PM om personuppgiftslagen PUL
1. Allmänt
PUL "gäller för sådan behandling av personuppgifter som
helt eller delvis är automatiserad". Den avser inte bara uppgifter i skriftlig form - exempelvis
ett medlemsregister - utan även uppgifter i form av bilder - exempelvis från en klubbfest -
eller ljudupptagning.
2. Personuppgiftsansvarig
Ansvarig för att reglerna i PUL följs - personuppgiftsansvarig - är
den juridiska person, exempelvis en båtklubb - som för ett medlemsregister med databehandling.
Det är klubben och inte någon enskild person som svarar för att PUL följs. Ansvaret ligger
hos styrelsen. Om en klubb i väsentlig mån bryter mot PUL finns straff- och skadeståndssanktioner.
3. Anmälningsplikt
Huvudregeln är att den organisation som för ett medlemsregister
med dator skall anmäla detta på särskild blankett till Datainspektionen. Från denna
regel finns flera undantag och ett sådant undantag avser ideella föreningar, dvs. bl. a. båtklubbar
och båtförbund, som alltså inte skall göra någon anmälan till Datainspektionen.
För en båtklubb, eller båtförbund för den delen, som har medlemsregister med databehandling,
skall klubben emellertid upprätta en så kallad förteckning på den blankett som används
för anmälan till Datainspektionen. Blanketten är snabbt ifylld och skall ligga på klubbens kansli
för att kunna uppvisas om någon frågar efter den. I förteckningen skall anges ändamålet med databehandlingen,
de kategorier av personer som berörs av behandlingen, exempelvis klubbens medlemmar, de personuppgifter som skall
behandlas och de åtgärder som vidtagits för att trygga säkerheten i behandlingen samt om uppgifterna
kommer att överföras till tredje land, dvs. läggas ut på klubbens hemsida.
4. Medlemsregister på data
Om en klubb vill övergå från att föra sitt medlemsregister manuellt till
att föra det på dator kan det göras utan särskilt medgivande från medlemmarna förutsatt att
det dataförda registret endast innehåller uppgifter som lämnats av medlemmarna och är så kallad
harmlösa exempelvis namn, adress och telefonnummer. Medlemmarna anses genom sitt medlemskap ha accepterat att klubben
för sitt medlemsregister på ett för klubben effektivt sätt. Registret får dock inte innehålla
så kallade känsliga uppgifter. Därmed avses uppgifter om medlemmens ras eller etniska tillhörighet,
politisk eller religiös övertygelse eller facklig tillhörighet. Datainspektionen anser också att
uppgifter om handikapp är känsliga även om detta inte nämns i PUL. Sådana uppgifter
får endast ingå i registret om medlemmen uttryckligen samtyckt till det, så kallat aktivt samtycke.
5. Medlemsregister på hemsidan
Om en klubb vill lägga ut sitt medlemsregister på sin hemsida kan registret läsas av hela världen. Detta är förbjudet om inte samtliga medlemmar som omfattas av registret gett sitt aktiva samtycke. Däremot behövs inte något aktivt samtycke om klubben lösenordsskyddar det på hemsidan utlagda medlemsregistret. Registret kan då inte läsas av hela världen. Registret får dock inte innehålla några så kallat känsliga uppgifter. Sådana uppgifter får endast lämnas om medlemmen i fråga gett aktivt samtycke.
En klubb som vill lägga ut sitt medlemsregister på sin hemsida under lösenordsskydd skall underrätta hela sin medlemskår om det och ge medlemmarna minst två veckor på sig att reagera innan registret läggs ut. De medlemmar som inte vill figurera i det på hemsidan utlagda registret äger då framföra detta under tvåveckorsperioden och skall då strykas ur registret på hemsidan. Övriga medlemmar anses ha godtagit att registret läggs ut under lösenordsskydd på hemsidan. Denna typ av passivt medgivande kallas ofta PUL-medgivande. Om en klubb vill sälja sitt medlemsregister för reklamändamål krävs aktivt samtycke av alla medlemmar som ingår i registret. De medlemmar som inte ger aktivt samtycke måste strykas ur det register som säljs.
6. Bilder
Som ovan nämnts omfattar PUL även personuppgifter i form av bilder på personer. Om en klubb genomför ett evenemang ( fest, tävling, utbildning mm.) och tar bilder på deltagarna för visande på hemsidan skall de avbildade personerna ha samtyckt till publiceringen på hemsidan om PUL skall efterlevas.
7. Stadgar, medlemsansökan, inbetalningskort
Det är lämpligt att klubben stärker sin situation genom att införa en stadgebestämmelse exempelvis enligt följande: Klubbmedlem har genom sitt medlemskap godkänt att klubben registrerar och på annat sätt behandlar medlemmens personuppgifter samt att uppgifterna inom ramen för klubbens verksamhet publiceras på hemsidan i enlighet med reglerna i personuppgiftslagen (PUL). På medlemsansökan och inbetalningskort kan följande formulering användas: Jag medger härmed att NN Båtklubb behandlar, registrerar och publicerar av mig lämnade personuppgifter (inkl. i förekommande fall foto) i enlighet med personuppgiftslagen (PUL). Detta är ett aktivt samtycke från medlemmens sida.
8. Avslutning
Denna promemoria tar sikte på att lösa vanligen förekommande frågeställningar hos båtklubbar och båtförbund avseende personuppgifter och PUL. Tillämpningen av PUL har mildrats på senare tid och Datainspektionen ger numera ganska god service i personuppgiftsfrågor.
Stockholm i november 2005
P.G. Traung
Ovanstående utgör svar på en motion till Båtriksdagen 2005 från Östergötlands Båtförbund.
Motionären vill tillägga:
Använd inte personnummer i medlemsregister. För att använda personnummer krävs vägande skäl enligt paragraf 22.
Funktionärer får publiceras för att de ska kunna fullgöra sin funktion enligt paragraf 10.
Publicering i en klubbtidning är helt likställt med publicering på lösenordsskyddad hemsida.
Lösenord på en hemsida får inte vara så enkelt utformat att det anges i den överförda HTML-koden för den sida där medlemsregister kan väljas.
Även om det inte direkt styrs av PUL är det lämpligt att i förekommande fall begära aktivt samtycke om båtdata, t.ex. båtnamn, anges i publicerad medlemsförteckning. Stöld kan ju underlättas om man känner till ägarens namn och adress.
Personuppgiftslagen kan hämtas på adressen www.lagrummet.se. Välj Författningar. Välj sedan Författningar i fulltext. Sök 1998:204. Klicka på 1998:204 (anges i tidsföljd i listningen). Då får du hem lagen som textfil, som överförs snabbt. Det går även att få lagen som den ser ut i tryckt form med PDF-filer.
Anmälningsblankett för en så kallad förteckning finns att hämta på www.datainspektionen.se (blankett anmälan).
|