Menu

Personuppgiftslagen (PUL)


Information om Personuppgiftslagen (PUL)

PUL ställer inte något krav på licens eller tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar de personuppgiftsansvariga självständigt för att deras behandling av personuppgifter överensstämmer med lagen. 

Datainspektionen är tillsynsmyndighet och övervakar tillämpningen av bestämmelserna. Hela lagtexten finns här: http://www.pul.nu/lagtext.html

Bisnode tillämpar Bisnodes koncernövergripande Integritetspolicy med utgångspunkt i publicistiska värderingar.

Bisnode är medlem i en branschorganisation som heter Swedma. Swedma har tagit fram en generell branschöverenskommelse. Branschöverenskommelsen är en tolkning av PUL i mer praktiska termer. De anger närmare vad man får göra med ett DR-register, hur information skall lämnas till de registrerade o.s.v. Vill du se branschöverenskommelsen i sin helhet så läs vidare längre ner i detta dokument.

Du är naturligtvis alltid välkommen att ringa till din kontaktperson på Bisnode om du har några frågor eller e-posta till Info.marknad.se@bisnode.com

.

Regler för användningen av personuppgifter m.m. vid direktmarknadsföring för försäljnings-, insamlings-, medlemsvärvningsändamål och liknande.

Innehållsförteckning

1. Bakgrund

2. Tillämplighet

3. Reglernas förhållande till svensk lagstiftning

3.1 Branschregler

3.2 Begrepp

3.3 Anmälan enligt personuppgiftslagen av behandling av personuppgifter

4. Varifrån personuppgifter kan samlas in

5. Förhållandet mellan den registrerade och den personuppgiftsansvarige

6. Uppgifter som får samlas in samt villkor för behandlingen

6.1 Huvudregel

6.2 Anknytning finns...

6.3 Anknytning saknas...

6.4 Begränsningar i användningen av personuppgifter mm

7. Information till den registrerade

7.1 Vid insamling av personuppgifter

7.2 Vid nyttjande av personuppgifterna för direktmarknadsföringsändamål

7.3 Information efter ansökan

8. Rättelse m.m. av personuppgifter

9. Ansvar och sanktioner

9.1 Ansvar

9.2 Sanktioner

1. Bakgrund

 Inom bl.a. Europeiska Unionen, svensk lagstiftning och näringslivets internationella organisationer finns en gemensam vilja att till skydd för grundläggande fri- och rättigheter säkerställa att uppgifter om enskilda i olika sammanhang endast används på ett från allmän synpunkt acceptabelt sätt. I den aktuella EU-lagstiftningen samt motsvarande svensk lagstiftning förordas att berörda delar av samhället genom branschöverenskommelser och liknande egenåtgärder kompletterar lagstiftningen. På initiativ av Swedish Direct Marketing Association (Swedma) har berörda delar av svenskt näringsliv samt frivilliga insamlingsorganisationer (se bilaga 2) tagit fram följande regler som syftar till att mot bakgrund av gällande lagstiftning och allmänt omfattade etiska värderingar närmare ange dels vad som kan anses vara god sed vid insamling, användning, spridning och annan behandling av personuppgifter för direktmarknadsföringsändamål dels det ansvar som åvilar företag, organisationer eller den som eljest utför sådan behandling.

De etiska reglerna bygger på bl a - EUs direktiv om skydd för enskilda personer med avseende på behandlingen av personuppgifter och om det fria flödet av sådana uppgifter (95/46 EG) - EUs direktiv om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet (97/66/ EG) - EUs direktiv om konsumentskydd vid distansavtal (97/7 EG) - Personuppgiftslagen (PUL) (SFS 1998:204) - Personuppgiftsförordningen (SFS 1998:1191) - Internationella Handelskammarens (ICC) Grundregler för reklam, Regler för säljfrämjande åtgärder, Regler för Direktmarknadsföring samt Internet-regler: riktlinjer för reklam och marknadsföring. - FEDMAs European principles for the use of the telephone as a marketing medium by business

2. Tillämplighet

Reglerna är tillämpliga på behandling av personuppgifter som sker - för direktmarknadsföringsändamål då marknadsföringen är avsedd att riktas mot enskilda individer i deras egenskap såväl som privatperson som befattningshavare vid företag, i organisation eller liknande och som avser den svenska marknaden - såväl elektroniskt som i manuella register

3. Reglernas förhållande till svensk lagstiftning

3.1. Branschregler

Förhållandet att reglerna antagits av branschorganisationer och andra frivilliga organisationer innebär att de inte i alla avseenden överensstämmer med vad som följer av motsvarande regler i lagstiftning. De ger dock inte i något fall rätt att behandla personuppgifter på ett sätt som strider mot gällande lagstiftning, praxis enligt denna eller mot särskilda villkor meddelade av t.ex. Datainspektionen. Däremot går de längre än lagstiftningen t.ex. genom att i vissa avseenden omfatta flera företeelser och verksamheter än motsvarande lagregler.

3.2. Begrepp

Begrepp som "personuppgifter", "behandling av personuppgifter", "personuppgiftsansvarig", "den registrerade" etc. som används i dessa regler har samma innebörd som följer av definitionerna i 3 § personuppgiftslagen. Dessa definitioner framgår av bilaga 1. Begreppen "marknadsföring" och "direktmarknadsföring" har i dessa regler en vidare innebörd än de har i lagstiftningen och omfattar inte bara marknadsföring för försäljningsändamål utan också penning- och annan bidragsinsamling, medlemsvärvning och liknande. Begreppet "adressuppgift" avser sådana uppgifter som gör det möjligt att nå den registrerade för direktkommunikation oavsett om detta sker i skrift eller i tal. Begreppet omfattar därför t.ex. bostadsadress, arbetsplatsadress, telefonnummer, e-postadress och liknande.

3.3. Anmälan enligt personuppgiftslagen av behandling av personuppgifter Denna branschöverenskommelse har den 16 juni 1999 bedömts av Datainspektionen i enlighet med 12 § personuppgiftsförordningen (SFS 1998:1191). Behandling av personuppgifter som sker i överensstämmelse med överenskommelsen är därför enligt 5 § f DIFS 1998:2 undantagen från anmälningsskyldighet enligt 36 § första stycket personuppgiftslagen.

4. Varifrån personuppgifter kan samlas in Personuppgifter för direktmarknadsföringsändamål kan samlas in från

1. den registrerade själv

2. register eller annan källa där den registrerade är eller kan antas vara medveten om att personuppgifter kan användas och/eller lämnas ut för sådana ändamål utan att ha motsatt sig detta.

5. Förhållandet mellan den registrerade och den personuppgiftsansvarige I dessa regler görs en grundläggande skillnad mellan situationerna

1. då det finns en anknytning mellan den registrerade och den personuppgiftsansvarige och

2. då sådan anknytning saknas.

En anknytning av i 1 åsyftat slag kan bestå i att den registrerade - har haft personlig eller annan direktkontakt med den personuppgiftsansvrige eller ombud för denna och därvid själv lämnat de uppgifter som registreras eller medgivit att de inhämtas - är kund eller medlem hos eller har annat liknande, aktivt eller passivt, förhållande till den personuppgiftsansvarige.

6. Uppgifter som får samlas in samt villkor för deras behandling

6.1. Huvudregel

Vid all insamling och annan behandling av personuppgifter för direktmarknadsföringsändamål måste den personuppgiftsansvariges intresse av att få behandla uppgifterna för sådant ändamål alltid vägas mot risken av att de registrerade kan uppleva användningen av uppgifterna som ett otillbörligt intrång i sin personliga integritet. Det skall därvid beaktas att risken för ett otillbörligt intrång är större då personuppgifterna avser de registrerade i deras egenskap av privatpersoner än i egenskapen av befattningshavare vid t ex företag eller organisation. Intresseavvägningen skall ske både i fråga om vilka personuppgifter som kan användas och i fråga om hur uppgifterna kan användas för det aktuella direktmarknadsföringsändamålet. Insamling och annan behandling av personnummer förutsätter särskilda skäl såsom vikten av en säker identifiering. Bortsett från s k tillfällig personnummersättning, som sker hos myndigheter, för att ta bort kunddubbletter och liknande skall personnummer ej behandlas i prospectsituationer enligt 6.3.

Uppgifter - t ex adressuppgift som telefonnummer - som den registrerade på vedertaget sätt anmält som hemlig får inte annat än efter samtycke från den registrerade behandlas för direktmarknadsföringsändamål.

6.2. Anknytning finns mellan den registrerade och den personuppgiftsansvarige 6.2.1. Samtycke Oberoende av om en anknytning mellan de registrerade och den personuppgiftsansvarige redan finns eller etableras genom insamlingen får, med de begränsningar som följer av 6.1, personuppgifter alltid samlas in och eljest behandlas för de direktmarknadsföringsändamål och i den utsträckning som den registrerade uttryckligen givit sitt samtycke till. Den registrerade skall i samband med att uppgifterna samlas in erhålla information enligt p 7.1 nedan. Den personuppgiftsansvarige bör dokumentera eller på annat lämpligt sätt kunna visa vilken behandling av personuppgifter den registrerade samtyckt till.

6.2.2. Kundförhållande, medlemskap och liknande

Består anknytningen mellan den registrerade och den personuppgiftsansvarige i t.ex. ett kundförhållande, medlemskap eller liknande regleras möjligheterna av att använda därvid behandlade personuppgifter för direktmarknadsföring, i första hand av de särskilda ändamål och villkor som gäller för denna behandling. Särskilda villkor kan vara meddelade i t ex författning utfärdad av Datainspektionen eller följa av en branschöverenskommelse, som gäller för den behandling av personuppgifter vilken sker till följd av anknytningen mellan den personuppgiftsansvarige och den registrerade. Om i sådana ändamål och villkor som nu avsetts inte uttryckligen anges hur uppgifterna får användas för direktmarknadsföringsändamål, får personuppgifterna, med de begränsningar som följer av 6.1 och 6.4, användas för den personuppgiftsansvariges egen direktmarknadsföring gentemot de registrerade. Med samma begränsningar får uppgifterna också lämnas ut för annan marknadsförares planerade direktmarknadsföring som har en näraliggande och naturlig koppling till anknytningen mellan den registrerade och den personuppgiftsansvarige. Den personuppgiftsansvarige får komplettera tillgängliga adressuppgifter från annan källa än den registrerade. Den registrerade skall senast i samband med att uppgifterna används för direktmarknadsföringsändamål erhålla information enligt p 7.2 nedan.

6.3. Anknytning saknas mellan de registrerade och den personuppgiftsansvarige

Med de begränsningar som följer av denna punkt och p 6.1 och p 6.4 får personuppgifter insamlas och eljest behandlas i den utsträckning som är nödvändig för det aktuella direktmarknadsföringsändamålet. Vid bedömningen av vilka personuppgifter som är nödvändiga skall beaktas att risken för otillbörligt intrång i den registrerades personliga integritet är avsevärt större då anknytning mellan den registrerade och den personuppgiftsansvarige saknas jämfört med då anknytning finns. Från viss källa inhämtade adressuppgifter får kompletteras med annan typ av adressuppgift hämtad från en annan källa. Personuppgifter från olika källor får samköras för att göra för direktmarknadsföringsändamålet relevanta urvalsdragningar som att ta bort dubletter genom matchning mot exempelvis egna kundregister och liknande. Fördjupning som leder till otillbörligt intrång i registrerads personliga integritet får ej förekomma. Den registrerade skall i direkt anslutning till att uppgifterna används för direktmarknadsföringsändamål erhålla information enligt p 7.2 nedan. Om kontakten mellan den personuppgiftsansvarige och den registrerade leder till sådan anknytning som avses i p 6.2.2 får uppgifter om den registrerade sparas eller överföras för sådan behandling som där avses. Detta förutsätter dock att uppgifterna står i överensstämmelse med ändamålet för den behandling för vilken de sparas eller överförs samt att tillräcklig information enligt p 7.1 lämnats till den registrerade. Övriga personuppgifter skall förstöras snarast efter det att de använts för de avsedda direktmarknadsföringsändamålen. 6.4. Begränsningar i användningen av personuppgifter mm

6.4.1. Gemensamma Begränsningar av vilka och hur personuppgifter får användas för direktmarknadsföringsändamål kan följa av bl.a. - särskilda villkor meddelade i författning som gäller för källa varifrån uppgifterna hämtas - särskilda villkor meddelade av Datainspektionen - andra regler, t ex branschöverenskommelser, som gäller för den typ av behandlingsändamål för vilka uppgifterna ursprungligen samlats in Gentemot enskilda personer får faxnummer, samt automatiska uppringningsanordningar utan mänsklig medverkan användas för direktmarknadsföringsändamål bara om den registrerade samtyckt till detta i förväg. Personuppgifter får föras över till andra länder som ingår i Europeiska unionen eller är anslutna till Europeiska ekonomiska samarbetsområdet (EES). Till andra länder Ð tredje land Ð får personuppgifter föras över endast om den registrerade lämnat sitt samtycke härtill eller detta eljest följer av personuppgiftslagen och kompletterande bestämmelser. Direktmarknadsföring får normalt inte riktas till - personer under 16 år, såvida det inte finns en anknytning mellan den minderårige och marknadsföraren där sådana kontakter kan sägas vara förutsatta av omständigheterna - nyblivna föräldrar förrän säker kontroll gjorts av att barnet inte avlidit vid eller kort tid efter födelsen. Personuppgifter avseende barnet skall därför datera sig till åtminstone åtta veckor efter barnets födelse. - dödsbon inom fyra veckor från dödsfallet. Erbjudanden om varor och tjänster som det finns ett påtagligt akut behov av , t ex gravvårdar och dödsboutredningar, kan emellertid lämnas inom denna period. Dock ej per telefon.

6.4.2. Anknytning finns mellan den registrerade och den personuppgiftsansvarige Har den registrerade motsatt sig att adressuppgifter används för visst ändamål, t.ex. DR-utskick, telefonbearbetning eller e-postutskick eller överlåtelse till annan än den personuppgiftsansvarige, skall dessa önskemål respekteras.

6.4.3. Anknytning saknas mellan den registrerade och den personuppgiftsansvarige För att tillmötesgå privatpersoners önskan att slippa direktmarknadsföring från företag, organisationer och liknande som de inte har någon anknytning till finns för vissa typer av adressuppgifter centrala allmänt tillgängliga spärregister dit de kan anmäla sig. Då adressuppgifter samlas in från annan källa än den registrerade och då anknytning saknas mellan denne och den marknadsförare, som planerar en direktmarknadsföringskontakt (prospect), skall den personuppgiftsansvarige som lämnar ut uppgifterna eller mottagaren av dessa tillse att uppgifterna i en-lighet med god branschsed kontrolleras mot aktuellt sådant spärregister.

7. Information till den registrerade om behandlade personuppgifter

7.1. Vid insamling av personuppgifter 7.1.1. Insamling av personuppgifterna från den registrerade själv I direkt anslutning till insamling av personuppgifterna från den registrerade själv skall denne i enlighet med vad som sägs i det följande lämnas information om a vem som är den personuppgiftsansvarige b för vilka direktmarknadsföringsändamål som insamlingen sker, specificerat så långt detta p.g.a. av omständigheterna är rimligt; eventuella avsikter eller möjligheter att lämna uppgifterna vidare till andra skall alltid anges c vart den registrerade kan vända sig för att t ex kontrollera vilka uppgifter som behandlas, få rättelse, anmäla önskan att uppgifterna inte används för direktmarknadsföringsändamål samt vad som i övrigt krävs för att denne skall kunna ta till vara sina rättigheter Information enligt ovan behöver inte lämnas om sådant som den registrerade redan känner till. Information enligt ovan skall lämnas på sådant sätt att det finns rimliga garantier för att den registrerade tar del av denna -- t.ex. genom lätt läsbar och tydlig text på kupong eller annan handling där den registrerade lämnar uppgifterna, genom annan särskild handling som lämnas till den registrerade eller genom tydliga anslag tillgängliga där insamlingen sker. Vid insamling per telefon skall information enligt a ovan ges tillsammans med en huvudsaklig beskrivning av samtalets syfte redan vid samtalets inledning. Information enligt b och c bör ges innan den registrerades uttryckliga samtycke till registreringen inhämtas vid samtalet. är detta inte möjligt skall information enligt a, b och c samt en skriftlig bekräftelse på vad som registrerats sändas till den registrerade snarast efter samtalet eller senast första gången uppgifterna ut-nyttjas för direktkontakt med den registrerade. Om insamling av uppgifter sker i samband med kontakt via e-post, besök på en hemsida eller med liknande teknik skall den som samlar in uppgifterna informera om att registrering sker. Information om hur man undviker att bli registrerad skall också finnas. Via det använda elektroniska mediet skall företagets/organisationens policy för skyddande av den registrerades integritet finnas lätt tillgänglig.

7.1.2. Insamling från annan källa än den registrerade själv

Då en personuppgiftsansvarig för sitt eget direktmarknadsföringsändamål samlar in personuppgifterna från annan källa än den registrerade själv enligt p 6.3 ovan skall information lämnas enligt p 7.2 i samband med att uppgifterna utnyttjas för det avsedda direktmarknadsföringsändamålet.

7.2. Vid nyttjande av personuppgifterna för direktmarknadsföringsändamål

7.2.1 Huvudregel Av en direktmarknadsföringskontakt skall för den som kontakten riktas mot (den registrerade), oberoende av på vilket sätt kontakten tas, omedelbart framgå - att fråga är om en sådan kontakt (identifiering) - för vems räkning kontakten tas (avsändarmarkering) - det närmare syftet med kontakten -- t ex visst försäljnings- eller insamlingssyfte.

7.2.2. Adresskälleangivelse En direktmarknadsföringskontakt som tas på annat sätt än muntligen skall innehålla upplysning om varifrån för kontakten använda adressuppgifter inhämtats -- s k adresskälleangivelse. Vid telefonsamtal eller annan muntlig kontakt skall adresskälleangivelse lämnas på fråga från uppringde Ð d.v.s. den registrerade. En källangivelse skall vara så utformad att den registrerade skall kunna ta kontakt med källan för att där ta tillvara sina rättigheter enligt personuppgiftslagen. Den skall därför innehålla telefonnummer och/eller adress till källan. Adresskälleangivelse behöver inte lämnas i det fall att det för en som direktmarknadsföringskontakten riktas mot -- d.v.s. den registrerade - måste vara uppenbart att kontakten beror på en så-dan anknytning som avses i p 6.2.2.

7.3. Information efter ansökan

Den personuppgiftsansvarige skall en gång per år till den som skriftligt ansöker därom kostnadsfritt lämna information huruvida uppgifter om den sökande behandlas eller ej. Behandlas personuppgifter skall upplysning lämnas om vilka uppgifter som behandlas, varifrån dessa hämtats, ändamålen med behandlingen samt till vilka eller vilka kategorier av marknadsförare som uppgifterna utlämnats. Upplysning skall även lämnas om namn på och telefon till eventuellt personuppgiftsombud.

8. Rättelse mm av personuppgifter

Den personuppgiftsansvarige är skyldig att fortlöpande hålla behandlade personuppgifter aktuella samt kontrollera att dessa är relevanta för ändamålet med behandlingen. Personuppgifter som därvid konstateras vara inaktuella, felaktiga eller ej relevanta skall rättas, blockeras eller utplånas. Om den registrerade påtalar att viss uppgift är felaktig eller inaktuell skall uppgiften snarast rättas.

9. Ansvar och sanktioner

9.1. Ansvar

Det övergripande ansvaret för att dessa branschregler iakttagas har den marknadsförare för vars direktmarknadsföring personuppgifterna behandlas. I den mån marknadsföraren och den personuppgiftsansvarige inte skulle vara densamma har de gemensamt ansvar för att reglerna följs. Personuppgiftsbiträde som behandlar personuppgifterna åt den personuppgiftsansvarige har samma ansvar för att branschreglerna iakttagas som den personuppgiftsansvarige. En personuppgiftsansvarig som lämnar ut personuppgifter till annan för direktmarknadsföringsändamål är skyldig att lämna sådan information och även i övrigt vidta rimliga mått och steg för att dessa regler skall kunna antas bli beaktade av den till vilka uppgifterna lämnas.

9.2. Sanktioner

Den som inte följer dessa regler kan anmälas till Etiska Nämnden för Direktmarknadsföring - DM-nämnden. Alla beslut i DM-nämnden offentliggörs och publiceras. Marknadsförare och/eller personuppgiftsansvarig, som handlat i strid med dessa regler och som tillhör förening eller organisation kan vare sig föreningen/organisationen åtagit sig att följa DM-nämndens beslut eller ej, rapporteras till föreningen/organisation för eventuella disciplinära åtgärder i enlighet med föreningens/organisationens egna regler. Bilaga 1 Aktuella definitioner enligt 3 § personuppgiftslagen

Behandling av personuppgifter - Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t ex insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändning, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Blockering av personuppgifter - En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd 2 kap tryckfrihetsförordningen.

Mottagare - Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Personuppgifter - All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Personuppgiftsansvarig - Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde - Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Personuppgiftsombud - Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Den registrerade - Den som en personuppgift avser. Samtycke - Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

Tredje land - En stat som inte ingår i Europeiska Unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Bilaga 2 Förteckning över organisationer/företag som deltagit i framtagningen av branschöverenskommelsen
Annonsörföreningen
Direkthandelsföretagens Förening
Frivilligorganisationermas Insamlingsråd
Näringslivets Delegation för marknadsrätt Industriförbundet
Svenska Postorderföreningen
Sveriges Reklamförbund
Swedish Direct Marketing Association (Swedma)
Tidningsutgivarna
Posten AB
Telia Info Media Partner

Skriv ut

Läs mer om våra tjänster på www.bisnode.com Bisnode