Information till registrerade

Att informera de personer vars uppgifter ni registrerar

När personuppgifter samlas in och behandlas måste de personer som registreras bli informerade om detta. Dessutom måste det finnas möjlighet för de registrerade att ta del av de uppgifter som registrerats om dem. Här beskriver vi vilken information som ni enligt personuppgiftslagen (PuL) måste lämna till de personer vars uppgifter ni registrerar.

Strukturerad eller ostrukturerad behandling av personuppgifter

I personuppgiftslagen gäller olika regler beroende på om de personuppgifter som ni registrerar är strukturerade eller inte. Om personuppgifterna återfinns i löpande text på till exempel en webbsida eller i ett mejl anses uppgifterna vara ostrukturerade. Om personuppgifterna lagras i exempelvis register, databaser eller ärende- och dokumenthanteringssystem som gör det påtagligt enklare att söka eller sammanställa personuppgifter anses uppgifterna vara strukturerade.

Informationen på den här sidan beskriver det som gäller för strukturerad personuppgiftsbehandling. För ostrukturerad behandling finns inte samma informationsplikt men ibland kan det även då vara viktigt att informera för att inte kränka den enskildes personliga integritet. Ett sådant exempel är vid inspelning av samtal.

I den kommande dataskyddsförordningen kommer den så kallade missbruksregeln inte längre finnas kvar. När den regeln försvinner innebär det att samma regler som gäller för strukturerade personuppgifter också ska användas för ostrukturerade, till exempel det som skrivs om personer i e-post och på webbplatser. Läs mer

Vem ska lämna informationen?

Personuppgifter får normalt sett inte registreras i databaser eller liknande register utan att de berörda känner till vad uppgifterna ska användas till och vilket företag eller annan organisation som är ytterst ansvarigt. Det är den personuppgiftsansvarige som ska se till att den registrerade får den information som krävs. Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till.

Vilken information ska lämnas när ni samlar in personuppgifter?

Informationen som ska lämnas ska vara tydlig och begriplig och omfatta:

  • uppgifter om den som är personuppgiftsansvarig, till exempel namn, adress, telefonnummer och i förekommande fall organisationsnummer och e-postadress
  • ändamålen med behandlingen, det vill säga varför personuppgifterna registreras och hur de ska användas
  • övrig information som den registrerade behöver känna till, som exempelvis:
    vilka typer av uppgifter som ska behandlas
    till vilka företag eller andra organisationer (eller typer av dessa) som uppgifterna kan komma att lämnas ut
    om det är frivilligt för den registrerade att lämna uppgifter
    att den registrerade har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om honom eller henne
    att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta uppgifter som är felaktiga, ofullständiga eller missvisande

Hur ska informationen lämnas?

När uppgifter samlas in från personen själv ska den personuppgiftsansvarige lämna informationen samtidigt som uppgifterna samlas in. Informationen lämnas enklast på samma sätt som insamlandet sker:

  • När personuppgifter samlas in via telefon eller annan muntlig kontakt bör informationen lämnas muntligen.
  • När personuppgifter samlas in skriftligen bör all information lämnas i det frågeformulär eller den blankett som den registrerade fyller i, till exempel i en särskild ruta.
  • När personuppgifter samlas in via ett formulär på webben bör informationen lämnas på en webbsida. Informationen kan antingen lämnas direkt på sidan som innehåller formuläret eller via en länk på formuläret som leder till en annan sida. En sådan sida kan även innehålla annan information som enligt lag ska lämnas som information enligt distans- och hemförsäljningslagen.

Uppgifter som samlas in från en annan källa

När personuppgifter samlas in från någon annan källa än den registrerade själv, till exempel från ett offentligt eller kommersiellt register, ska den personuppgiftsansvarige självmant informera den registrerade när uppgifterna registreras och matas in i en dator. Är uppgifterna avsedda att lämnas ut till utomstående behöver informationen inte lämnas vid registreringen utan först när man för första gången lämnar ut uppgifterna. Informationen bör normalt lämnas genom att ett meddelande sänds med posten till den registrerade.

Vem ska informeras?

Informationen ska lämnas till den registrerade. Under förutsättning att den registrerade själv kan förstå informationen gäller detta även om den registrerade har god man eller förvaltare eller är underårig (en tumregel när det gäller underåriga är att information normalt bör kunna lämnas till den som fyllt 15 år). Annars bör informationen lämnas till den gode mannen eller förvaltaren eller till den underåriges vårdnadshavare. Det kan ibland finnas skäl att lämna informationen både till den underårige och till vårdnadshavaren.

Om ni vill använda personuppgifterna för något annat ändamål

Om ni vid ett senare tillfälle avser att använda de insamlade personuppgifterna för ett annat ändamål än det ursprungliga måste den registrerade informeras om det. Naturligtvis måste en behandling av personuppgifter för nya ändamål följa övriga bestämmelser i personuppgiftslagen.

Undantag från skyldigheten att informera

Det finns undantag från regeln att den personuppgiftsansvarige självmant ska lämna information, bland annat kan regler om sekretess och tystnadsplikt begränsa skyldigheten att informera.

Andra exempel:

  • Under vissa förutsättningar får den registrerade anses känna till behandlingen även om den personuppgiftsansvarige inte har lämnat någon information. Det kan exempelvis gälla förväntad användning av personuppgifter som den registrerade har lämnat på eget initiativ, till exempel i en bygglovsansökan till kommunen.
  • Vid exempelvis direktmarknadsföring kan det innebära en oproportionerligt stor arbetsinsats att informera alla personer när uppgifterna registreras. I stället kan information lämnas i själva reklamutskicket.

Information som ska lämnas efter ansökan från den registrerade

De personer vars uppgifter ni registrerar har rätt att kostnadsfritt få ta del av dessa uppgifter en gång per år genom att göra en ansökan. En ansökan om registerutdrag ska göras skriftligen på papper och vara undertecknad av den sökande själv. Om ni inte behandlar personuppgifter som rör den sökande kan detta meddelas muntligen eller på annat sätt. Annars ska nedanstående uppgifter lämnas skriftligen antingen på papper eller i elektronisk form:

  • Ett utdrag med alla de personuppgifter som rör personen som sökt registerutdrag
  • Var uppgifterna har hämtats
  • Vad uppgifterna används till
  • Till vilka mottagare eller kategorier av mottagare som uppgifterna har lämnats ut

Informationen som lämnas ska vara begriplig för den registrerade. Det innebär att koder och liknande antingen ska förklaras eller skrivas i klartext. Däremot behöver man inte förklara exempelvis medicinska eller tekniska termer.

Det är viktigt att informationen sänds till rätt person. Om sökanden uppger en annan adress än den som finns registrerad hos den personuppgiftsansvarige bör det utredas närmare och eventuellt kontrolleras mot folkbokföringen. Mycket känslig information bör skickas med rekommenderat brev. Ska information lämnas elektroniskt rekommenderas säker identifiering av mottagaren med hjälp av exempelvis e-legitimation. Information ska lämnas till den registrerade inom en månad från det att ansökan gjordes. Om informationen ska få lämnas senare än så måste det finnas särskilda skäl.

Regler om sekretess och tystnadsplikt går före reglerna om skyldigheten att lämna registerutdrag.

Personuppgiftslagen

Informationen på denna sida riktar sig i första hand till personuppgiftsansvariga, det vill säga den som behandlar personuppgifter.

Mer information

Aktuella fall

Bland våra samrådsyttranden hittar du många exempel på frågeställningar kring information till registrerade.

Information till registrerade

I Datainspektionens allmänna råd Information till registrerade finns mer att läsa om vilka krav personuppgiftslagen ställer på den personuppgiftsansvarige när det gäller att informera den registrerade.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.