Personuppgiftslagen är en svensk lag som trädde i kraft 1998 med ett syfte om att skydda människors integritet och deras personuppgifter.
Lagen innehåller regler om hur dessa personuppgifter ska behandlas och detta begrepp kan anses vara ganska brett då allt ifrån insamling och lagring till bearbetning och spridning räknas in.
Lagen kompletteras med personuppgiftsförordningen.
Det finns en uppdelning i denna lag gällande om personuppgifterna är strukturerade eller ostrukturerade. Alltså om uppgifterna sparas i en databas (strukturerade) eller om uppgifterna även finns i t.ex. e-post (ostrukturerade).
Det finns även en del undantag när det kommer till PuL. T.ex. finns särregler för hur uppgifterna ska lagras och behandlas de gånger de handlar om polisen, hälso – och sjukvård, socialtjänst eller skatteförvaltningen.
När GDPR träder i kraft den 25 maj 2018 kommer inte längre uppdelningen av strukturerade samt ostrukturerade längre finnas kvar (då GDPR arbetar för att få bort all ostrukturerad sparning av personligauppgifter).
Det ska istället finnas registerbeskrivningar, som upprättas av ansvariga.
Detta är en viktig del att genomföra då det är en av delarna Datainspektionen kommer att fråga efter om/när de kommer på besök.
Det måste även finnas en rättslig
grund till varje uppgift som ska sparas, och du som ansvarig har ett större ansvar gällande informationsskyldighet än tidigare (t.ex. kontaktuppgifter till dataskyddsombudet, kriterierna för hur länge uppgifterna ska sparas, vilken rättighet var individ har gällande sina uppgifter: så som radering, återkallning eller rätten att framföra klagomål).
Missbruksregeln försvinner även med GDPR.
Det innebär att du ej längre får hantera uppgifter med skälet att ingen blir skadad av det. Allt material ska nu vara strukturerat (enligt PuL:s tidigre beskrivning) samt ha tydliga skäl till varför de ska hanteras samt sparas.
Detta innebär alltså att inga personligauppgifter längre får ske i löpande texter (t.ex. i e-post) utan alltid ska hanteras skyddat (t.ex. i en skyddad databas).
Med detta sagt så har alltså varje berörd individ rätt till sina egna uppgifter i databasen:
- Tillgång till sina uppgifter,
- Tillgång till att korrigera felaktiga uppgifter,
- Begära att uppgifterna ska raderas,
- Neka direktmarknadsföring,
- Neka automatisk beslutfattande,
- Rätt till att flytta personuppgifterna.
Skulle någon förlora kontrollen över personuppgifterna eller bli utsatta för t.ex. dataintrång ska detta rapporteras till Datainspektionen så fort som möjligt – senast 72 timmar efter händelse.
Påverkar detta även individen så ska även de registrerade informeras.