Data inom Sverige

Vet du var din data är?

Säker informations- och personuppgiftshantering

I takt med att dator- och internetanvändningen har blivit en central del av vårt sociala vardagsliv, men även vårt arbetsliv, har direktiv och regleringar antagits i syfte att värna den personliga integriteten.

PUL, personuppgiftslagen, är en av de lagstiftningar som har tagits fram i syfte att skydda människors integritet. Lagen antogs i enlighet med ett dataskyddsdirektiv från EU. Att information och personuppgifter sprids över exempelvis internet är ingen nyhet, men som företag och leverantör har man ett ansvar att följa de regleringar och lagar som finns. En seriös och integritetsskyddande hantering av känslig information, såsom exempelvis personuppgifter, skapar en förtroendefylld relation mellan leverantör och klient.

Det var under 1998 som PUL antogs för att reglera hanteringen och behandlingen av personuppgifter. Närmare tio år senare antogs FRA-lagen, en lag som ger Försvarets radioanstalt (FRA) rätt att bedriva signalspaning på trafik som är kabelburen, så som exempelvis telefon- samt internettrafik, som passerar Sveriges gränser. FRA-lagen uppkom främst i syfte att underlätta bekämpningen av såväl terrorism som internationell brottslighet. FRA:s verksamhet regleras dock av PUL bland annat, för att fortsatt värna människors integritet.

Om du driver ett företag eller en hemsida med mailserver inom Sveriges gränser, måste du enligt lag följa PUL. Detta påverkar i synnerhet dig som exempelvis arbetar med kommunikationsförmedling av olika slag eller informationsinsamling i form av till exempel enkätundersökningar. Det är också viktigt att du ser till dina klienters krav på integritetsskydd. Vilka PUL-krav gäller för ditt uppdrag? Hur kan du på bästa sätt ta ditt ansvar som leverantör för att skydda dina klienters integritet?

Du som har din mailserver utanför Sveriges landsgräns bör ta reda på hur regleringen av personuppgiftshanteringen ser ut i det land där mailservern är placerad, då det kan finnas skillnader. Om du inte har kännedom om PUL och FRA-lagen kan det komma att kosta dig såväl pengar och tid. Det finns också risk att du förlorar ditt förtroende hos dina klienter.

Läs mer angående Molnlagring och Office 365

Så fungerar PUL utanför Sveriges landsgräns

Under år 1998 – efter att EU gått ut med ett dataskyddsdirektiv – så kom PUL, lagen om personuppgiftshantering, att formuleras och lagstadgas. Sedan tillkomsten har lagens primära syfte varit att värna och skydda den personliga integriteten vid informationsinsamling över internet, där mängder av information hela tiden förflyttas.

För ett par år sedan stiftades FRA-lagen, vilken möjliggör signalspaning på trafik som passerar Sveriges gränser. Försvarets radioanstalt (FRA) har med FRA-lagen rätt att bedriva signalspaning på kabelburen trafik som passerar landsgränsen, så som exempelvis telefon- samt internettrafik – detta i syfte att underlätta bekämpningen av terrorism och internationell brottslighet. FRA:s verksamhet regleras dock av bland annat PUL, för att inskränkningen på människors personliga integritet ska minimeras.

Enligt PUL är personuppgifter all slags information som direkt eller indirekt kan kopplas till en fysisk, levande person. Dessa uppgifter ska behandlas med stor försiktighet. Företag som arbetar med exempelvis insamling, registrering, bearbetning och analysering av information och personuppgifter bör vara väl införstådda i hur PUL och FRA-lagen fungerar. Såväl PUL och FRA-lagen kan dock påverka företaget på olika sätt, beroende på om företaget exempelvis har sin mailserver inom Sverige eller inte.

Det är viktigt att förstå vad som gäller vid till exempel överföring av personuppgifter mellan olika landsgränser. Många företag och organisationer bedriver verksamhet också utanför Sveriges gränser. I dessa fall bör man se till vilket lands integritetsskyddslagstiftning det är som gäller.

EU:s dataskyddsdirektiv från 1995 genomfördes i alla länder inom EES-området, något som har lett till att skyddslagarna inom detta område är mer eller mindre lika. Vid informationsöverföringar till ett så kallat tredje land, ett land som inte tillhör EES-området, gäller dock andra regler. Det är till exempel förbjudet att överföra personuppgifter till ett tredje land om landet i fråga inte har tillräckligt hög skyddsnivå vad gäller datahantering. Detta för att integritetsskyddet ska gälla över landsgränser, i en internationell och vidare kontext.

Personuppgifter får föras över fritt mellan länder som ingår i EU eller EES, länder som specifikt godkänts av EU-komissionen eller till företag certifierade efter Safe Harbor Ramverket i de länder detta förekommer.

Följande länder ingår i EU

  • Belgien
  • Bulgarien
  • Cypern
  • Danmark
  • Estland
  • Finland
  • Frankrike
  • Grekland
  • Irland
  • Italien
  • Lettland
  • Litauen
  • Luxemburg
  • Malta
  • Nederländerna
  • Polen
  • Rumänien
  • Slovakien
  • Slovenien
  • Spanien
  • Storbrtannien
  • Sverige
  • Tjeckien
  • Tyskland
  • Ungern
  • Österrike

Följande länder ingår i EES

  • Island
  • Liechtenstein
  • Norge

Följande länder är godkända av EU-komissionen

  • Argentina
  • Bailiwick of Guernsey
  • Färöarna
  • Isle of Man
  • Jersey
  • Schweiz

Följande länder implementerat Safe Harbor Ramverket

  • USA
  • Kanada

Läs mer hos Datainspektionen om överföring av personuppgifter

Sammanfattning

Enligt PUL är personuppgifter all slags information som direkt eller indirekt kan kopplas till en fysisk, levande person. Dessa uppgifter ska behandlas med stor försiktighet.

Företag som arbetar med exempelvis insamling, registrering, bearbetning och analysering av information och personuppgifter bör vara väl införstådda i hur PUL och FRA-lagen fungerar.

Såväl PUL och FRA-lagen kan dock påverka företaget på olika sätt, beroende på om företaget exempelvis har sin e-postserver inom Sverige eller inte. Det naturliga bör vara klar och tydlig märkning på de webbplatser och e-postkonversationer som hanteras utanför landets gränser. Det finns många juristfirmor, privatmottagningar, myndigheter och kommuner som idag förlagt hela eller delar av sin digitala närvaro utanför landets gränser.

inomsverige.se är en kostnadsfri tjänst som tillhandahålls av Oderland Webbhotell AB med syfte att bistå allmänheten med ett verktyg för att lokalisera sin egen data. Genom att länka till verifieringsmärket visar ni att er webbplats och mailhantering ligger inom Sveriges gränser. Oderland reserverar rätten att spärra tjänster vid missbruk.

* dessa uppgifter baserar sig på den registrerade positionen för det aktuella IP-nummret. Kontrollera alltid med ägaren till domänen om du är osäker. Oderland Webbhotell AB tar inget ansvar för eventuella felaktiga eller missvisande uppgifer men bistår gärna till att korrigera dessa i förekommande fall.