PM om personuppgiftslagen PUL

1. Allmänt

PUL "gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad". Den avser inte bara uppgifter i skriftlig form - exempelvis ett medlemsregister - utan även uppgifter i form av bilder - exempelvis från en klubbfest - eller ljudupptagning.

2. Personuppgiftsansvarig

Ansvarig för att reglerna i PUL följs - personuppgiftsansvarig - är den juridiska person, exempelvis en båtklubb - som för ett medlemsregister med databehandling. Det är klubben och inte någon enskild person som svarar för att PUL följs. Ansvaret ligger hos styrelsen. Om en klubb i väsentlig mån bryter mot PUL finns straff- och skadeståndssanktioner.

3. Anmälningsplikt

Huvudregeln är att den organisation som för ett medlemsregister med dator skall anmäla detta på särskild blankett till Datainspektionen. Från denna regel finns flera undantag och ett sådant undantag avser ideella föreningar, dvs. bl. a. båtklubbar och båtförbund, som alltså inte skall göra någon anmälan till Datainspektionen. För en båtklubb, eller båtförbund för den delen, som har medlemsregister med databehandling, skall klubben emellertid upprätta en så kallad förteckning på den blankett som används för anmälan till Datainspektionen. Blanketten är snabbt ifylld och skall ligga på klubbens kansli för att kunna uppvisas om någon frågar efter den. I förteckningen skall anges ändamålet med databehandlingen, de kategorier av personer som berörs av behandlingen, exempelvis klubbens medlemmar, de personuppgifter som skall behandlas och de åtgärder som vidtagits för att trygga säkerheten i behandlingen samt om uppgifterna kommer att överföras till tredje land, dvs. läggas ut på klubbens hemsida.

4. Medlemsregister på data

Om en klubb vill övergå från att föra sitt medlemsregister manuellt till att föra det på dator kan det göras utan särskilt medgivande från medlemmarna förutsatt att det dataförda registret endast innehåller uppgifter som lämnats av medlemmarna och är så kallad harmlösa exempelvis namn, adress och telefonnummer. Medlemmarna anses genom sitt medlemskap ha accepterat att klubben för sitt medlemsregister på ett för klubben effektivt sätt. Registret får dock inte innehålla så kallade känsliga uppgifter. Därmed avses uppgifter om medlemmens ras eller etniska tillhörighet, politisk eller religiös övertygelse eller facklig tillhörighet. Datainspektionen anser också att uppgifter om handikapp är känsliga även om detta inte nämns i PUL. Sådana uppgifter får endast ingå i registret om medlemmen uttryckligen samtyckt till det, så kallat aktivt samtycke.

5. Medlemsregister på hemsidan

Om en klubb vill lägga ut sitt medlemsregister på sin hemsida kan registret läsas av hela världen. Detta är förbjudet om inte samtliga medlemmar som omfattas av registret gett sitt aktiva samtycke. Däremot behövs inte något aktivt samtycke om klubben lösenordsskyddar det på hemsidan utlagda medlemsregistret. Registret kan då inte läsas av hela världen. Registret får dock inte innehålla några så kallat känsliga uppgifter. Sådana uppgifter får endast lämnas om medlemmen i fråga gett aktivt samtycke.

En klubb som vill lägga ut sitt medlemsregister på sin hemsida under lösenordsskydd skall underrätta hela sin medlemskår om det och ge medlemmarna minst två veckor på sig att reagera innan registret läggs ut. De medlemmar som inte vill figurera i det på hemsidan utlagda registret äger då framföra detta under tvåveckorsperioden och skall då strykas ur registret på hemsidan. Övriga medlemmar anses ha godtagit att registret läggs ut under lösenordsskydd på hemsidan. Denna typ av passivt medgivande kallas ofta PUL-medgivande. Om en klubb vill sälja sitt medlemsregister för reklamändamål krävs aktivt samtycke av alla medlemmar som ingår i registret. De medlemmar som inte ger aktivt samtycke måste strykas ur det register som säljs.

6. Bilder

Som ovan nämnts omfattar PUL även personuppgifter i form av bilder på personer. Om en klubb genomför ett evenemang ( fest, tävling, utbildning mm.) och tar bilder på deltagarna för visande på hemsidan skall de avbildade personerna ha samtyckt till publiceringen på hemsidan om PUL skall efterlevas.

7. Stadgar, medlemsansökan, inbetalningskort

Det är lämpligt att klubben stärker sin situation genom att införa en stadgebestämmelse exempelvis enligt följande: Klubbmedlem har genom sitt medlemskap godkänt att klubben registrerar och på annat sätt behandlar medlemmens personuppgifter samt att uppgifterna inom ramen för klubbens verksamhet publiceras på hemsidan i enlighet med reglerna i personuppgiftslagen (PUL). På medlemsansökan och inbetalningskort kan följande formulering användas: Jag medger härmed att NN Båtklubb behandlar, registrerar och publicerar av mig lämnade personuppgifter (inkl. i förekommande fall foto) i enlighet med personuppgiftslagen (PUL). Detta är ett aktivt samtycke från medlemmens sida.

8. Avslutning

Denna promemoria tar sikte på att lösa vanligen förekommande frågeställningar hos båtklubbar och båtförbund avseende personuppgifter och PUL. Tillämpningen av PUL har mildrats på senare tid och Datainspektionen ger numera ganska god service i personuppgiftsfrågor.

Stockholm i november 2005

P.G. Traung

 

Ovanstående utgör svar på en motion till Båtriksdagen 2005 från Östergötlands Båtförbund.

Motionären vill tillägga:

Använd inte personnummer i medlemsregister. För att använda personnummer krävs vägande skäl enligt paragraf 22.

Funktionärer får publiceras för att de ska kunna fullgöra sin funktion enligt paragraf 10.

Publicering i en klubbtidning är helt likställt med publicering på lösenordsskyddad hemsida.

Lösenord på en hemsida får inte vara så enkelt utformat att det anges i den överförda HTML-koden för den sida där medlemsregister kan väljas.

Även om det inte direkt styrs av PUL är det lämpligt att i förekommande fall begära aktivt samtycke om båtdata, t.ex. båtnamn, anges i publicerad medlemsförteckning. Stöld kan ju underlättas om man känner till ägarens namn och adress.

Personuppgiftslagen kan hämtas på adressen www.lagrummet.se. Välj Författningar. Välj sedan Författningar i fulltext. Sök 1998:204. Klicka på 1998:204 (anges i tidsföljd i listningen). Då får du hem lagen som textfil, som överförs snabbt. Det går även att få lagen som den ser ut i tryckt form med PDF-filer.

Anmälningsblankett för en så kallad förteckning finns att hämta på www.datainspektionen.se (blankett anmälan).