Definiering av användningsändamålet och planering av behandlingen



Ett centralt krav i tillämpningen av personuppgiftslagen innebär att definiera ändamålet med behandlingen av personuppgifter. Ändamålet med behandlingen av personuppgifter bör definieras så, att av detta framgår, för vilka slag av åligganden som den registeransvarige sköter personuppgifterna behandlas.

Endast på basis av denna definiering kan bedömas, vilka som är från ändamålets synpunkt behövliga och felfria personuppgifter. Inte ens med den registrerades samtycke får från användningsändamålets synpunkt onödiga personuppgifter insamlas eller på annat sätt behandlas.

Med personregister avses enligt definitionen i personuppgiftslagen en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader.

Vad lagen definierar som personregister är således ett s.k. logiskt personregister. Till samma logiska register hör både de med automatisk databehandling upprätthållna delarna och de manuellt upprätthållna delarna, om uppgifterna används av den registeransvarige för skötseln av samma åliggande.

Bland de i lagen avsedda behandlingsändamålen (användningsändamålen) kan som exempel nämnas:

  • Hos varje arbetsgivare uppkommer personregister, å ena sidan för skötseln av arbetsavtalsförhållandet, och skilt för valet av arbetstagare (olika register uppkommer vid olika anställningsprocesser)
  • Vid en verksamhetsenhet inom hälsovården, t.ex. en hälsocentral, uppkommer ett personregister för vården av patienterna (patientregister).
  • Inom socialvården uppkommer olika personregister vid skötseln av socialväsendets lagstadgade åligganden (t.ex. vid skötseln av utkomststödärenden, vid skötseln av i barnskyddslagen stadgade åligganden, för ordnande och genomförande av dagvården, för uppfostrings- och familjerådgivning m.m).
  • Hos ett företag uppkommer ett personregister vid skötseln av varje kundförhållande av olika typ som anknyter till dess bransch

De personuppgifter som samlas in för något visst ändamål hör till samma logiska personregister som upprätthålls av den registeransvarige, oberoende av om uppgifterna upprätthålls med hjälp av adb eller manuellt. Ofta uppkommer ett för något visst användningsändamål upprättat personregister av inom skilda delfunktioner bildade delregister, och/eller av olika verksamhetsställens delregister (t.ex. inom den kommunala dagvården uppkommer åtminstone ett delregister över ansökningsförfarandena och register över de skilda daghemmen).

Ett annat centralt krav med tanke på lagens målsättning att uppnå en god databehandling och informationshantering är:

  • att utgående från verksamhetens behov planera behandlingen av personuppgifter, med därtill hörande förfaringssätt och tekniska lösningar i fråga om alla skeden av behandlingen av personuppgifter, dvs. från insamlande och lagring av personuppgifter ända till utlämnande och förvaring av personuppgifterna.

Som resultat av planeringen uppgörs ??ifge?? samt utvärderas den planerade behandlingens lagenlighet med hänsyn till personuppgiftslagens bestämmelser och eventuella specialstadganden. I samband med planeringen är det också skäl att göra en kartläggning av dataskyddsriskerna.

Planeringen av behandlingen av personuppgifter bör genomföras på basis av den definierade logiska helheten. I annat fall är det inte möjligt att förverkliga den målsatta goda informationshanteringen.

Ifall ett företag, ett ämbetsverk eller en inrättning som registeransvarig för egen räkning anskaffar eller planerar t.ex. databehandlingstjänster av utomstående serviceleverantörer (på basis av ett uppdragsavtal), är det uppdragsgivaren som bär ansvaret för behandlingen av personuppgifterna. Sådan behandling bör, i likhet med parternas åligganden och ansvar, inkluderas i den plan som gäller behandlingen av personuppgifter.

Uppdragsgivarens ansvar bestäms på basis av det uppdragsavtal som ingås om saken. Också avtalet kan endast ingås på grundvalen av ett adekvat planerings- och analysarbete. Det är alltid skäl att uppgöra avtalet skriftligt.

För behandlingen av personuppgifter och dess lagenlighet svarar den registeransvarige. Med registeransvarig avses en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. Den registeransvarige är således ett företag, en inrättning, ett ämbetsverk eller en sammanslutning, inte en person som är anställd hos dessa.

Med reglementen, arbetsordningar, befattningsbeskrivningar m.fl. definieringar fastslås de ansvar och uppgifter som ankommer på personalen inom registerföringen. Ansvar inom behandlingen av personuppgifter anknyter alltid som en del till det operativa ansvaret. Åtminstone större registeransvariga organisationer har skäl att för koordineringen och skötseln av de dataskyddsärenden som förutsätts i skilda uppgifter tillsätta en dataskyddsgrupp eller dataskyddsansvarig.

Det är således skäl för varje registeransvarig att i samband med planeringen gå igenom personuppgiftslagens förutsättningar för behandling av personuppgifter. Dessa förutsättningar kan grupperas på följande sätt:

  • När får personuppgifter behandlas
  • Hurudana personuppgifter får behandlas
  • Vilka allmänna förpliktelser bör beaktas vid behandlingen
  • Hur beaktas den registrerades rättigheter
  • Är Du anmälningsskyldig
 
Publicerad 1.8.2013