Personuppgifter i arbetslivet. Datainspektionen informerar

Storlek: px
Starta visningen från sidan:

Download "Personuppgifter i arbetslivet. Datainspektionen informerar"

Transkript

1 Personuppgifter i arbetslivet Datainspektionen informerar

2 Personuppgifter i arbetslivet Illustrationer: Oscar Alarik Reviderad i juni Det kan finnas en senare version av den här broschyren i pdf-format på Tryckt hos Ineko AB i april 2012 på Arctic Volume White. Miljömärkt trycksak IISSN Datainspektionen informerar Personuppgifter i arbetslivet

3 Förord I den här broschyren får du veta mer om hur personuppgifter i arbetslivet får behandlas enligt personuppgiftslagen. Broschyren vänder sig till arbetsgivare, arbetstagare, fackförbund och branschorganisationer inom både privat och offentlig sektor. I vissa fall kan särskilda regler gälla för arbetsgivare i offentlig verksamhet och dessa tas upp i ett särskilt kapitel. I den mån det finns särskilda lagregler om behandling av personuppgifter inom arbetslivet, gäller dessa före personuppgiftslagen. Broschyren innehåller en genomgång av personuppgiftslagens bestämmelser och hur dessa tillämpas på arbetslivets område. Dessutom hittar du exempel från verkliga fall som Datainspektionen behandlat. När det talas om arbetstagare menas i vissa fall även arbetssökande. Frågan om införande av en särskild lag beträffande personlig integritet i arbetslivet har utretts ett antal gånger. Betänkandet Integritetsskydd i arbetslivet från 2009 (SOU 2009:44), som i och för sig föreslog en särskild lag avseende arbetslivet, gjorde bedömningen att personuppgiftslagen ger ett bra skydd för den personliga integriteten på arbetslivets område. Det är vår förhoppning att den här broschyren ska bidra till att öka kunskapen om både principerna bakom personuppgiftslagen och vara till nytta vid den praktiska hanteringen av ärenden som rör behandlingen av personuppgifter i arbetslivet. Stockholm den 22 mars 2012 Datainspektionen informerar Personuppgifter i arbetslivet 3

4 Innehåll Definitioner...6 Inledning....8 När gäller personuppgiftslagen?...9 Etablerad i Sverige eller etablerad i tredje land och använder utrustning här...9 Avvikande bestämmelser i författning...9 Helt eller delvis automatiserad behandling...9 Manuella register...9 Behandling i ostrukturerat material...10 Särskilda regler för offentlig verksamhet...11 Arbetsgivaren är personuppgiftsansvarig...14 Personuppgiftsbiträde...14 Vad innebär ansvaret? Ansvaret för sociala medier Om man bryter mot personuppgiftslagen Skadestånd...16 Arbetsgivarens behandling av personuppgifter några grunder Ändamål för behandlingen, Gallring Arbetsgivaren måste informera de anställda...19 Behandlingen måste vara tillåten...19 På grund av avtal, På grund av en rättslig skyldighet, För att skydda vitala intressen, Efter en intresseavvägning Med arbetstagarens samtycke...22 Ett samtycke måste vara giltigt, Ett samtycke kan återkallas 4 Datainspektionen informerar Personuppgifter i arbetslivet

5 Personuppgifter i arbetslivet några särskilda områden...25 Publicering på arbetsgivarens webbplats...25 Bilder på de anställda...25 Känsliga uppgifter På grund av skyldighet eller rättighet inom arbetsrätten, För att hävda rättsliga anspråk, Behandling av känsliga uppgifter med stöd av ett samtycke Brottsuppgifter...29 Whistleblowing...30 Personnummer Kontroll och övervakning av de anställda Arbetstagarens prestationer, Rekryteringssystem och kompetensdatabaser, Regler för användningen av IT-systemet, Loggning, Kameraövervakning, Positioneringsteknik (GPS), Elektronisk körjournal, Biometri Tredjelandsöverföring Säkerhet för personuppgifter...42 Anmälan till Datainspektionen...42 Personuppgiftsombud...43 Samråd...43 Datainspektionens tillsyn...43 Om du behöver mer information...45 Datainspektionen informerar Personuppgifter i arbetslivet 5

6 Definitioner Personuppgifter är all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bild och ljuduppgifter om en fysisk person räknas som personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter, som exempelvis IP-nummer, omfattas också av personuppgiftslagen om uppgifterna direkt eller indirekt kan kopplas till fysiska personer. Känsliga personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Behandling av personuppgifter är varje åtgärd som utförs med personuppgifter, vare sig det sker på automatisk väg eller inte. Behandling är ett vitt begrepp som omfattar alla åtgärder som exempelvis: insamling registrering lagring bearbetning eller ändring utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter sammanställning eller samkörning. Den registrerade är den som en personuppgift handlar om, till exempel arbetstagaren eller en arbetssökande. Kompetensdatabaser är en typ av register hos exempelvis arbetsgivare där uppgifter om anställda lagras. Uppgifterna kan handla om genomförda utbildningar, arbetslivserfarenhet och poäng från kunskapstester. Det kan också röra sig om omdömen och värderande uppgifter om den anställde. Kompetensdatabaser kan användas till exempel då befattningar ska tillsättas internt och för att matcha personer mot kundernas behov. 6 Datainspektionen informerar Personuppgifter i arbetslivet

7 FAKTA Personuppgiftslagen Personuppgiftslagen trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar. Personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet. Personuppgiftsansvarig är den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Personuppgiftsbiträde Personuppgiftsbiträde är den som utanför den personuppgiftsansvariges organisation behandlar personuppgifter för dennes räkning. Samtycke är varje slag av otvetydig viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Samtycket ska vara: individuellt frivilligt särskilt otvetydigt informerat, det vill säga lämnat efter det att information om behandlingen har lämnats (informerat samtycke). Tredje land är en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES). Datainspektionen informerar Personuppgifter i arbetslivet 7

8 Inledning I arbetslivet används personuppgifter i många olika sammanhang, allt från löneregister och adresslistor till behörighetssystem och kompetensdatabaser. Någon lagstiftning som direkt avser behandling av personuppgifter inom arbetslivet finns inte. Arbetstagarens integritet i arbetslivet regleras och preciseras istället på flera olika ställen; genom arbetsrättslig lagstiftning, Arbetsmiljöverkets föreskrifter och allmänna råd, domstolsavgöranden (praxis) och i riktlinjer som skapas på arbetsmarknaden och anses uttrycka god sed i arbetslivet. Personuppgiftslagen tar vid där andra lagar slutar och gäller där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter. Vissa typer av personuppgifter anser de flesta av oss vara integritetskänsliga, till exempel uppgifter om hälsa och sexualliv. Ibland kan en arbetstagare uppleva behandling av personuppgifter som ett integritetsintrång, till exempel om informationen som behandlas är mycket detaljerad. Det är viktigt att finna en rimlig balans mellan en arbetsgivares behov av att behandla personuppgifter och den enskildes anspråk på personlig integritet. När man gör en sådan bedömning bör man också tänka på att en arbetstagare i allmänhet befinner sig i en beroendeställning i förhållande till arbetsgivaren. Ett samtycke till en viss behandling kan därför inte alltid ges samma betydelse som i andra sammanhang. Personuppgiftslagen ställer inte något krav på licens eller tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar den personuppgiftsansvarige, det vill säga arbetsgivaren, för att behandling av personuppgifter utförs på ett lagligt sätt. Det är alltså arbetsgivaren som självständigt har ansvaret och som beslutar om vem eller vilka som har rätt att behandla personuppgifter. Detta gäller även om någon annan (ett personuppgiftsbiträde) har fått till uppgift att utföra själva registreringen, till exempel en leverantör av IT-system. Datainspektionen är en tillsynsmyndighet och övervakar tillämpningen av bestämmelserna. 8 Datainspektionen informerar Personuppgifter i arbetslivet

9 När gäller personuppgiftslagen? Etablerad i Sverige eller etablerad i tredje land och använder utrustning här Personuppgiftslagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen gäller också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige, om inte utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. Avvikande bestämmelser i författning Om det finns bestämmelser i en annan lag eller förordning om behandling av personuppgifter som avviker från personuppgiftslagen, så kallad registerförfattning, ska de bestämmelserna gälla i stället. Kollektivavtal utgör inte en sådan lag eller förordning som gäller före personuppgiftslagen. Helt eller delvis automatiserad behandling Personuppgiftslagen tillämpas på all behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer. Att lagen även omfattar delvis automatiserad behandling innebär bland annat att den gäller redan när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen. Manuella register Även manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek) omfattas av personuppgiftslagen om uppgifterna är Datainspektionen informerar Personuppgifter i arbetslivet 9

10 sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter efternamn. För att det ska vara ett manuellt register som omfattas av personuppgiftslagen krävs därför att samlingen av personuppgifter är strukturerad. Det krävs dessutom att personuppgifterna i samlingen gjorts tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling i ostrukturerat material Personuppgiftslagen innehåller ett antal hanteringsregler (närmare 50 paragrafer), som bland annat handlar om grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material, såsom löpande text och ljud och bild gäller en förenklad reglering. Därför är det bra att först ställa sig frågan: Är behandlingen strukturerad eller ostrukturerad? Den förenklade regleringen innebär att hanteringsreglerna inte behöver följas när man hanterar personuppgifter i ett ostrukturerat material såsom löpande text i ordbehandlingssystem och på Internet, ljud- och bildupptagningar och korrespondens med e-post. Undantaget kan också omfatta enkla strukturer som listor över anställda på ett företags webbplats (se även avsnittet om arbetsgivarens webbplats). Syftet med förenklingen är att underlätta vardaglig hantering av personuppgifter som typiskt sett inte medför integritetsrisker. Den förenklade regleringen innebär att vardaglig, ostrukturerad behandling, i princip får utföras fritt så länge man inte kränker någon. Kränkande behandling är inte tillåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte 10 Datainspektionen informerar Personuppgifter i arbetslivet

11 de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får alltså göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Observera att hanteringsreglerna ska tillämpas om ett ostrukturerat material senare ska infogas i ett strukturerat material, till exempel ett kvalificerat dokument- eller ärendehanteringssystem. Om en samling personuppgifter har strukturerats så att hanteringsreglerna gäller, så omfattas alla personuppgifter som finns i materialet, även om vissa av dessa inte är strukturerade (till exempel i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem). Vid behandling av personuppgifter i ett ostrukturerat material behöver man, förutom en kränkningsbedömning, i stort sett bara tänka på bestämmelserna om säkerhet för personuppgifter (se sidan 41). Vill man vara säker på att behandling av personuppgifter inte innebär en kränkning av den personliga integriteten kan man välja att följa personuppgiftslagens hanteringsregler, till exempel de grundläggande kraven och kriterierna för när en behandling av personuppgifter är tillåten. Fortsättningsvis i den här broschyren förutsätts att det är fråga om arbetsgivarens behandling av personuppgifter i ett strukturerat material och att därför alla bestämmelser i personuppgiftslagen gäller. Särskilda regler för offentlig verksamhet Förutom personuppgiftslagen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav, exempelvis när det gäller offentlighetsprincipen. Datainspektionen informerar Personuppgifter i arbetslivet 11

12 Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga integritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garanterar vidare offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av personuppgiftslagen lämna personuppgifter för offentliggörande i massmedia. Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, den så kallade offentlighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personregister hos en offentlig arbetsgivare lämnas ut till allmänheten i 12 Datainspektionen informerar Personuppgifter i arbetslivet

13 Allmänna handlingar i kompetensdatabas Datainspektionen bedömde i ett samrådsyttrande att en kompetensdatabas hos en offentlig arbetsgivare, där bland annat omdömen om de anställda fanns med, inte var tillåten. I bedömningen togs bland annat hänsyn till att det var en mycket ingående kartläggning av de anställda, att det rörde sig om information av integritetskänslig natur och att informationen inte skyddades av några sekretessbestämmelser utan kunde komma att lämnas ut enligt offentlighetsprincipen. samma omfattning som traditionella handlingar. Det innebär att många uppgifter om arbetstagare kan bli tillgängliga för vem som helst om det inte råder sekretess enligt offentlighets- och sekretesslagen. När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem den sökande är och vilket syfte denne har med sin begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa personuppgiftslagens regel om att informera arbetstagaren om för vilket ändamål uppgiften lämnas ut eller till vem den lämnas. Det finns dock inget som hindrar att arbetsgivaren informerar de anställda om att uppgifter kan komma att lämnas ut med stöd av offentlighetsprincipen. Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande e-postmeddelanden. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation. Sådana meddelanden bör tas bort eller i vart fall avskiljas från e-postsystemet, till exempel genom att placeras i en särskilt markerad privat mapp. Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna kan innebära undantag från personuppgiftslagens regler om gallring. Datainspektionen informerar Personuppgifter i arbetslivet 13

14 Arbetsgivaren är personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening) eller den myndighet som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till. Även en fysisk person kan vara personuppgiftsansvarig, till exempel en enskild företagare. Ibland kan flera juridiska personer eller myndigheter vara inblandade i behandlingen av samma personuppgifter. Det är då viktigt att ta ställning till ansvarsfrågan från början. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. I till exempel stora företagskoncerner med dotterbolag kan personuppgiftsansvaret se ut på flera olika sätt. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen. Personuppgiftsbiträde Arbetsgivaren kan låta någon annan utföra den faktiska behandlingen av personuppgifter genom att anlita ett personuppgiftsbiträde för exempelvis hanteringen av de anställdas löner. Personuppgiftsansvaret kan däremot aldrig överlåtas och arbetsgivaren är fortsatt ansvarig för behandlingen även om den utförs av ett personuppgiftsbiträde som exempelvis en molntjänstleverantör. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd som behandlar personuppgifter för arbetsgivarens räkning är alltså inte personuppgiftsbiträde. Det ska finnas ett skriftligt avtal mellan arbetsgivaren och personuppgiftsbiträdet. I avtalet måste det stå att personuppgiftsbiträdet och dennes anställda bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Det är alltså arbetsgivaren som bestämmer för vilka ändamål personuppgifterna ska behandlas. 14 Datainspektionen informerar Personuppgifter i arbetslivet

15 Vad innebär ansvaret? Arbetsgivaren ansvarar för att de anställda inte behandlar personuppgifter på ett otillåtet eller lagstridigt sätt i tjänsten och kan bli ansvarig för skador som de orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller personuppgiftslagens krav, till exempel vad gäller ändamål med behandlingen, gallring och bevarande samt säkerhet. Det här gäller oavsett om det är på arbetsplatsen, i hemmet eller på en tjänsteresa. Arbetsgivaren bör därför upprätta och informera om regler och rutiner som beskriver hur de anställda ska behandla personuppgifter. Man bör också fastställa en policy för informationssäkerhet. Ansvaret för sociala medier En organisation som använder sig av sociala medier som Facebook, Twitter, bloggar och liknande kommunikationskanaler har ett ansvar för de personuppgifter som organisationen själva publicerar. När det gäller Facebook och bloggar ansvarar organisationen även för personuppgifter som andra publicerar i till exempel kommentarer. Den som arbetar med sociala medier för organisationens räkning behöver informeras om ändamålen med behandlingen av personuppgifter som kan förekomma och att användning som är oförenlig med dessa ändamål är förbjuden. Mer information om organisationers användning av sociala medier hittar du på Om man bryter mot personuppgiftslagen Personuppgiftslagen innehåller regler om straff, böter eller fängelse i högst sex månader för den som bryter mot bestämmelser i lagen. Det straffrättsliga ansvaret utkrävs av den fysiska person i organisationen som har gjort sig skyldig till överträdelsen. Lagen säger att till straff döms den som uppsåtligen eller av grov oaktsamhet : Lämnar osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen. Datainspektionen informerar Personuppgifter i arbetslivet 15

16 Behandlar känsliga personuppgifter eller uppgifter om brott m.m., med mera i strid med bestämmelserna i lagen. För över personuppgifter till tredje land i strid med bestämmelserna i lagen. Låter bli att göra en anmälan om behandling till Datainspektionen när sådan krävs. Behandlar känsliga uppgifter eller uppgifter om brott m.m. i en ostrukturerad samling av personuppgifter i strid med 5 a andra stycket personuppgiftslagen. I strid med 5 a andra stycket personuppgiftslagen för över personuppgifter till tredje land som inte har en adekvat skyddsnivå för skyddet av personuppgifterna. Är brottet grovt är straffet fängelse i högst två år. Skadestånd En arbetsgivare som behandlar personuppgifter om en arbetstagare i strid med personuppgiftslagen ska ersätta arbetstagaren för skada och kränkning av den personliga integriteten som behandlingen har orsakat. Dessutom kan ideell ersättning utgå för själva kränkningen. Om det visar sig att det inte var arbetsgivarens fel, kan ersättningsskyldigheten sättas ned eller helt falla bort. Kom ihåg att även om arbetsgivaren har anlitat ett personuppgiftsbiträde kan personuppgiftsansvaret aldrig överlåtas. Det är alltid arbetsgivaren som är personuppgiftsansvarig och som kan bli skadeståndsskyldig. 16 Datainspektionen informerar Personuppgifter i arbetslivet

17 Arbetsgivarens behandling av personuppgifter några grunder All behandling av personuppgifter måste vara laglig och ska dessutom utföras på ett korrekt sätt och i enlighet med god sed på arbetsmarknaden. Vad som är god sed kan avgöras mot bakgrund av bland annat överenskommelser inom arbetsmarknaden. Om arbetsgivaren upprättar en policy för sin behandling av personuppgifter, får det som regel anses strida mot god sed att arbetsgivaren inte följer den. Arbetsgivaren bör sträva efter att i första hand samla in personuppgifter från arbetstagaren själv. Ändamål för behandlingen Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål eller syften och dessa måste bestämmas redan när behandlingen påbörjas. Ändamålen får inte vara för allmänt hållna och arbetsgivaren måste därför bestämma ett för varje typ av behandling, till exempel personaladministration, behörighetskontroll, säkerhets- och katastrofplanering. Uppgifter som har samlats in för ett visst syfte, till exempel personaladministration, får sedan inte behandlas för något annat syfte som är oförenligt med det ursprungliga, till exempel prestationsmätning. Det här kallas för finalitetsprincipen. Ändamålet bör beskrivas så noggrant som möjligt och det ska göras innan man börjar samla in personuppgifter. Man kan ange flera ändamål samtidigt. Det ställs inte krav på att ändamålen ska dokumenteras skriftligt men för att undvika tvister och förenkla arbetet med att lämna information till de registrerade kan det ändå vara en fördel att göra det. Om personuppgifterna ska lämnas vidare till någon annan krävs att även utlämnandet är förenligt med de ursprungliga ändamålen. Att samköra två eller flera register med olika ändamål innebär i allmänhet att ett eller flera nya register med nya ändamål skapas. Att samköra register på detta sätt strider mot finalitetsprincipen och är normalt otillåtet. Datainspektionen informerar Personuppgifter i arbetslivet 17

18 Ändamålet var inte tillräckligt angivet Datainspektionen ansåg i ett ärende att det inte var tillräckligt att enbart ange att kontroll och loggning kan förekomma som ändamål för loggning och övervakning på ett sjukhus utan att man samtidigt angav vad syftet med denna kontroll var. Till exempel kan ett sådant syfte vara att man vill övervaka de anställdas arbete för att senare göra en uppföljning av att de interna reglerna följs. Man får bara behandla uppgifter som är adekvata och relevanta i förhållande till ändamålet med behandlingen. Det betyder att uppgifterna måste ha någon faktisk betydelse för det ändamålet och att man inte ska registrera mer än vad man verkligen behöver. Arbetsgivaren måste bland annat ta ställning till om behandlingen måste utföras på individnivå. Om ändamålet är att föra statistik kan det vara tillräckligt att registreringen sker på ett sätt så att enskilda inte kan identifieras. Gallring Personuppgifter ska hålla så hög kvalitet som möjligt. Arbetsgivaren måste därför se till att det finns tydliga rutiner för uppdatering och gallring av uppgifter om arbetstagare. Uppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Ändamålet är alltså utgångspunkten för bedömningen av när uppgifter ska bevaras eller gallras. Man ska inte spara uppgifter bara för att de kan vara bra att ha. När en anställning upphör finns det i regel ingen grund för att spara e-postkontot eller uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad. Ibland krävs det att uppgifter bevaras under en längre tid, till exempel på grund av bestämmelser i lag eller för att de behövs för utbetalning av till exempel pension från arbetsgivaren. En offentlig arbetsgivare måste under vissa förhållanden behålla uppgifter om en arbetssökande, till exempel vid ett överklagande av ett beslut att inte anställa sökanden. 18 Datainspektionen informerar Personuppgifter i arbetslivet

19 Arbetsgivaren kan då behöva uppgifterna för att styrka att ansökan har behandlats på rätt sätt. Arbetsgivaren måste informera de anställda Personuppgiftslagen ställer stora krav på att arbetsgivaren självmant informerar de anställda om vilka personuppgifter som samlas in och vad de ska användas till. Detta gäller i princip vid all behandling av personuppgifter. Om uppgifterna samlas in från någon annan källa än den anställde ska arbetsgivaren normalt lämna den anställde information om behandlingen när uppgifterna registreras. Om uppgifterna istället ska samlas in från den anställde själv behöver arbetsgivaren lämna informationen redan i samband med insamlingen. För att ett samtycke till behandling ska vara giltigt måste arbetstagaren ha fått sådan information att han eller hon kan bedöma för- och nackdelarna med behandlingen. Informationen och samtycket måste gälla en viss behandling som rör arbetstagaren och som utförs av en viss arbetsgivare för bestämda syften. Läs mer om samtycke på sidan 22. Arbetsgivaren är även skyldig att lämna skriftlig information till arbetstagaren om vilka personuppgifter som behandlas och vad uppgifterna används till. Arbetstagaren har rätt att få sådan information en gång per år genom att göra en ansökan om registerutdrag. Läs mer om information till registrerade på Behandlingen måste vara tillåten För att en arbetsgivare ska få behandla personuppgifter krävs att behandlingen sker med stöd av ett giltigt samtycke eller omfattas av något annat i personuppgiftslagen uppräknat fall av tillåten behandling som beskrivs nedan. En förutsättning för all behandling är att de grundläggande kraven som beskrivits i avsnittet innan detta är uppfyllda, till exempel att ändamålet med behandlingen är tydligt beskrivet i förväg och att personuppgifterna som behandlas har betydelse för arbetsförhållandet. Datainspektionen informerar Personuppgifter i arbetslivet 19

20 För känsliga personuppgifter, uppgifter om brott m.m. och personnummer finns det fler bestämmelser som avgör om en behandling är tillåten. Det finns också särskilda regler för hur personuppgifter får överföras till utlandet. Läs mer om det på sidan 40. På grund av avtal Personuppgifter får behandlas om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan arbetsgivaren och arbetstagaren ska kunna uppfyllas. Detsamma gäller för att åtgärder som den registrerade har begärt ska kunna vidtas innan ett avtal träffas. Avtalet måste ha ingåtts med arbetstagaren själv. Ett avtal mellan arbetsgivaren och en juridisk person, till exempel ett bemanningsföretag, innebär alltså inte att uppgifter får behandlas om personer som är anställda hos bemanningsföretaget. Det finns flera olika typer av system där personuppgifter kan komma att behandlas på grund av avtal, till exempel: personaladministrativa system, det vill säga system för löneberäkning, registrering av sjukfrånvaro in- och utpasseringssystem flextidsystem behörighetskontrollsystem företagshälsovård. Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med den anställde, får registreras om det behövs för anställningsförhållandet. Detsamma gäller uppgifter om prestationer, till exempel om uppgifterna behövs för att uppfylla skyldigheter enligt ett ackordslöneavtal eller något annat avtalat prestationsbaserat lönesystem. Se även avsnittet Arbetstagares prestationer på sidan 31. För att en arbetsgivare ska ha rätt att registrera värderande uppgifter måste det tydligt framgå av anställningsavtalet vilken betydelse dessa 20 Datainspektionen informerar Personuppgifter i arbetslivet

21 har för den aktuella tjänsten. Det är inte tillräckligt att parterna har kommit överens om individuell lönesättning. På grund av en rättslig skyldighet En arbetsgivare får samla in och registrera personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet. Arbetsgivare är enligt ett flertal lagar och förordningar skyldiga att lämna ut uppgifter om anställda till bland annat statliga och kommunala myndigheter. Som exempel kan nämnas uppgifter som behövs för att: redovisa skatter och sociala avgifter beträffande arbetstagarna erlägga grupplivs- och pensionsavgifter till försäkringsbolag upprätta listor över anställda för att följa de turordningsbestämmelser som gäller vid uppsägning behandla personuppgifter för att kunna leva upp till arbetsmiljölagstiftningen. För att skydda vitala intressen En arbetsgivare får behandla personuppgifter om det är nödvändigt för att skydda arbetstagaren i situationer som innebär fara för liv och hälsa. Efter en intresseavvägning En arbetsgivare får behandla personuppgifter om det är nödvändigt och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Den här bedömningen ska avgöras efter en avvägning och hur den utfaller beror bland annat på förhållandena på den aktuella arbetsplatsen, vilken slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras, vilka regler och riktlinjer som utfärdats av arbetsgivaren och vilken information arbetstagarna har fått. Mer information om intresseavvägning hittar du på Datainspektionen informerar Personuppgifter i arbetslivet 21

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Personuppgiftslagen 20 april 2010

Personuppgiftslagen 20 april 2010 Personuppgiftslagen 20 april 2010 Kristina Blomberg info@pulpedagogen.se 08-36 22 30, 070-751 90 41 www.pulpedagogen.se Historia FoB-arna startade diskussionen på 1960-talet Datalagen (och Datainspektionen)

Läs mer

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter enligt personuppgiftslagen Regler för behandling av personuppgifter enligt personuppgiftslagen 2013-03-01 Innehåll 1. Kort om personuppgiftslagen... 1 2. Några begrepp i PuL... 1 3. Grundläggande krav på behandling av personuppgifter...

Läs mer

Skyldigheten att lämna registerutdrag blir mindre betungande

Skyldigheten att lämna registerutdrag blir mindre betungande Sammanfattning Hanteringen av personuppgifter som inte ingår i personregister underlättas Personuppgiftslagsutredningen har haft i uppdrag att göra en över-syn av personuppgiftslagen. Syftet har varit

Läs mer

Frågor & svar om nya PuL

Frågor & svar om nya PuL Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet

Läs mer

Lathund Personuppgiftslagen (PuL)

Lathund Personuppgiftslagen (PuL) Lathund Personuppgiftslagen (PuL) Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Publicering på Internet

Publicering på Internet Publicering på Internet I personuppgiftslagen (PuL) finns inga särskilda regler för publicering på Internet. Personuppgiftslagens generella regler för behandling av personuppgifter gäller även när man

Läs mer

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013 Göteborgs universitet Kristina Ullgren November 2013 2 Personuppgiftslagen i sammandrag 1. Syftet att skydda den personliga integriteten 2. PuL gäller inte för privat behandling av personuppgifter 3. Vardaglig

Läs mer

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid Göteborgs universitet. Regler för behandling av personuppgifter

Läs mer

Personuppgifter i forskningen vilka regler gäller?

Personuppgifter i forskningen vilka regler gäller? Personuppgifter i forskningen vilka regler gäller? Uppdaterad i mars 2013 Personuppgifter i forskningen vilka regler gäller? Vad gäller när en forskare hanterar integritetskänsligt material i sin forskning?

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Innehåll Inledning... 4 Fakta om PuL... 5 Så här kan du få rättelse... 6 Rätten till registerutdrag... 6 Möjligheten att själv

Läs mer

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar Intresseavvägning enligt personuppgiftslagen 12 Innehåll Inledning... 4 Definitioner... 4 När tillämpas PuL?... 6 Tillåten behandling?... 7 Behandling efter en intresseavvägning...

Läs mer

Intresseavvägning enligt personuppgiftslagen

Intresseavvägning enligt personuppgiftslagen Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar Reviderad i juni 2009 FAKTA Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis

Läs mer

Rutin för webbpublicering av personuppgifter

Rutin för webbpublicering av personuppgifter 1(5) Kommunstyrelsens förvaltning Kommunstyrelsens kansli Caroline Uttergård, Administratör 0171-525 61 caroline.uttergard@habo.se Antagen av kommundirektören 2014-10-15 Rutin för webbpublicering av personuppgifter

Läs mer

Riktlinjer för behandling av personuppgifter inom skolans område

Riktlinjer för behandling av personuppgifter inom skolans område 2003-10-10 Riktlinjer för behandling av personuppgifter inom skolans område När är PuL tillämplig? Personuppgiftslagen, PuL, är tillämplig när det är fråga om behandling av personuppgifter. Med personuppgifter

Läs mer

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24...

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24... 1 av 15 2007-10-26 18:01 Databas: SFST Ny sökning Sökresultat Föregående Nästa Post 1 av 1 i SFST Länk till register Observera att det kan förekomma fel i författningstexterna. Bilagor till författningarna

Läs mer

Kameraövervakning. Datainspektionen informerar

Kameraövervakning. Datainspektionen informerar Kameraövervakning Datainspektionen informerar Kameraövervakning Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs samtidigt som enskilda människor skyddas

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Behandling av personuppgifter

Behandling av personuppgifter Behandling av personuppgifter Justitiedepartemenet Tryck: Norstedts Tryckeri 1998. Upplaga: 5000 ex. 0101010101010101010101010101010101 1010101010101010101010101010101010 0101010101010101010101010101010101

Läs mer

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen Beslut Dnr 2008-03-26 1202-2007 Tyco Electronics Svenska AB Ombud: Jur. Kand. Patrik Ottosson Maqs Law Firm Advokatbyrå AB Box 119 18 404 39 GÖTEBORG Ansökan om undantag från förbudet i 21 personuppgiftslagen

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Behandling av personuppgifter hos rekryteringsföretag

Behandling av personuppgifter hos rekryteringsföretag Behandling av personuppgifter hos rekryteringsföretag DATAINSPEKTIONENS RAPPORT 2002:3 Innehållsförteckning Inledning...2 Sammanfattning...3 Hur samlas uppgifterna in?...5...5 Hur lagras uppgifterna?...6...6

Läs mer

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datum Diarienr 2014-02-07 234-2013 Wihlborgs Fastigheter AB Dockplatsen 16 Box 97 201 20 Malmö Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datainspektionens

Läs mer

Den nya kamera- övervakningslagen

Den nya kamera- övervakningslagen Den nya kamera- övervakningslagen Kameraövervakningslagen (2013:460) innehåller en ny samlad reglering av kameraövervakning, oavsett om allmänheten har tillträde till den övervakade platsen eller inte.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda Datum Dnr 2008-02-29 806-2007 Kidde Sweden AB Box 90 120 120 21 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda Datainspektionens beslut

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 780-2008 Big Travel Sweden AB Jöns Filsgatan 3 203 12 Malmö Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Hur länge får personuppgifter bevaras? Datainspektionen informerar Hur länge får personuppgifter bevaras? Datainspektionen informerar FAKTA Ordlista Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis insamling, registrering

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om behandling av personuppgifter inom Kustbevakningen; SFS 2003:188 Utkom från trycket den 13 maj 2003 utfärdad den 30 april 2003. Regeringen föreskriver följande.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål Datum Diarienr 2011-06-13 419-2011 Måleribranschens Semesterkassa Box 17144 104 62 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet Datum Diarienr 2010-11-12 1765-2009 The Phone House AB 131 04 NACKA Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet Datainspektionens beslut Datainspektionen bedömer

Läs mer

Rekommendation om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet

Rekommendation om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet Bilaga 10a Styrelsen 2015-06-10 om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet Denna rekommendation har utarbetats gemensamt av Svensk Försäkring och Trafikförsäkringsföreningen

Läs mer

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 150-2012 Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet Datum Diarienr 2010-01-11 1288-2009 reco.se c/o Wiky Ventures AB Industrigatan 2 a 112 46 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet Datainspektionens

Läs mer

Information till registrerade enligt personuppgiftslagen

Information till registrerade enligt personuppgiftslagen Information till registrerade enligt personuppgiftslagen Datainspektionens allmänna råd 1 Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde

Läs mer

Regler för hantering av personuppgifter i Stenungsunds kommun

Regler för hantering av personuppgifter i Stenungsunds kommun STENUNGSUNDS KOMMUN Regler för hantering av personuppgifter i Stenungsunds kommun Typ av dokument Regler Dokumentägare Personuppgiftsombud Beslutat av Kommunstyrelsen Giltighetstid Tills vidare Beslutsdatum

Läs mer

Anmälan av en arbetsgivare för diskriminering eller missgynnande

Anmälan av en arbetsgivare för diskriminering eller missgynnande Anmälningsblankett Sida 1 (9) Anmälan av en arbetsgivare för diskriminering eller missgynnande Den här blanketten kan du använda om du upplever att du själv eller någon annan har blivit diskriminerad,

Läs mer

Elsäkerhetsverkets register och behandlingar av personuppgifter enligt 39 PUL

Elsäkerhetsverkets register och behandlingar av personuppgifter enligt 39 PUL ELSÄK2000, v1.2, 2013-02-01 FÖRTECKNING 1 (11) Kim Reenaas Verksjurist Generaldirektörens stab 0550-851 21 kim.reenaas@elsakerhetsverket.se 2014-08-22 Dnr 14EV2742 Förteckning enligt 39 personuppgiftslagen

Läs mer

PM PERSONUPPGIFTSLAGEN

PM PERSONUPPGIFTSLAGEN PM PERSONUPPGIFTSLAGEN ALLMÄNT Personuppgiftslagen (1998:204) med tillhörande Personuppgiftsförordning (1998:1191) trädde ikraft den 24 oktober 1998 och ersätter 1973 års Datalag. Personuppgiftslagen omfattar

Läs mer

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning INNEHÅLLSFÖRTECKNING REGLER OCH RUTIN FÖR BEHANDLING AV PERSONUPPGIFTER... 3 Inledning... 3 Personuppgiftslagens

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015 PuL och ny dataskyddsförordning Nätverksträff Informationssäkerhet i fokus 4 maj 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster

Läs mer

Datainspektionen informerar. Samtycke enligt personuppgiftslagen. (reviderad den 1 oktober 2007)

Datainspektionen informerar. Samtycke enligt personuppgiftslagen. (reviderad den 1 oktober 2007) Datainspektionen informerar 11 Samtycke enligt personuppgiftslagen (reviderad den 1 oktober 2007) Innehåll Kort om personuppgiftslagen... 4 Vad är samtycke enligt PuL?... 6 Olika slag av samtycke... 8

Läs mer

Universitetet och Datainspektionen i Molnet

Universitetet och Datainspektionen i Molnet 15 och 16 april 2015 Universitetet och Datainspektionen i Molnet reflektioner över en gryende praxis Göteborgs universitet Definition från Wikipedia Datormoln molntjänster - är IT-tjänster som tillhandahålls

Läs mer

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee Datum Diarienr 2013-04-05 1610-2012 Försvarsmakten Högkvarteret 107 85 STOCKHOLM Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av provresultat från alkoholtester

Tillsyn enligt personuppgiftslagen (1998:204) behandling av provresultat från alkoholtester Datum Diarienr 2014-01-23 52-2013 Landstinget Gävleborg Landstingsstyrelsen 801 88 GÄVLE Tillsyn enligt personuppgiftslagen (1998:204) behandling av provresultat från alkoholtester Datainspektionens beslut

Läs mer

Samtycke enligt personuppgiftslagen

Samtycke enligt personuppgiftslagen Samtycke enligt personuppgiftslagen Datainspektionen informerar Reviderad i oktober 2007 FAKTA Personuppgiftslagen Personuppgiftslagen (PuL, 1998:204) trädde i kraft 1998 och har till syfte att skydda

Läs mer

Information till nyanställda inom barn- och utbildningsförvaltningen

Information till nyanställda inom barn- och utbildningsförvaltningen Nämndsekreterare 1 (5) Information till nyanställda inom barn- och Myndighet Myndigheter är de organ som ingår i den statliga och kommunala förvaltningen. Barn- och utbildningsnämnden är en myndighet som

Läs mer

Fyll i blanketten noga det underlättar DO:s arbete med din anmälan.

Fyll i blanketten noga det underlättar DO:s arbete med din anmälan. Anmälningsblankett Sida 1 (8) Anmälan om diskriminering inom ett annat arbetslivsområde Har du eller någon annan blivit diskriminerad inom arbetslivsområdet men inte av en arbetsgivare? Diskrimineringsförbudet

Läs mer

KFOs lilla lathund sekretess och tystnadsplikt

KFOs lilla lathund sekretess och tystnadsplikt KFOs lilla lathund sekretess och tystnadsplikt Denna information vänder sig till samtliga personer som är verksamma inom förskolor, fritidshem, förskoleklasser, grund- och gymnasieskolor som drivs i enskild

Läs mer

Regeringens proposition 1997/98:44

Regeringens proposition 1997/98:44 Regeringens proposition 1997/98:44 Hämtad från Sören Ömans hemsida www.sorenoman.se Personuppgiftslag Prop. 1997/98:44 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 8 december 1997

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening Beslut Dnr 2007-11-06 277-2007 HSB Brf Kalkonen i Stockholm Thorildsvägen 2-4 112 43 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-10-01 898-2008 IT-gymnasiet i Sverige AB Tysta gatan 4 Box 27703 115 91 SVERIGE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Personuppgiftsbehandling

Läs mer

Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS)

Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS) Yttrande Dnr 2008-04-09 1070-2007 Linköpings kommun Kommunledningskontoret 581 81 LINKÖPING Att: Personuppgiftsombudet Ragnhild Klintberg Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Sekretesspolicy för privatkunder

Sekretesspolicy för privatkunder Sekretesspolicy för privatkunder 1. Personuppgiftsansvarig Tikkurila Sverige AB (häri kallat Tikkurila) Textilgatan 31 120 86 Stockholm Sverige Org.nr: 556001-8300 Tel: +46(0)8 775 6000 2. Kontaktuppgifter

Läs mer

Kreditupplysningslag (1973:1173)

Kreditupplysningslag (1973:1173) Observera att det kan förekomma fel i författningstexterna och bilagor kan saknas. Kontrollera därför alltid mot den tryckta versionen. Kreditupplysningslag (1973:1173) SFS nr: 1973:1173 Departement/myndighet:

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet)

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan Datum Dnr 2007-10-08 246-2007 TeliaSonera AB Att: Conny Larsson Mårbackagatan 11 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan Datainspektionens

Läs mer

Offentlighetsprincipen och allmänna handlingar

Offentlighetsprincipen och allmänna handlingar Offentlighetsprincipen och allmänna handlingar 2010 07 01 Producerat av Avdelningen för juridik, Region Skåne Form: Christian Andersson, Region Skåne Tryck: Servicelaget i Kristianstad 2010 Offentlighetsprincipen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2005-03-09 1978-2004 ICA Sverige AB 721 84 VÄSTERÅS Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att ICA Sverige AB i kassasystemet

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 767-2008 Fritidsresor AB Söder Mälarstrand 27 117 85 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Läs mer

RIKTLINJER FÖR ANVÄNDNING AV SOCIALA MEDIER INOM SMC

RIKTLINJER FÖR ANVÄNDNING AV SOCIALA MEDIER INOM SMC 2011-12-05 Sid 1(6) RIKTLINJER FÖR ANVÄNDNING AV SOCIALA MEDIER INOM SMC Text: Petra Holmlund 2011-12-05 Sid 2(6) SMC:s sociala medie-ansikte utåt För en intresseorganisation som kan sociala medier utgöra

Läs mer

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen CIRKULÄR A 01/2009 Till Trafikförsäkringsföreningens medlemmar Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet) är en branschorganisation

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (6) meddelad i Stockholm den 2 december 2011 KLAGANDE AA Ombud: BB Fastighetsjuristerna Göteborg HB Norra Hamngatan 18 411 06 Göteborg MOTPART Datainspektionen Box 8114

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer Datum Diarienr 2014-06-12 1739-2013 Riksidrottsförbundet Idrottens hus 114 73 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer Datainspektionens beslut Datainspektionen

Läs mer

Yttrande Diarienr 2014-03-26 658-2014 Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten 103 33 STOCKHOLM

Yttrande Diarienr 2014-03-26 658-2014 Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten 103 33 STOCKHOLM Yttrande Diarienr 2014-03-26 658-2014 Ert diarienr N2014/1095/TE Näringsdepartementet Transportenheten 103 33 STOCKHOLM Remissyttrande över Transportstyrelsens redovisning av regeringsuppdrag att redovisa

Läs mer

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Undantag från förbudet i 21 personuppgiftslagen (1998:204) BESLUT Dnr 2008-03-18 1402-2007 Svenska Bankföreningen Att: Marie-Louise Ulfward Box 7603 103 94 STOCKHOLM Såsom ombud för: Se bilaga. Undantag från förbudet i 21 personuppgiftslagen (1998:204) Datainspektionens

Läs mer

E-delegationen. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Vad behövs.

E-delegationen. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv. Vad behövs. Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv Johan Bålman Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna Arbetsgruppen

Läs mer

Sekretesspolicy för marknadsföringsregister

Sekretesspolicy för marknadsföringsregister Sekretesspolicy för marknadsföringsregister 1. Personuppgiftsansvarig Tikkurila Sverige AB (häri kallat Tikkurila) Textilgatan 31 120 86 Stockholm Sverige Org.nr: 556001-8300 Tel: +46(0)8 775 6000 2. Kontaktuppgifter

Läs mer

1. Inledning 2. 2. Sammanfattning 4

1. Inledning 2. 2. Sammanfattning 4 Biobanker och personuppgiftslagen Datainspektionens rapport 2004:2 Innehållsförteckning 1. Inledning 2 2. Sammanfattning 4 3. Regler 6 3.1. Personuppgiftslagen 6 3.1.1. Allmänt 6 3.1.2. Definitioner 7

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2007-02-14 1623-2006 Barn- och utbildningsnämnden Nynäshamn kommun 149 81 Nynäshamn Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Riktlinjer för bildhantering

Riktlinjer för bildhantering Kommunledningskontoret Anna Sandström, 0531-52 60 25 anna.sandstrom@bengtsfors.se RIKTLINJER Antagen av Kommunstyrelsen 1(5) Riktlinjer för bildhantering Bilagor: 1. Tillgänglighet vid bildpublicering

Läs mer

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand 1 Ny dataskyddslagstiftning i Europa Agnes Andersson Hammarstrand Ny personuppgiftsförordning - en fråga för alla 3 Agenda Personuppgiftslagen idag Nya lagen - bakgrund De största förändringarna Sammanfattning

Läs mer

Anmälan om diskriminering inom samhällslivet

Anmälan om diskriminering inom samhällslivet Anmälningsblankett Sida 1 (8) Anmälan om diskriminering inom samhällslivet Den här blanketten kan du använda om du upplever att du själv eller någon annan har blivit diskriminerad, trakasserad eller utsatt

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Skolorna visar brister i att hantera personuppgifter

Skolorna visar brister i att hantera personuppgifter Skolorna visar brister i att hantera personuppgifter www.datainspektionen.se Checklista för skolor Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för skolor som

Läs mer

Anmälan av en utbildningsanordnare för diskriminering eller trakasserier

Anmälan av en utbildningsanordnare för diskriminering eller trakasserier Anmälningsblankett Sida 1 (9) Anmälan av en utbildningsanordnare för diskriminering eller trakasserier Den här blanketten kan du använda om du upplever att du själv eller någon annan har blivit diskriminerad,

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (6) meddelad i Stockholm den 8 januari 2015 KLAGANDE Gothia Protection Group AB, 556567-5013 Ombud: AA Gothia Protection Group AB Box 2003 438 11 Landvetter MOTPART

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Vägledning om molntjänster i skolan

Vägledning om molntjänster i skolan 2013-11-xx 1 E-samhället i praktiken Vägledning om molntjänster i skolan För att en skolnämnd i en kommun ska kunna bedöma om de molntjänster som man vill använda inom skolan stämmer överens med kraven

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Datainspektionen informerar. Samtycke enligt personuppgiftslagen

Datainspektionen informerar. Samtycke enligt personuppgiftslagen Datainspektionen informerar Samtycke enligt personuppgiftslagen 11 Innehåll Kort om personuppgiftslagen... 4 Vad är samtycke enligt PuL?... 6 Olika slag av samtycke... 8 Samtycket behöver inte vara skriftligt...

Läs mer

GOOGLE APPS FOR EDUCATION

GOOGLE APPS FOR EDUCATION GOOGLE APPS FOR EDUCATION #isjöbo INFORMATION TILL PERSONAL 20150819 Familjeförvaltningen DIGITALISERING #isjöbo Skolans styrdokument, vår läroplan och kursplaner ställer krav på digitalisering och vi

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Diarienr 2013-06-17 346-2013 Gårdstensbostäder AB Box 4 424 21 ANGERED Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Gårdstensbostäder

Läs mer

Rätt information på rätt plats i rätt tid, SOU 2014:23

Rätt information på rätt plats i rätt tid, SOU 2014:23 TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Thomas Johansson 2014-10-01 ON 2014/0083 53515 Omsorgsnämnden Rätt information på rätt plats i rätt tid, SOU 2014:23 Förslag till beslut Omsorgsnämnden

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella

Läs mer