Dataskyddsförordning lagen
i enlighet med tredje stycket får även regeringen eller myndighet som regeringen bestämmer meddela föreskrifter med undantag från förbudet. I andra stycket står detta att sådan uppgiftsbehandling är tillåten för forskningsändamål, om behandlingen godkänts enligt lagen om etikprövning av forskning som avser människor.
De flesta bestämmelserna inom personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel inom löpande text. Förbudet i första stycket gäller dock inte myndigheter. Den innehåller dels enstaka dataskyddsförordning, dels ett särskilt dataskyddsdirektiv för brottsbekämpande myndigheter. Lindqvist fälldes med motiveringen att denna inte anmält till Datainspektionen att hon vid hemsidan behandlat personuppgifter.
Noterbart att domstolen ej nödvändigtvis knyter definitionen enbart till allmänheten, utan även om frågor enbart har betydelse på grund av en viss grupp så kan det falla in under journalistiska ändamål. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter i enlighet med 3 § PuL. Det är bland annat förbjudet för att överföra personuppgifter till icke-EU-länder om sådana länder inte har en adekvat nivå för skyddet av personuppgifterna.
Syftet med lagen är för att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter 1 § PuL. En personuppgift är all slags kunskap som direkt eller indirekt kan hänföras mot en fysisk person som är i existensen.
Lag med kompletterande bestämmelser till EU:s dataskyddsförordning
Detta förbud har dock en del undantag. Detta ansågs inte strida mot PuL tillsammans med hänvisning att det föll in under journalistiskt ändamål. Personuppgiftslagen tillämpas inte om den skulle strida mot bestämmelser i grundlagarna tryckfrihetsförordningen samt yttrandefrihetsgrundlagen 7 § 1 st PuL. Lagen tillämpas inte heller om den skulle inskränka en myndighets skyldighet att lämna ut offentliga uppgifter enligt offentlighetsprincipen , som finns reglerad i 2 kapitlet i tryckfrihetsförordningen 8 § 1 st PuL.
Vid en bedömning ifall vad som anses vara en adekvat nivå skall man ta hänsyn till samtliga omständigheter men framför allt "uppgifternas art, ändamålet tillsammans behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler såsom finns för behandlingen i det tredje landet" 33 § PuL. Det kan dock artikel tillåtet med tredjelandsöverföring om det föreligger samtycke från den personuppgiftsregistrerade eller om en sådan överföring krävs för att den personuppgiftsansvariga skall kunna fullfölja ett avtal, en rättslig skyldighet eller för att skydda vitala intressen till den registrerade 34 § PuL.
Även regeringen får meddela undantag från detta förbud 35 § PuL. Trots att en publicering vid Internet tekniskt sett skulle kunna anses existera tredjelandsöverföring, så räknas det inte som ett sådan om servern ligger i Sverige alternativt i ett EU-land. Enligt PUL skall behandling av personuppgifter anmälas till lagens tillsynsmyndighet, liksom är Integritetsskyddsmyndigheten. Den svenska personuppgiftslagen ersattes den 25 maj av EU:s dataskyddsförordning GDPR , [ 3 ] som presenterades Reformen avser att modernisera EU:s dataskyddsdirektiv från samt reglerar även lagring av personuppgifter.
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning
Lagen reglerade behandling av personuppgifter. Sådana uppgifter får dock behandlas i vissa situationer som uppräknas i 15 till 19 §§ se 14 § PuL. Noterbart är att även regeringen eller den myndighet som regeringen bestämmer inom detta fall tillsynsmyndigheten Datainspektionen får meddela föreskrifter om ytterligare undantag från förbudet i 13 § om det behövs med hänsyn mot allmänt intresse 20 § PuL. Utöver dem "känsliga personuppgifter" som nämns i 13 § PuL, listade ovan, får man enligt 21 § inte registrera uppgifter om domar inom brottmål, laga frihetsberövanden och liknande.
Detta kommer till uttryck i bland annat det sålunda kallade Ramsbrofallet där en person lagt ut personuppgifter på Internet. Denna regel kallas oftast "missbruksregeln". Lagen trädde i kraft den 24 oktober då den förra datalagen slutade gälla. Med behandling av personuppgift avses "varje åtgärd eller serie av åtgärder som vidtas inom fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till modell insamling, registrering, organisering, lagring, bearbetning eller förändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning alternativt samkörning, blockering, utplåning eller förstöring" 3 § PuL.
Lagen gäller för personuppgiftsansvariga som existerar etablerade i Sverige. Lagen tillämpas också då den personuppgiftsansvarige är etablerad i icke-EU-land dock för behandlingen av personuppgifter använder sig från utrustning som finns i Sverige. Även beslut om undantag i enskilda fall får meddelas av regeringen eller denna myndighet enligt fjärde stycket 21 § PuL Denna myndighet vilket omskrivs i 21 § är Datainspektionen i enlighet med 9 § personuppgiftsförordningen.
Detta konstaterade EU-domstolen inom sitt avgörande i det så kallade Bodilfallet. Lagen föreslogs följa samma struktur som direktivet, med motiveringen att direktivet saknar förarbeten samt därför inte kan tolkas — det ansågs därför lämpligast att försöka följa direktivets skrivelse och struktur. PUL gäller inte för sådan behandling av personuppgifter som en fysisk individ utför som ett led i en aktivitet av rent privat natur 6 § PuL.
Bestämmelsen bör tolkas snävt - i exempelvis RH , det så kallade Bodilfallet, sålunda kom domstolen fram till att publicering från uppgifter på hemsida av en privatperson vid en allmänt tillgänglig hemsida inte innebär privat bruk. Det är förbjudet att "behandla personuppgifter om lagöverträdelser som innefattar brott, domar inom brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden" i enlighet med 21 § första stycket.
Undantag har gjorts för litterära, konstnärliga och journalistiska ändamål 7 § PuL. Med journalistiska ändamål menas "att informera, utöva kritik och väcka debatt ifall samhällsfrågor av betydelse för allmänheten". Betydelsen får anses väldigt vidsträckt och omfattar inte enbart en journalists yrkesutövning, utan vem som helst som har ett genuint journalistiskt ändamål i enlighet med definitionen ovan omfattas av undantaget.
Om ett behandling av personuppgifter faller in under missbruksregeln är det enda kravet på den personuppgiftsansvariga att materialet inte kränker den personliga integriteten hos den registrerade det vill säga en missbruk av uppgifterna, varav namnet 5 a § PuL. De bestämmelser som undantas existerar följande paragrafer: 9 § grundläggande krav vid behandlingen av personuppgifter , 10 § då behandling är tillåten , §§ känsliga data , §§ uppgifter om lagöverträdelser och personnummer , §§ informationsskyldighet , 28 § rättelse av felaktig uppgift , §§ överföring mot tredje land och 42 § upplysningar mot allmänheten om behandlingar som inte anmälts.