Personuppgifter i arbetslivet. Datainspektionen informerar

Storlek: px
Starta visningen från sidan:

Download "Personuppgifter i arbetslivet. Datainspektionen informerar"

Transkript

1 Personuppgifter i arbetslivet Datainspektionen informerar

2 Personuppgifter i arbetslivet Illustrationer: Oscar Alarik Reviderad i juni Det kan finnas en senare version av den här broschyren i pdf-format på Tryckt hos Ineko AB i april 2012 på Arctic Volume White. Miljömärkt trycksak IISSN Datainspektionen informerar Personuppgifter i arbetslivet

3 Förord I den här broschyren får du veta mer om hur personuppgifter i arbetslivet får behandlas enligt personuppgiftslagen. Broschyren vänder sig till arbetsgivare, arbetstagare, fackförbund och branschorganisationer inom både privat och offentlig sektor. I vissa fall kan särskilda regler gälla för arbetsgivare i offentlig verksamhet och dessa tas upp i ett särskilt kapitel. I den mån det finns särskilda lagregler om behandling av personuppgifter inom arbetslivet, gäller dessa före personuppgiftslagen. Broschyren innehåller en genomgång av personuppgiftslagens bestämmelser och hur dessa tillämpas på arbetslivets område. Dessutom hittar du exempel från verkliga fall som Datainspektionen behandlat. När det talas om arbetstagare menas i vissa fall även arbetssökande. Frågan om införande av en särskild lag beträffande personlig integritet i arbetslivet har utretts ett antal gånger. Betänkandet Integritetsskydd i arbetslivet från 2009 (SOU 2009:44), som i och för sig föreslog en särskild lag avseende arbetslivet, gjorde bedömningen att personuppgiftslagen ger ett bra skydd för den personliga integriteten på arbetslivets område. Det är vår förhoppning att den här broschyren ska bidra till att öka kunskapen om både principerna bakom personuppgiftslagen och vara till nytta vid den praktiska hanteringen av ärenden som rör behandlingen av personuppgifter i arbetslivet. Stockholm den 22 mars 2012 Datainspektionen informerar Personuppgifter i arbetslivet 3

4 Innehåll Definitioner...6 Inledning....8 När gäller personuppgiftslagen?...9 Etablerad i Sverige eller etablerad i tredje land och använder utrustning här...9 Avvikande bestämmelser i författning...9 Helt eller delvis automatiserad behandling...9 Manuella register...9 Behandling i ostrukturerat material...10 Särskilda regler för offentlig verksamhet...11 Arbetsgivaren är personuppgiftsansvarig...14 Personuppgiftsbiträde...14 Vad innebär ansvaret? Ansvaret för sociala medier Om man bryter mot personuppgiftslagen Skadestånd...16 Arbetsgivarens behandling av personuppgifter några grunder Ändamål för behandlingen, Gallring Arbetsgivaren måste informera de anställda...19 Behandlingen måste vara tillåten...19 På grund av avtal, På grund av en rättslig skyldighet, För att skydda vitala intressen, Efter en intresseavvägning Med arbetstagarens samtycke...22 Ett samtycke måste vara giltigt, Ett samtycke kan återkallas 4 Datainspektionen informerar Personuppgifter i arbetslivet

5 Personuppgifter i arbetslivet några särskilda områden...25 Publicering på arbetsgivarens webbplats...25 Bilder på de anställda...25 Känsliga uppgifter På grund av skyldighet eller rättighet inom arbetsrätten, För att hävda rättsliga anspråk, Behandling av känsliga uppgifter med stöd av ett samtycke Brottsuppgifter...29 Whistleblowing...30 Personnummer Kontroll och övervakning av de anställda Arbetstagarens prestationer, Rekryteringssystem och kompetensdatabaser, Regler för användningen av IT-systemet, Loggning, Kameraövervakning, Positioneringsteknik (GPS), Elektronisk körjournal, Biometri Tredjelandsöverföring Säkerhet för personuppgifter...42 Anmälan till Datainspektionen...42 Personuppgiftsombud...43 Samråd...43 Datainspektionens tillsyn...43 Om du behöver mer information...45 Datainspektionen informerar Personuppgifter i arbetslivet 5

6 Definitioner Personuppgifter är all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bild och ljuduppgifter om en fysisk person räknas som personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter, som exempelvis IP-nummer, omfattas också av personuppgiftslagen om uppgifterna direkt eller indirekt kan kopplas till fysiska personer. Känsliga personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Behandling av personuppgifter är varje åtgärd som utförs med personuppgifter, vare sig det sker på automatisk väg eller inte. Behandling är ett vitt begrepp som omfattar alla åtgärder som exempelvis: insamling registrering lagring bearbetning eller ändring utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter sammanställning eller samkörning. Den registrerade är den som en personuppgift handlar om, till exempel arbetstagaren eller en arbetssökande. Kompetensdatabaser är en typ av register hos exempelvis arbetsgivare där uppgifter om anställda lagras. Uppgifterna kan handla om genomförda utbildningar, arbetslivserfarenhet och poäng från kunskapstester. Det kan också röra sig om omdömen och värderande uppgifter om den anställde. Kompetensdatabaser kan användas till exempel då befattningar ska tillsättas internt och för att matcha personer mot kundernas behov. 6 Datainspektionen informerar Personuppgifter i arbetslivet

7 FAKTA Personuppgiftslagen Personuppgiftslagen trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar. Personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet. Personuppgiftsansvarig är den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Personuppgiftsbiträde Personuppgiftsbiträde är den som utanför den personuppgiftsansvariges organisation behandlar personuppgifter för dennes räkning. Samtycke är varje slag av otvetydig viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Samtycket ska vara: individuellt frivilligt särskilt otvetydigt informerat, det vill säga lämnat efter det att information om behandlingen har lämnats (informerat samtycke). Tredje land är en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES). Datainspektionen informerar Personuppgifter i arbetslivet 7

8 Inledning I arbetslivet används personuppgifter i många olika sammanhang, allt från löneregister och adresslistor till behörighetssystem och kompetensdatabaser. Någon lagstiftning som direkt avser behandling av personuppgifter inom arbetslivet finns inte. Arbetstagarens integritet i arbetslivet regleras och preciseras istället på flera olika ställen; genom arbetsrättslig lagstiftning, Arbetsmiljöverkets föreskrifter och allmänna råd, domstolsavgöranden (praxis) och i riktlinjer som skapas på arbetsmarknaden och anses uttrycka god sed i arbetslivet. Personuppgiftslagen tar vid där andra lagar slutar och gäller där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter. Vissa typer av personuppgifter anser de flesta av oss vara integritetskänsliga, till exempel uppgifter om hälsa och sexualliv. Ibland kan en arbetstagare uppleva behandling av personuppgifter som ett integritetsintrång, till exempel om informationen som behandlas är mycket detaljerad. Det är viktigt att finna en rimlig balans mellan en arbetsgivares behov av att behandla personuppgifter och den enskildes anspråk på personlig integritet. När man gör en sådan bedömning bör man också tänka på att en arbetstagare i allmänhet befinner sig i en beroendeställning i förhållande till arbetsgivaren. Ett samtycke till en viss behandling kan därför inte alltid ges samma betydelse som i andra sammanhang. Personuppgiftslagen ställer inte något krav på licens eller tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar den personuppgiftsansvarige, det vill säga arbetsgivaren, för att behandling av personuppgifter utförs på ett lagligt sätt. Det är alltså arbetsgivaren som självständigt har ansvaret och som beslutar om vem eller vilka som har rätt att behandla personuppgifter. Detta gäller även om någon annan (ett personuppgiftsbiträde) har fått till uppgift att utföra själva registreringen, till exempel en leverantör av IT-system. Datainspektionen är en tillsynsmyndighet och övervakar tillämpningen av bestämmelserna. 8 Datainspektionen informerar Personuppgifter i arbetslivet

9 När gäller personuppgiftslagen? Etablerad i Sverige eller etablerad i tredje land och använder utrustning här Personuppgiftslagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen gäller också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige, om inte utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. Avvikande bestämmelser i författning Om det finns bestämmelser i en annan lag eller förordning om behandling av personuppgifter som avviker från personuppgiftslagen, så kallad registerförfattning, ska de bestämmelserna gälla i stället. Kollektivavtal utgör inte en sådan lag eller förordning som gäller före personuppgiftslagen. Helt eller delvis automatiserad behandling Personuppgiftslagen tillämpas på all behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer. Att lagen även omfattar delvis automatiserad behandling innebär bland annat att den gäller redan när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen. Manuella register Även manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek) omfattas av personuppgiftslagen om uppgifterna är Datainspektionen informerar Personuppgifter i arbetslivet 9

10 sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter efternamn. För att det ska vara ett manuellt register som omfattas av personuppgiftslagen krävs därför att samlingen av personuppgifter är strukturerad. Det krävs dessutom att personuppgifterna i samlingen gjorts tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling i ostrukturerat material Personuppgiftslagen innehåller ett antal hanteringsregler (närmare 50 paragrafer), som bland annat handlar om grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material, såsom löpande text och ljud och bild gäller en förenklad reglering. Därför är det bra att först ställa sig frågan: Är behandlingen strukturerad eller ostrukturerad? Den förenklade regleringen innebär att hanteringsreglerna inte behöver följas när man hanterar personuppgifter i ett ostrukturerat material såsom löpande text i ordbehandlingssystem och på Internet, ljud- och bildupptagningar och korrespondens med e-post. Undantaget kan också omfatta enkla strukturer som listor över anställda på ett företags webbplats (se även avsnittet om arbetsgivarens webbplats). Syftet med förenklingen är att underlätta vardaglig hantering av personuppgifter som typiskt sett inte medför integritetsrisker. Den förenklade regleringen innebär att vardaglig, ostrukturerad behandling, i princip får utföras fritt så länge man inte kränker någon. Kränkande behandling är inte tillåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte 10 Datainspektionen informerar Personuppgifter i arbetslivet

11 de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får alltså göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Observera att hanteringsreglerna ska tillämpas om ett ostrukturerat material senare ska infogas i ett strukturerat material, till exempel ett kvalificerat dokument- eller ärendehanteringssystem. Om en samling personuppgifter har strukturerats så att hanteringsreglerna gäller, så omfattas alla personuppgifter som finns i materialet, även om vissa av dessa inte är strukturerade (till exempel i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem). Vid behandling av personuppgifter i ett ostrukturerat material behöver man, förutom en kränkningsbedömning, i stort sett bara tänka på bestämmelserna om säkerhet för personuppgifter (se sidan 41). Vill man vara säker på att behandling av personuppgifter inte innebär en kränkning av den personliga integriteten kan man välja att följa personuppgiftslagens hanteringsregler, till exempel de grundläggande kraven och kriterierna för när en behandling av personuppgifter är tillåten. Fortsättningsvis i den här broschyren förutsätts att det är fråga om arbetsgivarens behandling av personuppgifter i ett strukturerat material och att därför alla bestämmelser i personuppgiftslagen gäller. Särskilda regler för offentlig verksamhet Förutom personuppgiftslagen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav, exempelvis när det gäller offentlighetsprincipen. Datainspektionen informerar Personuppgifter i arbetslivet 11

12 Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga integritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garanterar vidare offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av personuppgiftslagen lämna personuppgifter för offentliggörande i massmedia. Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, den så kallade offentlighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personregister hos en offentlig arbetsgivare lämnas ut till allmänheten i 12 Datainspektionen informerar Personuppgifter i arbetslivet

13 Allmänna handlingar i kompetensdatabas Datainspektionen bedömde i ett samrådsyttrande att en kompetensdatabas hos en offentlig arbetsgivare, där bland annat omdömen om de anställda fanns med, inte var tillåten. I bedömningen togs bland annat hänsyn till att det var en mycket ingående kartläggning av de anställda, att det rörde sig om information av integritetskänslig natur och att informationen inte skyddades av några sekretessbestämmelser utan kunde komma att lämnas ut enligt offentlighetsprincipen. samma omfattning som traditionella handlingar. Det innebär att många uppgifter om arbetstagare kan bli tillgängliga för vem som helst om det inte råder sekretess enligt offentlighets- och sekretesslagen. När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem den sökande är och vilket syfte denne har med sin begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa personuppgiftslagens regel om att informera arbetstagaren om för vilket ändamål uppgiften lämnas ut eller till vem den lämnas. Det finns dock inget som hindrar att arbetsgivaren informerar de anställda om att uppgifter kan komma att lämnas ut med stöd av offentlighetsprincipen. Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande e-postmeddelanden. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation. Sådana meddelanden bör tas bort eller i vart fall avskiljas från e-postsystemet, till exempel genom att placeras i en särskilt markerad privat mapp. Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna kan innebära undantag från personuppgiftslagens regler om gallring. Datainspektionen informerar Personuppgifter i arbetslivet 13

14 Arbetsgivaren är personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening) eller den myndighet som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till. Även en fysisk person kan vara personuppgiftsansvarig, till exempel en enskild företagare. Ibland kan flera juridiska personer eller myndigheter vara inblandade i behandlingen av samma personuppgifter. Det är då viktigt att ta ställning till ansvarsfrågan från början. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. I till exempel stora företagskoncerner med dotterbolag kan personuppgiftsansvaret se ut på flera olika sätt. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen. Personuppgiftsbiträde Arbetsgivaren kan låta någon annan utföra den faktiska behandlingen av personuppgifter genom att anlita ett personuppgiftsbiträde för exempelvis hanteringen av de anställdas löner. Personuppgiftsansvaret kan däremot aldrig överlåtas och arbetsgivaren är fortsatt ansvarig för behandlingen även om den utförs av ett personuppgiftsbiträde som exempelvis en molntjänstleverantör. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd som behandlar personuppgifter för arbetsgivarens räkning är alltså inte personuppgiftsbiträde. Det ska finnas ett skriftligt avtal mellan arbetsgivaren och personuppgiftsbiträdet. I avtalet måste det stå att personuppgiftsbiträdet och dennes anställda bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Det är alltså arbetsgivaren som bestämmer för vilka ändamål personuppgifterna ska behandlas. 14 Datainspektionen informerar Personuppgifter i arbetslivet

15 Vad innebär ansvaret? Arbetsgivaren ansvarar för att de anställda inte behandlar personuppgifter på ett otillåtet eller lagstridigt sätt i tjänsten och kan bli ansvarig för skador som de orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller personuppgiftslagens krav, till exempel vad gäller ändamål med behandlingen, gallring och bevarande samt säkerhet. Det här gäller oavsett om det är på arbetsplatsen, i hemmet eller på en tjänsteresa. Arbetsgivaren bör därför upprätta och informera om regler och rutiner som beskriver hur de anställda ska behandla personuppgifter. Man bör också fastställa en policy för informationssäkerhet. Ansvaret för sociala medier En organisation som använder sig av sociala medier som Facebook, Twitter, bloggar och liknande kommunikationskanaler har ett ansvar för de personuppgifter som organisationen själva publicerar. När det gäller Facebook och bloggar ansvarar organisationen även för personuppgifter som andra publicerar i till exempel kommentarer. Den som arbetar med sociala medier för organisationens räkning behöver informeras om ändamålen med behandlingen av personuppgifter som kan förekomma och att användning som är oförenlig med dessa ändamål är förbjuden. Mer information om organisationers användning av sociala medier hittar du på Om man bryter mot personuppgiftslagen Personuppgiftslagen innehåller regler om straff, böter eller fängelse i högst sex månader för den som bryter mot bestämmelser i lagen. Det straffrättsliga ansvaret utkrävs av den fysiska person i organisationen som har gjort sig skyldig till överträdelsen. Lagen säger att till straff döms den som uppsåtligen eller av grov oaktsamhet : Lämnar osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen. Datainspektionen informerar Personuppgifter i arbetslivet 15

16 Behandlar känsliga personuppgifter eller uppgifter om brott m.m., med mera i strid med bestämmelserna i lagen. För över personuppgifter till tredje land i strid med bestämmelserna i lagen. Låter bli att göra en anmälan om behandling till Datainspektionen när sådan krävs. Behandlar känsliga uppgifter eller uppgifter om brott m.m. i en ostrukturerad samling av personuppgifter i strid med 5 a andra stycket personuppgiftslagen. I strid med 5 a andra stycket personuppgiftslagen för över personuppgifter till tredje land som inte har en adekvat skyddsnivå för skyddet av personuppgifterna. Är brottet grovt är straffet fängelse i högst två år. Skadestånd En arbetsgivare som behandlar personuppgifter om en arbetstagare i strid med personuppgiftslagen ska ersätta arbetstagaren för skada och kränkning av den personliga integriteten som behandlingen har orsakat. Dessutom kan ideell ersättning utgå för själva kränkningen. Om det visar sig att det inte var arbetsgivarens fel, kan ersättningsskyldigheten sättas ned eller helt falla bort. Kom ihåg att även om arbetsgivaren har anlitat ett personuppgiftsbiträde kan personuppgiftsansvaret aldrig överlåtas. Det är alltid arbetsgivaren som är personuppgiftsansvarig och som kan bli skadeståndsskyldig. 16 Datainspektionen informerar Personuppgifter i arbetslivet

17 Arbetsgivarens behandling av personuppgifter några grunder All behandling av personuppgifter måste vara laglig och ska dessutom utföras på ett korrekt sätt och i enlighet med god sed på arbetsmarknaden. Vad som är god sed kan avgöras mot bakgrund av bland annat överenskommelser inom arbetsmarknaden. Om arbetsgivaren upprättar en policy för sin behandling av personuppgifter, får det som regel anses strida mot god sed att arbetsgivaren inte följer den. Arbetsgivaren bör sträva efter att i första hand samla in personuppgifter från arbetstagaren själv. Ändamål för behandlingen Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål eller syften och dessa måste bestämmas redan när behandlingen påbörjas. Ändamålen får inte vara för allmänt hållna och arbetsgivaren måste därför bestämma ett för varje typ av behandling, till exempel personaladministration, behörighetskontroll, säkerhets- och katastrofplanering. Uppgifter som har samlats in för ett visst syfte, till exempel personaladministration, får sedan inte behandlas för något annat syfte som är oförenligt med det ursprungliga, till exempel prestationsmätning. Det här kallas för finalitetsprincipen. Ändamålet bör beskrivas så noggrant som möjligt och det ska göras innan man börjar samla in personuppgifter. Man kan ange flera ändamål samtidigt. Det ställs inte krav på att ändamålen ska dokumenteras skriftligt men för att undvika tvister och förenkla arbetet med att lämna information till de registrerade kan det ändå vara en fördel att göra det. Om personuppgifterna ska lämnas vidare till någon annan krävs att även utlämnandet är förenligt med de ursprungliga ändamålen. Att samköra två eller flera register med olika ändamål innebär i allmänhet att ett eller flera nya register med nya ändamål skapas. Att samköra register på detta sätt strider mot finalitetsprincipen och är normalt otillåtet. Datainspektionen informerar Personuppgifter i arbetslivet 17

18 Ändamålet var inte tillräckligt angivet Datainspektionen ansåg i ett ärende att det inte var tillräckligt att enbart ange att kontroll och loggning kan förekomma som ändamål för loggning och övervakning på ett sjukhus utan att man samtidigt angav vad syftet med denna kontroll var. Till exempel kan ett sådant syfte vara att man vill övervaka de anställdas arbete för att senare göra en uppföljning av att de interna reglerna följs. Man får bara behandla uppgifter som är adekvata och relevanta i förhållande till ändamålet med behandlingen. Det betyder att uppgifterna måste ha någon faktisk betydelse för det ändamålet och att man inte ska registrera mer än vad man verkligen behöver. Arbetsgivaren måste bland annat ta ställning till om behandlingen måste utföras på individnivå. Om ändamålet är att föra statistik kan det vara tillräckligt att registreringen sker på ett sätt så att enskilda inte kan identifieras. Gallring Personuppgifter ska hålla så hög kvalitet som möjligt. Arbetsgivaren måste därför se till att det finns tydliga rutiner för uppdatering och gallring av uppgifter om arbetstagare. Uppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Ändamålet är alltså utgångspunkten för bedömningen av när uppgifter ska bevaras eller gallras. Man ska inte spara uppgifter bara för att de kan vara bra att ha. När en anställning upphör finns det i regel ingen grund för att spara e-postkontot eller uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad. Ibland krävs det att uppgifter bevaras under en längre tid, till exempel på grund av bestämmelser i lag eller för att de behövs för utbetalning av till exempel pension från arbetsgivaren. En offentlig arbetsgivare måste under vissa förhållanden behålla uppgifter om en arbetssökande, till exempel vid ett överklagande av ett beslut att inte anställa sökanden. 18 Datainspektionen informerar Personuppgifter i arbetslivet

19 Arbetsgivaren kan då behöva uppgifterna för att styrka att ansökan har behandlats på rätt sätt. Arbetsgivaren måste informera de anställda Personuppgiftslagen ställer stora krav på att arbetsgivaren självmant informerar de anställda om vilka personuppgifter som samlas in och vad de ska användas till. Detta gäller i princip vid all behandling av personuppgifter. Om uppgifterna samlas in från någon annan källa än den anställde ska arbetsgivaren normalt lämna den anställde information om behandlingen när uppgifterna registreras. Om uppgifterna istället ska samlas in från den anställde själv behöver arbetsgivaren lämna informationen redan i samband med insamlingen. För att ett samtycke till behandling ska vara giltigt måste arbetstagaren ha fått sådan information att han eller hon kan bedöma för- och nackdelarna med behandlingen. Informationen och samtycket måste gälla en viss behandling som rör arbetstagaren och som utförs av en viss arbetsgivare för bestämda syften. Läs mer om samtycke på sidan 22. Arbetsgivaren är även skyldig att lämna skriftlig information till arbetstagaren om vilka personuppgifter som behandlas och vad uppgifterna används till. Arbetstagaren har rätt att få sådan information en gång per år genom att göra en ansökan om registerutdrag. Läs mer om information till registrerade på Behandlingen måste vara tillåten För att en arbetsgivare ska få behandla personuppgifter krävs att behandlingen sker med stöd av ett giltigt samtycke eller omfattas av något annat i personuppgiftslagen uppräknat fall av tillåten behandling som beskrivs nedan. En förutsättning för all behandling är att de grundläggande kraven som beskrivits i avsnittet innan detta är uppfyllda, till exempel att ändamålet med behandlingen är tydligt beskrivet i förväg och att personuppgifterna som behandlas har betydelse för arbetsförhållandet. Datainspektionen informerar Personuppgifter i arbetslivet 19

20 För känsliga personuppgifter, uppgifter om brott m.m. och personnummer finns det fler bestämmelser som avgör om en behandling är tillåten. Det finns också särskilda regler för hur personuppgifter får överföras till utlandet. Läs mer om det på sidan 40. På grund av avtal Personuppgifter får behandlas om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan arbetsgivaren och arbetstagaren ska kunna uppfyllas. Detsamma gäller för att åtgärder som den registrerade har begärt ska kunna vidtas innan ett avtal träffas. Avtalet måste ha ingåtts med arbetstagaren själv. Ett avtal mellan arbetsgivaren och en juridisk person, till exempel ett bemanningsföretag, innebär alltså inte att uppgifter får behandlas om personer som är anställda hos bemanningsföretaget. Det finns flera olika typer av system där personuppgifter kan komma att behandlas på grund av avtal, till exempel: personaladministrativa system, det vill säga system för löneberäkning, registrering av sjukfrånvaro in- och utpasseringssystem flextidsystem behörighetskontrollsystem företagshälsovård. Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med den anställde, får registreras om det behövs för anställningsförhållandet. Detsamma gäller uppgifter om prestationer, till exempel om uppgifterna behövs för att uppfylla skyldigheter enligt ett ackordslöneavtal eller något annat avtalat prestationsbaserat lönesystem. Se även avsnittet Arbetstagares prestationer på sidan 31. För att en arbetsgivare ska ha rätt att registrera värderande uppgifter måste det tydligt framgå av anställningsavtalet vilken betydelse dessa 20 Datainspektionen informerar Personuppgifter i arbetslivet

21 har för den aktuella tjänsten. Det är inte tillräckligt att parterna har kommit överens om individuell lönesättning. På grund av en rättslig skyldighet En arbetsgivare får samla in och registrera personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet. Arbetsgivare är enligt ett flertal lagar och förordningar skyldiga att lämna ut uppgifter om anställda till bland annat statliga och kommunala myndigheter. Som exempel kan nämnas uppgifter som behövs för att: redovisa skatter och sociala avgifter beträffande arbetstagarna erlägga grupplivs- och pensionsavgifter till försäkringsbolag upprätta listor över anställda för att följa de turordningsbestämmelser som gäller vid uppsägning behandla personuppgifter för att kunna leva upp till arbetsmiljölagstiftningen. För att skydda vitala intressen En arbetsgivare får behandla personuppgifter om det är nödvändigt för att skydda arbetstagaren i situationer som innebär fara för liv och hälsa. Efter en intresseavvägning En arbetsgivare får behandla personuppgifter om det är nödvändigt och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Den här bedömningen ska avgöras efter en avvägning och hur den utfaller beror bland annat på förhållandena på den aktuella arbetsplatsen, vilken slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras, vilka regler och riktlinjer som utfärdats av arbetsgivaren och vilken information arbetstagarna har fått. Mer information om intresseavvägning hittar du på Datainspektionen informerar Personuppgifter i arbetslivet 21

Personuppgifter i arbetslivet. Datainspektionen informerar

Personuppgifter i arbetslivet. Datainspektionen informerar Personuppgifter i arbetslivet Datainspektionen informerar Personuppgifter i arbetslivet Pris 53 kr inklusive moms. Illustrationer: Oscar Alarik Reviderad i mars 2012. Det kan finnas en senare version av

Läs mer

PERSONUPPGIFTSLAGEN (PUL)

PERSONUPPGIFTSLAGEN (PUL) 1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET PUL i praktiken Vad är PuL? PuL betyder Personuppgiftslagen och trädde i kraft 1998. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer

Läs mer

Intresseavvägning enligt personuppgiftslagen

Intresseavvägning enligt personuppgiftslagen Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar ORDLISTA Behandling Varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, exempelvis insamling, registrering, lagring

Läs mer

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling i forskning Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller

Läs mer

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning. Innehållsförteckning Syftet 2 Personuppgiftslagen (1998:204) 3 Behandling av personuppgifter för administrativa ändamål 6 Känsliga uppgifter 6 Personnummer på klasslistor 8 Uppgifter om familjemedlemmar

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg www.pulpedagogen.se Personuppgiftslagen (PuL) Vad tänka på i PuL när det gäller e-förvaltning? Missbruksregeln - Hanteringsregeln Ändamålet God

Läs mer

Frågor & svar om nya PuL

Frågor & svar om nya PuL Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet

Läs mer

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud Välkomna till Datainspektionen Grundkurs i personuppgiftslagen Grundkurs för personuppgiftsombud Ulrika Bergström, Jonas Agnvall, Agneta Runmarker och Ranja Bunni 15-16 mars 2016 Grundkurs i personuppgiftslagen

Läs mer

Personuppgiftslagen 20 april 2010

Personuppgiftslagen 20 april 2010 Personuppgiftslagen 20 april 2010 Kristina Blomberg info@pulpedagogen.se 08-36 22 30, 070-751 90 41 www.pulpedagogen.se Historia FoB-arna startade diskussionen på 1960-talet Datalagen (och Datainspektionen)

Läs mer

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter enligt personuppgiftslagen Regler för behandling av personuppgifter enligt personuppgiftslagen 2013-03-01 Innehåll 1. Kort om personuppgiftslagen... 1 2. Några begrepp i PuL... 1 3. Grundläggande krav på behandling av personuppgifter...

Läs mer

Lathund Personuppgiftslagen (PuL)

Lathund Personuppgiftslagen (PuL) Lathund Personuppgiftslagen (PuL) Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och

Läs mer

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbehandling för forskningsändamål Personuppgiftsbehandling för forskningsändamål 13 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på Dataskyddsdirektivet Bestämmelser i annan lag eller förordning gäller

Läs mer

Skyldigheten att lämna registerutdrag blir mindre betungande

Skyldigheten att lämna registerutdrag blir mindre betungande Sammanfattning Hanteringen av personuppgifter som inte ingår i personregister underlättas Personuppgiftslagsutredningen har haft i uppdrag att göra en över-syn av personuppgiftslagen. Syftet har varit

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är

Läs mer

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Riktlinjer för behandling av personuppgifter

Riktlinjer för behandling av personuppgifter Riktlinjer för behandling av personuppgifter Antagna av kommunstyrelsen den 10 augusti 2016, 256. Inledning Personuppgiftslagen innehåller bestämmelser om när personuppgifter får samlas in, hur de insamlade

Läs mer

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013 Göteborgs universitet Kristina Ullgren November 2013 2 Personuppgiftslagen i sammandrag 1. Syftet att skydda den personliga integriteten 2. PuL gäller inte för privat behandling av personuppgifter 3. Vardaglig

Läs mer

Publicering på Internet

Publicering på Internet Publicering på Internet I personuppgiftslagen (PuL) finns inga särskilda regler för publicering på Internet. Personuppgiftslagens generella regler för behandling av personuppgifter gäller även när man

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Rutin för webbpublicering av personuppgifter

Rutin för webbpublicering av personuppgifter 1(5) Kommunstyrelsens förvaltning Kommunstyrelsens kansli Caroline Uttergård, Administratör 0171-525 61 caroline.uttergard@habo.se Antagen av kommundirektören 2014-10-15 Rutin för webbpublicering av personuppgifter

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari

Läs mer

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige plan policy regel regler för personuppgiftshantering program regel riktlinje rutin strategi taxa............................ Beslutat av: Kommunfullmäktige Beslutandedatum: 2015-02-16 16 Ansvarig: Kanslichef

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Åklagardatalag; utfärdad den 25 juni 2015. SFS 2015:433 Utkom från trycket den 7 juli 2015 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens syfte och tillämpningsområde

Läs mer

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid Göteborgs universitet. Regler för behandling av personuppgifter

Läs mer

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter vid Högskolan Dalarna Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12

Läs mer

Personuppgifter. Behandling av personuppgifter

Personuppgifter. Behandling av personuppgifter Reviderad maj 2003 POLICYDOKUMENT från arbetsgruppen för forskningsetik vid ämnesrådet för medicin Personuppgifter För forskning på människor finns en omfattande reglering av såväl nationell som internationell

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda Datum Diarienr 2011-11-30 695-2011 Dagab AB Box 441 401 26 Göteborg Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda Datainspektionens beslut Datainspektionen

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express den 21 september 2016 på Nils Bergh Heléne Hellström Persson Christian Rimmerfeldt Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades

Läs mer

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Hur länge får personuppgifter bevaras? Datainspektionen informerar Hur länge får personuppgifter bevaras? Datainspektionen informerar FAKTA Ordlista Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis insamling, registrering

Läs mer

Kaffemöte. lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Kaffemöte. lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20 Kaffemöte lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20 Program Visning av FRIS och Skånegillets nya hemsidor Visning av nytt centralt medlemsregister för FRIS

Läs mer

Information om personuppgiftslagens tillämpning i Riksbanken

Information om personuppgiftslagens tillämpning i Riksbanken Information om personuppgiftslagens tillämpning i Riksbanken AUGUSTI 2002 1.Inledning I det följande lämnas information om personuppgiftslagen och dess tillämpning som berör alla anställda i Riksbanken.

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-07-10 706-2006 Norn Integrated Computer Systems AB Box 439 194 04 Upplands Väsby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162 Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning och regler för webbpublicering av personuppgifter på www.odeshog.se Godkänt av kommunstyrelsen 2007-04-18,

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Innehåll Inledning... 4 Fakta om PuL... 5 Så här kan du få rättelse... 6 Rätten till registerutdrag... 6 Möjligheten att själv

Läs mer

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar Intresseavvägning enligt personuppgiftslagen 12 Innehåll Inledning... 4 Definitioner... 4 När tillämpas PuL?... 6 Tillåten behandling?... 7 Behandling efter en intresseavvägning...

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Beslut Diarienr 1 (7) 2016-05-10 120-2016 Er referens JR 21/2016 TeliaSonera Sverige AB 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Datainspektionens

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Utlänningsdatalag; utfärdad den 4 februari 2016. SFS 2016:27 Utkom från trycket den 5 februari 2016 Enligt riksdagens beslut 1 föreskrivs följande. Lagens syfte 1 Syftet med

Läs mer

Personuppgifter i forskningen vilka regler gäller?

Personuppgifter i forskningen vilka regler gäller? Personuppgifter i forskningen vilka regler gäller? Uppdaterad i mars 2013 Personuppgifter i forskningen vilka regler gäller? Vad gäller när en forskare hanterar integritetskänsligt material i sin forskning?

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24...

http://62.95.69.15/cgi-bin/thw?%24%7bhtml%7d=sfst_lst&%24... 1 av 15 2007-10-26 18:01 Databas: SFST Ny sökning Sökresultat Föregående Nästa Post 1 av 1 i SFST Länk till register Observera att det kan förekomma fel i författningstexterna. Bilagor till författningarna

Läs mer

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Varför juridiska regelverk? Skapa rättssäkerhet Skapa förutsebarhet Behov av att balansera

Läs mer

Behandling av personuppgifter

Behandling av personuppgifter Behandling av personuppgifter Justitiedepartemenet Tryck: Norstedts Tryckeri 1998. Upplaga: 5000 ex. 0101010101010101010101010101010101 1010101010101010101010101010101010 0101010101010101010101010101010101

Läs mer

Personuppgiftslag (1998:204)

Personuppgiftslag (1998:204) Page 1 of 10 SFS 1998:204 Källa: Regeringskansliets rättsdatabaser Utfärdad: 1998-04-29 Uppdaterad: t.o.m. SFS 2009:827 Personuppgiftslag (1998:204) Allmänna bestämmelser Syftet med lagen 1 Syftet med

Läs mer

Riktlinjer för behandling av personuppgifter inom skolans område

Riktlinjer för behandling av personuppgifter inom skolans område 2003-10-10 Riktlinjer för behandling av personuppgifter inom skolans område När är PuL tillämplig? Personuppgiftslagen, PuL, är tillämplig när det är fråga om behandling av personuppgifter. Med personuppgifter

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag Beslut Dnr 2008-07-02 632-2008 Eslövs Bostads AB Box 225 241 23 Eslöv Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag Datainspektionens beslut

Läs mer

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte Författningssamling Fastställd av kommunfullmäktige: 2003-03-27 68 Reviderad: Personuppgiftslagen Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte 1 Lagens syfte är att skydda människor så

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation Datum Diarienr 2012-05-16 163-2012 Taxi Stockholm 15 00 00 AB Ombud: Advokat NN Sandart&Partners Advokatbyrå KB Box 7131 103 87 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter

Läs mer

Intresseavvägning enligt personuppgiftslagen

Intresseavvägning enligt personuppgiftslagen Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar Reviderad i juni 2009 FAKTA Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis

Läs mer

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN Uppdaterad: 2009-08-20 SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN 2 INNEHÅLL 1. Regler för behandling av personuppgifter 3 2. Organisation 6 3. Rutin för att anmäla

Läs mer

Personuppgiftslagen PUL

Personuppgiftslagen PUL SFS nr: 1998:204 Departement/ myndighet: Justitiedepartementet L6 Rubrik: Personuppgiftslag (1998:204) Utfärdad: 1998-04-29 Ändring införd: t.o.m. SFS 2003:466 Personuppgiftslagen PUL Allmänna bestämmelser

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 780-2008 Big Travel Sweden AB Jöns Filsgatan 3 203 12 Malmö Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen Stockholm 2012-10-22 Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för verksamheter

Läs mer

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Betänkandet låt fler forma framtiden! (SOU 2016:5) Yttrande Diarienr 1 (7) 2016-06-21 536-2016 Ert diarienr Ku2016/00088/D Kulturdepartementet 103 33 Stockholm även via e-post Betänkandet låt fler forma framtiden! (SOU 2016:5) Datainspektionen har granskat

Läs mer

Datainspektionen informerar. Hur länge får personuppgifter

Datainspektionen informerar. Hur länge får personuppgifter Datainspektionen informerar Hur länge får personuppgifter bevaras? 10 Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express den 7 december 2016 på Nils Bergh Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades i Sverige genom

Läs mer

Policy för behandling av personuppgifter vid uthyrning av bostäder

Policy för behandling av personuppgifter vid uthyrning av bostäder Policy för behandling av personuppgifter vid uthyrning av bostäder (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) 1. En gemensam god sed I ett bostadsföretags uthyrningsverksamhet förekommer i olika

Läs mer

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015 Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen 12 november 2015 1 Historik och processen mot en dataskyddsförordning Datalagen från 1973. Dataskyddsdirektivet

Läs mer

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m. SVENSKA PM 1 (7) KOMMUNFÖRBUNDET 2001-09-25 Kommunalrättssektionen Staffan Wikell Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m. 1 Övergångsbestämmelser 1.1 Inventering

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet; SFS 2001:85 Utkom från trycket den 20 mars 2001 utfärdad den 8 mars 2001. Enligt riksdagens beslut

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om behandling av personuppgifter inom Kustbevakningen; SFS 2003:188 Utkom från trycket den 13 maj 2003 utfärdad den 30 april 2003. Regeringen föreskriver följande.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem Datum Diarienr 2013-05-31 1492-2012 Kommunstyrelsen i Umeå kommun Skolgatan 31 A 901 84 Umeå Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Säkerhetsåtgärder vid kameraövervakning

Säkerhetsåtgärder vid kameraövervakning Säkerhetsåtgärder vid kameraövervakning Datainspektionen informerar Säkerhetsåtgärder vid kameraövervakning Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs

Läs mer

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datum Diarienr 2014-02-07 234-2013 Wihlborgs Fastigheter AB Dockplatsen 16 Box 97 201 20 Malmö Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datainspektionens

Läs mer

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior. 3 (8) Föreningen kommer att informera alla lägenhetsinnehavare. Vid ägarbyte informeras de nya lägenhetsinnehavarna fortlöpande. Information kommer också att finnas på föreningens hemsida www.brftullen.se.

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (6) Beslut Dnr 2008-09-09 730-2008 Utbildningsnämnden Göteborgs stad Box 5428 402 29 Göteborg Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Ärendet avslutas.

Läs mer

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ... modell plan policy program riktlinje för behandling av personuppgifter i socialnämndens dataregister regel rutin strategi taxa............................ Beslutat av: Socialnämnden Beslutandedatum: 2015-12-16

Läs mer

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen Beslut Dnr 2008-03-26 1202-2007 Tyco Electronics Svenska AB Ombud: Jur. Kand. Patrik Ottosson Maqs Law Firm Advokatbyrå AB Box 119 18 404 39 GÖTEBORG Ansökan om undantag från förbudet i 21 personuppgiftslagen

Läs mer

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) För kännedom Landstingsstyrelsen Landstingsjurist Per Blomberg Landstingsdirektör tf, Helena Söderquist ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) Enligt revisionsplanen genomförs, på uppdrag

Läs mer

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet Anmälningsblankett Sida 1 (5) Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet Använd den här blanketten för att anmäla att en arbetsgivare brister i arbetet med så kallade

Läs mer

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten 8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten Såsom utredningen konstaterar i delbetänkandet, SOU 2003:4, krävs automatiserade och manuella register med personuppgifter för att

Läs mer

BILAGA Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal BILAGA Personuppgiftsbiträdesavtal Till mellan Beställaren och Leverantören (nedan kallad Personuppgiftsbiträdet) ingånget Avtal om IT-produkter och IT-tjänster bifogas härmed följande Bilaga Personuppgiftsbiträdesavtal.

Läs mer

Anmälan av en arbetsgivare för diskriminering eller missgynnande

Anmälan av en arbetsgivare för diskriminering eller missgynnande Anmälningsblankett Sida 1 (9) Anmälan av en arbetsgivare för diskriminering eller missgynnande Den här blanketten kan du använda om du upplever att du själv eller någon annan har blivit diskriminerad,

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Behandling av personuppgifter hos rekryteringsföretag

Behandling av personuppgifter hos rekryteringsföretag Behandling av personuppgifter hos rekryteringsföretag DATAINSPEKTIONENS RAPPORT 2002:3 Innehållsförteckning Inledning...2 Sammanfattning...3 Hur samlas uppgifterna in?...5...5 Hur lagras uppgifterna?...6...6

Läs mer

Personuppgiftslagen. En handledning för en korrekt behandling av personuppgifter i arbetslivet

Personuppgiftslagen. En handledning för en korrekt behandling av personuppgifter i arbetslivet Personuppgiftslagen En handledning för en korrekt behandling av personuppgifter i arbetslivet INNEHÅLLSFÖRTECKNING INNEHÅLLSFÖRTECKNING... 1 FÖRORD... 3 1. INLEDNING... 4 1.1 PERSONUPPGIFTER... 4 1.2 PERSONUPPGIFTSBEHANDLING

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda Datum Dnr 2008-02-29 806-2007 Kidde Sweden AB Box 90 120 120 21 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda Datainspektionens beslut

Läs mer

Kameraövervakningslag (2013:460)

Kameraövervakningslag (2013:460) Sida 1 av 8 SFS 2013:460 Källa Utfärdad: Först inlagd: Senast ändrad: Uppdaterad: Regeringskansliets rättsdatabaser 2013-05-30 2013-06-12 2014-03-10 t.o.m. SFS 2014:58 Kameraövervakningslag (2013:460)

Läs mer

Kameraövervakning. Datainspektionen informerar

Kameraövervakning. Datainspektionen informerar Kameraövervakning Datainspektionen informerar Kameraövervakning Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs samtidigt som enskilda människor skyddas

Läs mer

Information till registrerade enligt personuppgiftslagen

Information till registrerade enligt personuppgiftslagen Information till registrerade enligt personuppgiftslagen Datainspektionens allmänna råd 1 2 Innehåll Inledning 5 Information som skall lämnas självmant (23 25 ) 6 Uppgifter som samlas in direkt från den

Läs mer

Samtycke enligt personuppgiftslagen

Samtycke enligt personuppgiftslagen Samtycke enligt personuppgiftslagen Datainspektionen informerar FAKTA Personuppgiftslagen Personuppgiftslagen trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet

Läs mer

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun Styrdokument Dokumenttyp: Riktlinjer Beslutat av: Kommunstyrelsen Fastställelsedatum: 2012-09-11 Ansvarig: Kanslichefen Revideras: Vid behov Följas upp: En gång per mandatperiod Riktlinjer för webbpublicering

Läs mer

Tillsyn enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen 200 Datum Diarienr 2009 05 13 92 2009 Bolagsverket 851 81 Sundsvall Tillsyn enligt personuppgiftslagen Beslut Datainspektionen bedömer att Bolagsverket med stöd av en intresseavvägning enligt 10 punkten

Läs mer

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder Anmälningsblankett Sida 1 (5) Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder Använd den här blanketten för att anmäla att en arbetsgivare brister i arbetet med diskrimineringslagens

Läs mer

Personuppgiftslagen Så berör den dig som företag Christina Wainikka December 2007

Personuppgiftslagen Så berör den dig som företag Christina Wainikka December 2007 Personuppgiftslagen Så berör den dig som företag Christina Wainikka December 2007 1 Innehållsförteckning Innehållsförteckning... 1 Förord... 3 1. Introduktion... 4 1.1 PERSONUPPGIFTSLAGEN... 4 1.2 VAD

Läs mer

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning INNEHÅLLSFÖRTECKNING REGLER OCH RUTIN FÖR BEHANDLING AV PERSONUPPGIFTER... 3 Inledning... 3 Personuppgiftslagens

Läs mer

Anmälan om diskriminering eller missgynnande på arbetsplats

Anmälan om diskriminering eller missgynnande på arbetsplats Anmälningsblankett Sida 1 (8) Anmälan om diskriminering eller missgynnande på arbetsplats Anmäla till DO Innan du fyller i blanketten är det viktigt att du läser informationen på DO:s webbplats, se www.do.se/att-anmala/.

Läs mer

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter STYRDOKUMENT DATUM 2013-08-26 1(6) Instruktion för behandling av personuppgifter i Älvsbyns kommun Detta dokument ersätter; barn- och utbildningsnämndens instruktion (Bun 33 2002-06-11), fritids- och kulturnämndens

Läs mer

EU:s dataskyddsförordning

EU:s dataskyddsförordning EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt

Läs mer