Personuppgiftsförordning (1998:1191)

SFS nr
1998:1191
Departement/myndighet
Justitiedepartementet L6
Utfärdad
1998-09-03
Ändring införd
t.o.m. SFS 2013:159

Inledande bestämmelse

1 § I denna förordning ges kompletterande föreskrifter
beträffande sådan behandling av personuppgifter som omfattas av
personuppgiftslagen (1998:204).

Tillsynsmyndighet

2 § Datainspektionen är tillsynsmyndighet enligt
personuppgiftslagen (1998:204).

Anmälan till Datainspektionen

3 § Anmälningsskyldigheten enligt 36 § första stycket
personuppgiftslagen (1998:204) gäller inte för behandling av
personuppgifter

1. som utförs till följd av en myndighets skyldighet enligt 2
kap. tryckfrihetsförordningen att lämna ut allmän handling,

2. som till följd av bestämmelserna i arkivlagen (1990:782)
eller arkivförordningen (1991:446) utförs av en arkivmyndighet,

3. som regleras genom särskilda föreskrifter i lag eller
förordning i andra fall än som nämns i 1 och 2.

4 § Anmälningsskyldigheten enligt 36 § första stycket
personuppgiftslagen (1998:204) gäller inte för behandling av
personuppgifter i löpande text eller sådant ostrukturerat
material som avses i 5 a § personuppgiftslagen. Förordning
(2006:1221).

5 § Anmälningsskyldigheten enligt 36 § första stycket
personuppgiftslagen (1998:204) gäller inte för behandling av
känsliga personuppgifter som utförs med stöd av 17 §
personuppgiftslagen. Anmälningsskyldigheten gäller inte heller
för en sådan organisations motsvarande behandling av andra slag
av personuppgifter än känsliga personuppgifter.

6 § Datainspektionen får meddela föreskrifter om undantag från
anmälningsskyldigheten enligt 36 § första stycket
personuppgiftslagen (1998:204) för sådana typer av behandlingar
som sannolikt inte kommer att leda till otillbörligt intrång i
den personliga integriteten.

7 § Datainspektionen skall med automatiserad behandling föra
ett register över de behandlingar av personuppgifter som
anmälts till inspektionen enligt 36 § första stycket
personuppgiftslagen (1998:204).

Undantag från förbudet mot behandling av känsliga
personuppgifter

8 § Utöver vad som följer av 5 a och 15-19 §§
personuppgiftslagen (1998:204) får känsliga personuppgifter
behandlas av en myndighet i löpande text om uppgifterna har
lämnats i ett ärende eller är nödvändiga för handläggningen av
det. Förordning (2006:1221).

Behandling av uppgifter om lagöverträdelser m.m.

9 § Datainspektionen får meddela föreskrifter om undantag från
förbudet i 21 § personuppgiftslagen (1998:204) för andra än
myndigheter att behandla personuppgifter om lagöverträdelser
som innefattar brott, domar i brottmål, straffprocessuella
tvångsmedel eller administrativa frihetsberövanden.
Datainspektionen får också i enskilda fall besluta om undantag
från förbudet. Förordning (2001:582).

Förhandskontroll

10 § Har upphävts genom förordning (2013:22).

11 § Datainspektionen ska i fråga om behandling som anmäls
dit enligt särskilda föreskrifter om förhandskontroll i en
författning särskilt fatta beslut om det ska vidtas åtgärder
med anledning av anmälan eller inte.
Förordning (2013:22).

Överföring av personuppgifter till tredjeland

12 § En kommun eller ett landsting får till tredjeland föra
över personuppgifter som ingår i

1. ett diarium och som anges i 5 kap. 2 § offentlighets- och
sekretesslagen (2009:400),

2. en kallelse till ett sammanträde med fullmäktige eller en
nämnd,

3. en kungörelse om sammanträde med fullmäktige, eller

4. ett justerat protokoll som har förts vid ett sammanträde
med fullmäktige eller en nämnd.

Personuppgifter som direkt pekar ut den registrerade får inte
föras över. Detta förbud gäller dock inte personuppgifter som
rör en förtroendevald, när det gäller hans eller hennes
uppdrag. Förbudet gäller inte heller om

1. övriga personuppgifter som rör den registrerade inte är
sådana som avses i 13 eller 21 § personuppgiftslagen
(1998:204), och

2. det saknas skäl att anta att det finns risk för att den
registrerades personliga integritet kränks genom överföringen.

Personnummer eller samordningsnummer får aldrig föras över.

Bestämmelserna i första–tredje styckena gäller även ett
kommunalförbund. Med fullmäktige avses i ett sådant fall i
stället förbundsfullmäktige eller förbundsdirektionen och med
en nämnd avses ett sådant organ som anges i 3 kap. 25 § andra
stycket kommunallagen (1991:900). Förordning (2010:293).

13 § Personuppgifter får föras över till tredjeland

1. om och i den utsträckning Europeiska kommissionen har
konstaterat att landet har en adekvat nivå för skyddet av
personuppgifter i enlighet med artikel 25.6 i
Europaparlamentets och rådets direktiv 95/46/EG av den 24
oktober 1995 om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av
sådana uppgifter, eller

2. om personuppgifterna förs över med tillämpning av ett
avtal som innehåller sådana standardavtalsklausuler som
kommissionen enligt artikel 26.4 i direktivet har beslutat
erbjuder tillräckliga garantier för att privatliv och
enskilda personers grundläggande fri- och rättigheter skyddas
samt för utövningen av motsvarande rättigheter.

Beslut av kommissionen som avses i första stycket 1 anges i
bilaga 1 till denna förordning. Av bilagan framgår att vissa
av besluten enbart gäller överföringar till sådana mottagare
som är specificerade i besluten.

Beslut av kommissionen som avses i första stycket 2 anges i
bilaga 2 till denna förordning. Förordning (2010:193).
Förordning (2010:193).

13 a § En transportör, som luftvägen transporterar passagerare
till eller från ett tredjeland, får till det landet föra över
personuppgifter som finns i transportörens
passagerarförteckning (Passenger Name Record), om det sker
enligt villkor som framgår av en överenskommelse mellan
tredjelandet och Europeiska unionen avseende behandling och
överföring av uppgifter rörande flygpassagerare.

Överenskommelser som avses i första stycket anges i bilaga 3
till denna förordning. Förordning (2006:1221).

14 § Datainspektionen får meddela föreskrifter om undantag från
förbudet i 33 § personuppgiftslagen (1998:204) att till
tredjeland föra över personuppgifter som är under behandling
och att föra över personuppgifter för behandling i tredjeland
om det finns tillräckliga garantier till skydd för de
registrerades rättigheter. Datainspektionen får också under
samma förutsättning i enskilda fall besluta om undantag från
förbudet. Förordning (2006:1221).

Branschöverenskommelser

15 § Datainspektionen skall på begäran av en organisation som
företräder en väsentlig del av de personuppgiftsansvariga inom
en viss bransch eller inom ett visst område avge yttrande över
förslag till överenskommelser vad avser behandling av
personuppgifter inom branschen eller området
(branschöverenskommelse).

Ett yttrande enligt första stycket skall avse
branschöverenskommelsens förenlighet med personuppgiftslagen
(1998:204) och andra författningar som reglerar den behandling
av personuppgifter det är fråga om.

Inspektionen skall innan den avger yttrande om det är lämpligt
se till att organisationer som företräder de registrerade har
fått tillfälle att yttra sig över förslagen till
branschöverenskommelser. Förordning (2001:582).

Bemyndiganden

16 § Datainspektionen får meddela närmare föreskrifter om

1. i vilka fall behandling av personuppgifter är tillåten,

2. vilka krav som ställs på den personuppgiftsansvarige,

3. i vilka fall användning av personnummer är tillåten,

4. vad en anmälan eller ansökan till en personuppgiftsansvarig
skall innehålla,

5. vilken information som skall lämnas till registrerade och
hur informationen skall lämnas,

6. anmälan till inspektionen och förfarandet när anmälda
uppgifter har ändrats. Förordning (2001:582).

Bistånd till personer som är registrerade utomlands

17 § Den som är bosatt i Sverige och som är eller kan antas
vara registrerad i ett register som omfattas av Europarådets
konvention om skydd för enskilda vid automatisk databehandling
av personuppgifter i ett land, som är anslutet till
konventionen, får till Datainspektionen ge in en sådan
framställning om bistånd som avses i artikel 14, punkt 2, i
konventionen. Datainspektionen förmedlar framställningen till
det andra landet.

Framställningen skall innehålla uppgifter om

1. namn, adress och andra uppgifter som behövs för att
identifiera den person som gör framställningen,

2. det register som framställningen avser eller den som är
ansvarig för registret,

3. ändamålet med framställningen. Förordning (2001:582).

Övergångsbestämmelser

1998:1191

Denna förordning träder i kraft den 24 oktober 1998 då
dataförordningen (1982:480) skall upphöra att gälla.
Dataförordningen gäller dock fortfarande i de fall datalagen
(1973:289) skall tillämpas enligt ikraftträdande- och
övergångsbestämmelserna till personuppgiftslagen (1998:204).

2013:22

1. Denna förordning träder i kraft den 1 mars 2013.

2. Äldre föreskrifter gäller för anmälningar som kommit in
till Datainspektionen före ikraftträdandet.

Bilaga 1

Europeiska kommissionen har meddelat följande beslut enligt
artikel 25.6 i Europaparlamentets och rådets direktiv
95/46/EG. Av beslut 4, 5 och 9 framgår att dessa beslut bara
gäller överföringar till vissa specificerade mottagare i
respektive land.

Tredjeland Beslut

Andorra 1. Kommissionens beslut 2010/625/EU av
den 19 oktober 2010 i enlighet med
Europaparlamentets och rådets direktiv
95/46/EG om adekvat skydd för
personuppgifter i Andorra.

Argentina 2. Kommissionens beslut 2003/490/EG av
den 30 juni 2003 i enlighet med
Europaparlamentets och rådets direktiv
95/46/EG om adekvat skydd för
personuppgifter i Argentina.

Bailiwick of Guernsey,
dvs. öarna Guernsey,
Alderney, Sark, Herm,
Jethou, Brecqhou och
Lihou 3. Kommissionens beslut 2003/821/EG av
den 21 november 2003 om skyddsnivån för
personuppgifter på Guernsey.

Färöarna 4. Kommissionens beslut 2010/146/EU av
den 5 mars 2010 i enlighet med
Europaparlamentets och rådets direktiv
95/46/EG om en adekvat skyddsnivå genom
den färöiska lagen om behandling av
personuppgifter.

Förenta staterna 5. Kommissionens beslut 2000/520/EG av
den 26 juli 2000 enligt
Europaparlamentets och rådets direktiv
95/46/EG om huruvida ett adekvat skydd
säkerställs genom de principer om
integritetsskydd (Safe Harbour Privacy
Principles) i kombination med frågor
och svar som Förenta staternas
handelsministerium utfärdat.

Isle of Man 6. Kommissionens beslut 2004/411/EG av
den 28 april 2004 om skyddsnivån för
personuppgifter på Isle of Man.

Israel 7. Kommissionens beslut 2011/61/EU av
den 31 januari 2011 i enlighet med
Europaparlamentets och rådets direktiv
95/46/EG om en adekvat skyddsnivå vid
automatiserad behandling av
personuppgifter i Staten Israel.

Jersey 8. Kommissionens beslut 2008/393/EG av
den 8 maj 2008 i enlighet med
Europaparlamentets och rådets direktiv
95/46/EG om adekvat skydd för
personuppgifter på Jersey.

Kanada 9. Kommissionens beslut 2002/2/EG av
den 20 december 2001 i enlighet med
Europaparlamentets och rådets direktiv
95/46/EG om adekvat skydd för
personuppgifter genom den kanadensiska
lagen om elektroniska handlingar och
skydd för personuppgifter (Personal
Information Protection and Electronic
Documents Act).

Nya Zeeland 10. Kommissionens genomförandebeslut
2013/65/EU av den 19 december 2012 i
enlighet med Europaparlamentets och
rådets direktiv 95/46/EG om ett adekvat
skydd av personuppgifter i Nya Zeeland.

Schweiz 11. Kommissionens beslut 2000/518/EG av
den 26 juli 2000 enligt
Europaparlamentets och rådets direktiv
95/46/EG om adekvat skydd av
personuppgifter i Schweiz.

Uruguay 12. Kommissionens genomförandebeslut 
2012/484/EU av den 21 augusti 2012 i
enlighet med Europaparlamentets och
rådets direktiv 95/46/EG om en adekvat
skyddsnivå vid automatiserad behandling
av personuppgifter i Republiken Uruguay.
Förordning (2013:159).

Bilaga 2

Europeiska kommissionen har meddelat följande beslut enligt
artikel 26.4 i Europaparlamentets och rådets direktiv
95/46/EG.

1. Kommissionens beslut av den 15 juni 2001 om
standardavtalsklausuler för överföring av personuppgifter
till tredjeland enligt Europaparlamentets och rådets direktiv
95/46/EG och kommissionens beslut av den 27 december 2004
om ändring av nämnda beslut.

2. Kommissionens beslut av den 5 februari 2010 om
standardavtalsklausuler för överföring av personuppgifter
till registerförare etablerade i tredjeland i enlighet med
Europaparlamentets och rådets direktiv 95/46/EG.
Förordning (2010:193).

Bilaga 3

Mellan Europeiska unionen och tredjeland gäller följande
internationella överenskommelser om överföring av uppgifter i
lufttrafikföretags passagerarförteckningar (Passenger Name
Record).

Tredjeland Överenskommelse

Amerikas förenta stater 1. Avtal den 26 juli 2007 mellan
Europeiska unionen och Amerikas förenta
stater om lufttrafikföretags behandling
av passageraruppgifter (PNR) och
överföring av dessa till Förenta
staternas Department of Homeland
Security.

Australien 2. Avtal den 30 juni 2008 mellan
Europeiska unionen och Australien om
lufttrafikföretags behandling av
passageraruppgifter (PNR) från
Europeiska unionen och överföring av
dessa till Australiens tullmyndighet.
Förordning (2008:750).