Obligatorisk anmälan av särskilt integritetskänsliga behandlingar

Denna föreskrift har upphävts genom DIFS 2018:1 [red.anm.].

1 §Enligt 41 § personuppgiftslagen (1998:204) får regeringen meddela föreskrifter om att sådana automatiserade behandlingar av personuppgifter som innebär särskilda risker för otillbörliga intrång i den personliga integriteten alltid ska anmälas till Datainspektionen för förhandskontroll.

Enligt 11 § personuppgiftsförordningen (1998:1191) ska Datainspektionen i fråga om behandling som anmäls dit enligt särskilda föreskrifter om förhandskontroll i en författning särskilt fatta beslut om det ska vidtas åtgärder med anledning av anmälan eller inte.

Föreskrifter om anmälan för förhandskontroll finns i 2 § förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

DIFS (2013:1)

Anmälan av andra behandlingar

Anmälningsskyldighet

2 §För personuppgiftsansvariga, som inte har utsett och anmält ett personuppgiftsombud, finns skyldighet enligt 36 § första stycket personuppgiftslagen (1998:204) att anmäla behandling av personuppgifter som är helt eller delvis automatiserad till Datainspektionen.

Undantag från anmälningsskyldigheten

3 §Vissa bestämmelser om undantag från anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen (1998:204) finns i 3–5 §§ personuppgiftsförordningen (1998:1191). Enligt 6 § personuppgiftsförordningen får Datainspektionen meddela ytterligare undantag från denna anmälningsskyldighet. Sådana undantag finns i 4 och 5 §§.

4 §Anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen (1998:204) gäller inte för behandling av personuppgifter som sker efter samtycke från den registrerade.

5 §Anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen (1998:204) gäller inte för behandling av följande personuppgifter om den personuppgiftsansvarige själv för en förteckning över behandlingarna med de uppgifter som annars skulle ha anmälts:

  1. personuppgifter som avser registrerade som har sådan anknytning till den personuppgiftsansvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande, såvida behandlingen inte omfattar sådana känsliga uppgifter som avses i 13 § personuppgiftslagen,

  2. personuppgifter hos arbetsgivare om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att avgöra om arbetsgivaren är skyldig att påbörja en rehabiliteringsutredning,

  3. personuppgifter hos arbetsgivare som avslöjar arbetstagares medlemskap i fackförening, om uppgifterna används för att arbetsgivaren ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras,

  4. personuppgifter som har samlats in från den registrerade om behandlingen är nödvändig för att uppfylla bestämmelser i lag eller förordning,

  5. personuppgifter som får behandlas på hälso- och sjukvårdsområdet enligt 18 § personuppgiftslagen,

  6. personuppgifter i advokatverksamhet som har betydelse för att utföra uppdrag i verksamheten och för kontroll av att jävssituation inte föreligger, och

  7. personuppgifter som behandlas i överensstämmelse med en branschöverenskommelse som har bedömts av Datainspektionen enligt 15 § personuppgiftsförordningen (1998:1191).

DIFS (2013:1)

Innehållet i anmälan

Anmälan enligt 36 § första stycket personuppgiftslagen

6 §En anmälan om behandling av personuppgifter enligt 36 § första stycket personuppgiftslagen (1998:204) ska vara skriftlig och undertecknad av den personuppgiftsansvarige eller av en behörig företrädare för denne.

Anmälan ska innehålla

  1. den personuppgiftsansvariges namn, adress, telefonnummer och organisationsnummer,

  2. ändamålet eller ändamålen med behandlingen,

  3. en beskrivning av den eller de kategorier av registrerade som berörs av behandlingen,

  4. en beskrivning av de uppgifter eller kategorier av uppgifter som ska behandlas om de registrerade,

  5. uppgift om mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut,

  6. upplysning om överföringar av uppgifter till tredje land, och

  7. en allmän beskrivning av de åtgärder som har vidtagits för att trygga säkerheten i behandlingen.

Vid ändring av något eller några av ovanstående förhållanden ska ändringen anmälas på motsvarande sätt.

DIFS (2013:1)

Anmälan för förhandskontroll av särskilt integritetskänsliga behandlingar

7 §En anmälan för förhandskontroll hos Datainspektionen ska vara skriftlig och undertecknad av den personuppgiftsansvarige eller av en behörig företrädare för denne. Anmälan ska innehålla de uppgifter som anges i 6 § och uppgift om de omständigheter som gör att förhandskontroll hos Datainspektionen måste ske. I anmälan ska även anges planerad starttidpunkt för behandlingen och en kontaktperson som kan lämna upplysningar.

Vid ändring av något eller några av ovanstående förhållanden ska ändringen anmälas på motsvarande sätt.

DIFS (2013:1)

Anmälan om personuppgiftsombud

8 §En anmälan enligt 36 § andra stycket personuppgiftslagen (1998:204) om att ett personuppgiftsombud har utsetts eller entledigats ska innehålla uppgift om vem som är personuppgiftsansvarig och vem som är personuppgiftsombud. Anmälan ska vara skriftlig och undertecknad av den personuppgiftsansvarige eller av en behörig företrädare för denne.

DIFS (2013:1)

Blankett

9 §En anmälan enligt 6–8 §§ kan göras på särskilda blanketter som tillhandahålls av Datainspektionen.