Dina rättigheter enligt personuppgiftslagen

Här får du veta hur du ska göra för att ta reda på om dina personuppgifter används på ett otillåtet sätt och vilka rättigheter du har då din personliga integritet kränkts.

Vilka regler i personuppgiftslagen (PuL) som gäller beror på hur personuppgifterna är strukturerade. Om personuppgifterna finns i en databas eller annan typ av register där man enkelt kan söka och sammanställa personuppgifter anses uppgifterna vara strukturerade. Om personuppgifterna finns i löpande text, exempelvis på en webbsida anses uppgifterna vara ostrukturerade. För strukturerad personuppgiftsbehandling gäller betydligt fler regler än för ostrukturerad.

Fakta
Detta är personuppgifter
Med personuppgifter avses all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. En bild kan också vara en personuppgift om det går att se vem personen/personerna på bilden är.
Detta är en personuppgiftsansvarig
Personuppgiftsansvarig kallas den som bestämmer varför och hur personuppgifter ska behandlas. En personuppgiftsansvarig kan till exempel vara en kommun, myndighet, organisation eller ett företag.

Strukturerad personuppgiftsbehandling

Rätten till registerutdrag

För att du ska kunna ta reda på om personuppgifter som rör dig behandlas har du enligt personuppgiftslagen rätt att ansöka om ett registerutdrag hos den personuppgiftsansvarige.

Den personuppgiftsansvarige är skyldig att ge dig besked om han behandlar personuppgifter som rör dig eller inte. Om dina personuppgifter behandlas ska den personuppgiftsansvarige också lämna skriftlig information om vilka uppgifter om dig som behandlas, varifrån uppgifterna är hämtade, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information ska normalt lämnas inom en månad från det att du gjorde din ansökan.

Genom rätten till registerutdrag har du möjlighet att kontrollera om du är registrerad och, om så är fallet, att de registrerade uppgifterna är riktiga. En ansökan om registerutdrag ska du göra skriftligen till den personuppgiftsansvarige. Ansökan ska vara undertecknad, så du kan inte skicka den via e-post. Du har rätt att gratis en gång per år få ett registerutdrag.

Du kan läsa mer om rätten till registerutdrag i Datainspektionens faktabroschyr Personregistrering i Sverige som kan hämtas kostnadsfritt här på webbplatsen. I broschyren finns förslag på hur du kan skriva din ansökan om registerutdrag samt en förteckning över de största och vanligaste registren i Sverige.

Läs broschyren Personregistrering i Sverige

Möjligheten att själv begära rättelse

Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med reglerna i personuppgiftslagen eller föreskrifter som har meddelats med stöd av personuppgiftslagen.

Om du av någon anledning anser att den personuppgiftsansvarige behandlar dina personuppgifter i strid med personuppgiftslagen, kan du alltså vända dig till den personuppgiftsansvarige och begära att få personuppgifterna korrigerade. En sådan begäran kan du framställa muntligen eller skriftligen. Den personuppgiftsansvarige bör därefter genast utreda om dina anmärkningar är befogade och, om så skulle vara fallet, snarast korrigera felen.

Direkt marknadsföring

Du har alltid rätt att begära att dina personuppgifter inte används för ändamål som rör direkt marknadsföring. Det gör du genom att lämna en skriftlig anmälan hos den personuppgiftsansvarige, exempelvis via e-post. För mer information om hur du slipper oönskad reklam läs Datainspektionens broschyr Personregistrering i Sverige:

Läs mer i Personregistrering i Sverige

Ostrukturerad personuppgiftsbehandling

Så kallad ostrukturerad personuppgiftsbehandling, som exempelvis publicering av personuppgifter i löpande text på en webbsida, är i princip alltid tillåten så länge man inte kränker den som uppgifterna avser. För att avgöra om en behandling av personuppgifter är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får således göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen.

Det är tyvärr inte ovanligt att enskildas integritet kränks genom publicering av nedsättande texter eller bilder på Internet. Domstolarna har i flera fall ansett att integritetskränkningen blivit extra stor just på grund av att uppgifter på Internet får så stor spridning.

Även om en publicering av personuppgifter på Internet i många fall inte strider mot personuppgiftslagen kan den ändå utgöra en brottslig gärning, till exempel olaga hot, förtal, förolämpning, hets mot folkgrupp, hot mot tjänsteman eller brott mot tystnadsplikt.

Om uppgifterna inte rättas

Om du inte lyckats förmå den personuppgiftsansvarige att rätta, blockera eller utplåna personuppgifter som behandlas i strid med personuppgiftslagen eller upphöra att behandla dina personuppgifter för ändamål som rör direkt marknadsföring har du möjlighet att vända dig till Datainspektionen. Datainspektionen kan då bestämma om en granskning ska utföras med anledning av ditt klagomål.

Även om Datainspektionen inte väljer att inleda ett tillsynsärende så kan det vara av intresse för Datainspektionen att få kännedom om påstådda brister i personuppgiftshanteringen hos ett visst företag eller organisation. Detta för att planera eventuella inspektioner i framtiden.

Om Datainspektionen konstaterar att personuppgifter behandlas på ett olagligt sätt, ska Datainspektionen i första hand påpeka detta för den ansvarige och på så sätt få denne att vidta de åtgärder som behövs för att hanteringen ska följa reglerna i personuppgiftslagen. I de allra flesta fall följer den personuppgiftsansvarige Datainspektionens påpekanden.

Om den ansvarige inte vidtar nödvändiga åtgärder får Datainspektionen vid vite förbjuda den personuppgiftsansvarige att fortsätta behandla personuppgifter på annat sätt än genom att lagra dem.

Skadestånd

Om personuppgifter har behandlats i strid med personuppgiftslagen och detta har lett till skada eller kränkning av den personliga integriteten ska den personuppgiftsansvarige ersätta den registrerade. Den registrerade har inte bara rätt till ersättning för sakskada, personskada och ren förmögenhetsskada, utan kan även få kompensation för själva kränkningen.

För att få ersättning måste du kunna bevisa att den personuppgiftsansvarige har behandlat dina personuppgifter på ett olagligt sätt och att behandlingen har skadat eller kränkt dig. Om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne kan ersättningsskyldigheten falla bort eller sättas ned. Om du anser att du är berättigad till skadestånd kan du vända dig till den personuppgiftsansvarige.

Du kan också vända dig till allmän domstol som då kan pröva om du är berättigad till skadestånd av den personuppgiftsansvarige. Om ditt skadeståndsanspråk riktar sig mot en personuppgiftsansvarig som är en statlig myndighet kan du vända dig till Justitiekanslern. Justitiekanslern har möjlighet att på frivillig väg reglera vissa skadeståndsanspråk som riktas mot staten.

Polisanmälan vid brott mot personuppgiftslagen

I personuppgiftslagen finns bestämmelser om straff för den som bryter mot vissa av lagens bestämmelser. För att brottet ska vara straffbart krävs uppsåt eller grov oaktsamhet. Det är straffbart att:

  • Lämna osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen.
  • Behandla känsliga personuppgifter eller uppgifter om lagöverträdelser i strid med personuppgiftslagens bestämmelser.
  • Föra över personuppgifter till tredje land (utanför EU och EES) i strid med personuppgiftslagens bestämmelser.
  • Låta bli att göra en anmälan om behandling till Datainspektionen när sådan krävs.

I vissa fall är den som hanterar personuppgifter skyldig att informera de personer vars uppgifter registreras samt att lämna ett registerutdrag om en registrerad person begär det. Att i sådan information lämna osanna uppgifter är straffbart.

Den som gör sig skyldig till brott enligt personuppgiftslagen kan dömas till böter eller fängelse i högst två år. En anmälan om brott gör du hos polisen. Om Datainspektionen i sin verksamhet uppmärksammar brott mot personuppgiftslagen kan även Datainspektionen göra en polisanmälan. Det är därefter åklagaren som beslutar om åtal ska väckas.

Hanteringen av personuppgifter kan vara straffbar enligt andra lagar än personuppgiftslagen, till exempel då personuppgifter förekommer i samband med olaga hot, förtal eller ofredande.

Personuppgiftslagen

Externa länkar

.SE

.SE (Stiftelsen för Internetinfrastruktur) ansvarar för Internets svenska toppdomän, .se. Här kan du söka bland svenska domäner.

Justitiekanslern

Justitiekanslern vakar över yttrandefriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Läs mer om tryckfrihet hos Pressombudsmannen

Myndigheten för radio och tv

Utgivningsbevis ger en webbplats ett grundlagsskydd. Du kan läsa mer om detta hos hos Myndigheten för radio och tv.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.

Beställ som informationsblad

Dina rättigheter enligt personuppgiftslagenDu kan också beställa ett tryckt informationsblad. Besök vår beställningstjänst.