikt får
även behandla känsliga personuppgifter som omfattas
av tystnadsplikten. Detsamma gäller den
som är underkastad en liknande tystnadsplikt och som har
fått känsliga personuppgifter från
verksamhet inom hälso- och sjukvårdsområdet.
Forskning och statistik
19 § Känsliga
personuppgifter får behandlas för forsknings- och
statistikändamål, om
behandlingen är nödvändig på sätt som
sägs i 10 § och om samhällsintresset av det forsknings-
eller statistikprojekt där behandlingen ingår klart
väger över den risk för otillbörligt intrång
i
enskildas personliga integritet som behandlingen kan innebära.
Har behandlingen godkänts av en forskningsetisk kommitté,
skall förutsättningarna enligt första
stycket anses uppfyllda. Med forskningsetisk kommitté
avses ett sådant särskilt organ för
prövning av forskningsetiska frågor som har företrädare
för såväl det allmänna som forskningen
och som är knutet till ett universitet eller en högskola
eller till någon annan instans som i mera
betydande omfattning finansierar forskning.
Personuppgifter får lämnas ut för att användas
i sådana projekt som avses i första stycket, om
inte något annat följer av regler om sekretess och
tystnadsplikt.
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen
eller den myndighet som regeringen bestämmer får i
fråga om automatiserad
behandling av personuppgifter meddela föreskrifter om ytterligare
undantag från förbudet i 13 §,
om det behövs med hänsyn till ett viktigt allmänt
intresse.
Uppgifter om lagöverträdelser m.m.
21 § Det är
förbjudet för andra än myndigheter att behandla
personuppgifter om
lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel eller
administrativa frihetsberövanden.
Regeringen eller den myndighet som regeringen bestämmer
får i fråga om automatiserad
behandling av personuppgifter meddela föreskrifter om undantag
från förbudet i första stycket.
Regeringen får i enskilda fall besluta om undantag från
förbudet i första stycket. Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana
beslut.
Behandling av personnummer
22 § Uppgifter
om personnummer får utan samtycke behandlas bara när
det är klart motiverat
med hänsyn till a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant
23 § Om uppgifter
om en person samlas in från personen själv, skall
den
personuppgiftsansvarige i samband därmed självmant
lämna den registrerade information om
behandlingen av uppgifterna.
24 § Om personuppgifterna
har samlats in från någon annan källa än
den registrerade, skall den
personuppgiftsansvarige självmant lämna den registrerade
information om behandlingen av
uppgifterna när de registreras. Är uppgifterna avsedda
att lämnas ut till tredje man, behöver
informationen dock inte ges förrän uppgifterna lämnas
ut för första gången.
Information enligt första stycket behöver inte lämnas,
om det finns bestämmelser om
registrerandet eller utlämnandet av personuppgifterna i
en lag eller någon annan författning.
Information behöver inte heller lämnas enligt första
stycket, om detta visar sig vara omöjligt eller
skulle innebära en oproportionerligt stor arbetsinsats.
Om uppgifterna används för att vidta
åtgärder som rör den registrerade, skall dock
information lämnas senast i samband med att så
sker.
Den information som skall lämnas självmant
25 § Information
enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den
registrerade skall kunna ta till vara sina rättigheter
i samband med behandlingen, såsom information om mottagarna
av uppgifterna, skyldighet att
lämna uppgifter och rätten att ansöka om information
och få rättelse.
Information behöver dock inte lämnas om sådant
som den registrerade redan känner till.
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige
är skyldig att till var och en som ansöker om det en
gång per
kalenderår gratis lämna besked om personuppgifter
som rör den sökande behandlas eller ej.
Behandlas sådana uppgifter skall skriftlig information
lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna
lämnas ut.
En ansökan enligt första stycket skall göras skriftligen
hos den personuppgiftsansvarige och vara
undertecknad av den sökande själv. Information enligt
första stycket skall lämnas inom en
månad från det att ansökan gjordes.
Om det finns särskilda skäl för det, får
information dock lämnas senast fyra månader efter
det att
ansökan gjordes. Information enligt första stycket
behöver inte lämnas om personuppgifter i
löpande text som inte fått sin slutliga utformning
när ansökan gjordes eller som utgör
minnesanteckning eller liknande. Vad som nu sagts gäller
dock inte om uppgifterna har lämnats
ut till tredje man eller om uppgifterna behandlas enbart för
historiska, statistiska eller
vetenskapliga ändamål eller, när det gäller
löpande text som inte fått sin slutliga utformning,
om
uppgifterna har behandlats under längre tid än ett
år.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 §; I den
utsträckning det är särskilt föreskrivet
i lag eller annan författning eller i beslut som
har meddelats med stöd av författning att uppgifter
inte får lämnas ut till den registrerade gäller
inte bestämmelserna i 23-26 §§. En personuppgiftsansvarig
som inte är en myndighet får därvid i
motsvarande fall som avses i sekretesslagen (1980:100) vägra
att lämna ut uppgifter till den
registrerade.
Rättelse
28 § Den personuppgiftsansvarige
är skyldig att på begäran av den registrerade
snarast rätta,
blockera eller utplåna sådana personuppgifter som
inte har behandlats i enlighet med denna lag
eller föreskrifter som har utfärdats med stöd
av lagen. Den personuppgiftsansvarige skall också
underrätta tredje man till vilken uppgifterna har lämnats
ut om åtgärden, om den registrerade
begär det eller om mera betydande skada eller olägenhet
för den registrerade skulle kunna
undvikas genom en underrättelse. Någon sådan
underrättelse behöver dock inte lämnas, om
detta visar sig vara omöjligt eller skulle innebära
en oproportionerligt stor arbetsinsats.
Automatiserade beslut
29 § Om ett
beslut som har rättsliga följder för en fysisk
person eller annars har märkbara
verkningar för den fysiska personen, grundas enbart på
automatiserad behandling av sådana
personuppgifter som är avsedda att bedöma egenskaper
hos personen, skall den som berörs av
beslutet ha möjlighet att på begäran få
beslutet omprövat av någon person.
Var och en som varit föremål för ett sådant
beslut som avses i första stycket har rätt att på
ansökan få information från den personuppgiftsansvarige
om vad som har styrt den
automatiserade behandling som lett fram till beslutet. I fråga
om ansökan och lämnandet av
information gäller i tillämpliga delar bestämmelserna
i 26 §.
Säkerheten vid behandling
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde
och den eller de personer som arbetar under biträdets eller
den
personuppgiftsansvariges ledning får behandla personuppgifter
bara i enlighet med instruktioner
från den personuppgiftsansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets
behandling av personuppgifter för
den personuppgiftsansvariges räkning. I det avtalet skall
det särskilt föreskrivas att
personuppgiftsbiträdet får behandla personuppgifterna
bara i enlighet med instruktioner från den
personuppgiftsansvarige och att personuppgiftsbiträdet är
skyldigt att vidta de åtgärder som
avses i 31 § första stycket.
Om det i lag eller annan författning finns särskilda
bestämmelser om behandlingen av
personuppgifter i det allmännas verksamhet i frågor
som avses i första stycket, skall dessa gälla i
stället för vad som sägs i första stycket.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige
skall vidta lämpliga tekniska och organisatoriska åtgärder
för
att skydda de personuppgifter som behandlas. Åtgärderna
skall åstadkomma en säkerhetsnivå
som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde,
skall den
personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet
kan genomföra de
säkerhetsåtgärder som måste vidtas och
se till att personuppgiftsbiträdet verkligen vidtar
åtgärderna.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten
får i enskilda fall besluta om vilka säkerhetsåtgärder
som den
personuppgiftsansvarige skall vidta enligt 31 §.
I 45 § finns det bestämmelser om tillsynsmyndighetens
möjligheter att förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring av personuppgifter till tredje land
33 § Det är
förbjudet att till tredje land föra över personuppgifter
som är under behandling.
Förbudet gäller också överföring av
personuppgifter för behandling i tredje land.
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är
trots förbudet i 33 § tillåtet att föra
över personuppgifter till tredje land, om den
registrerade otvetydigt har samtyckt till överföringen
eller när överföringen är nödvändig
för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller
åtgärder som den registrerade begärt skall kunna
vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige
och tredje man som är i den registrerades
intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas,
göras gällande eller försvaras, eller
d) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över
personuppgifter för användning enbart i en stat som
har anslutit
sig till Europarådets konvention om skydd för enskilda
vid automatisk databehandling av
personuppgifter.
35 § Regeringen
får i fråga om automatiserad behandling av personuppgifter
meddela
föreskrifter om undantag från förbudet i 33 §
för överföring av personuppgifter till vissa stater.
Regeringen får också i fråga om automatiserad
behandling av personuppgifter meddela
föreskrifter om att överföring av personuppgifter
till tredje land är tillåten, om överföringen
regleras av ett avtal som ger tillräckliga garantier till
skydd för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer
får vidare i fråga om automatiserad
behandling av personuppgifter meddela föreskrifter om undantag
från förbudet i 33 §, om det
behövs med hänsyn till ett viktigt allmänt intresse
eller om det finns tillräckliga garantier till skydd
för de registrerades rättigheter.
Regeringen får under de förutsättningar som nämns
i andra stycket i enskilda fall besluta om
undantag från förbudet i 33 §. Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana
beslut.
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling
av personuppgifter som är helt eller delvis automatiserad
omfattas av
anmälningsskyldighet. Den personuppgiftsansvarige skall
göra en skriftlig anmälan till
tillsynsmyndigheten innan en sådan behandling eller en
serie av sådana behandlingar med samma
eller liknande ändamål genomförs.
Om den personuppgiftsansvarige utser ett personuppgiftsombud
skall detta anmälas till
tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud
skall anmälas till
tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer
får meddela föreskrifter om undantag
från anmälningsskyldigheten enligt första stycket
för sådana typer av behandlingar som sannolikt
inte kommer att leda till otillbörligt intrång i den
personliga integriteten.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den
personuppgiftsansvarige har anmält till tillsynsmyndigheten
att ett
personuppgiftsombud utsetts och vem det är, behöver
anmälan enligt 36 § första stycket inte
göras.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet
skall ha till uppgift att självständigt se till att
den
personuppgiftsansvarige behandlar personuppgifter på ett
lagligt och korrekt sätt och i enlighet
med god sed samt påpeka eventuella brister för honom
eller henne.
Har personuppgiftsombudet anledning att misstänka att den
personuppgiftsansvarige bryter mot
de bestämmelser som gäller för behandlingen av
personuppgifter och vidtas inte rättelse så snart
det kan ske efter påpekande, skall personuppgiftsombudet
anmäla förhållandet till
tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda
med tillsynsmyndigheten vid tveksamhet om
hur de bestämmelser som gäller för behandlingen
av personuppgifter skall tillämpas.
39 § Personuppgiftsombudet
skall föra en förteckning över de behandlingar
som den
personuppgiftsansvarige genomför och som skulle ha omfattats
av anmälningsskyldighet om
ombudet inte hade funnits. Förteckningen skall omfatta åtminstone
de uppgifter som en anmälan
enligt 36 § skulle ha innehållit.
40 § Personuppgiftsombudet
skall hjälpa registrerade att få rättelse när
det finns anledning att
misstänka att behandlade personuppgifter är felaktiga
eller ofullständiga.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen
får meddela föreskrifter om att sådana automatiserade
behandlingar av
personuppgifter som innebär särskilda risker för
otillbörligt intrång i den personliga integriteten
skall för förhandskontroll anmälas till tillsynsmyndigheten
enligt 36 § tre veckor i förväg. Om
regeringen har meddelat sådana föreskrifter, gäller
inte undantaget från anmälningsskyldigheten
enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige
skall till var och en som begär det skyndsamt och på
lämpligt
sätt lämna upplysningar om sådana automatiserade
eller andra behandlingar av personuppgifter
som inte har anmälts till tillsynsmyndigheten. Upplysningarna
skall omfatta det som en anmälan
enligt 36 § första stycket skulle ha omfattat. Den
personuppgiftsansvarige är dock inte skyldig att
lämna ut sekretessbelagda uppgifter eller uppgifter om vilka
säkerhetsåtgärder som har vidtagits.
En personuppgiftsansvarig som inte är myndighet får
därvid i motsvarande fall som avses i
sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten
har rätt att för sin tillsyn på begäran
få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personuppgifter
och säkerheten vid
denna, och
c) tillträde till sådana lokaler som har anknytning
till behandlingen av personuppgifter.
44 § Om tillsynsmyndigheten
inte efter begäran enligt 43 § kan få tillräckligt
underlag för att
konstatera att behandlingen av personuppgifter är laglig,
får myndigheten vid vite förbjuda den
personuppgiftsansvarige att behandla personuppgifter på
något annat sätt än genom att lagra
dem.
45 § Om tillsynsmyndigheten
konstaterar att personuppgifter behandlas eller kan komma att
behandlas på ett olagligt sätt, skall myndigheten
genom påpekanden eller liknande förfaranden
försöka åstadkomma rättelse. Går det
inte att få rättelse på något annat sätt
eller är saken
brådskande, får myndigheten vid vite förbjuda
den personuppgiftsansvarige att fortsätta att
behandla personuppgifterna på något annat sätt
än genom att lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer ett
beslut om säkerhetsåtgärder enligt 32 §
som vunnit laga kraft, får tillsynsmyndigheten föreskriva
vite.
46 § Innan
tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §,
skall den
personuppgiftsansvarige ha fått tillfälle att yttra
sig. Om saken är brådskande, får myndigheten
dock i avvaktan på yttrandet meddela ett tillfälligt
beslut om vite. Det tillfälliga beslutet skall
omprövas, när yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige.
Delgivning enligt 12 §
delgivningslagen (1970:428) får användas bara om det
finns skäl att anta att den
personuppgiftsansvarige har avvikit eller på annat sätt
håller sig undan.
47 § Tillsynsmyndigheten
får hos länsrätten i det län där myndigheten
är belägen ansöka om att
sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är
oskäligt.
Skadestånd
48 § Den personuppgiftsansvarige
skall ersätta den registrerade för skada och kränkning
av den
personliga integriteten som en behandling av personuppgifter
i strid med denna lag har orsakat.
Ersättningsskyldigheten kan i den utsträckning det
är skäligt jämkas, om den
personuppgiftsansvarige visar att felet inte berodde på
honom eller henne.
Straff
49 § Till
böter eller fängelse i högst sex månader
eller, om brottet är grovt, till fängelse i högst
två
år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade
som föreskrivs i denna lag, i anmälan
till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten
när myndigheten begär information
enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid
med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 §
första stycket eller enligt föreskrifter meddelade
med
stöd av 41 §.
Den som överträtt ett vitesföreläggande enligt
44 § eller 45 § första stycket döms inte
till ansvar
för en gärning som omfattas av vitesföreläggandet.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer
får i fråga om automatiserad
behandling av personuppgifter meddela närmare föreskrifter
om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige
vid behandling av personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig
skall innehålla,
e) vilken information som skall lämnas till registrerade
och hur informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet
när anmälda uppgifter har ändrats.
Överklagande
51 § Tillsynsmyndighetens
beslut enligt denna lag om annat än föreskrifter får
överklagas hos
allmän förvaltningsdomstol. Prövningstillstånd
krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall
gälla även om det överklagas.
