Personuppgifter i arbetslivet. Datainspektionen informerar

Storlek: px
Starta visningen från sidan:

Download "Personuppgifter i arbetslivet. Datainspektionen informerar"

Transkript

1 Personuppgifter i arbetslivet Datainspektionen informerar

2 Personuppgifter i arbetslivet Pris 53 kr inklusive moms. Illustrationer: Oscar Alarik Reviderad i mars Det kan finnas en senare version av den här broschyren i pdf-format på Tryckt hos Ineko AB i april 2012 på Arctic Volume White. Miljömärkt trycksak IISSN Datainspektionen informerar Personuppgifter i arbetslivet

3 Förord I den här broschyren får du veta mer om hur personuppgifter i arbetslivet får behandlas enligt personuppgiftslagen. Broschyren vänder sig till arbetsgivare, arbetstagare, fackförbund och branschorganisationer inom både privat och offentlig sektor. I vissa fall kan särskilda regler gälla för arbetsgivare i offentlig verksamhet och dessa tas upp i ett särskilt kapitel. I den mån det finns särskilda lagregler om behandling av personuppgifter inom arbetslivet, gäller dessa före personuppgiftslagen. Broschyren innehåller en genomgång av personuppgiftslagens bestämmelser och hur dessa tillämpas på arbetslivets område. Dessutom hittar du exempel från verkliga fall som Datainspektionen behandlat. När det talas om arbetstagare menas i vissa fall även arbetssökande. Frågan om införande av en särskild lag beträffande personlig integritet i arbetslivet har utretts ett antal gånger. Betänkandet Integritetsskydd i arbetslivet från 2009 (SOU 2009:44), som i och för sig föreslog en särskild lag avseende arbetslivet, gjorde bedömningen att personuppgiftslagen ger ett bra skydd för den personliga integriteten på arbetslivets område. Det är vår förhoppning att den här broschyren ska bidra till att öka kunskapen om både principerna bakom personuppgiftslagen och vara till nytta vid den praktiska hanteringen av ärenden som rör behandlingen av personuppgifter i arbetslivet. Stockholm den 22 mars 2012 Datainspektionen informerar Personuppgifter i arbetslivet 3

4 Innehåll Definitioner...6 Inledning....8 När gäller personuppgiftslagen?...9 Etablerad i Sverige eller etablerad i tredje land och använder utrustning här...9 Avvikande bestämmelser i författning...9 Helt eller delvis automatiserad behandling...9 Manuella register...9 Behandling i ostrukturerat material...10 Särskilda regler för offentlig verksamhet...11 Arbetsgivaren är personuppgiftsansvarig...14 Personuppgiftsbiträde...14 Vad innebär ansvaret? Ansvaret för sociala medier Om man bryter mot personuppgiftslagen Skadestånd...16 Arbetsgivarens behandling av personuppgifter några grunder Ändamål för behandlingen, Gallring Arbetsgivaren måste informera de anställda...19 Behandlingen måste vara tillåten...19 På grund av avtal, På grund av en rättslig skyldighet, För att skydda vitala intressen, Efter en intresseavvägning Med arbetstagarens samtycke...22 Ett samtycke måste vara giltigt, Ett samtycke kan återkallas 4 Datainspektionen informerar Personuppgifter i arbetslivet

5 Personuppgifter i arbetslivet några särskilda områden...25 Publicering på arbetsgivarens webbplats...25 Bilder på de anställda...25 Känsliga uppgifter På grund av skyldighet eller rättighet inom arbetsrätten, För att hävda rättsliga anspråk, Behandling av känsliga uppgifter med stöd av ett samtycke Brottsuppgifter...29 Whistleblowing...30 Personnummer Kontroll och övervakning av de anställda Arbetstagarens prestationer, Rekryteringssystem och kompetensdatabaser, Regler för användningen av IT-systemet, Loggning, Kameraövervakning, Positioneringsteknik (GPS), Biometri Tredjelandsöverföring Säkerhet för personuppgifter...42 Anmälan till Datainspektionen...42 Personuppgiftsombud...43 Samråd...43 Datainspektionens tillsyn...43 Om du behöver mer information...45 Datainspektionen informerar Personuppgifter i arbetslivet 5

6 Definitioner Personuppgifter är all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bild och ljuduppgifter om en fysisk person räknas som personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter, som exempelvis IP-nummer, omfattas också av personuppgiftslagen om uppgifterna direkt eller indirekt kan kopplas till fysiska personer. Känsliga personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Behandling av personuppgifter är varje åtgärd som utförs med personuppgifter, vare sig det sker på automatisk väg eller inte. Behandling är ett vitt begrepp som omfattar alla åtgärder som exempelvis: insamling registrering lagring bearbetning eller ändring utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter sammanställning eller samkörning. Den registrerade är den som en personuppgift handlar om, till exempel arbetstagaren eller en arbetssökande. Kompetensdatabaser är en typ av register hos exempelvis arbetsgivare där uppgifter om anställda lagras. Uppgifterna kan handla om genomförda utbildningar, arbetslivserfarenhet och poäng från kunskapstester. Det kan också röra sig om omdömen och värderande uppgifter om den anställde. Kompetensdatabaser kan användas till exempel då befattningar ska tillsättas internt och för att matcha personer mot kundernas behov. 6 Datainspektionen informerar Personuppgifter i arbetslivet

7 FAKTA Personuppgiftslagen Personuppgiftslagen trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar. Personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet. Personuppgiftsansvarig är den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Personuppgiftsbiträde Personuppgiftsbiträde är den som utanför den personuppgiftsansvariges organisation behandlar personuppgifter för dennes räkning. Samtycke är varje slag av otvetydig viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Samtycket ska vara: individuellt frivilligt särskilt otvetydigt informerat, det vill säga lämnat efter det att information om behandlingen har lämnats (informerat samtycke). Tredje land är en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES). Datainspektionen informerar Personuppgifter i arbetslivet 7

8 Inledning I arbetslivet används personuppgifter i många olika sammanhang, allt från löneregister och adresslistor till behörighetssystem och kompetensdatabaser. Någon lagstiftning som direkt avser behandling av personuppgifter inom arbetslivet finns inte. Arbetstagarens integritet i arbetslivet regleras och preciseras istället på flera olika ställen; genom arbetsrättslig lagstiftning, Arbetsmiljöverkets föreskrifter och allmänna råd, domstolsavgöranden (praxis) och i riktlinjer som skapas på arbetsmarknaden och anses uttrycka god sed i arbetslivet. Personuppgiftslagen tar vid där andra lagar slutar och gäller där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter. Vissa typer av personuppgifter anser de flesta av oss vara integritetskänsliga, till exempel uppgifter om hälsa och sexualliv. Ibland kan en arbetstagare uppleva behandling av personuppgifter som ett integritetsintrång, till exempel om informationen som behandlas är mycket detaljerad. Det är viktigt att finna en rimlig balans mellan en arbetsgivares behov av att behandla personuppgifter och den enskildes anspråk på personlig integritet. När man gör en sådan bedömning bör man också tänka på att en arbetstagare i allmänhet befinner sig i en beroendeställning i förhållande till arbetsgivaren. Ett samtycke till en viss behandling kan därför inte alltid ges samma betydelse som i andra sammanhang. Personuppgiftslagen ställer inte något krav på licens eller tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar den personuppgiftsansvarige, det vill säga arbetsgivaren, för att behandling av personuppgifter utförs på ett lagligt sätt. Det är alltså arbetsgivaren som självständigt har ansvaret och som beslutar om vem eller vilka som har rätt att behandla personuppgifter. Detta gäller även om någon annan (ett personuppgiftsbiträde) har fått till uppgift att utföra själva registreringen, till exempel en leverantör av IT-system. Datainspektionen är en tillsynsmyndighet och övervakar tillämpningen av bestämmelserna. 8 Datainspektionen informerar Personuppgifter i arbetslivet

9 När gäller personuppgiftslagen? Etablerad i Sverige eller etablerad i tredje land och använder utrustning här Personuppgiftslagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen gäller också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige, om inte utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. Avvikande bestämmelser i författning Om det finns bestämmelser i en annan lag eller förordning om behandling av personuppgifter som avviker från personuppgiftslagen, så kallad registerförfattning, ska de bestämmelserna gälla i stället. Kollektivavtal utgör inte en sådan lag eller förordning som gäller före personuppgiftslagen. Helt eller delvis automatiserad behandling Personuppgiftslagen tillämpas på all behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer. Att lagen även omfattar delvis automatiserad behandling innebär bland annat att den gäller redan när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen. Manuella register Även manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek) omfattas av personuppgiftslagen om uppgifterna är Datainspektionen informerar Personuppgifter i arbetslivet 9

10 sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter efternamn. För att det ska vara ett manuellt register som omfattas av personuppgiftslagen krävs därför att samlingen av personuppgifter är strukturerad. Det krävs dessutom att personuppgifterna i samlingen gjorts tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling i ostrukturerat material Personuppgiftslagen innehåller ett antal hanteringsregler (närmare 50 paragrafer), som bland annat handlar om grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material, såsom löpande text och ljud och bild gäller en förenklad reglering. Därför är det bra att först ställa sig frågan: Är behandlingen strukturerad eller ostrukturerad? Den förenklade regleringen innebär att hanteringsreglerna inte behöver följas när man hanterar personuppgifter i ett ostrukturerat material såsom löpande text i ordbehandlingssystem och på Internet, ljud- och bildupptagningar och korrespondens med e-post. Undantaget kan också omfatta enkla strukturer som listor över anställda på ett företags webbplats (se även avsnittet om arbetsgivarens webbplats). Syftet med förenklingen är att underlätta vardaglig hantering av personuppgifter som typiskt sett inte medför integritetsrisker. Den förenklade regleringen innebär att vardaglig, ostrukturerad behandling, i princip får utföras fritt så länge man inte kränker någon. Kränkande behandling är inte tillåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte 10 Datainspektionen informerar Personuppgifter i arbetslivet

11 de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får alltså göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Observera att hanteringsreglerna ska tillämpas om ett ostrukturerat material senare ska infogas i ett strukturerat material, till exempel ett kvalificerat dokument- eller ärendehanteringssystem. Om en samling personuppgifter har strukturerats så att hanteringsreglerna gäller, så omfattas alla personuppgifter som finns i materialet, även om vissa av dessa inte är strukturerade (till exempel i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem). Vid behandling av personuppgifter i ett ostrukturerat material behöver man, förutom en kränkningsbedömning, i stort sett bara tänka på bestämmelserna om säkerhet för personuppgifter (se sidan 41). Vill man vara säker på att behandling av personuppgifter inte innebär en kränkning av den personliga integriteten kan man välja att följa personuppgiftslagens hanteringsregler, till exempel de grundläggande kraven och kriterierna för när en behandling av personuppgifter är tillåten. Fortsättningsvis i den här broschyren förutsätts att det är fråga om arbetsgivarens behandling av personuppgifter i ett strukturerat material och att därför alla bestämmelser i personuppgiftslagen gäller. Särskilda regler för offentlig verksamhet Förutom personuppgiftslagen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav, exempelvis när det gäller offentlighetsprincipen. Datainspektionen informerar Personuppgifter i arbetslivet 11

12 Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga integritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garanterar vidare offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av personuppgiftslagen lämna personuppgifter för offentliggörande i massmedia. Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, den så kallade offentlighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personregister hos en offentlig arbetsgivare lämnas ut till allmänheten i 12 Datainspektionen informerar Personuppgifter i arbetslivet

13 Allmänna handlingar i kompetensdatabas Datainspektionen bedömde i ett samrådsyttrande att en kompetensdatabas hos en offentlig arbetsgivare, där bland annat omdömen om de anställda fanns med, inte var tillåten. I bedömningen togs bland annat hänsyn till att det var en mycket ingående kartläggning av de anställda, att det rörde sig om information av integritetskänslig natur och att informationen inte skyddades av några sekretessbestämmelser utan kunde komma att lämnas ut enligt offentlighetsprincipen. samma omfattning som traditionella handlingar. Det innebär att många uppgifter om arbetstagare kan bli tillgängliga för vem som helst om det inte råder sekretess enligt offentlighets- och sekretesslagen. När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem den sökande är och vilket syfte denne har med sin begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa personuppgiftslagens regel om att informera arbetstagaren om för vilket ändamål uppgiften lämnas ut eller till vem den lämnas. Det finns dock inget som hindrar att arbetsgivaren informerar de anställda om att uppgifter kan komma att lämnas ut med stöd av offentlighetsprincipen. Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande e-postmeddelanden. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation. Sådana meddelanden bör tas bort eller i vart fall avskiljas från e-postsystemet, till exempel genom att placeras i en särskilt markerad privat mapp. Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna kan innebära undantag från personuppgiftslagens regler om gallring. Datainspektionen informerar Personuppgifter i arbetslivet 13

14 Arbetsgivaren är personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening) eller den myndighet som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till. Även en fysisk person kan vara personuppgiftsansvarig, till exempel en enskild företagare. Ibland kan flera juridiska personer eller myndigheter vara inblandade i behandlingen av samma personuppgifter. Det är då viktigt att ta ställning till ansvarsfrågan från början. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. I till exempel stora företagskoncerner med dotterbolag kan personuppgiftsansvaret se ut på flera olika sätt. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen. Personuppgiftsbiträde Arbetsgivaren kan låta någon annan utföra den faktiska behandlingen av personuppgifter genom att anlita ett personuppgiftsbiträde för exempelvis hanteringen av de anställdas löner. Personuppgiftsansvaret kan däremot aldrig överlåtas och arbetsgivaren är fortsatt ansvarig för behandlingen även om den utförs av ett personuppgiftsbiträde som exempelvis en molntjänstleverantör. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd som behandlar personuppgifter för arbetsgivarens räkning är alltså inte personuppgiftsbiträde. Det ska finnas ett skriftligt avtal mellan arbetsgivaren och personuppgiftsbiträdet. I avtalet måste det stå att personuppgiftsbiträdet och dennes anställda bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Det är alltså arbetsgivaren som bestämmer för vilka ändamål personuppgifterna ska behandlas. 14 Datainspektionen informerar Personuppgifter i arbetslivet

15 Vad innebär ansvaret? Arbetsgivaren ansvarar för att de anställda inte behandlar personuppgifter på ett otillåtet eller lagstridigt sätt i tjänsten och kan bli ansvarig för skador som de orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller personuppgiftslagens krav, till exempel vad gäller ändamål med behandlingen, gallring och bevarande samt säkerhet. Det här gäller oavsett om det är på arbetsplatsen, i hemmet eller på en tjänsteresa. Arbetsgivaren bör därför upprätta och informera om regler och rutiner som beskriver hur de anställda ska behandla personuppgifter. Man bör också fastställa en policy för informationssäkerhet. Ansvaret för sociala medier En organisation som använder sig av sociala medier som Facebook, Twitter, bloggar och liknande kommunikationskanaler har ett ansvar för de personuppgifter som organisationen själva publicerar. När det gäller Facebook och bloggar ansvarar organisationen även för personuppgifter som andra publicerar i till exempel kommentarer. Den som arbetar med sociala medier för organisationens räkning behöver informeras om ändamålen med behandlingen av personuppgifter som kan förekomma och att användning som är oförenlig med dessa ändamål är förbjuden. Mer information om organisationers användning av sociala medier hittar du på Om man bryter mot personuppgiftslagen Personuppgiftslagen innehåller regler om straff, böter eller fängelse i högst sex månader för den som bryter mot bestämmelser i lagen. Det straffrättsliga ansvaret utkrävs av den fysiska person i organisationen som har gjort sig skyldig till överträdelsen. Lagen säger att till straff döms den som uppsåtligen eller av grov oaktsamhet : Lämnar osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen. Datainspektionen informerar Personuppgifter i arbetslivet 15

16 Behandlar känsliga personuppgifter eller uppgifter om brott m.m., med mera i strid med bestämmelserna i lagen. För över personuppgifter till tredje land i strid med bestämmelserna i lagen. Låter bli att göra en anmälan om behandling till Datainspektionen när sådan krävs. Behandlar känsliga uppgifter eller uppgifter om brott m.m. i en ostrukturerad samling av personuppgifter i strid med 5 a andra stycket personuppgiftslagen. I strid med 5 a andra stycket personuppgiftslagen för över personuppgifter till tredje land som inte har en adekvat skyddsnivå för skyddet av personuppgifterna. Är brottet grovt är straffet fängelse i högst två år. Skadestånd En arbetsgivare som behandlar personuppgifter om en arbetstagare i strid med personuppgiftslagen ska ersätta arbetstagaren för skada och kränkning av den personliga integriteten som behandlingen har orsakat. Dessutom kan ideell ersättning utgå för själva kränkningen. Om det visar sig att det inte var arbetsgivarens fel, kan ersättningsskyldigheten sättas ned eller helt falla bort. Kom ihåg att även om arbetsgivaren har anlitat ett personuppgiftsbiträde kan personuppgiftsansvaret aldrig överlåtas. Det är alltid arbetsgivaren som är personuppgiftsansvarig och som kan bli skadeståndsskyldig. 16 Datainspektionen informerar Personuppgifter i arbetslivet

17 Arbetsgivarens behandling av personuppgifter några grunder All behandling av personuppgifter måste vara laglig och ska dessutom utföras på ett korrekt sätt och i enlighet med god sed på arbetsmarknaden. Vad som är god sed kan avgöras mot bakgrund av bland annat överenskommelser inom arbetsmarknaden. Om arbetsgivaren upprättar en policy för sin behandling av personuppgifter, får det som regel anses strida mot god sed att arbetsgivaren inte följer den. Arbetsgivaren bör sträva efter att i första hand samla in personuppgifter från arbetstagaren själv. Ändamål för behandlingen Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål eller syften och dessa måste bestämmas redan när behandlingen påbörjas. Ändamålen får inte vara för allmänt hållna och arbetsgivaren måste därför bestämma ett för varje typ av behandling, till exempel personaladministration, behörighetskontroll, säkerhets- och katastrofplanering. Uppgifter som har samlats in för ett visst syfte, till exempel personaladministration, får sedan inte behandlas för något annat syfte som är oförenligt med det ursprungliga, till exempel prestationsmätning. Det här kallas för finalitetsprincipen. Ändamålet bör beskrivas så noggrant som möjligt och det ska göras innan man börjar samla in personuppgifter. Man kan ange flera ändamål samtidigt. Det ställs inte krav på att ändamålen ska dokumenteras skriftligt men för att undvika tvister och förenkla arbetet med att lämna information till de registrerade kan det ändå vara en fördel att göra det. Om personuppgifterna ska lämnas vidare till någon annan krävs att även utlämnandet är förenligt med de ursprungliga ändamålen. Att samköra två eller flera register med olika ändamål innebär i allmänhet att ett eller flera nya register med nya ändamål skapas. Att samköra register på detta sätt strider mot finalitetsprincipen och är normalt otillåtet. Datainspektionen informerar Personuppgifter i arbetslivet 17

18 Ändamålet var inte tillräckligt angivet Datainspektionen ansåg i ett ärende att det inte var tillräckligt att enbart ange att kontroll och loggning kan förekomma som ändamål för loggning och övervakning på ett sjukhus utan att man samtidigt angav vad syftet med denna kontroll var. Till exempel kan ett sådant syfte vara att man vill övervaka de anställdas arbete för att senare göra en uppföljning av att de interna reglerna följs. Man får bara behandla uppgifter som är adekvata och relevanta i förhållande till ändamålet med behandlingen. Det betyder att uppgifterna måste ha någon faktisk betydelse för det ändamålet och att man inte ska registrera mer än vad man verkligen behöver. Arbetsgivaren måste bland annat ta ställning till om behandlingen måste utföras på individnivå. Om ändamålet är att föra statistik kan det vara tillräckligt att registreringen sker på ett sätt så att enskilda inte kan identifieras. Gallring Personuppgifter ska hålla så hög kvalitet som möjligt. Arbetsgivaren måste därför se till att det finns tydliga rutiner för uppdatering och gallring av uppgifter om arbetstagare. Uppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Ändamålet är alltså utgångspunkten för bedömningen av när uppgifter ska bevaras eller gallras. Man ska inte spara uppgifter bara för att de kan vara bra att ha. När en anställning upphör finns det i regel ingen grund för att spara e-postkontot eller uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad. Ibland krävs det att uppgifter bevaras under en längre tid, till exempel på grund av bestämmelser i lag eller för att de behövs för utbetalning av till exempel pension från arbetsgivaren. En offentlig arbetsgivare måste under vissa förhållanden behålla uppgifter om en arbetssökande, till exempel vid ett överklagande av ett beslut att inte anställa sökanden. 18 Datainspektionen informerar Personuppgifter i arbetslivet

19 Arbetsgivaren kan då behöva uppgifterna för att styrka att ansökan har behandlats på rätt sätt. Arbetsgivaren måste informera de anställda Personuppgiftslagen ställer stora krav på att arbetsgivaren självmant informerar de anställda om vilka personuppgifter som samlas in och vad de ska användas till. Detta gäller i princip vid all behandling av personuppgifter. Om uppgifterna samlas in från någon annan källa än den anställde ska arbetsgivaren normalt lämna den anställde information om behandlingen när uppgifterna registreras. Om uppgifterna istället ska samlas in från den anställde själv behöver arbetsgivaren lämna informationen redan i samband med insamlingen. För att ett samtycke till behandling ska vara giltigt måste arbetstagaren ha fått sådan information att han eller hon kan bedöma för- och nackdelarna med behandlingen. Informationen och samtycket måste gälla en viss behandling som rör arbetstagaren och som utförs av en viss arbetsgivare för bestämda syften. Läs mer om samtycke på sidan 22. Arbetsgivaren är även skyldig att lämna skriftlig information till arbetstagaren om vilka personuppgifter som behandlas och vad uppgifterna används till. Arbetstagaren har rätt att få sådan information en gång per år genom att göra en ansökan om registerutdrag. Läs mer om information till registrerade på Behandlingen måste vara tillåten För att en arbetsgivare ska få behandla personuppgifter krävs att behandlingen sker med stöd av ett giltigt samtycke eller omfattas av något annat i personuppgiftslagen uppräknat fall av tillåten behandling som beskrivs nedan. En förutsättning för all behandling är att de grundläggande kraven som beskrivits i avsnittet innan detta är uppfyllda, till exempel att ändamålet med behandlingen är tydligt beskrivet i förväg och att personuppgifterna som behandlas har betydelse för arbetsförhållandet. Datainspektionen informerar Personuppgifter i arbetslivet 19

20 För känsliga personuppgifter, uppgifter om brott m.m. och personnummer finns det fler bestämmelser som avgör om en behandling är tillåten. Det finns också särskilda regler för hur personuppgifter får överföras till utlandet. Läs mer om det på sidan 40. På grund av avtal Personuppgifter får behandlas om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan arbetsgivaren och arbetstagaren ska kunna uppfyllas. Detsamma gäller för att åtgärder som den registrerade har begärt ska kunna vidtas innan ett avtal träffas. Avtalet måste ha ingåtts med arbetstagaren själv. Ett avtal mellan arbetsgivaren och en juridisk person, till exempel ett bemanningsföretag, innebär alltså inte att uppgifter får behandlas om personer som är anställda hos bemanningsföretaget. Det finns flera olika typer av system där personuppgifter kan komma att behandlas på grund av avtal, till exempel: personaladministrativa system, det vill säga system för löneberäkning, registrering av sjukfrånvaro in- och utpasseringssystem flextidsystem behörighetskontrollsystem företagshälsovård. Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med den anställde, får registreras om det behövs för anställningsförhållandet. Detsamma gäller uppgifter om prestationer, till exempel om uppgifterna behövs för att uppfylla skyldigheter enligt ett ackordslöneavtal eller något annat avtalat prestationsbaserat lönesystem. Se även avsnittet Arbetstagares prestationer på sidan 31. För att en arbetsgivare ska ha rätt att registrera värderande uppgifter måste det tydligt framgå av anställningsavtalet vilken betydelse dessa 20 Datainspektionen informerar Personuppgifter i arbetslivet

21 har för den aktuella tjänsten. Det är inte tillräckligt att parterna har kommit överens om individuell lönesättning. På grund av en rättslig skyldighet En arbetsgivare får samla in och registrera personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet. Arbetsgivare är enligt ett flertal lagar och förordningar skyldiga att lämna ut uppgifter om anställda till bland annat statliga och kommunala myndigheter. Som exempel kan nämnas uppgifter som behövs för att: redovisa skatter och sociala avgifter beträffande arbetstagarna erlägga grupplivs- och pensionsavgifter till försäkringsbolag upprätta listor över anställda för att följa de turordningsbestämmelser som gäller vid uppsägning behandla personuppgifter för att kunna leva upp till arbetsmiljölagstiftningen. För att skydda vitala intressen En arbetsgivare får behandla personuppgifter om det är nödvändigt för att skydda arbetstagaren i situationer som innebär fara för liv och hälsa. Efter en intresseavvägning En arbetsgivare får behandla personuppgifter om det är nödvändigt och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Den här bedömningen ska avgöras efter en avvägning och hur den utfaller beror bland annat på förhållandena på den aktuella arbetsplatsen, vilken slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras, vilka regler och riktlinjer som utfärdats av arbetsgivaren och vilken information arbetstagarna har fått. Mer information om intresseavvägning hittar du på Datainspektionen informerar Personuppgifter i arbetslivet 21

22 Några exempel på behandling av personuppgifter med stöd av en intresseavvägning: Arbetsgivaren har ofta ett starkt intresse av att kunna kontakta anhöriga vid till exempel olycksfall eller sjukdom. Intresse av att samla in och registrera anhörigas namn och kontaktuppgifter väger normalt över de registrerades intresse av att uppgifterna inte behandlas. Eftersom behandlingen i sådana fall kan ske efter en intresseavvägning behöver inte samtycke inhämtas från de anhöriga men de anhöriga måste fortfarande få information. Inspelning av anställdas telefonsamtal i utbildningssyfte får under vissa förutsättningar ske med stöd av en intresseavvägning. Inspelning av kunders telefonsamtal får ske om man får deras samtycke. I undantagsfall kan inspelning av kunders samtal vara tillåten med stöd av en så kallad intresseavvägning. Mer information om inspelning av telefonsamtal hittar du på Datainspektionens webbplats. Med arbetstagarens samtycke Är inget av villkoren ovan för att få behandla personuppgifter uppfyllt kan en arbetsgivare i vissa fall ändå ha rätt att utföra behandlingen. Men då krävs att arbetstagaren ger sitt samtycke. En förutsättning är, som tidigare nämnts, att man uppfyllt de grundläggande krav som ställs på all behandling av personuppgifter och som vi gått igenom i föregående kapitel. Om ett uttryckligt samtycke har lämnats kan känsliga personuppgifter behandlas. Uppgifter kan också få lämnas ut till tredje land med stöd av samtycke. Brottsuppgifter får däremot inte behandlas ens med samtycke, se mer om detta i avsnittet Brottsuppgifter på sidan Datainspektionen informerar Personuppgifter i arbetslivet

23 Fackets registrering av löneuppgifter var inte tillåten... Datainspektionen ansåg i ett ärende att en fackförenings insamling av löneuppgifter rörande personer som inte var medlemmar i föreningen, i syfte att kontrollera att arbetsgivaren följt kollektivavtalet, inte var tillåten med stöd av en intresseavvägning. Den anställdes intresse av att slippa få sina personuppgifter registrerade vägde tyngre än fackförbundets intresse av att behandla uppgifterna. Datainspektionen ansåg att löneuppgifter har ett skyddsvärde ur integritetssynpunkt. Inspektionen bedömde vidare att det var ett otillbörligt integritetsintrång att anställda tvingades få sina löneuppgifter registrerade hos en fackförening som de själva valt att stå utanför. Datainspektionen bedömde att en sådan behandling istället borde stödja sig på samtycke från den anställde....men i ett annat fall godkändes behandlingen I ett liknande fall ansåg däremot Arbetsdomstolen (AD) att ett fackförbunds insamling och behandling av uppgifter i anställningsbevis om bland annat löneuppgifter, i enlighet med gällande kollektivavtal, kunde ske med stöd av en intresseavvägning enligt personuppgiftslagen. Behandlingen omfattade även uppgifter om anställda som inte var medlemmar i förbundet. Eftersom det var fråga om att endast lämna ut uppgifter i samband med ingåendet av anställningsavtalet för att kontrollera att anställningsvillkoren överensstämde med kollektivavtalet och att uppgifterna inte skulle behandlas ytterligare, ansåg domstolen att förbundets intresse vägde tyngre än de icke-anslutna arbetstagarnas intresse av skydd för sin personliga integritet. Ett samtycke måste vara giltigt Ett samtycke till att behandla personuppgifter ska enligt personuppgiftslagen vara frivilligt, särskilt, informerat och en otvetydig viljeyttring. Samtycket ska också vara individuellt. Det kan lämnas muntligt eller skriftligt. Eftersom det är arbetsgivaren som har bevisbördan för att arbetstagaren verkligen givit sitt samtycke kan det vara lämpligt att på något sätt dokumentera det, till exempel på ett formulär som samtidigt innehåller den information som ska lämnas till den registrerade. Skriver man in sina personuppgifter i en databas efter att ha fått information om vad uppgifterna ska användas till anses man ha samtyckt. Däremot är det inte tillräckligt att arbetsgivaren antar att arbetstagaren samtycker till en behandling av personuppgifter. Datainspektionen informerar Personuppgifter i arbetslivet 23

24 Det kan ofta vara svårt för arbetsgivare att stödja en behandling av personuppgifter på samtycken från arbetstagarna. Det beror på att arbetstagare ofta befinner sig i en beroendeställning gentemot sina arbetsgivare och därför inte kan lämna sådana frivilliga samtycken som personuppgiftslagen kräver. Behandling av personuppgifter i arbetslivet med stöd av samtycke begränsas därför till sådana situationer där arbetstagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar. Om de anställda erbjuds rimliga alternativ och inte utsätts för någon direkt eller indirekt påtryckning att samtycka kan det vara tillåtet för arbetsgivaren att behandla personuppgifter med stöd av samtycken från de anställda. Man kan inte samtycka generellt till behandling av personuppgifter, till exempel eventuella behandlingar i framtiden, utan att känna till vilka dessa är. Arbetsgivaren måste informera om en eller flera planerade behandlingar och samtycket avser då dessa. Det avgörande är att arbetstagaren vet vilka behandlingar han eller hon samtycker till. Att samtycket ska vara individuellt innebär att det ska vara den registrerade som genom viljeyttringen godtar behandlingen av personuppgifter. Med det hindrar inte att en facklig organisation samlar in samtycken från varje medlem och lämnar dessa vidare till arbetsgivaren. Ett samtycke kan återkallas Arbetstagaren har rätt att när som helst ta tillbaka sitt samtycke. Det kan göras skriftligt eller muntligt. Det är arbetstagaren som har bevisbördan för att en återkallelse har gjorts och när det gjordes. Därefter får bara redan insamlade personuppgifter behandlas. Eftersom uppgifterna inte får uppdateras eller kompletteras utan samtycke kan de därför bli inaktuella eller ofullständiga och behöva avidentifieras eller raderas. De grundläggande kraven innebär nämligen att personuppgifter måste vara riktiga och aktuella. Läs mer om samtycke på samtycke. 24 Datainspektionen informerar Personuppgifter i arbetslivet

25 Personuppgifter i arbetslivet några särskilda områden Publicering på arbetsgivarens webbplats När man publicerar text och bild på Internet är de nästan alltid ostrukturerade. Publiceringen är då tillåten om den inte kränker arbetstagarens personliga integritet. Ett exempel på otillåten behandling är om arbetsgivaren på Internet publicerar namn på en anställd som har skyddade personuppgifter. Om man är osäker på om publiceringen kan vara kränkande är det en god regel att inhämta ett samtycke från arbetstagaren. Observera att det måste vara ett frivilligt samtycke. En arbetsgivare kan ofta publicera arbetsrelaterade uppgifter om de anställda på webbplatsen med stöd av den förenklade regleringen i personuppgiftslagen som handlar om ostrukturerade uppgifter. Det är normalt tillåtet att publicera anställdas namn, befattning, telefonnummer, e-postadress och liknande uppgifter som har anknytning till arbetet. Arbetsgivaren kan normalt webbpublicera sådan arbetsrelaterad information om de anställda även om det är fråga om ett strukturerat material för vilket hanteringsreglerna gäller. Publiceringen får i dessa fall grundas på en intresseavvägning där arbetsgivaren eller tredje mans berättigade intresse av att uppgifterna publiceras vägs mot de anställdas intresse av skydd mot kränkning av den personliga integriteten. Bilder på de anställda Möjligheten att publicera bilder på anställda får bedömas i varje enskilt fall, oavsett om det rör sig om ostrukturerad eller strukturerad behandling. Att få sin bild publicerad på Internet kan av många upplevas som särskilt känsligt. För att undvika att kränka någon kan det därför vara lämpligt att fråga den anställde innan man publicerar bilder på Datainspektionen informerar Personuppgifter i arbetslivet 25

26 denne. Vid strukturerad behandling kan man normalt sett utgå från att samtycke måste inhämtas för att bildpublicering ska vara tillåten. Men det finns undantag. Inom vissa verksamheter kan arbetsgivaren ha tungt vägande skäl för att exponera bilder på anställda med exempelvis kundorienterade arbetsuppgifter. I sådana fall kan arbetsgivarens intresse av att publicera bilder väga tyngre än de anställdas intresse av skydd och därmed ge stöd för publiceringen. Känsliga uppgifter Känsliga personuppgifter är som tidigare nämnts uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. En arbetsgivare får bara behandla känsliga personuppgifter i vissa undantagsfall, men aldrig efter enbart en intresseavvägning. Här beskrivs några av undantagsfallen: På grund av skyldighet eller rättighet inom arbetsrätten En arbetsgivare får behandla känsliga personuppgifter om det krävs för att denne ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter gentemot sina arbetstagare och deras fackliga organisationer. Som exempel kan nämnas när uppgifter om anställdas sjukdom behandlas för att beräkna sjuklön, utreda frånvarorätt eller inleda en rehabiliteringsutredning. Ytterligare exempel är när uppgifter om fackligt medlemskap registreras på grund av att arbetsgivaren har åtagit sig att göra löneavdrag för fackföreningsavgift eller för att kunna fullgöra sin förhandlingsskyldighet enligt lagen (1976:580) om medbestämmande i arbetslivet. Om det blir aktuellt att behandla känsliga uppgifter på grund av skyldighet inom arbetsrätten ska man tänka på att behandlingen ska begränsas till enbart detta. De känsliga personuppgifterna får bara lämnas vidare till någon annan om arbetstagaren uttryckligen har samtyckt till det eller när det finns en 26 Datainspektionen informerar Personuppgifter i arbetslivet

27 sådan skyldighet inom arbetsrätten. Det kan till exempel gälla uppgifter för grupplivs- och pensionsavgifter som lämnas till försäkringsbolag. Vissa arbetsgivare anlitar fristående företag för att administrera sjukanmälningar och liknande. Om det handlar om ett vårdföretag, till exempel en företagshälsovård som för patientjournaler om de anställda, måste de följa patientdatalagen. Vårdgivaren måste också ta hänsyn till bestämmelser om sekretess och tystnadsplikt i offentlighets- och sekretesslagen samt patientsäkerhetslagen. I den offentliga sektorn gäller lagen (1994:260) om offentlig anställning (LOA) och den bestämmelse om periodiska undersökningar som finns Datainspektionen informerar Personuppgifter i arbetslivet 27

28 där. Bestämmelsen innebär en skyldighet för arbetstagaren att i vissa fall genomgå hälsoundersökningar. Inom den privata sektorn gäller principen om den fria antagningsrätten och arbetsgivarna har därför en stor frihet att bestämma vilka krav som ska ställas på den arbetssökande, till exempel angående medicinska kontroller. För alla arbetsgivare gäller arbetsmiljölagen (1977:1160) där arbetsgivaren har ett allmänt ansvar att se till att hälsoövervakning och medicinska kontroller som behövs genomförs. Läs mer om det i Arbetsmiljöverkets föreskrifter om medicinska kontroller i arbetslivet. Alkoskåpet var tillåtet I ett ärende hade ett bussbolag integrerat ett alkoskåp med ett system för inpassering. Samtliga anställda var tvungna att lämna utandningsprov i alkoskåpet vid arbetsdagens början och slut. Datainspektionen ansåg att bolaget fick behandla personuppgifter från alkoskåpet om till exempel busschaufförer med stöd av en intresseavvägning, under förutsättning att de kompletterade sin information om behandlingen. Beträffande annan personal som inte hade arbetsuppgifter av direkt betydelse för det säkra framförandet av fordon, exempelvis administrativ personal, krävdes samtycke för behandling av personuppgifter i alkoskåpet. Om någon på grund av för hög alkoholkoncentration i utandningsluften gör ett icke godkänt blåsprov kan det röra sig om en känslig personuppgift som rör hälsa, i alla fall om det indikerar ett alkoholmissbruk. I personuppgiftslagen finns ett principiellt förbud att behandla känsliga uppgifter men det finns flera undantag, som exempelvis om det är nödvändigt på grund av en arbetsrättslig skyldighet. Arbetsgivaren får inte regelmässigt registrera uppgifter om till exempel provsvar, diagnoser och vaccinering. Om sådana uppgifter ska registreras måste det ske i överensstämmelse med personuppgiftslagen, till exempel att dessa uppgifter är nödvändiga på grund av arbetsrättsliga åligganden. Här är det särskilt viktigt att tänka på att arbetsgivaren ser till att tillgången till uppgifterna begränsas. För att hävda rättsliga anspråk En arbetsgivare får behandla känsliga personuppgifter när det behövs för att utreda, göra gällande eller försvara ett rättsligt anspråk. Det kan till exempel vara tillåtet att behandla känsliga personuppgifter i syfte 28 Datainspektionen informerar Personuppgifter i arbetslivet

29 att säkra bevisning inför en eventuell framtida arbetsrättslig tvist. Ett exempel är uppgifter om arbetsoförmåga, om det är nödvändigt för att kunna framställa ett rättsligt anspråk som grund för uppsägning. Ett annat exempel är uppgifter om medlemskap i fackförening, för att kunna veta var en talan i domstol ska väckas eller föras. Behandling av känsliga uppgifter med stöd av ett samtycke Känsliga personuppgifter kan få behandlas med ett klart uttalat samtycke från arbetstagaren. Även om det inte föreligger en skyldighet enligt arbetsrätten att lämna ut uppgifter så får en arbetsgivare med arbetstagarens uttryckliga samtycke lämna ut sådana känsliga uppgifter om arbetstagaren som denne samlat in med stöd av arbetsrätten. Personuppgifter som är känsliga får också behandlas om arbetstagaren själv gått ut med informationen. Det kan till exempel gälla uppgift om medlemskap i en fackförening när den anställde aktivt verkat för föreningen på arbetsplatsen. Lagen talar här om att den registrerade på ett tydligt sätt offentliggjort uppgifterna. Brottsuppgifter Det är förbjudet för arbetsgivare som inte är myndigheter att behandla personuppgifter om lagöverträdelser, det vill säga uppgifter om brott, domar i brottmål, häktningar och andra former av tvångsingripanden med stöd av lag. Någon dom eller liknande beträffande brottet krävs inte. Ett samtycke från arbetstagaren ger inte arbetsgivaren rätt att frångå det här förbudet. Däremot finns det undantag: Det kan finnas särskilda bestämmelser i andra lagar och förordningar än personuppgiftslagen eller myndighetstillstånd i enskilda fall som tillåter behandling av brottsuppgifter. Man får också behandla brottsuppgifter om det gäller en enstaka personuppgift som är nödvändig för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk i ett särskilt fall, till exempel ett skadeståndsanspråk. Datainspektionen informerar Personuppgifter i arbetslivet 29

30 Enstaka brottsuppgifter får också behandlas om det krävs för att kunna fullgöra en anmälningsskyldighet enligt lag, till exempel att göra en polisanmälan. Det förekommer att arbetsgivare vid en anställningsintervju ställer frågor om brottslighet eller kräver att den arbetssökande visar upp ett intyg ur polisens belastningsregister. Personuppgiftslagen hindrar inte att arbetsgivaren agerar på det sättet. För vissa verksamheter gäller särskild lagstiftning som säger att arbetsgivare är skyldiga att begära att den som erbjuds en anställning uppvisar ett utdrag ur belastningsregistret, till exempel i skollagen (2010:800). Det är olagligt att utan lagstöd registrera eller scanna in uppgifter ur belastningsregistret. Däremot är det ok att registrera uppgift om att ett utdrag inhämtats och uppvisats om dokumentet och de aktuella personuppgifterna förstörs omgående. Whistleblowing Många bolag har särskilda rapporteringskanaler som de anställda kan använda för att rapportera om allvarliga oegentligheter inom bolagen, som exempelvis bokföringsbrott eller mutbrott. Sådana system kallas för whistleblowingsystem. Bolag som vill inrätta whistleblowingsystem, där uppgifter om lagöverträdelser kan förekomma, har möjlighet att göra det med stöd av Datainspektionens föreskrifter DIFS 1998:3 (omtryckt 2010:1). Bolaget måste följa bestämmelserna i personuppgiftslagen och de särskilda förutsättningarna som anges i grundläggande kraven i personuppgiftslagen, ha en laglig grund för behandlingen och lämna tillräcklig information till registrerade. Rapporteringen får endast omfatta allvarliga oegentligheter som begåtts av personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen. För mer information se Datainspektionens vägledning Ansvaret för personuppgifter som hanteras i system för whistleblowing. 30 Datainspektionen informerar Personuppgifter i arbetslivet

31 Personnummer Uppgifter om personnummer får behandlas med arbetstagarens samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen vikten av en säker identifiering eller av något annat beaktansvärt skäl. En arbetsgivare får till exempel registrera personnummer för att administrera sina anställda eller för att kunna lämna uppgifter till olika myndigheter, till exempel skatteverket. Däremot finns det sällan anledning att använda personnummer när man skriver ut tjänstgöringslistor och adressetiketter. Som utgångspunkt är det inte motiverat att använda personnummer som användarnamn vid inloggning på exempelvis en dator. Däremot kan det vara motiverat när man behöver en säker identifiering för behörighetsadministration. Detta beror på att när man utreder felaktig eller obehörig användning av personuppgifter måste man kunna identifiera användaren. När det gäller stora organisationer med många anställda kan det vara tillåtet att använda personnummer för både behörighetsadministration och vid inloggning. Tänk på att det inte innebär en ökad IT-säkerhet att använda personnummer som användarnamn. Det krävs alltid goda rutiner och tydliga instruktioner till de anställda när det gäller hantering av lösenord. Notera också att inloggning över öppet nät till integritetskänsliga personuppgifter kräver säker autentisering i form av till exempel e-legitimation. Läs mer om säkerhet på sidan 41. Kontroll och övervakning av de anställda Arbetstagarens prestationer En arbetsgivares rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras i huvudsak genom arbetsrättslig lagstiftning och eventuellt i kollektivavtal. Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med arbetstagaren, får registreras om Datainspektionen informerar Personuppgifter i arbetslivet 31

Personuppgifter i arbetslivet. Datainspektionen informerar

Personuppgifter i arbetslivet. Datainspektionen informerar Personuppgifter i arbetslivet Datainspektionen informerar Personuppgifter i arbetslivet Illustrationer: Oscar Alarik Reviderad i juni 2015. Det kan finnas en senare version av den här broschyren i pdf-format

Läs mer

PERSONUPPGIFTSLAGEN (PUL)

PERSONUPPGIFTSLAGEN (PUL) 1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing Vägledning för bolag Ansvaret för personuppgifter som hanteras i system för whistleblowing FAKTA Personuppgiftslagen Personuppgiftslagen (PuL, 1998:204) trädde i kraft 1998 och har till syfte att skydda

Läs mer

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning. Innehållsförteckning Syftet 2 Personuppgiftslagen (1998:204) 3 Behandling av personuppgifter för administrativa ändamål 6 Känsliga uppgifter 6 Personnummer på klasslistor 8 Uppgifter om familjemedlemmar

Läs mer

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET PUL i praktiken Vad är PuL? PuL betyder Personuppgiftslagen och trädde i kraft 1998. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling i forskning Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller

Läs mer

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg www.pulpedagogen.se Personuppgiftslagen (PuL) Vad tänka på i PuL när det gäller e-förvaltning? Missbruksregeln - Hanteringsregeln Ändamålet God

Läs mer

Intresseavvägning enligt personuppgiftslagen

Intresseavvägning enligt personuppgiftslagen Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar ORDLISTA Behandling Varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, exempelvis insamling, registrering, lagring

Läs mer

Frågor & svar om nya PuL

Frågor & svar om nya PuL Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet

Läs mer

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn , Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet mats.gustavsson@ki.se tfn. 524 864 73, 070 568 64 73 Personuppgiftslagen (PuL) i kraft sedan 1998 Syfte: skydda människor mot att deras

Läs mer

Personuppgiftslagen 20 april 2010

Personuppgiftslagen 20 april 2010 Personuppgiftslagen 20 april 2010 Kristina Blomberg info@pulpedagogen.se 08-36 22 30, 070-751 90 41 www.pulpedagogen.se Historia FoB-arna startade diskussionen på 1960-talet Datalagen (och Datainspektionen)

Läs mer

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud Välkomna till Datainspektionen Grundkurs i personuppgiftslagen Grundkurs för personuppgiftsombud Ulrika Bergström, Jonas Agnvall, Agneta Runmarker och Ranja Bunni 15-16 mars 2016 Grundkurs i personuppgiftslagen

Läs mer

Lathund Personuppgiftslagen (PuL)

Lathund Personuppgiftslagen (PuL) Lathund Personuppgiftslagen (PuL) Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och

Läs mer

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018 H Personuppgiftspolicy Fastställd efter FS-beslut 19 april 2018 Sammanfattning 1. Personuppgifter ska behandlas i enlighet med ändamålet All behandling av personuppgifter ska ske i överensstämmelse med

Läs mer

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter enligt personuppgiftslagen Regler för behandling av personuppgifter enligt personuppgiftslagen 2013-03-01 Innehåll 1. Kort om personuppgiftslagen... 1 2. Några begrepp i PuL... 1 3. Grundläggande krav på behandling av personuppgifter...

Läs mer

Skyldigheten att lämna registerutdrag blir mindre betungande

Skyldigheten att lämna registerutdrag blir mindre betungande Sammanfattning Hanteringen av personuppgifter som inte ingår i personregister underlättas Personuppgiftslagsutredningen har haft i uppdrag att göra en över-syn av personuppgiftslagen. Syftet har varit

Läs mer

Riktlinjer för webbpublicering enligt PuL

Riktlinjer för webbpublicering enligt PuL 1 1 Dokumenttyp och beslutsinstans Riktlinjer / kommunstyrelsen Dokumentansvarig Mats Mikulic Dokumentnamn Riktlinjer för webbpublicering enligt PuL Dokumentet gäller för Samtliga nämnder/bolag och tjänstemän

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är

Läs mer

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning

Läs mer

Publicering på Internet

Publicering på Internet Publicering på Internet I personuppgiftslagen (PuL) finns inga särskilda regler för publicering på Internet. Personuppgiftslagens generella regler för behandling av personuppgifter gäller även när man

Läs mer

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER Livsmedelsföretagen och Li Service AB / maj 2018 För Livsmedelsföretagen och Li Service AB är personlig integritet mycket viktigt. Vi eftersträvar därför alltid

Läs mer

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbehandling för forskningsändamål Personuppgiftsbehandling för forskningsändamål 13 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på Dataskyddsdirektivet Bestämmelser i annan lag eller förordning gäller

Läs mer

Riktlinjer för behandling av personuppgifter

Riktlinjer för behandling av personuppgifter Riktlinjer för behandling av personuppgifter Antagna av kommunstyrelsen den 10 augusti 2016, 256. Inledning Personuppgiftslagen innehåller bestämmelser om när personuppgifter får samlas in, hur de insamlade

Läs mer

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013 Göteborgs universitet Kristina Ullgren November 2013 2 Personuppgiftslagen i sammandrag 1. Syftet att skydda den personliga integriteten 2. PuL gäller inte för privat behandling av personuppgifter 3. Vardaglig

Läs mer

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text. Integritet och behandling av personuppgifter För Swedecote AB är personlig integritet något vi tycker är viktigt. Vi vill därför alltid eftersträva en hög nivå av dataskydd. I denna policy förklarar vi

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Behandling av personuppgifter - Maskinentreprenörerna

Behandling av personuppgifter - Maskinentreprenörerna INTEGRITETSPOLICY Behandling av personuppgifter - Maskinentreprenörerna För Maskinentreprenörerna (ME) är personlig integritet viktigt. Vi eftersträvar en hög nivå av dataskydd. I denna policy förklarar

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text. Integritetspolicy AB Selins Glasmästeri För Selins Glasmästeri är personlig integritet viktigt. Vi eftersträvar en hög nivå av dataskydd. I denna policy förklarar vi hur vi samlar in och använder personuppgifter.

Läs mer

PUL OCH DATASKYDDSFÖRORDNINGEN

PUL OCH DATASKYDDSFÖRORDNINGEN PUL OCH DATASKYDDSFÖRORDNINGEN Tfn 08-654 94 62 soren@sorenoman.se, www.sorenoman.se PUL och den nya förordningen Personuppgiftslagen 1998 Missbruksregel (5 a ) för behandling utanför databaser 2007 Dataskyddsförordningen

Läs mer

Rutin för webbpublicering av personuppgifter

Rutin för webbpublicering av personuppgifter 1(5) Kommunstyrelsens förvaltning Kommunstyrelsens kansli Caroline Uttergård, Administratör 0171-525 61 caroline.uttergard@habo.se Antagen av kommundirektören 2014-10-15 Rutin för webbpublicering av personuppgifter

Läs mer

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern 1 (5) Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern Antagen av kommunfullmäktige den 23 september 2010, 193. Inledning Personuppgiftslagen (PuL) trädde i kraft 1998 och

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst; SFS 2007:258 Utkom från trycket den 23 maj 2007 utfärdad

Läs mer

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB Integritet och behandling av personuppgifter Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB För Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB (nedan NNR ) är personlig integritet

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018 Dokument: för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018 INNEHÅLL 1 Definitioner 3 2 Tillämpningsområde för personuppgiftspolicyn 4 3 Oasen som ansvarig för dina personuppgifter

Läs mer

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Kapitel 4 Behandling av personuppgifter Sida 1 av 5 Kapitel 4 Behandling av personuppgifter Sida 1 av 5 Kapitel 4 Behandling av personuppgifter KAPITEL 4 Behandling av personuppgifter Behandling av personuppgifter enligt personuppgiftslagen... 2 Samtycke

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda Beslut Dnr 2007-06-27 87-2007 Carlsberg Sverige AB Bryggerivägen 10 161 86 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda Beslut Datainspektionen

Läs mer

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text. PERSONUPPGIFTSPOLICY SWETIC värnar om din personliga integritet och eftersträvar alltid en hög nivå av dataskydd. Denna personuppgiftspolicy förklarar hur vi samlar in och använder din personliga information.

Läs mer

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 2 Union to Unions policy om dataskyddsförordningen, General Data protection Regulation (GDPR) Innehåll 1. Inledning...

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige plan policy regel regler för personuppgiftshantering program regel riktlinje rutin strategi taxa............................ Beslutat av: Kommunfullmäktige Beslutandedatum: 2015-02-16 16 Ansvarig: Kanslichef

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express Sundsvall 22 maj 2018 på Kenneth Lidgren Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - Beslut i EU våren 2016 Förordning ikraft 25 maj 2018

Läs mer

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet? Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet? BAKGRUND Personuppgiftslagen (PuL) ersätts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Dataskyddsförordningen,

Läs mer

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 1 Innehåll 1. Inledning... 3 2. Behandling... 3 3. Personuppgift... 3 4. Principer för behandling av personuppgifter... 3

Läs mer

Integritet och behandling av personuppgifter

Integritet och behandling av personuppgifter Integritet och behandling av personuppgifter För Arbio AB (ett samarbete mellan Skogsindustrierna, Grafiska Företagen, Skogs- och Lantarbetsgivarförbundet och Trä- och Möbelföretagen) är personlig integritet

Läs mer

Integritet och behandling av personuppgifter

Integritet och behandling av personuppgifter Integritet och behandling av personuppgifter För Svenskt Trätekniskt Forum är personlig integritet något vi tycker är viktigt. Vi vill därför alltid eftersträva en hög nivå av dataskydd. I denna policy

Läs mer

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN 1 (7) BEHANDLING AV PERSONUPPGIFTER (GDPR) SALA4000, v 2.0, 2012-08-27 N:\Informationsenheten\InformationSala\Projekt\GDPR\sakn-integritetspolicy-behandling av personuppgifter.docx Behandling av personuppgifter...

Läs mer

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter Integritetspolicy Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter 1 Bakgrund och syfte 1.1 Advokatbyrån Eriksson & Bengtsson AB värnar om sina klienters, partners och anställdas

Läs mer

Kaffemöte. lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Kaffemöte. lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20 Kaffemöte lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20 Program Visning av FRIS och Skånegillets nya hemsidor Visning av nytt centralt medlemsregister för FRIS

Läs mer

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER 1 Bakgrund och syfte 1.1 Nordisk Alkali AB värnar om sina kunders, leverantörer, partners och anställdas integritet och är alltid mån om att följa gällande

Läs mer

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid Göteborgs universitet. Regler för behandling av personuppgifter

Läs mer

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN 1 1. Bakgrund och syfte 1.1 Animech Technologies, nedan Animech, värnar om sina kunders, partners, leverantörers och anställdas integritet och är alltid

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Åklagardatalag; utfärdad den 25 juni 2015. SFS 2015:433 Utkom från trycket den 7 juli 2015 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens syfte och tillämpningsområde

Läs mer

Personuppgiftslagen (PuL) - En kort introduktion

Personuppgiftslagen (PuL) - En kort introduktion Personuppgiftslagen (PuL) - En kort introduktion Vad är en personuppgift? - All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. - Exempel: namn, personnummer,

Läs mer

Dataskyddsförordningen GDPR

Dataskyddsförordningen GDPR Dataskyddsförordningen GDPR Personlig integritet är något Plåt & Ventföretagen anser är viktigt och vill beskydda. Vi vill därför alltid eftersträva en hög nivå av dataskydd. I denna policy förklarar vi

Läs mer

PuL och GDPR en översiktlig genomgång

PuL och GDPR en översiktlig genomgång PuL och GDPR en översiktlig genomgång Innehåll: Allmänt om nuvarande PuL Definitioner Allmänna bestämmelser Grundläggande krav Roller Säkerhet GDPR Skillnader mot dagens bestämmelser Checklista Personuppgiftslagen

Läs mer

Personuppgiftsinformation för Svedala kommun

Personuppgiftsinformation för Svedala kommun Personuppgiftsinformation för Svedala kommun Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR), började tillämpas den 25 maj 2018 och ersatte den tidigare personuppgiftslagen. Dataskyddsförordningen

Läs mer

Kerstin Wardman, 25 april 2018

Kerstin Wardman, 25 april 2018 Kerstin Wardman, 25 april 2018 Agenda Syfte och bakgrund med GDPR Exempel på stärkta rättigheter och skyldigheter Grundläggande begrepp Vad är en personuppgift? Principer för personuppgiftsbehandling Villkor

Läs mer

Personuppgifter. Behandling av personuppgifter

Personuppgifter. Behandling av personuppgifter Reviderad maj 2003 POLICYDOKUMENT från arbetsgruppen för forskningsetik vid ämnesrådet för medicin Personuppgifter För forskning på människor finns en omfattande reglering av såväl nationell som internationell

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari

Läs mer

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Dataskyddspolicy För Intinor är personlig integritet viktigt. För oss är det viktigt att du kan känna dig trygg med hur dina personuppgifter behandlas hos oss. Vi vill därför alltid eftersträva en hög

Läs mer

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY Inledning Dataskyddsförordningen 1 började tillämpas den 25 maj 2018 i hela EU. Den är därför

Läs mer

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter PerGus Maskinförmedling AB:s policy för behandling av personuppgifter 1 Bakgrund och syfte 1.1 PerGus Maskinförmedling AB värnar om sina kunders, tjänsteleverantörer och andra leverantörer samt anställdas

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Intern integritetspolicy för NetOnNet

Intern integritetspolicy för NetOnNet Intern integritetspolicy för NetOnNet För oss på NetOnNet är vi måna om att du och dina personuppgifter behandlas ansvarsfullt med hänsyn till din integritet. Det är viktigt för oss att du får reda på

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-07-10 706-2006 Norn Integrated Computer Systems AB Box 439 194 04 Upplands Väsby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på INTEGRITETSPOLICY Advokatfirman Titov & Partners KB, organisationsnummer 969784-0099 ( Titov & Partners, vi eller oss ) värnar om din personliga integritet och strävar därför efter att all insamling och

Läs mer

Information om personuppgiftslagens tillämpning i Riksbanken

Information om personuppgiftslagens tillämpning i Riksbanken Information om personuppgiftslagens tillämpning i Riksbanken AUGUSTI 2002 1.Inledning I det följande lämnas information om personuppgiftslagen och dess tillämpning som berör alla anställda i Riksbanken.

Läs mer

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter vid Högskolan Dalarna Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express den 21 september 2016 på Nils Bergh Heléne Hellström Persson Christian Rimmerfeldt Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades

Läs mer

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför? Integpros personuppgiftspolicy Vad är en personuppgift och vad är en behandling av personuppgifter? Allt som direkt eller indirekt kan härledas till en fysisk person som är i livet omfattas av begreppet

Läs mer

Policy för personuppgiftsbehandling ConnectMedia Sverige AB

Policy för personuppgiftsbehandling ConnectMedia Sverige AB 1 (5) Policy för personuppgiftsbehandling ConnectMedia Sverige AB Denna policy tillämpas för all behandling (insamling, lagring, överföring m.m.) av personuppgifter som förekommer inom ConnectMedia Sweden

Läs mer

SKARPNÄCKS STADSDELSFÖRVALTNING

SKARPNÄCKS STADSDELSFÖRVALTNING SKARPNÄCKS STADSDELSFÖRVALTNING ADMINISTRATIVA AVDEL NINGEN SKARPNÄCKS STADSDELSNÄMNDS INSTRUKTION FÖR BEHANDLING AV PERSONUPPGIFTER Personuppgiftsansvarige Skarpnäcks stadsdelsförvaltning Box 5117 121

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Riktlinje för hantering av personuppgifter i e-post och kalender

Riktlinje för hantering av personuppgifter i e-post och kalender 1(5) Riktlinje för hantering av personuppgifter i e-post och kalender Diarienummer Fastställt av Datum för fastställande 2018/174 Kommunstyrelsen 2019-01-15 Dokumenttyp Dokumentet gäller för Giltighetstid

Läs mer

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162 Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning och regler för webbpublicering av personuppgifter på www.odeshog.se Godkänt av kommunstyrelsen 2007-04-18,

Läs mer

Integritetspolicy Våra Gårdar

Integritetspolicy Våra Gårdar Antagen av Våra Gårdars förbundsstyrelse 2018-09-14 version 1.0 Integritetspolicy Våra Gårdar Skyddet av dina personuppgifter är viktigt för oss. I denna integritetspolicy beskrivs när, hur och i vilket

Läs mer

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum: Personuppgiftspolicy Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse 31.5.2018 Version datum: 2018-05-31 Personuppgiftspolicy Version: Fel! Hittar inte referenskälla.

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Innehåll Inledning... 4 Fakta om PuL... 5 Så här kan du få rättelse... 6 Rätten till registerutdrag... 6 Möjligheten att själv

Läs mer

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2017-09-04 1 (1) Sida 134 Dnr KS/2015:410 Personuppgiftslagen - förslag på riktlinje för Mjölby kommun Bakgrund EU:s dataskyddsförordning

Läs mer

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24...

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24... 1 av 15 2007-10-26 18:01 Databas: SFST Ny sökning Sökresultat Föregående Nästa Post 1 av 1 i SFST Länk till register Observera att det kan förekomma fel i författningstexterna. Bilagor till författningarna

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Beslut Diarienr 1 (7) 2016-05-10 120-2016 Er referens JR 21/2016 TeliaSonera Sverige AB 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Datainspektionens

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Utlänningsdatalag; utfärdad den 4 februari 2016. SFS 2016:27 Utkom från trycket den 5 februari 2016 Enligt riksdagens beslut 1 föreskrivs följande. Lagens syfte 1 Syftet med

Läs mer

Denna integritetspolicy har upprättats för alla bolag i Creative Headzkoncernen (nedan gemensamt kallade Creative Headz, vi eller vår/vårt ).

Denna integritetspolicy har upprättats för alla bolag i Creative Headzkoncernen (nedan gemensamt kallade Creative Headz, vi eller vår/vårt ). Integritetspolicy 1. INLEDNING... 2 1.1 VÅRA PRINCIPER... 2 2. PERSONUPPGIFTSANSVARIG... 2 3. INSAMLING OCH ÄNDAMÅL... 2 3.1 HUR SAMLAR VI IN DINA PERSONUPPGIFTER?... 2 3.2 VILKA PERSONUPPGIFTER BEHANDLAR

Läs mer

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter Version 1, 2018-05-22 Information till den registrerade Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter V-Dala överförmyndarsamverkan värnar om din personliga integritet. Därför sker

Läs mer

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås INLEDNING Dessa riktlinjer innehåller en sammanfattning av de viktigaste reglerna som anställda har att följa vid behandling

Läs mer

PERSONUPPGIFTER SOM BEHANDLAS

PERSONUPPGIFTER SOM BEHANDLAS INTEGRITETSPOLICY 1 INTRODUKTION Tidningshuset Storstadspress AB är personuppgiftsansvarig för behandlingen av Personuppgifter (se definition under avsnitt 2) avseende dig inom vår verksamhet. Den här

Läs mer

Integritetspolicy leverantör

Integritetspolicy leverantör Integritetspolicy leverantör Innehåll 1 Inledning... 1 1.1 Målgrupp... 2 1.2 Ändringsnotering... 2 2 Sammanfattning... 2 3 Vad är personuppgifter?... 2 4 Vad är känsliga personuppgifter?... 2 5 Vad är

Läs mer

Personuppgifter i forskningen vilka regler gäller?

Personuppgifter i forskningen vilka regler gäller? Personuppgifter i forskningen vilka regler gäller? Uppdaterad i mars 2013 Personuppgifter i forskningen vilka regler gäller? Vad gäller när en forskare hanterar integritetskänsligt material i sin forskning?

Läs mer

Integritetspolicy kunder

Integritetspolicy kunder Innehåll 1 Inledning... 2 1.1 Målgrupp... 2 1.2 Ändringsnotering... 2 2 Sammanfattning... 2 3 Vad är personuppgifter?... 2 4 Vad är känsliga personuppgifter?... 2 5 Vad är behandling av personuppgifter?...

Läs mer

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Hur länge får personuppgifter bevaras? Datainspektionen informerar Hur länge får personuppgifter bevaras? Datainspektionen informerar FAKTA Ordlista Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis insamling, registrering

Läs mer

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER 2018-05-03 INNEHÅLLSFÖRTECKNING 1 INLEDNING OCH SYFTE... 2 2 TILLÄMPNING OCH REVIDERING... 2 3 ORGANISATION OCH ANSVAR... 2 4 BEGREPP OCH FÖRKORTNINGAR...

Läs mer

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Varför juridiska regelverk? Skapa rättssäkerhet Skapa förutsebarhet Behov av att balansera

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda Datum Diarienr 2011-11-30 695-2011 Dagab AB Box 441 401 26 Göteborg Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda Datainspektionens beslut Datainspektionen

Läs mer

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar Intresseavvägning enligt personuppgiftslagen 12 Innehåll Inledning... 4 Definitioner... 4 När tillämpas PuL?... 6 Tillåten behandling?... 7 Behandling efter en intresseavvägning...

Läs mer