[Erik Stenman]

Hej.
Vad gäller egentligen för en webbsida som inte själv har någon databas med kund/personuppgifter men läser in datat i ett API och visar på sidan. Det förutsätts att tillstånd finns för användandet av API:et

Exempel: google-api:n som visar kontaktuppgifter till företag.
Tes: Eftersom det är företagsuppgifter så borde det inte vara några problem?

Exempel: API som visar namn och adress för en privatperson.
Tes: Jurdiskt tillåtet att visa uppgifterna eftersom den som delar ut uppgifterna har tillstånd för databasen och uppfyller PUL?

Får man alltid skriva ut personuppgifter på en hemsida?
När får man det i så fall inte?
Är man skyldig att "ta bort" uppgifter så som namn på en person eller adress om den ber om det?

[tartareandesire]

Känns som du blandar ihop lite nu, företagsuppgifter har inget med PUL att göra. I övrigt beror det ju lite på hur du använder informationen så det går inte att ge ett generellt svar utöver det att svaret är ett nej på din fråga om det alltid är tillåtet att publicera personuppgifter. Det har dels att göra med vilka uppgifter som publiceras och i vilket sammanhang. En rad frågor och svar gällande PUL hittar du på Datainspektionens sida, den här kanske är relevant för dig t.ex.:

http://www.datainspektionen.se/sv/fr...amn-pa-natet1/

Vidare säger de följande:

Citat:

De flesta bestämmelserna i personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel löpande text. Det kan vara fråga om texter som publicerats på webbsidor. En sådan publicering av personuppgifter är tillåten utan andra restriktioner än att behandlingen inte får kränka den registrerade.

Därutöver finns undantag för journalistiska ändamål:

Citat:

Om personuppgifterna behandlas uteslutande för journalistiska ändamål gäller i huvudsak bara bestämmelserna om säkerhet i personuppgiftslagen. Inom ramen för ett journalistiskt ändamål ligger att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. Undantaget är inte avsett bara för etablerade massmedier och personer som är yrkesverksamma inom sådana medier utan även andra kan behandla personuppgifter för journalistiska ändamål. Uppgifter av rent privat karaktär omfattas normalt inte av undantaget, även om uppgifterna publiceras i ett sammanhang som i övrigt har journalistiska ändamål eller rör personer som det också lämnas andra uppgifter om som omfattas av det journalistiska ändamålet.

Samma sak gäller exempelvis vid hantering av strukturerad information. Inte heller här går det att ge ett generellt svar. Där är det till stor del ändamålet till lagringen av personuppgifterna som avgör så man måste alltid göra en bedömning i varje enskilt fall.

Är själv ganska kritisk till delar av PUL och tycker de går för långt ibland.

[Erik Stenman]

Jag kanske ska fråga datainspektionen men enligt ovan länkar så verkar det ju som om dom i princip inte godkänner någonting. Varken att man kontrollerar om ens anställda har blivit klassade som terrorister av FN eller EU eller huruvida anställda är dömda för grövre brott. Så jag antar att oavsett vad jag frågar så får jag nej.

Det som gör det svårare för mig att skapa mig en bättre bild i frågan är att jag personligen inte har någon databas och inte lagrar någon information.

[tartareandesire]

Citat:

Ursprungligen postat av Erik Stenman

Jag kanske ska fråga datainspektionen men enligt ovan länkar så verkar det ju som om dom i princip inte godkänner någonting. Varken att man kontrollerar om ens anställda har blivit klassade som terrorister av FN eller EU eller huruvida anställda är dömda för grövre brott. Så jag antar att oavsett vad jag frågar så får jag nej.

Nu förstår jag inte riktigt hur du drog den slutsatsen Det finns en hel del du får göra med personuppgifter men de exempel du beskrev nu handlade ju bara om att få ut uppgifter från myndigheter?

[Erik Stenman]

Citat:

Ursprungligen postat av tartareandesire

Nu förstår jag inte riktigt hur du drog den slutsatsen Det finns en hel del du får göra med personuppgifter men de exempel du beskrev nu handlade ju bara om att få ut uppgifter från myndigheter?

Jag läste igenom ett antal av exemplen och drog slutsatsen att de var väldigt snäva i sina tolkningar av vad man får göra med personuppgifter. Nja, få ut och få ut. De skrev att man inte fick kontrollera anställdas namn mot listor över uppförda terrorister eller liknande.
Det fanns massor med andra exempel där jag tycker lagen mest motverkar nytta.

[tartareandesire]

Citat:

Ursprungligen postat av Erik Stenman

De skrev att man inte fick kontrollera anställdas namn mot listor över uppförda terrorister eller liknande.
Det fanns massor med andra exempel där jag tycker lagen mest motverkar nytta.

Kan du länka till den texten?

[emilv]

Citat:

Ursprungligen postat av Erik Stenman

Jag kanske ska fråga datainspektionen men enligt ovan länkar så verkar det ju som om dom i princip inte godkänner någonting. Varken att man kontrollerar om ens anställda har blivit klassade som terrorister av FN eller EU eller huruvida anställda är dömda för grövre brott. Så jag antar att oavsett vad jag frågar så får jag nej.

Det som gör det svårare för mig att skapa mig en bättre bild i frågan är att jag personligen inte har någon databas och inte lagrar någon information.

Så skulle jag också tolka PuL. Att på ett strukturerat sätt hantera uppgifter om huruvida en person begått brott eller ej är inte tillåtet enligt PuL. Det normala i de fall det krävs för jobbet brukar vara att personen själv tar med sig en utskrift ur polisregistret.

Att du inte lagrar information påverkar inte saken. Det är användningen som kontrolleras; lagring är bara en del av användningen. Det är ju till och med så att man måste ha tillstånd för att förstöra personuppgifter. Visar du uppgifterna på ett strukturerat sätt, till exempel sökbart eller i en lista? I sådana fall bör de betraktas som strukturerade och PuL gäller.

Att du använder ett API spelar i sig ingen roll. Du täcks av PuL ändå. Den som tillhandahåller API:t kan ha fått tillstånd att sprida uppgifterna vidare på vissa premisser och då kan de kanske även tillåta dig att göra det; det beror på vilket medgivande personerna gett.

Läs personuppgiftslagen själv. Jag tycker den är tydligare än Datainspektionens material. Du kan även ta kontakt med Datainspektionen. De brukar vara pigga på att svara på frågor.

Och ja, om en person motsäger sig din behandling av deras personuppgifter måste du upphöra med behandlingen. Du är även skyldig att, vid förfrågan, kostnadsfritt en gång om året ge information om huruvida du behandlar uppgifter om en person eller inte, och i så fall vilka uppgifter det är och hur de används (detta oavsett om du har avtal med personen i fråga).

Återigen, behandling är inte samma sak som lagring. Så här definieras behandling av personuppgifter i lagen:

Citat:

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.