Personuppgiftslagen (PUL) i praktiken

Privatpersoner hängs ut

Ofta läser man om folk som “hängts ut” på olika sociala medier. Det talas om att stämma och andra åtgärder mot de som “hänger ut” (= publicera personuppgifter) och de som tillåter detta ske. Flera olika sociala medier hävdar att det är postaren som är skyldig till allt denne postar och inget det specifika sociala mediet  bär ansvaret över och därför låter det stå kvar.

Vad säger regler och lagar

Den som vet detta bäst är Datainspektionen som är kontrollorgan för personuppgiftslagen (PUL). Vi hoppar över själva den tråkiga personuppgiftslagen och citerar i stället Datainspektionen:s förklaringar av lagen.
Vem är skyldig att följa PUL:

Dessa regler gäller enligt personuppgiftslagen

Olika regler i personuppgiftslagen gäller beroende på om de personuppgifter som behandlas är strukturerade eller inte. I normalfallet när organisationer skapar en profil i ett socialt medium (till exempel en Facebookprofil) är personuppgifterna som organisationen behandlar och har tillgång till ostrukturerade i lagens mening. När uppgifterna är ostrukturerade är publicering tillåten så länge uppgifterna inte är kränkande (5 a § personuppgiftslagen) och under förutsättning att organisationen uppfyller vissa krav på säkerhet (30–31 §§ personuppgiftslagen).

Källa: Datainspektionen

Ostrukturerad i lagens mening betyder exempelvis laguppställningen för ett idrottslag, klasslista, klubblista osv. Personuppgiftslagen gäller dock inte för (siffrorna är tillagda av undertecknad):

1 • när det finns avvikande bestämmelser i andra lagar eller förordningar
2 • då personuppgifter behandlas för privata ändamål (organisationer kan dock aldrig behandla personuppgifter för privata ändamål)
3 • om det strider mot bestämmelserna om tryck- och yttrandefrihet
4 • om publiceringen av personuppgifter kan bedömas ske för ett uteslutande journalistiskt ändamål, det vill säga om syftet är att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I så fall gäller endast bestämmelserna om säkerhet.

Källa:  Datainspektionen

Under punkt 2

Det är tillåtet att föra privata dataregister som hanterar personuppgifter. Organisationer får däremot inte föra sådana register.

Under punkt 4

Man får i Journalistiskt syfte hantera personuppgifter i register. Om man exempelvis skriver en artikel kan ett sådant register behövas för att överhuvudtaget möjliggöra att artikeln skrivs. Journalisten måste då följa de bestämmelser som säkrar att ett sådant register inte kan användas av andra än den eller de som behöver uppgifterna i sitt journalistiska arbete. Observera att tolkningen inte är kopplad till yrket journalist utan till ett journalistiskt arbete. Att kommentera på ett forum eller en blogg anses inte nå upp till kravet för journalistiskt arbete.

Under punkt 1 och 3

Under vissa sällsynta fall kan andra regler gälla men det lämnar vi därhän i denna artikel.

Organisationens ansvar för anställda och/eller medlemmars publiceringar

Vad säger lagen om du exempelvis har ett företag eller annan organisation, med anställda eller medlemmar, som aktivt låter dessa i företagets eller organisationens namn publicera uppgifter gällande företaget eller organisationen. Som organisation kan räknas forum eller bloggar med möjlighet att posta publikt. Så här säger datainspektionen om det (styckuppdelning med siffror är gjord av undertecknad):

1. En organisation som använder sociala medier har ett ansvar för publiceringar (av kommentarer, bilder, filmklipp med mera) som görs av anställda och andra som publicerar inlägg för organisationens räkning i de sociala medierna.

2. För att organisationen även ska anses ha ett ansvar för publiceringar som görs av användare som inte agerar på uppdrag av organisationen, krävs att organisationen har möjlighet att påverka och därmed bestämma över användares inlägg.

3. En omständighet som medför att organisationen blir personuppgiftsansvarig är om organisationen har möjlighet att ta bort användares publiceringar.

4. Det kan också ha betydelse om organisationen har möjlighet att stänga av kommentarsfunktionen, samt om det är organisationen själv som tillhandahåller det sociala mediet.

Källa: Datainspektionen

Punkt 1

Det framgår mycket klart att exempelvis ett företag har ansvar för vad som skrivs under företagets olika profiler på nätet. Ett företag kan exempelvis inneha ett eget konto på Facebook och där ansvarar företaget för vad som skrivs för företagets räkning. I detta fall kan “ett företag” jämställas med en organisation, klubb, ägare av forum och bloggar eller liknande där det går att kommentera publikt.

Punkt 2

Om de som kommenterar på sociala medier i eget intresse men ägaren eller den som har kontroll över mediet kan redigera eller ta bort det som kommenterats har då också ansvaret för det som kommenteras. Enligt Datainspektionen har alltså exempelvis Flashback:s ägare, eller liknande social media, fullt ansvar för allt som postas på forumet. I Flashbacks fall har dessutom den som postar bara kontroll över sin egen post i en timma efter att det postats därefter är det bara ägaren till forumet som äger kontrollen över posten. Detta  lägger extra tyngd på Flashbacks ägare att tillse att inga lagar bryts som i denna artikel gäller PUL.

Punkt 3

Under denna punkt poängteras att ägaren eller den som har kontrollen över det sociala mediet måste kunna radera en post för att också ha ansvaret för eventuella PUL-brott. Så gott som alla sociala medier har denna möjlighet och därmed kan man säga att så gott som alla dessa medier är skyldiga till de PUL-brott dess postande deltagare skapar i sin post. Än mer måste detta betonas om postaren själv inte kan ta bort eller redigera sin post.

Punkt 4

Om den som äger eller har kontrollen över ett forum eller blogg kan stänga av kommentarsfunktionen kan det ha en viss betydelse i bedömningen, likaså om den som har kontrollen över mediet också är ägaren till mediet. Det kan tolkas så att en ägare över ett medie, som ett forum, kan avkrävas större ansvar än den som har ett konto på exempelvis Facebook. Ägaren kan stänga av och helt ta bort möjligheten att kommentera samt dölja kommentarer. Den möjligheten har inte en person med konto på en annans ägd media som exempelvis Facebook.

Kommentar

I korthet kan sägas att den som har kontrollen över en kommentar också är ansvarig för den. Om ingen har kontrollen över en kommentar, dvs ingen kan redigera eller ta bort den, är det den som kommenterat som är ansvarig för det som skrivs. Det innebär inte per automatik att man kan skapa ett forum och ta bort ägarens möjlighet att kontrollera kommentarer för att slippa undan ansvaret för kommentarerna. Här tittar rättvisan på rimligheter och avsikter med åtgärderna.

Några praktiska exempel:

Facebook, Youtube, Instagram, Linkedin, Google Plus, Flickr, Pinterest och bloggar: Organisationen är ansvarig för personuppgifter som publiceras på organisationens profil. Ansvaret omfattar både personuppgifter som organisationen själv publicerar och personuppgifter som publiceras av andra, i till exempel en kommentar på profilen. Observera att även den användare som skrivit en kommentar kan ha ett ansvar för vad den själv skrivit.

Twitter: Organisationen ansvarar endast för personuppgifter som organisationen själv publicerat, inte personuppgifter som andra twittrande lämnar. Det beror på att organisationen inte kan påverka publiceringen av andras inlägg på Twitter.

Källa: Datainspektionen

och

Organisationen måste göra en egen bedömning av vilket ansvar den har för publiceringar i olika sociala medier, genom att utvärdera om organisationen kan påverka det som användare publicerar, som på exempelvis Facebook.

Observera att en organisations ansvar för personuppgifter som publiceras i ett visst socialt medium alltså är beroende av utformningen av den sociala medietjänst som används. Förändringar av tjänsten kan därför leda till att en organisations ansvar förändras. Därför är det viktigt att vara uppmärksam på sådana förändringar i funktioner och inställningar.

Källa: Datainspektionen

Vad innehåller en organisations ansvar

Vid publicering i sociala medier har organisationen ett ansvar för att personuppgifter, som omfattas av organisationens personuppgiftsansvar, behandlas på ett sätt som inte är kränkande enligt personuppgiftslagen. Ansvaret gäller publiceringar som görs för organisationens räkning i de sociala medierna. I många sociala medier (såsom Facebook, Youtube, Instagram, Linkedin, Google Plus, Flickr, Pinterest och bloggar) gäller ansvaret som sagt även användares publiceringar, exempelvis användarkommentarer, på organisationens profiler.

Källa: Datainspektionen

Den springande punkten i publicering av personuppgifter är alltså att det är kränkande. Personuppgifter som inte är kränkande håller då en lägre profil enligt lagens sätt att se på det. Ett foto på en person är en personuppgift men om fotot visar en person i ett normalt sammanhang, särskilt tillsammans med andra, är värdet på lagbrottet mycket lågt eller finns inte alls. Om fotot däremot visar personen på ett sätt som inte är vanligt, som exempelvis naken eller i en annan prekär situation, är det definitivt ett grovt brott mot PUL. Det är också ett brott att visa personnummer. Andra PUL-brott är att visa namn eller annat som identifierar en person tillsammans med adress, ip-nummer eller liknande som kan kopplas till personen. Det finns också situationer där exempelvis ett foto eller bara ett namn som normalt håller för låg verkshöjd för att beivras ändå kan uppnå den höjden om resterande beskrivningar nära fotot eller namnet är kränkande. Exempelvis kan ett komplett namn nämnas i en tråd på ett forum och därefter kränks denna person mycket illa. Då är utskrivandet av namnet ett brott mot PUL. Om personen inte kränks enligt vad som anses vara en kränkning enligt lag är publiceringen av namnet inte ett brott mot PUL. Om namnet publiceras tillsammans med ett brott denne person begått, blivit frad från eller påstås begått, är det ett brott mot PUL.

Ansvaret innebär att organisationen eller ägaren till mediumet

– inte får publicera kränkande personuppgifter

– ska hålla regelbunden uppsikt över publiceringar för att upptäcka kränkande personuppgifter

– skyndsamt ska ta bort kränkande personuppgifter

Källa: Datainspektionen

Den sista punkten här ovan är mycket viktig att poängtera. Den som har kontrollen över kommentarer måste alltså så fort det är möjligt radera eller redigera kränkande inlägg där offentliggörandet av perosnuppgifter anses som ett brott mot PUL. “Så fort som möjligt” betyder att man inte kan lasta den som har kontrollen, för brott mot PUL, om det inte tas bort inom några timmar. Om det börjar närma sig ett helt dygn kan det däremot betyda att den som har kontrollen gjort sig skyldig till brott. I det första fallet är det bara den som postat kommentaren som är skyldig till brott.

Hur mycket kontroll kan avkrävas

Kontrollkravet beror på vad mediet normalt används till. Om det är en blogg där man med låg frekvens diskuterar samlandet av etiketter till vinflaskor kan man inte avkräva någon särskilt stor kontroll över kommentarerna. Om det däremot är ett forum med många som kommenterar och det ofta förekommer kränkande uppgifter kan kontrollen ligga på ständig nivå. Dvs de som ansvarar för forumet måste tillse att någon med editeringsmöjlighet ständigt ser igenom trådar efter kränkande inlägg. I annat fall är ägaren till forumet skyldig till de brott som postas.

Det här bör organisationen tänka på

  • För att minska risken för kränkningar av enskildas personliga integritet bör organisationen vidta åtgärder i förebyggande syfte. Organisationen bör till exempel:
  • informera om för vilka ändamål som kommentarsfunktionen är tänkt att användas, vilka typer av kommentarer som inte får förekomma och att publiceringar kan komma att plockas bort
  • uppmana användare att rapportera kränkande innehåll till organisationen och ha rutiner för att hantera klagomål.
  • Utforma profilen i det sociala mediet så att det tydligt framgår att det är organisationen som står bakom den.
  • Det kan finnas andra bestämmelser, utöver personuppgiftslagen, som har betydelse för vad som är tillåtet och inte, som exempelvis bestämmelser i registerförfattningar, bestämmelser om allmänna handlingar, sekretess och arkivering samt lagen om ansvar för elektroniska anslagstavlor.
  • Informationen på den här sidan utgår ifrån förutsättningen att organisationen inte behandlar eller kommer att behandla personuppgifterna i ett register, ärendehanteringssystem eller annan databas, på ett strukturerat sätt. I så fall gäller personuppgiftslagen i sin helhet.

Källa: Datainspektionen

Utomlands

Social media som är placerad utanför Sveriges gränser har inte rätt att begå brott enligt PUl eller andra lagar bara för att de inte finns i Sverige. Det som är problematiskt i sådana fall är att komma åt de ansvariga. Ofta har de inte ens någon officiell ägare. Då de har en ägare är ägaren oftast skyddad genom sinnrika system eller av det aktuella landets lagar. Det vanligaste är att ett aktuellt lands lagar inte kan tillämpas när ett annat lands medborgare skriver på forumet. Som exempelvis USA. Engelska lagar kan däremot tillämpas mot ägare till forum som finns i England men där skribenterna sitter i Sverige. Här kan vi påminna om att Flashback finns i Sverige och likaså ägaren, FMG.

Summarum

Det är alltså inte bara till att starta ett forum eller annan social media och låta kleti och pleti kommentera loss som man vill. Det krävs kontroll och det krävs att kränkande kommentarer tas bort, inte minst PUL-brott. Ett PUL-brott i exempelvis en “tråd” kan det vara som gör resten av kommentarerna kränkande på brottslig nivå. Utan PUL-brottet är det ingen som vet vem man avser i det övrigt kränkande materialet. Dvs det är inte kränkande att skriva illa om en person som inte namngetts eller delgivit andra uppgifter som pekar ut vem det är.

Nu gäller det att se över hur forum/bloggar agerar i dessa frågor

Det är nära till Datainspektionen…….

Denna webbplats använder cookies. Genom att fortsätta använda denna webbplats accepterar du vår användning av cookies.  Lär dig mer