transp
transp
transp
transp
transp
transp
transp transp
Personuppgiftslagen och ny Dataskyddsförordning

SKYDDET FÖR DEN PERSONLIGA INTEGRITETEN

Sedan den 1 oktober 2001 gäller personuppgiftslagen (PuL, SFS 1998:204) i Sverige. Lagen bygger på ett EG-direktiv och liknande lagstiftning har införts i alla länder, som är anslutna till EU/EES. Lagstiftningen är till för att skydda den personliga integriteten och den ger den registrerade vissa rättigheter och den personuppgiftsansvarige har vissa skyldigheter. Vid brott mot lagstiftningen kan skadestånd utdömas till enskilda, som blivit felaktigt behandlade.

Den 25 maj 2018 träder den nya Dataskyddsförordningen eller "GDPR" i kraft inom hela EU och ställer ännu högre krav än PuL och det är därför av största vikt för alla som hanterar personuppgifter att känna till de nya reglerna. SRF har utarbetat riktlinjer och en mall för medlemmar som finns att hämta via länken här .

Observera att nedan information således avser vad som gäller enligt PuL fram till i slutet av maj 2018, därefter gäller de nya reglerna i Dataskyddsförordningen.

Vem eller vilka skyddas av lagen?
Lagen täcker hantering av ”personuppgifter” vilka definieras som all slags information, som direkt eller indirekt kan hänföras till en fysisk levande person. Den gäller även om information avkodas eller avpersonifieras, om det finns en ”nyckel” eller liknande med vilken informationen kan återskapas. Statistik som inte kan kopplas till en viss individ täcks inte av lagstiftningen.

Vad krävs för att få använda personuppgifter?
Personuppgiftslagen utgår från vissa principer och en princip är att alla personer har rätt att i viss mån förfoga över uppgifter om sig själva. För att ha rätt att hantera personuppgifter måste det finnas stöd i lagen. Detta innebär bl.a. att det för vissa åtgärder krävs ett samtycke från den enskilde för att åtgärden ska kunna vidtas. Det är den enskilde själv som måste ge sitt samtycke, om ett sådant krävs – en arbetsgivare kan t.ex. inte ge ett samtycke på den anställdes vägnar. I vissa fall krävs inte ett uttalat samtycke, utan personuppgifter kan då hanteras på andra grunder (ex.vis om behandlingen är nödvändig för att ett avtal med den registrerade skall kunna fullgöras). Överföring av information till länder utanför EU/EES området är särskilt reglerad, eftersom många länder saknar eller har sämre skydd för information om enskilda.

Informationsskyldighet
En annan viktig princip är att företag, som hanterar personuppgifter, har en informationsskyldighet mot de registrerade. Denna princip bygger på tanken att man måste känna till var man är registrerad för att ha en möjlighet att ta tillvara sina intressen. Av informationen bör framgå vad personuppgifterna används till och vart man kan vända sig för ytterligare frågor eller för att få ett s.k. registerutdrag eller för att begära rättelse av felaktiga eller missvisande uppgifter.

Andra skyldigheter
Lagen ställer krav på att den som hanterar personuppgifter gör det på ett tekniskt och organisatoriskt säkert sätt. Företag bör därför se över rutinerna för informationshantering och ex.vis begränsa användares tillgång till olika system samt kontrollera den tekniska säkerhetsnivån m.m. Om ett externt företag anlitas och detta företag kommer i kontakt med, bearbetar eller får tillgång till personuppgifter, skall ett avtal skrivas som täcker sekretess och/eller hanteringen av personuppgifterna. Personuppgifter skall också gallras när de inte längre behövs. Vidare ska en förteckning över de förekommande behandlingarna föras och i vissa fall måste behandlingar anmälas till Datainspektionen.

Vad ska man göra för att följa lagen
Ett gott råd är att se till att informationshantering inom företaget i så stor utsträckning som möjligt utgår från att det ska finnas ett samtycke från den registrerade för hanteringen. Samtycket ska föregås av information om hanteringen, vara frivilligt och uttryckligt. Vidare rekommenderas Datainspektionens hemsida, där lagstiftning, informationsmaterial m.m. finns tillgängliga. Företag som levererar individbaserad statistik, lagrar individrelaterad information i exempelvis resenärsprofiler eller på annat sätt har ett stort inslag av hantering av individrelaterad data bör kontakta en jurist specialiserad på detta område.

Texten senast reviderad 2017-06-16





transp
transp
transp
Postadress:
Box 55545
102 04 STOCKHOLM

Besöksadress:
Sturegatan 11
(hörnet av Karlavägen)
Telefon:
08-762 68 60

Telefax:
08-762 69 48

E-post:
info@srf-org.se

Organisationsnummer:
Svenska resebyrå- och arrangörsföreningen, 802015-0358
Svenska Resebyråföreningens Service AB, 556416-0728

Styrelsens säte:
Stockholm
transp
transp