[emilv]

Citat:

Ursprungligen postat av Erik Stenman

Jag kanske ska fråga datainspektionen men enligt ovan länkar så verkar det ju som om dom i princip inte godkänner någonting. Varken att man kontrollerar om ens anställda har blivit klassade som terrorister av FN eller EU eller huruvida anställda är dömda för grövre brott. Så jag antar att oavsett vad jag frågar så får jag nej.

Det som gör det svårare för mig att skapa mig en bättre bild i frågan är att jag personligen inte har någon databas och inte lagrar någon information.

Så skulle jag också tolka PuL. Att på ett strukturerat sätt hantera uppgifter om huruvida en person begått brott eller ej är inte tillåtet enligt PuL. Det normala i de fall det krävs för jobbet brukar vara att personen själv tar med sig en utskrift ur polisregistret.

Att du inte lagrar information påverkar inte saken. Det är användningen som kontrolleras; lagring är bara en del av användningen. Det är ju till och med så att man måste ha tillstånd för att förstöra personuppgifter. Visar du uppgifterna på ett strukturerat sätt, till exempel sökbart eller i en lista? I sådana fall bör de betraktas som strukturerade och PuL gäller.

Att du använder ett API spelar i sig ingen roll. Du täcks av PuL ändå. Den som tillhandahåller API:t kan ha fått tillstånd att sprida uppgifterna vidare på vissa premisser och då kan de kanske även tillåta dig att göra det; det beror på vilket medgivande personerna gett.

Läs personuppgiftslagen själv. Jag tycker den är tydligare än Datainspektionens material. Du kan även ta kontakt med Datainspektionen. De brukar vara pigga på att svara på frågor.

Och ja, om en person motsäger sig din behandling av deras personuppgifter måste du upphöra med behandlingen. Du är även skyldig att, vid förfrågan, kostnadsfritt en gång om året ge information om huruvida du behandlar uppgifter om en person eller inte, och i så fall vilka uppgifter det är och hur de används (detta oavsett om du har avtal med personen i fråga).

Återigen, behandling är inte samma sak som lagring. Så här definieras behandling av personuppgifter i lagen:

Citat:

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.