Anmäla behandling av personuppgifter

Personuppgiftsansvariga som inte har utsett och anmält ett personuppgiftsombud är skyldiga att till Datainspektionen anmäla behandling av personuppgifter som är helt eller delvis automatiserad. Det finns dock ett antal undantag, se nedan. Observera att en anmälan inte innebär att Datainspektionen prövar om behandlingen är tillåten enligt personuppgiftslagen. Den personuppgiftsansvarige ansvarar alltid själv för att behandlingen av personuppgifter är laglig.

Undantag

Det finns ett antal undantag från anmälningsskyldigheten. I följande fall behöver en anmälan inte göras:

  • Den personuppgiftsansvarige har utsett och anmält ett personuppgiftsombud till Datainspektionen (37 § personuppgiftslagen).
  • Behandlingen utförs hos en myndighet på grund av skyldigheten att lämna ut allmän handling (3 § personuppgiftsförordningen och 2 kap. tryckfrihetsförordningen).
  • Behandlingen utförs av en arkivmyndighet enligt bestämmelser i arkivlagen eller arkivförordningen (3 § personuppgiftsförordningen).
  • Behandlingen regleras genom särskilda föreskrifter i en annan lag eller förordning (3 § personuppgiftsförordningen). Sådana föreskrifter finns till exempel i patientdatalagen (2008:355).
  • Behandlingen avser personuppgifter i löpande text, eller sådant ostrukturerat material som avses i 5 a § personuppgiftslagen, till exempel på webbplatser (4 § personuppgiftsförordningen).
  • Behandlingen utförs av en ideell organisation, till exempel av en förening, inom ramen för dess verksamhet (5 § personuppgiftsförordningen).
  • Behandlingen sker med den registrerades samtycke (4 § Datainspektionens författningssamling (DIFS) 2013:1).

Förteckning kan ersätta anmälan

I följande fall ersätts en anmälan av en förteckning som den personuppgiftsansvarige själv upprättar och för (5 § DIFS 2013:1):

  • Det finns anknytning mellan den registrerade och den personuppgiftsansvarige genom medlemskap, anställning, kundförhållande eller annat liknande förhållande. Behandlingen får inte omfatta känsliga personuppgifter (se 13 § personuppgiftslagen).
  • En arbetsgivare behöver behandla personuppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro för löneadministration eller för att avgöra om arbetsgivaren är skyldig att påbörja en rehabiliteringsutredning.
  • En arbetsgivare behöver behandla personuppgifter som avslöjar arbetstagarens medlemskap i en fackförening, om uppgifterna används för att arbetsgivaren skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten eller för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
  • Uppgifter som har samlats in från den registrerade behöver behandlas för att uppfylla bestämmelser i lag och förordning, till exempel uppgifter som en arbetsgivare ska rapportera till Skatteverket.
  • Hälso- och sjukvårdsändamål. När känsliga uppgifter behöver behandlas för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (jämför med 18 § personuppgiftslagen).
  • Personuppgifter i advokatverksamhet behöver behandlas för att utföra arbetsuppgifter och för att kontrollera att det inte föreligger någon jävssituation.
  • Personuppgifter behandlas i enlighet med en branschöverenskommelse som har bedömts av Datainspektionen (enligt 15 § personuppgiftsförordningen).

En förteckning ska innehålla de uppgifter som annars skulle ha anmälts. Innehållet i en anmälan framgår av 6 § DIFS 2013:1. Datainspektionen har tagit fram ett exempel på hur en förteckning kan utformas:

Exempel på förteckning enligt 39 § personuppgiftslagen (PDF-dokument, 87 kB)

Förhandskontroll
Innan vissa särskilt integritetskänsliga behandlingar av personuppgifter får påbörjas ska de anmälas till Datainspektionen för en förhandskontroll.

Personuppgiftslagen

Blankett för anmälan

Anmälningsblankett

På den här blanketten gör du din anmälan. Du kan också beställa den i tryckt version från vår beställningstjänst.

Fakta
Personuppgiftsombud
Om företaget, myndigheten eller organisationen istället väljer att utse ett personuppgiftsombud behöver inte behandlingar av personuppgifter anmälas till Datainspektionen. Personuppgiftsombudet ska se till att personuppgifter behandlas korrekt och föra en förteckning över de behandlingar som utförs.
Läs mer om personuppgiftsombud

Klagomål

Om du som privatperson vill klaga så hittar du information om detta under Så skriver du ett klagomål.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.

Beställ som faktablad

Du kan också beställa sidan som ett tryckt informationsblad. Besök vår beställningstjänst.

Exempel på förteckning

Personuppgiftsombud kan utgå från detta exempel på en förteckning över personuppgiftsbehandlingar.