Man får inte kränka andra människor
Om personuppgifter publiceras i en löpande text på internet, till exempel i en blogg, är publiceringen i princip tillåten så länge man inte kränker den som personuppgifterna handlar om. Det framgår av den så kallade missbruksregeln, som tillkommit bland annat för att förenkla vardaglig behandling av personuppgifter.
I den kommande Dataskyddsförordningen (GDPR) kommer den så kallade missbruksregeln inte längre finnas kvar. När den regeln försvinner innebär det att samma regler som gäller för strukturerade personuppgifter också ska användas för ostrukturerade, till exempel det som skrivs om personer i e-post och på webbplatser.
Några bra tips innan du läser vidare
Ny svensk utmanare till Avanza & Nordnet. Erbjuder ISK & 0 kr i courtage på all aktiehandel fram till 2025*
Courtage är avgiften för aktiehandel.
Levler är en ny svensk utmanare till Avanza & Nordnet som just nu erbjuder courtagefri aktiehandel på svenska börsen.
Erbjudandet om courtagefri aktiehandel gäller fram till den 31 mars 2025. Denna kampanj gäller för handel på samtliga listor på Nasdaq Stockholm, med undantag för First North.
Öppna konto snabbt & enkelt med BankID.
Courtagefri aktiehandel utan begränsning på kontoinnehav.
25% rabatt på fondavgiften jämfört med t.ex. Avanza.
ISK och Aktiefondkontot hos Levler omfattas av insättningsgarantin.
Det är inte möjligt att generellt slå fast vad som är en kränkning av den personliga integriteten utan man måste göra en bedömning i varje enskilt fall och väga in samtliga omständigheter. Faktorer som påverkar bedömningen är bland annat syftet med publiceringen, vilka uppgifter som publiceras, var dessa publiceras, vilken information som har lämnats och hur länge uppgifterna publicerats på internet. Även hur den vars uppgifter som publiceras själv upplever publiceringen kan vara av betydelse, men är inte avgörande för om det ska anses vara fråga om kränkning i personuppgiftslagens mening. Att publicera personuppgifter i syfte att skandalisera eller ”hänga ut” någon är tydliga exempel på publicering som normalt är kränkande enligt personuppgiftslagen.
Det finns undantag för journalistiska ändamål
Ibland publiceras personuppgifter på internet på ett sätt som är kränkande utan att publiceringen står i strid med personuppgiftslagens bestämmelser. Det beror bland annat på att det i personuppgiftslagen finns ett undantag för journalistiska ändamål. Detta undantag gäller inte bara etablerade medier som tidningar och radio utan även privatpersoner som vill informera, utöva kritik och väcka debatt i samhällsfrågor av betydelse för allmänheten. Att informera och debattera om personal som missköter sitt arbete och om situationen vid ett vårdboende kan vara tillåtet med stöd av detta undantag trots att det kan finnas information som kan uppfattas som kränkande för personalen.
Det innebär inte att man kan publicera vad som helst med stöd av undantaget. Uppgifter av rent privat karaktär omfattas normalt inte av undantaget även om uppgifterna publiceras i ett sammanhang som i övrigt har journalistiska ändamål. Om man till exempel går till personangrepp och kritiserar en tjänsteman utanför dennes tjänsteutövning kan det vara kränkande uppgifter av rent privat karaktär. En sådan publicering kan därför strida mot personuppgiftslagen. 2010 konstaterade Datainspektionen i ett tillsynsärende att det på en webbplats, som haft ett journalistiskt ändamål, publicerats kränkande personuppgifter av rent privat karaktär i strid med personuppgiftslagen.
Grundlagsskyddad publicering
Det finns även publiceringar av personuppgifter på internet som inte omfattas av personuppgiftslagens regler eftersom behandlingen har stöd av bestämmelserna i grundlag, se särskilt bestämmelserna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Exempel på publiceringar som har grundlagsskydd är traditionell media såsom tidningar, radio och TV. Även privatpersoner, organisationer, företag etc. kan få ett frivilligt grundlagsskydd genom att hos Myndigheten för press, radio och TV ansöka om och beviljas ett så kallat utgivningsbevis.
Om en publicering på en webbplats har ett grundlagsskydd är Datainspektionen förhindrad att ha synpunkter på de personuppgifter som publiceras där. Grundlagsskyddet innebär inte att man kan publicera vad som helst. Man får till exempel inte publicera personuppgifter i strid med vissa brott som anges i grundlagen som exempelvis bestämmelsen om förtal. Det som man publicerar i de traditionella medierna kan också strida mot de pressetiska reglerna. De reglerna bevakas av Allmänhetens pressombudsman.
Publicering av personuppgifter i register, databaser eller annat liknande strukturerat material
När personuppgifter är ordnade i register, databaser eller på annat sätt så att man enkelt kan söka fram eller sammanställa dem, gäller inte missbruksregeln i personuppgiftslagen (se ovan). I stället måste man följa hela personuppgiftslagen, de så kallade hanteringsreglerna. Dessa omfattar bland annat att de grundläggande kraven, regler för när behandlingen är tillåten, när känsliga personuppgifter får behandlas samt hur man måste informera de registrerade.
Om man hämtar personuppgifter från ett strukturerat material, till exempel en förenings medlemsregister, för att publicera i löpande text på en webbplats ska hanteringsreglerna tillämpas på urvalsprocessen och missbruksregeln på publiceringen på webbplatsen. Det innebär att det kan krävas samtycke för att få sammanställa uppgifterna för webbpubliceringen.
Undantaget för journalistiska ändamål och bestämmelserna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen gäller även vid behandling av personuppgifter som omfattas av hanteringsreglerna.
Undantag för privat behandling av personuppgifter
Personuppgiftslagen gäller inte när privatpersoner behandlar personuppgifter rent privat. Det här gäller till exempel ordbehandling i hemmet och privat e-post.
En öppen publicering av personuppgifter på internet, till exempel på en egen blogg, är dock aldrig en privat behandling eftersom uppgifterna blir tillgängliga för ett obestämt antal personer. Om det krävs inloggning med lösenord för att kunna ta del av informationen och man på det sättet begränsar spridningen av uppgifterna till ett mindre antal personer kan det däremot anses som privat behandling.
Gäller personuppgiftslagen för en utländsk webbplats?
Personuppgiftslagen gäller för den som är etablerad i Sverige. Svenska juridiska och fysiska personer och utländska filialer som utövar verksamhet i Sverige får utan vidare anses etablerade här. Ett svenskt företag som driver en webbplats och behandlar personuppgifter på denna måste därför följa bestämmelserna i personuppgiftslagen.
Observera att även om den ansvarige för en webbplats är etablerad i utlandet hindrar detta inte att en användare som är etablerad i Sverige kan hållas ansvarig enligt personuppgiftslagen för vad han eller hon publicerar i till exempel ett kommentarfält.
Personuppgiftslagen gäller också när den ansvarige är etablerad i tredje land (ett land utanför EES-området, det vill säga alla EU:s medlemsländer samt Norge, Island och Liechtenstein) och använder sig av utrustning som finns i Sverige. Med utrustning menar man fysiska saker som finns inom Sveriges gränser, till exempel frågeformulär och terminaler.
Några praktiska exempel
Bloggar och sociala medier
Publicering av till exempel namn och foton på personer på bloggar och sociala medier är i princip alltid tillåten så länge man inte kränker personen. Att ”hänga ut” och skandalisera en privatperson är ett typexempel på vad som normalt sett är kränkande.
I vissa situationer kan kränkande uppgifter publiceras med stöd av undantaget för journalistiska ändamål. Det här gäller inte bara etablerade medier utan även privatpersoner som vill informera, utöva kritik och väcka debatt i samhällsfrågor av betydelse för allmänheten.
Tänk på att det kan finnas begränsningar i annan lagstiftning, till exempel reglerna om förtal, som innebär att en publicering av kränkande personuppgifter ändå kan var olaglig.
Arbetsplatsen
En arbetsgivare kan normalt publicera uppgifter om namn, befattning, telefonnummer, e-postadress och liknande utan samtycke från arbetstagaren. Beroende på om uppgifterna publiceras i löpande text eller i ett register, förteckning eller liknande är den rättsliga grunden för publiceringen olika. Vid publicering av personuppgifter i löpande text gäller missbruksregeln (se ovan) och publiceringen är tillåten så länge den inte kränker arbetstagaren. Vid publicering av personuppgifterna i register, förteckningar eller liknande gäller hanteringsreglerna i personuppgiftslagen (se ovan). Publiceringen är då normalt tillåten efter en intresseavvägning, det vill säga om arbetsgivaren har ett berättigat intresse av att publicera personuppgifterna och detta intresse väger över arbetstagarens intresse av skydd för hans eller hennes personliga integritet.
För att få publicera bilder på anställda på internet krävs i normalfallet samtycke, men inte alltid. Det gäller oavsett om missbruksregeln eller hanteringsreglerna gäller. Om det inte finns ett behov för arbetsgivaren av att publicera en bild av en anställd kan publiceringen vara otillåten. Verksamheten kan dock vara sådan att arbetsgivaren har ett tungt vägande behov av att exempelvis kunna marknadsföra sina produkter och tjänster genom att publicera bilder på anställda som har kundorienterade arbetsuppgifter. I sådana fall kan arbetsgivarens intresse av att publicera bilderna väga tyngre än den anställdes intresse av skydd och därmed ge stöd för publiceringen.
Datainspektionen rekommenderar arbetsgivare att ta fram interna regler kring publicering av anställdas personuppgifter på internet. Tänk på att det också kan finnas arbetsrättsliga regler att ta hänsyn till.
Föreningslivet
En förening kan, med stöd av missbruksregeln, publicera bilder och löpande texter från evenemang, tävlingar och liknande på föreningens webbplats så länge publiceringen inte är kränkande enligt personuppgiftslagen. En bild från en fotbollsmatch eller en artikel om ett klubbmästerskap i tennis är exempel på vad som normalt inte kan anses kränkande. En förening som ”hänger ut” en medlem som stängts av på grund av olämpligt uppträdande är däremot ett exempel på en publicering som skulle kunna vara kränkande.
En förening får bara publicera sitt medlemsregister öppet på internet om det är förenligt med de ursprungliga ändamålen för vilka uppgifterna i medlemsregistret samlades in. Dessutom krävs att de enskilda medlemmarna har samtyckt till publiceringen. Datainspektionens erfarenhet är att många medlemmar inte vill att adresser och telefonnummer ska publiceras öppet på internet. Datainspektionen rekommenderar därför föreningar som vill publicera medlemmars personuppgifter på Internet att de får ett godkännande från medlemmarna och/eller deras vårdnadshavare. Det finns ingen särskild bestämmelse i personuppgiftslagen som anger från vilken ålder unga personer själva kan samtycka till en behandling men Datainspektionen brukar ha 15 år som tumregel.
Skolan
En skola kan, med stöd av missbruksregeln, publicera bilder och löpande texter med elevers personuppgifter så länge publiceringen inte är kränkande enligt personuppgiftslagen. Att publicera bilder från en skolutflykt är normalt sett inte kränkande. Skolan måste dock tänka på att det kan finnas elever med skyddade personuppgifter och för dem kan en publicering på internet få allvarliga konsekvenser. Att publicera en bild på ett barn med skyddade personuppgifter får anses kränkande och därmed otillåtet.
Datainspektionen rekommenderar att skolan hämtar in ett samtycke från eleverna och/eller deras vårdnadshavare. Det finns ingen särskild bestämmelse i personuppgiftslagen om från vilken ålder unga personer själva kan samtycka till en viss behandling men Datainspektionen brukar ha 15 år som tumregel.
Om skolan vill publicera klasslistor, skolfotokataloger eller förteckningar över elever på en skola på ett sådant sätt att hanteringsreglerna gäller krävs däremot att eleverna och/eller vårdnadshavarna samtyckt till publiceringen.
Källa: