Publicering på Internet

Vad får man lägga ut på webben?

I personuppgiftslagen (PuL) finns inga särskilda regler för publicering på Internet. Personuppgiftslagens generella regler för behandling av personuppgifter gäller även när man publicerar personuppgifter på webbplatser, bloggar och liknande.

Man får inte kränka andra människor

Om personuppgifter publiceras i en löpande text på Internet, till exempel i en blogg, är publiceringen i princip tillåten så länge man inte kränker den som personuppgifterna handlar om. Det framgår av den så kallade missbruksregeln, som tillkommit bland annat för att förenkla vardaglig behandling av personuppgifter.

Det är inte möjligt att generellt slå fast vad som är en kränkning av den personliga integriteten utan man måste göra en bedömning i varje enskilt fall och väga in samtliga omständigheter. Faktorer som påverkar bedömningen är bland annat syftet med publiceringen, vilka uppgifter som publiceras, var dessa publiceras, vilken information som har lämnats och hur länge uppgifterna publicerats på Internet. Även hur den vars uppgifter som publiceras själv upplever publiceringen kan vara av betydelse, men är inte avgörande för om det ska anses vara fråga om kränkning i personuppgiftslagens mening. Att publicera personuppgifter i syfte att skandalisera eller "hänga ut" någon är tydliga exempel på publicering som normalt är kränkande enligt personuppgiftslagen.

Det finns undantag för journalistiska ändamål

Ibland publiceras personuppgifter på Internet på ett sätt som är kränkande utan att publiceringen står i strid med personuppgiftslagens bestämmelser. Det beror bland annat på att det i personuppgiftslagen finns ett undantag för journalistiska ändamål. Detta undantag gäller inte bara etablerade medier som tidningar och radio utan även privatpersoner som vill informera, utöva kritik och väcka debatt i samhällsfrågor av betydelse för allmänheten. Att informera och debattera om personal som missköter sitt arbete och om situationen vid ett vårdboende kan vara tillåtet med stöd av detta undantag trots att det kan finnas information som kan uppfattas som kränkande för personalen.

Det innebär inte att man kan publicera vad som helst med stöd av undantaget. Uppgifter av rent privat karaktär omfattas normalt inte av undantaget även om uppgifterna publiceras i ett sammanhang som i övrigt har journalistiska ändamål. Om man till exempel går till personangrepp och kritiserar en tjänsteman utanför dennes tjänsteutövning kan det vara kränkande uppgifter av rent privat karaktär. En sådan publicering kan därför strida mot personuppgiftslagen. 2010 konstaterade Datainspektionen i ett tillsynsärende att det på en webbplats, som haft ett journalistiskt ändamål, publicerats kränkande personuppgifter av rent privat karaktär i strid med personuppgiftslagen:

Läs pressmeddelandet Gränser för vad som får publiceras på en blogg

Grundlagsskyddad publicering

Det finns även publiceringar av personuppgifter på Internet som inte omfattas av personuppgiftslagens regler eftersom behandlingen har stöd av bestämmelserna i grundlag, se särskilt bestämmelserna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Exempel på publiceringar som har grundlagsskydd är traditionell media såsom tidningar, radio och TV. Även privatpersoner, organisationer, företag etc. kan få ett frivilligt grundlagsskydd genom att hos Myndigheten för radio och TV ansöka om och beviljas ett så kallat utgivningsbevis. Läs mer om grundlagsskyddet och utgivningsbevis hos myndigheten för Radio och TV:s webbplats:

Att publicera på Internet

Om en publicering på en webbplats har ett grundlagsskydd är Datainspektionen förhindrad att ha synpunkter på de personuppgifter som publiceras där. Grundlagsskyddet innebär inte att man kan publicera vad som helst. Man får till exempel inte publicera personuppgifter i strid med vissa brott som anges i grundlagen som exempelvis bestämmelsen om förtal. Det som man publicerar i de traditionella medierna kan också strida mot de pressetiska reglerna. De reglerna bevakas av Allmänhetens pressombudsman:

Läs mer hos Allmänhetens pressombudsman

Publicering av personuppgifter i register, databaser eller annat liknande strukturerat material

När personuppgifter är ordnade i register, databaser eller på annat sätt så att man enkelt kan söka fram eller sammanställa dem, gäller inte missbruksregeln i personuppgiftslagen (se ovan). I stället måste man följa hela personuppgiftslagen, de så kallade hanteringsreglerna. Dessa omfattar bland annat att de grundläggande kraven, regler för när behandlingen är tillåten, när känsliga personuppgifter får behandlas samt hur man måste informera de registrerade.

Om man hämtar personuppgifter från ett strukturerat material, till exempel en förenings medlemsregister, för att publicera i löpande text på en webbplats ska hanteringsreglerna tillämpas på urvalsprocessen och missbruksregeln på publiceringen på webbplatsen. Det innebär att det kan krävas samtycke för att få sammanställa uppgifterna för webbpubliceringen.

Undantaget för journalistiska ändamål och bestämmelserna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen gäller även vid behandling av personuppgifter som omfattas av hanteringsreglerna.

Undantag för privat behandling av personuppgifter

Personuppgiftslagen gäller inte när privatpersoner behandlar personuppgifter rent privat. Det här gäller till exempel ordbehandling i hemmet och privat e-post.

En öppen publicering av personuppgifter på Internet, till exempel på en egen blogg, är dock aldrig en privat behandling eftersom uppgifterna blir tillgängliga för ett obestämt antal personer. Om det krävs inloggning med lösenord för att kunna ta del av informationen och man på det sättet begränsar spridningen av uppgifterna till ett mindre antal personer kan det däremot anses som privat behandling.

Gäller personuppgiftslagen för en utländsk webbplats?

Personuppgiftslagen gäller för den som är etablerad i Sverige. Svenska juridiska och fysiska personer och utländska filialer som utövar verksamhet i Sverige får utan vidare anses etablerade här. Ett svenskt företag som driver en webbplats och behandlar personuppgifter på denna måste därför följa bestämmelserna i personuppgiftslagen.

Observera att även om den ansvarige för en webbplats är etablerad i utlandet hindrar detta inte att en användare som är etablerad i Sverige kan hållas ansvarig enligt personuppgiftslagen för vad han eller hon publicerar i till exempel ett kommentarfält.

Personuppgiftslagen gäller också när den ansvarige är etablerad i tredje land (ett land utanför EES-området, det vill säga alla EU:s medlemsländer samt Norge, Island och Liechtenstein) och använder sig av utrustning som finns i Sverige. Med utrustning menar man fysiska saker som finns inom Sveriges gränser, till exempel frågeformulär och terminaler.

Några praktiska exempel

Bloggar och sociala medier

Publicering av till exempel namn och foton på personer på bloggar och sociala medier är i princip alltid tillåten så länge man inte kränker personen. Att "hänga ut" och skandalisera en privatperson är ett typexempel på vad som normalt sett är kränkande.

I vissa situationer kan kränkande uppgifter publiceras med stöd av undantaget för journalistiska ändamål. Det här gäller inte bara etablerade medier utan även privatpersoner som vill informera, utöva kritik och väcka debatt i samhällsfrågor av betydelse för allmänheten.

Tänk på att det kan finnas begränsningar i annan lagstiftning, till exempel reglerna om förtal, som innebär att en publicering av kränkande personuppgifter ändå kan var olaglig.

Arbetsplatsen

En arbetsgivare kan normalt publicera uppgifter om namn, befattning, telefonnummer, e-postadress och liknande utan samtycke från arbetstagaren. Beroende på om uppgifterna publiceras i löpande text eller i ett register, förteckning eller liknande är den rättsliga grunden för publiceringen olika. Vid publicering av personuppgifter i löpande text gäller missbruksregeln (se ovan) och publiceringen är tillåten så länge den inte kränker arbetstagaren. Vid publicering av personuppgifterna i register, förteckningar eller liknande gäller hanteringsreglerna i personuppgiftslagen (se ovan). Publiceringen är då normalt tillåten efter en intresseavvägning, det vill säga om arbetsgivaren har ett berättigat intresse av att publicera personuppgifterna och detta intresse väger över arbetstagarens intresse av skydd för hans eller hennes personliga integritet.

För att få publicera bilder på anställda på Internet krävs i normalfallet samtycke, men inte alltid. Det gäller oavsett om missbruksregeln eller hanteringsreglerna gäller. Om det inte finns ett behov för arbetsgivaren av att publicera en bild av en anställd kan publiceringen vara otillåten. Verksamheten kan dock vara sådan att arbetsgivaren har ett tungt vägande behov av att exempelvis kunna marknadsföra sina produkter och tjänster genom att publicera bilder på anställda som har kundorienterade arbetsuppgifter. I sådana fall kan arbetsgivarens intresse av att publicera bilderna väga tyngre än den anställdes intresse av skydd och därmed ge stöd för publiceringen.

Datainspektionen rekommenderar arbetsgivare att ta fram interna regler kring publicering av anställdas personuppgifter på Internet. Tänk på att det också kan finnas arbetsrättsliga regler att ta hänsyn till.

Föreningslivet

En förening kan, med stöd av missbruksregeln, publicera bilder och löpande texter från evenemang, tävlingar och liknande på föreningens webbplats så länge publiceringen inte är kränkande enligt personuppgiftslagen. En bild från en fotbollsmatch eller en artikel om ett klubbmästerskap i tennis är exempel på vad som normalt inte kan anses kränkande. En förening som "hänger ut" en medlem som stängts av på grund av olämpligt uppträdande är däremot ett exempel på en publicering som skulle kunna vara kränkande.

En förening får bara publicera sitt medlemsregister öppet på Internet om det är förenligt med de ursprungliga ändamålen för vilka uppgifterna i medlemsregistret samlades in. Dessutom krävs att de enskilda medlemmarna har samtyckt till publiceringen. Datainspektionens erfarenhet är att många medlemmar inte vill att adresser och telefonnummer ska publiceras öppet på Internet. Datainspektionen rekommenderar därför föreningar som vill publicera medlemmars personuppgifter på Internet att de får ett godkännande från medlemmarna och/eller deras vårdnadshavare. Det finns ingen särskild bestämmelse i personuppgiftslagen som anger från vilken ålder unga personer själva kan samtycka till en behandling men Datainspektionen brukar ha 15 år som tumregel.

Skolan

En skola kan, med stöd av missbruksregeln, publicera bilder och löpande texter med elevers personuppgifter så länge publiceringen inte är kränkande enligt personuppgiftslagen. Att publicera bilder från en skolutflykt är normalt sett inte kränkande. Skolan måste dock tänka på att det kan finnas elever med skyddade personuppgifter och för dem kan en publicering på Internet få allvarliga konsekvenser. Att publicera en bild på ett barn med skyddade personuppgifter får anses kränkande och därmed otillåtet.

Datainspektionen rekommenderar att skolan hämtar in ett samtycke från eleverna och/eller deras vårdnadshavare. Det finns ingen särskild bestämmelse i personuppgiftslagen om från vilken ålder unga personer själva kan samtycka till en viss behandling men Datainspektionen brukar ha 15 år som tumregel.

Om skolan vill publicera klasslistor, skolfotokataloger eller förteckningar över elever på en skola på ett sådant sätt att hanteringsreglerna gäller krävs däremot att eleverna och/eller vårdnadshavarna samtyckt till publiceringen.

Vad som gäller vid behandling av personuppgifter i elevadministrativa system, som många gånger är åtkomliga via Internet, kan du läsa mer om här:

Checklista för hantering av personuppgifter i skolor

Kommuner

Många kommuner och landsting väljer att publicera protokoll och diarier på sina webbplatser. Enligt offentlighetsprincipen finns det ingen egentlig skyldighet att publicera den här typen av information. Det innebär i sin tur att personuppgiftslagens regler måste följas. Normalt krävs att direkta personuppgifter, som namn och personnummer, känsliga personuppgifter och uppgifter om lagöverträdelser tas bort för att publiceringen ska vara tillåten. Du kan läsa mer om kommuners publicering på Internet här:

Webbpublicering av protokoll och diarier

Även om en kommun ansökt om och beviljats ett så kallat utgivningsbevis gäller personuppgiftslagens bestämmelser vid publicering av personuppgifter på kommunens webbplats.

Läs Frågor och svar om publicering på Internet

Personuppgiftslagen

Frågor och svar

På våra sidor med frågor & svar finns det flera exempel som kan ge dig vägledning.

Nyheter

Mer information

Säkra din sajt

Ungdomssajter

Hur utformar man bäst medlemsvillkoren på en ungdomssajt? Det kan man få svar på genom Datainspektionens vägledning för ungdomssajter.

Läs mer om vägledningen

Aktuella fall

Bland våra samrådsyttranden hittar du många exempel på frågeställningar kring publicering av personuppgifter på Internet.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.

Beställ som informationsblad

Publicering på InternetDu kan också beställa texten på den här sidan som ett tryckt informationsblad. Besök vår beställningstjänst.