Frågor och svar om PuL

Vad räknas som en personuppgift? Är det okej att publicera foton från skolutflykten på bloggen? Går det bra att publicera filmer från skolavslutningar? Ingela Alverfors, jurist på Datainspektionen, svarar här på frågor om Personuppgiftslagen, PuL.

Vad är PuL?

PuL är en lag vars syfte är att skydda människors personliga integritet när deras personuppgifter behandlas elektroniskt.

Vad är en personuppgift? 

En personuppgift är all slags information som kan kopplas till en enskild individ. Det innebär att till exempel namn, personnummer och adress är personuppgifter. Även information som beskriver en person eller berättar något om någon kan vara personuppgifter samt krypterade uppgifter och indirekta personuppgifter.

Indirekta personuppgifter kan till exempel vara en adress, bilens registreringsnummer eller ett diarienummer. Någon form av uppgifter som leder fram till en enskild, men som inte är direkt utpekande.

Vad är en känslig personuppgift?

I personuppgiftslagen finns ett antal uppgifter som alltid ska definieras som känsliga. Det är uppgifter om

  • Ras eller etniskt ursprung.
  • Politiska åsikter.
  • Religiös eller filosofisk övertygelse.
  • Medlemskap i fackförening.
  • Uppgifter som rör hälsa eller sexualliv.

Det är viktigt att känna till att det finns en annan kategori av uppgifter som också brukar betraktas som särskilt känsliga fast de inte anges i lagtexten. Dessa uppgifter brukar kallas integritetskänsliga.

Det är inte alltid helt klart vad som är integritetskänsligt. Normalt sett kan uppgifter som rör den enskildes privata sfär vara integritetskänsliga, exempelvis information om ekonomiska eller sociala förhållanden, uppgifter om att någon är misstänkt eller dömd för brott eller annan typ av information som en enskild normalt sett inte vill dela med sig av.

Gäller pul om man vill publicera publikt?

Ja, PuL gäller om man publicerar uppgifter på internet. Man kan skilja på om man vill publicera uppgifter i strukturerad eller ostrukturerad form. I PuL finns nämligen två olika regelsystem. Vid publicering av uppgifter i strukturerad form, till exempel uppgifter som är sökbara i ett register, måste alla regler i PuL följas.

Vid publicering av uppgifter i ostrukturerad form, i till exempel en blogg, är den publiceringen ofta ostrukturerad. Det innebär att man inte behöver följa alla regler i PuL, men göra en kränkningsbedömning för att avgöra om den vars personuppgifter publiceras kan antas bli kränkt av publiceringen.

Hur görs en kränkningsbedömning?

En kränkningsbedömning kan sägas vara en intresseavvägning, där intresset att publicera en personuppgift ställs mot den enskildes intresse att slippa få uppgifter publicerade om sig själv. Om den enskilde har samtyckt till publiceringen behövs ingen sådan bedömning.

Annars tittar man på vilken typ av uppgifter som publiceras, hur mycket uppgifter, om uppgifterna är ägnade att kränka eller skandalisera. Har man gjort en kränkningsbedömning och kommit fram till att den enskilde inte blir kränkt så får man publicera personuppgifterna.

Får jag ta ett foto på en skolaktivitet och publicera på bloggen?

Själva fotograferandet styrs inte av PuL. Men så fort du vill publicera bilden på internet så måste PuL följas om det är bilder på personer som är identifierbara. Då måste du göra en kränkningsbedömning.

Vi brukar rekommendera att skolor, exempelvis varje nytt läsår, inhämtar vårdnadshavarnas samtycke för publicering av elevbilder på nätet. Ett samtycke kan se ut på många olika sätt. Till exempel kan samtycke lämnas för publicering av bilder från skolverksamheten, men inte för publicering av namn. Det är upp till varje verksamhet att bestämma.

Vad gäller om jag vill samarbeta med andra skolor och vill att de ska titta på ett dokument via Drive?

Om det innebär att personuppgifter behandlas så PuL följas. Man kan också behöva fundera över offentlighet och sekretess och utlämnande av handlingar.

Hur kan jag avpersonifiera för att komma runt PuL?

För att det inte längre ska vara personuppgifter krävs att uppgifterna är helt avidentifierade. Det innebär att informationen inte under några förhållanden går att återskapa till personuppgifter som kan identifiera en enskild individ. Det räcker alltså inte att använda initialer eller pseudonymer i stället för namn.

När behöver inte PuL tillämpas?

När personuppgifter behandlas för helt privata ändamål, journalistiska ändamål eller när annan lag har företräde så gäller inte PuL.

Behöver jag tillstånd?

Nej, PuL utgår från att den som är personuppgiftsansvarig kontrollerar att den tänkta behandlingen är tillåten enligt gällande lag.

Hur länge gäller PuL? Måste bilder tas bort?

Så länge uppgifter behandlas gäller PuL. När uppgifter publiceras i strukturerat (sökbart) material finns ett krav på att uppgifterna inte ska behandlas när de inte längre är nödvändiga. Då ska de alltså tas bort. I ostrukturerat material finns ingen motsvarande regel.

Räknas en bild som ostrukturerad information?

Oftast, det beror på i vilket material den är publicerad. En bild i en blogg är oftast ostrukturerad, medan en bild i ett register, till exempel ett sökbart elevregister, är strukturerad.

Kan en elevuppsats falla under PuL?

Ja, om uppgifterna behandlas elektroniskt till exempel i en molntjänst. Det minsta antalet personuppgifter som finns i en elevuppsats är ju den inlämnade elevens namn och klass. Själva uppsatsen kan innehålla en mängd andra personuppgifter beroende på vad eleven skrivit om.

Vad gäller för filmer vid uppträdanden och avslutningar?

Det är oftast ostrukturerat material och därmed tillåtet att publicera om det inte är kränkande. Var alltid extra försiktig med publicering av elevers personuppgifter. Tänk på elever med skyddade personuppgifter och att elever/vårdnadshavare av någon anledning inte vill att barnens personuppgifter ska publiceras på nätet.

Vad är problemet med Google Drive?

I Datainspektionens granskningar har vi sett att de avtalsvillkor som erbjuds av molntjänstleverantören ger leverantören utrymme att behandla personuppgifterna som registrerar i tjänsten för egna ändamål. Detta är inte tillåtet enligt PuL.

Kan själva registreringen av ett konto vara ett problem eftersom kontouppgifterna innehåller personnummer?

Ja, registrering av kontoanvändare är i princip alltid en strukturerad behandling och där måste alla regler i PuL följas. I till exempel Google Apps behandlas personuppgifter i både strukturerad och ostrukturerad form. Strukturerad vid exempelvis kontoregistrering medan till exempel en uppsatsskrivning kan vara ostrukturerad.

Vem är ansvarig för elevers privata bloggar?

Eleven är själv ansvarig för sin egen privata blogg.

Kan personal blogga med sina elever?

Ja, så länge relgerna i i PuL följs och uppgifterna hanteras på det sätt som krävs.

Vad är ett personuppgiftsbiträdesavtal?

När uppgifter hanteras i en molntjänst kommer leverantören av molntjänsten att lagra och behandla personuppgifterna. Molntjänstleverantören blir då ett personuppgiftsbiträde. Mellan den personuppgiftsansvarige (till exempel den kommunala nämnden) och biträdet (molntjänstleverantören) ska det finnas ett personuppgiftsbiträdesavtal.

I avtalet ska det bland annat finnas villkor som reglerar att leverantören inte får behandla personuppgifter för egna ändamål och att leverantören skyddar personuppgifterna som behandlas så att till exempel ingen obehörig får åtkomst till dem.

Hur samarbetar vi i öppna dokument utan att bryta mot PuL?

Välj en molntjänst som behandlar personuppgifter som PuL kräver.

Senast uppdaterad 1 april 2014