DIFS 2001:1. Föreskrifter om ändring av Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen; beslutade den 3 oktober 2001.
Datainspektionen föreskriver med stöd av 6 och 16 §§ personuppgiftsförordningen
(1998:1191) att 1, 5, 7 och 8 §§ i Datainspektionens föreskrifter
(DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av
personuppgifter till Datainspektionen skall ha följande lydelse.
Författningen kommer därför att ha följande lydelse från och med den
dag då denna författning träder i kraft.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
1 § (1) I 10 § personuppgiftsförordningen (1998:1191) anges sådana särskilt
integritetskänsliga behandlingar av personuppgifter som enligt 41 §
personuppgiftslagen (1998:204) alltid skall anmälas till Datainspektionen
för förhandskontroll.
Föreskrifter om anmälan för förhandskontroll finns även i 2 § polisdataförordningen
(1999:81), 2 § förordningen (1999:105) om behandling av
personuppgifter vid skattemyndigheters medverkan i brottsutredningar och
i 2 § förordningen (2001:88) om behandling av personuppgifter i Tullverkets
brottsbekämpande verksamhet. (DIFS 2001:1)
Anmälan av andra behandlingar
Anmälningsskyldighet
2 §.- För personuppgiftsansvariga, som inte har utsett och anmält ett
personuppgiftsombud, finns skyldighet enligt 36 § första stycket personuppgiftslagen
(1998:204) att anmäla behandling av personuppgifter som
är helt eller delvis automatiserad till Datainspektionen.
Undantag från anmälningsskyldigheten
3 §.- Vissa bestämmelser om undantag från anmälningsskyldigheten enligt
36 § första stycket personuppgiftslagen (1998:204) finns i 3-5 §§ personuppgiftsförordningen
(1998:1191). Enligt 6 § personuppgiftsförordningen
får Datainspektionen meddela ytterligare undantag från denna
anmälningsskyldighet. Sådana undantag finns i 4 och 5 §§.
4 §.- Anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen
(1998:204) gäller inte för behandling av personuppgifter som sker
efter samtycke från den registrerade.
5 §.- (2) Anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen
(1998:204) gäller inte för behandling av följande personuppgifter
om den personuppgiftsansvarige själv för en förteckning över behandlingarna
med de uppgifter som annars skulle ha anmälts
a) personuppgifter som avser registrerade som har sådan anknytning
till den personuppgiftsansvarige som följer av medlemskap, anställning,
kundförhållande eller något därmed jämförligt förhållande, såvida behandlingen
inte omfattar sådana känsliga uppgifter som avses i 13 § personuppgiftslagen,
b) personuppgifter hos arbetsgivare om arbetstagares sjukdom som
avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa
ändamål eller för att avgöra om arbetsgivaren är skyldig att påbörja en
rehabiliteringsutredning,
c) personuppgifter hos arbetsgivare som avslöjar arbetstagares medlemskap
i fackförening, om uppgifterna används för att arbetsgivaren skall
kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten
eller för att rättsliga anspråk skall kunna fastställas, göras gällande
eller försvaras,
d) personuppgifter som har samlats in från den registrerade om behandlingen
är nödvändig för att uppfylla bestämmelser i lag eller förordning,
e) personuppgifter som får behandlas på hälso- och sjukvårdsområdet
enligt 18 § personuppgiftslagen,
f) personuppgifter i advokatverksamhet som har betydelse för att utföra
uppdrag i verksamheten och för kontroll av att jävssituation inte föreligger,
och
g) personuppgifter som behandlas i överensstämmelse med en branschöverenskommelse
som har bedömts av Datainspektionen enligt 15 §
personuppgiftsförordningen (1998:1191). (DIFS 2001:1)
Innehållet i anmälan
Anmälan enligt 36 § första stycket personuppgiftslagen (1998:204)
6 § En anmälan om behandling av personuppgifter enligt 36 § första
stycket personuppgiftslagen (1998:204) skall vara skriftlig och undertecknad
av den personuppgiftsansvarige eller av en behörig företrädare för denne.
Anmälan skall innehålla
a) den personuppgiftsansvariges namn, adress, telefonnummer och organisationsnummer,
b) ändamålet eller ändamålen med behandlingen,
c) en beskrivning av den eller de kategorier av registrerade som berörs
av behandlingen,
d) en beskrivning av de uppgifter eller kategorier av uppgifter som
skall behandlas om de registrerade,
e) uppgift om mottagarna eller de kategorier av mottagare till vilka
uppgifterna kan komma att lämnas ut,
f) upplysning om överföringar av uppgifter till tredje land,
g) en allmän beskrivning av de åtgärder som har vidtagits för att trygga
säkerheten i behandlingen.
Vid ändring av något eller några av ovanstående förhållanden skall ändringen
anmälas på motsvarande sätt.
Anmälan för förhandskontroll av särskilt integritetskänsliga behandlingar
7 §.- (3) En anmälan för förhandskontroll hos Datainspektionen skall vara
skriftlig och undertecknad av den personuppgiftsansvarige eller av en behörig
företrädare för denne. Anmälan skall innehålla de uppgifter som anges
i 6 § och uppgift om de omständigheter som gör att förhandskontroll hos
Datainspektionen måste ske. I anmälan skall även anges planerad starttidpunkt
för behandlingen och en kontaktperson som kan lämna upplysningar.
En anmälan för förhandskontroll enligt 10 § personuppgiftsförordningen
(1998:1191) skall därutöver innehålla
a) uppgift om huruvida behandlingen har prövats av forskningsetisk
kommitté och i förekommande fall en kopia av kommitténs beslut,
b) upplysning om eventuellt samtycke från registrerade och
c) beskrivning av den information som skall lämnas till de registrerade.
Vid ändring av något eller några av ovanstående förhållanden skall ändringen
anmälas på motsvarande sätt. (DIFS 2001:1)
Anmälan om personuppgiftsombud
8 §.- En anmälan enligt 36 § andra stycket personuppgiftslagen (1998:204)
om att ett personuppgiftsombud har utsetts eller entledigats skall innehålla
uppgift om vem som är personuppgiftsansvarig och vem som är
personuppgiftsombud. Anmälan skall vara skriftlig och undertecknad av
den personuppgiftsansvarige eller av en behörig företrädare för denne.
(DIFS 2001:1)
Blankett
9 §.- En anmälan enligt 6-8 §§ kan göras på särskilda blanketter som
tillhandahålls av Datainspektionen.
ULF WIDEBÄCK
Leif Lindgren
————————————————————————————————-
Denna författning (4) träder i kraft den 24 oktober 1998.
Denna författning (5) träder i kraft den 1 februari 2000.
Denna författning (6) träder i kraft den 1 november 2001.
————————————————————————————————-
(1) DIFS 1999:3
(2) DIFS 1999:3
(3) DIFS 1999:3
(4) DIFS 1998:2
(5) DIFS 1999:3
(6) DIFS 2001:1