Information till registrerade i diariet/ärendehanteringssystemet

Kommuner och landsting

Fråga:

Är det meningen att alla vars personuppgifter förekommer i diariet/ärendehanteringssystemet ska informeras om att de förekommer där? De kan ju själva ha skickat in en skrivelse eller vara omnämnda någon annanstans.

Svar:

Informationsskyldigheten förutsätter att personuppgifterna "samlas in". Med detta begrepp avses samtliga tillvägagångssätt genom vilka den personuppgiftsansvarige kan få tillgång till personuppgifter. Det torde alltså inte vara möjligt att hävda att personuppgifter som den registrerade själv har skickat in till den personuppgiftsansvarige inte har samlats in av denne.

När uppgifterna samlas in direkt från den registrerade ska den personuppgiftsansvarige lämna information i anslutning till insamlingen. Domstolsdatautredningen har beträffande fallet när den registrerade själv sänt in uppgifterna ansett att en rimlig utgångspunkt är att myndigheten första gången den tar kontakt med den enskilde lämnar information om att uppgifter om denne som lämnas i ärendet kan komma att registreras och fortsättningsvis behandlas automatiserat vid handläggningen (SOU 2001:32 s. 125 f.).

När uppgifterna samlas in från någon annan källa än den registrerade gäller som huvudregel att information ska lämnas när uppgifterna registreras. Enligt Datainspektionens allmänna råd bör information lämnas snarast och senast fyra veckor efter det att uppgifterna har registrerats, om inte uppgifterna dessförinnan behandlas på annat sätt än genom att lagras. Det finns dock två undantag från informationsskyldigheten när uppgifterna samlats in från en annan källa än den registrerade:

Om det finns bestämmelser om registreringen av uppgifterna i en annan lag eller författning behöver information inte lämnas enligt personuppgiftslagens bestämmelser. För att detta undantag från huvudregeln ska gälla måste registreringen vara uttryckligen föreskrivet. Enligt Datainspektionens uppfattning omfattas myndigheternas skyldighet enligt sekretesslagen att registrera uppgifter i ett diarium av undantaget.

Om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats att informera om behandlingen av personuppgifterna när de registreras behöver information inte heller lämnas, så länge uppgifterna inte används för att vidta åtgärder som rör den registrerade. Den arbetsinsats som krävs får sättas i relation till arten av de personuppgifter som ska behandlas (till exempel hur pass känsliga de är), behandlingens ändamål, de särskilda integritetsrisker som kan vara förknippade med behandlingen och det intresse de registrerade kan antas ha av att bli informerade. Bedömningen behöver normalt inte göras beträffande varje registrerad för sig utan för hela den behandling av personuppgifter som ska utföras.

Regeringen har i lagstiftningsärendet rörande lagen om behandling av personuppgifter inom socialtjänsten berört frågan om vilken utsträckning det skulle innebära en oproportionerligt stor arbetsinsats att informera en registrerad biperson ("tredje man") som inte är direkt berörd av socialtjänstens åtgärder (prop. 2000/01:80 s. 152):

Beträffande den som i informationshänseende kan betraktas som "tredje man" bör man kunna hävda att så länge det är fråga om ett fåtal harmlösa personuppgifter bör en avvägning göras om den registrerades intresse av att bli informerad står i någon rimlig proportion till den arbetsinsats som krävs för att kunna lämna information. Den personuppgiftsansvarige måste i varje enskilt fall göra en bedömning av hur stort intresset är av att informera. Det kan ju inte uteslutas att de uppgifter som antecknats om "tredje man" är så pass integritetskänsliga eller så pass omfattande att det framstår som högst motiverat att vederbörande informeras om att dessa uppgifter samlats in.

Eftersom "tredje man" kanske inte känner till att personuppgifter om honom eller henne behandlas och därför inte på samma sätt kan bevaka sin rätt bör det inte var lämpligt att helt undanta "tredje man" från kravet på information i 24 § personuppgiftslagen. Under förutsättning att personuppgiftslagens bestämmelser om information tillämpas på ett rimligt och förnuftigt sätt behöver de inte försvåra eller hindra socialtjänsten från att arbeta på ett rationellt sätt.

En sådan tolkning av undantagsbestämmelsen i 24 § tredje stycket personuppgiftslagen kan enligt regeringens mening vara godtagbar från integritetssynpunkt. Det bör alltså inte - annat än om någon sekretessbestämmelse kan åberopas - bli fråga om att dölja för den enskilde att vissa uppgifter som gäller denne eller dennes förhållanden har samlats in. En avvägning får dock göras från fall till fall. Förhållandet innebär att - vid tvist om undantaget är tillämpligt - bevisbördan torde ligga på den personuppgiftsansvarige, en viss spärr mot en alltför generös tilllämpning av undantagsbestämmelsen. Den som avstår från att lämna information löper således en viss risk att bli skadeståndsskyldig gentemot den registrerade.

(Augusti 2009)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.