Vid årsskiftet mjukas personuppgiftslagen, pul, upp . Det innebär att många av de hemsidor eller enskilda indvider som genom okunskap brutit mot lagen nu hamnar på den rätta vägen igen. Med den nya skrivningen omfattar reglerna om personuppgiftsbehandling i princip bara dem som för regelrätta register.

När det gäller annan mer vardaglig behandling till exempel i löpande text på internet och e-postkorrespondens behöver man inte längre tillämpa dessa hanteringsregler. I stället kommer en missbruksregel att gälla. Det blir tillåtet att behandla personuppgifter så länge man inte kränker någons personliga integritet.

Sammanhanget avgör
Det innebär exempelvis att privatpersoner kan skriva om sina kompisar på hemsidan eller att en idrottsförening inte bryter mot lagen när man lägger ut en resultatlista.
Som kränkande anses exempelvis behandling av uppgifter som bryter mot tystnadsplikten eller används i syfte att förfölja någon. Det handlar också om sådant som i vilket sammanhang uppgifter förekommer, syftet med att sprida uppgifterna, konsekvenserna för den som berörs och hur det upplevs.

EU-direktiv styr
– Men vad som är att se som en kränkning och därmed otillåtet är inget som lagen lägger fast en gång för alla. Man får göra en helhetsbedömning i varje enskilt fall, säger Hans-Olof Lindblom, dataråd på Datainspektionen.
– Den enskilde registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen som rätten att yttra sig.
Ända sedan personuppgiftslagen kom till 1998 har Sverige drivit åsikten att den borde bygga just på en missbruksmodell och försökt påverka EU-kommissionen att ändra direktivet i den riktningen. Det har inte lyckats, men däremot har EU-kommissionen gjort klart att det finns utrymme för flexibilitet och det är det Sverige nu tagit fasta på genom att omarbeta lagen.

Ett viktigt syfte är enligt Hans-Olof Lindblom att man velat anpassa lagen efter verkligheten.

Frågor att vänta
– Nuvarande lag kan man exempel­vis tolka så att vi har en informationsplikt till dem vars personuppgifter vi behandlar i jobbet med de e-postfunktioner vi har, där vi kan
kontrollera vilka mejl vi fått från en viss person. Efter nyår har vi ingen sådan informationsplikt, säger han.
Hans-Olof Lindblom förväntar sig att det kommer att komma in många frågor till Datainspektionen efter årsskiftet.
– Exempelvis är skrivningen om vad som är ett ostrukturerat material inte helt glasklart och den andra ­frågan är just vad som är en kränkning. Men är man osäker på vad
som gäller kan man alltid använda sig av de gamla reglerna för det som
var tillåtet tidigare är fortfarande tillåtet, säger Hans-Olof Lindblom.

– Och det är också dessa regler som fortfarande gäller för dem som behandlar personuppgifter i regelrätta register eller större databaser, exempelvis myndigheter.

Fakta

- Personuppgifts­lagen från 1998 trädde i kraft fullt ut 2001 och ersatte den gamla datalagen.
- Lagen reglerar vad som gäller för personuppgiftsbehandling.
- Huvuddragen är att behandling av personuppgifter endast får ske i de fall som anges i lagen. Exempelvis måste man i vissa fall inhämta samtycke från den person vars uppgifter behandlas och registrerade personer har rätt att få ett registerutdrag.
- Företag måste också självmant informera de berörda när man registrerar personuppgifter.
- Lagens bestämmelser gäller i dag all behandling av personuppgifter men efter årsskiftet är det i princip bara de som för regelrätta register som omfattas av samtliga bestämmelser i lagen.
- Andra behöver inte tillämpa alla dessa regler utan får hantera personuppgifter så länge det inte kränker någons personliga integritet.