Vad gäller när personuppgifter behandlas på webbplatser?
Fråga:
Vad gäller när personuppgifter behandlas på webbplatser?
Svar:
Att göra personuppgifter tillgängliga på Internet är en behandling som omfattas av personuppgiftslagen. I lagen finns dock inga särskilda regler som gäller just för Internet.
Sedan den 1 januari 2007 gäller en förenklad reglering för viss behandling av personuppgifter. De flesta bestämmelserna i personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel löpande text. Det kan vara fråga om texter som publicerats på webbsidor. En sådan publicering av personuppgifter är tillåten utan andra restriktioner än att behandlingen inte får kränka den registrerade.
För att den förenklade regleringen ska kunna tillämpas får materialet dock inte ingå i eller vara avsett att ingå i ett dokument- eller ärendehanteringssystem eller någon annan databas.
När man ska avgöra vad som är en kränkning och därför en otillåten behandling måste man göra en intresseavvägning där den registrerades intresse av en fredad, privat, sfär vägs mot andra motstående intressen i det enskilda fallet. Man måste ta hänsyn till alla omständigheter: vilka uppgifter som behandlas, i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller har riskerat att få samt vad behandlingen kan leda till. Eftersom Internet inte har några gränser kan personuppgifter på webbsidor nå användare i länder där skyddet för personuppgifter inte är lika starkt som i Sverige.
Om det är fråga om en strukturerad behandling av personuppgifter och man i stället för den förenklade regleringen har att tillämpa de övriga regelsystemet i personuppgiftslagen kan följande nämnas.
En behandling av personuppgifter på en webbplats på Internet måste då uppfylla de grundläggande kraven i 9 § personuppgiftslagen, vilket innebär att det måste finnas ett bestämt och berättigat ändamål med behandlingen.
Behandlingen måste också vara tillåten enligt 10 § personuppgiftslagen. Huvudregeln är att personuppgifter bara får behandlas med de registrerades samtycke, men behandlingen kan i vissa fall även få genomföras utan samtycke. Behandlingen kan till exempel vara tillåten efter en intresseavvägning. Vid en sådan prövning måste den personuppgiftsansvariges intresse av en publicering väga tyngre än den registrerades intresse av skydd mot den kränkning av den personliga integriteten som en publicering kan medföra. Bestämmelserna i personuppgiftslagen om överföring till tredje land kan också bli tillämpliga. Det finns också särskilda begränsningar för behandling av känsliga personuppgifter, uppgifter om lagöverträdelser och person- och samordningsnummer som man måste beakta.
Om personuppgifterna behandlas uteslutande för journalistiska ändamål gäller i huvudsak bara bestämmelserna om säkerhet i personuppgiftslagen. Inom ramen för ett journalistiskt ändamål ligger att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. Undantaget är inte avsett bara för etablerade massmedier och personer som är yrkesverksamma inom sådana medier utan även andra kan behandla personuppgifter för journalistiska ändamål. Uppgifter av rent privat karaktär omfattas normalt inte av undantaget, även om uppgifterna publiceras i ett sammanhang som i övrigt har journalistiska ändamål eller rör personer som det också lämnas andra uppgifter om som omfattas av det journalistiska ändamålet.
Personuppgiftslagen gäller inte för sådan behandling av personuppgifter på Internet som omfattas av bestämmelser i yttrandefrihetsgrundlagen. Som exempel kan nämnas personuppgifter som publiceras på Internet av tidningsredaktioner och personuppgifter som sprids på en webbplats med utgivningsbevis.
