Integritet i arbetslivet

Transkript

1 FRÅN DATAINSPEKTIONEN #1/2001 Integritet i arbetslivet INGEN REGISTRERING, INGEN RATING, INGEN BONUS BONUS, KARRIÄR, SÄKERHET, PLANERING. ARBETSGIVAREN HAR MÅNGA SKÄL ATT REGIST- RERA UPPGIFTER OM SINA ANSTÄLLDA. SID 2 KONTROLL PÅ JOBBET FÅR ARBETSGIVAREN KONTROLLERA VAD DE ANSTÄLLDA GÖR PÅ JOBBET? VILKEN E-POST DE SKICKAR, VILKA WEBBPLATSER DE BESÖKER, HUR MÅNGA TELEFONSAMTAL DE RINGER. SID 4 24-TIMMARS MYNDIGHETER SNART SKA DU KUNNA SKÖTA DINA MYNDIG- HETSKONTAKTER HEMIFRÅN, DYGNET RUNT. DET ÄR REGERINGENS MAGAZIN VISION DIREKT OM #1/ TIMMARS- 1 MYDIGHETER SOM BÖRJAR TA FORM. SID 6

2 Bonus, karriär, säkerhet, planering av arbetet, debitering av kunder. Arbetsgivarna har många skäl att registrera uppgifter om sina anställda. TEMA Arbetslivet Ingen registrering, ingen rating, ingen bonus! DU KAN SKRIVA IN DIG DÄR borta så länge. Receptionisten på Estrella pekar bortåt disken. Jag letar lite vilset efter den vanliga besökslistan, men inser efter ett tag att hon hade pekat mot ett tangentbord och en flat bildskärm. Där finns fält med rubrikerna Besökarens namn, Företag och Kontaktperson. När jag har fyllt i uppgifterna skriver maskinen ut en liten elegant namnbricka och på skärmen kommer texten Välkommen till Estrella. Vänligen sitt ner och vänta. Sparar ni uppgifterna i besöksdatorn? frågar jag Mats Persson som är personaldirektör och tillika personuppgiftsombud, på vägen till hans rum. Nej, dom används bara för utskrifterna. Fast förresten dom sparas nog ett tag, vi har väldigt rigorösa säkerhetsbestämmelser här. Det händer t.ex. att folk hör av sig och påstår att dom har hittat saker i chipspåsen. Nu röntgar vi alla påsar men som en extra säkerhetsåtgärd vill vi också kunna se vilka som har varit i huset när påsen packades varje påse är märkt så att vi kan se när och var den är tillverkad. HUR VAR DET NU? Kräver inte PuL information och samtycke för en sån registrering? Det här är ju ingen inspektion, men väl hemkommen frågar jag juristkamraterna som säger att det här är ju inga känsliga uppgifter och företagets intresse av säkerhet kan överväga mitt intresse att inte registreras, så om jag nu vill komma in så får jag nog finna mig i det, men en information på skärmen om hur uppgifterna ska användas vore nog inte ur vägen. Chips har en märklig dragningskraft. Mest varje vecka får vi laga staketet här bakom huset, någon har klippt hål för att ta sig in och leta chipspåsar. Vi har också måst låsa dörrarna och använder passerkort med behörighet så att man bara kan komma in där man ska. Tidredovisningen är ett särskilt system där vi knappar in våra anställningsnummer. MEN SÄKERHETEN ÄR BARA en liten del i registreringen. Estrella ingår i en internationell koncern och de ca 300 anställda finns alla i ett system för s.k. rating som ligger till grund för lönesättning, bonus, karriärplanering, personalutveckling, bemanning osv. Både produktion, administration och försäljning ingår i systemet. För en produktionsgrupp mäts t.ex. fyra faktorer: Volym, hygien, reklamationer och spill. Eftersom företaget ingår i en internationell koncern ska uppgifterna kunna lämnas ut utomlands. De förs för närvarande manuellt, men nu planeras ett datoriserat system, och det kräver information och samtycke enligt PuL. Vi har tagit fram ett formulär som de anställda får skriva under i samband med utvecklingssamtalen. Det är en bekräftelse på att man accepterar att den information som skrivs in i systemet får databehandlas och skickas vidare till företag inom koncernen. Det har inte varit några problem. Vi har snart gått igenom alla tjänstemännen och alla har accepterat. Om någon skulle neka? Det handlar ju om ett ömsesidigt förtroende mellan företaget och den anställde. Om någon nekar registrering, är sambandet enkelt: Ingen registrering, ingen rating, ingen bonus. OM ESTRELLAS REGISTRERING har varit problemfri, har det varit viss turbulens hos callcentret Sykes Datasvar Support i Sveg. Efter upprepade skriverier i pressen om övervakning, gjorde Datainspektionen tillsyn vid ett par tillfällen, dock utan att finna något brott mot datalagen, som fortfarande tillämpas. Den produkt vi säljer är huvudsakligen telefonsupport, säger Mikael Rosén, advokat och styrelseledamot. En kund som ringer upp en datorleverantör kopplas till oss och har alltså känslan av att han talar direkt med leverantören. Vi har olika servicenivåer. Om vi ska svara efter första signalen behöver vi mycket folk, så den tjänsten kostar mer än t.ex. svar inom en minut. Vi behöver statistik för att vi ska kunna planera arbetet, t.ex. anpassa gruppens storlek och även för att kunna visa att vi levererar det vi tar betalt för. 2 MAGAZIN DIREKT #1/2001

3 STATISTIKEN SAMLAS IN genom att en dator automatiskt mäter och noterar vad som händer (och vad som inte händer) på varje telefonlinje. Hur snabbt någon svarar, antal utgående och ingående samtal, om/när samtal pågår. Utifrån detta beräknas kostnaden per kund. Några anställda har varit kritiska mot mätningarna. För många är det här första jobbet. Ungdomar som kommer direkt från skolan och inte är vana vid de krav som ställs i arbetslivet. Och automatisk statistik känns naturligtvis lite ovant. Om du tar McDonalds, så ska ju burgarna där ut inom viss tid, och där står arbetsledaren och håller rent fysiskt ett öga på att allt går rätt till. Det är ju egentligen samma sak, men känns kanske inte lika främmande. Ett snabbt svar är ju bra, men det viktiga är väl trots allt vilket svar man får? Dataföretagen, våra kunder, gör själva kvalitetsmätningar. Där mäts svarstider, och även kvaliteten på själva svaren. Grupperna som jobbar på det här sättet tar mest hand om standardfrågor, om det t.ex. har kommit ut en ny programvara är det många frågor. Specialistråd hanteras separat och debiteras ofta efter tid. FÖR NÄRVARANDE HAR SYKES 500 anställda i Sverige. Registreringen görs än så länge i ett tillståndsfritt register som regleras av datalagen och personalen har fast lön. Men den 1 oktober, när PuL tar över, vill man få möjlighet att i framtiden kunna införa prestationslön och en sådan registrering kräver samtycke. Men Mikael Rosén är fundersam: Vår personal behöver utbildning när den kommer. Vi och våra kunder, leverantörerna, kostar på dem en dyrbar utbildning. Om nu lönen är kopplad till en registrering som görs med samtycke; vad händer om den anställde vill återkalla samtycket, som han har rätt till enligt PuL? Då är det risk för besvärliga arbetsrättsliga frågor. Nu funderar vi över om det går att koppla samtycket till anställningsavtalet. Där kanske vi också kan lösa ett annat problem: Vi har ett enhetligt loggningssystem som registrerar samma uppgifter om alla; beroende på arbetsuppgift är det kanske inte alltid nödvändigt att registrera alla uppgifter, men tekniskt är det svårt att lösa på annat sätt. Det verkar vara läge för Estrellamodellen: Ingen registrering, ingen rating, ingen bonus! Leif Stenström MAGAZIN DIREKT #1/2001 3

4 TEMA Arbetslivet Integritet på jobbet Har arbetsgivaren rätt att kontrollera vad de anställda gör på jobbet? Vilken e-post de skickar, vilka webbplatser de besöker, hur många och långa telefonsamtal de ringer. DAGENS TEKNIK GER ARBETSGIVAREN möjlighet att kontrollera de anställdas arbete på en mycket detaljerad nivå. Med hjälp av loggfiler kan arbetsgivaren följa hur de anställda t.ex. använder e-post, Internet och telefon. Datainspektionen får många frågor, både från anställda och arbetsgivare, om vilka regler som gäller för registrering av personuppgifter i arbetslivet. De anställdas rätt till integritet är i första hand en arbetsrättslig fråga. Men när en arbetsgivare t.ex. samlar in, registrerar och lagrar uppgifter som går att knyta till enskilda personer, är det en behandling av personuppgifter som personuppgiftslagens (PuL) regler sätter gränser för. PUL SKILJER SIG PÅ flera punkter från den gamla datalagen. Det innebär att många företag och organisationer kan behöva utarbeta nya rutiner inför att PuL träder i kraft fullt ut den 1 oktober i år. Enligt grundregeln i PuL krävs de anställdas samtycke innan arbetsgivaren behandlar uppgifter om dem. För att kunna samtycka måste den anställde ha fått information om vilka uppgifter som ska behandlas och i vilket syfte det ska ske. Varje anställd ska lämna ett eget, frivilligt samtycke. Med andra ord kan t.ex. en fackförening inte samtycka på medlemmarnas vägnar. Det finns inga regler som säger att ett samtycke måste 4 MAGAZIN DIREKT #1/2001

5 vara skriftligt men för att undvika tvister bör arbetsgivaren se till att de anställda lämnar sina samtycken skriftligt, t.ex. på formulär med information om behandlingen. DET FINNS FLERA UNDANTAG från PuL:s grundregel. Arbetsgivaren har t.ex. rätt att utan samtycke behandla uppgifter om de anställda om det sker för att - administrera anställningsförhållandet, t.ex. för löneberäkning, - uppfylla rättsliga skyldigheter, t.ex. redovisa skatter, eller när - arbetsgivarens intresse av behandlingen bedöms väga tyngre än de anställdas intresse av att få sin integritet skyddad. Även när arbetsgivaren behandlar personuppgifter utan de anställdas samtycke ställer PuL stora krav på att arbetsgivaren informerar om vilka personuppgifter som behandlas på arbetsplatsen. ARBETSGIVAREN HAR RÄTT att bestämma hur datorer, telefoner och andra arbetsredskap ska användas. Det gäller också e-post och internetabonnemang. Arbetsgivaren bör genom tydliga regler och riktlinjer göra klart för de anställda vad som gäller på arbetsplatsen, t.ex. om de får använda e-post och Internet för privat bruk. Om arbetsgivaren planerar att kontrollera att reglerna följs, t.ex. genom att kartlägga de anställdas internetanvändning, måste arbetsgivaren informera om att sådana kontroller kan förekomma. KRÄVS DÅ ETT SAMTYCKE från de anställda för att arbetsgivaren ska få registrera hur enskilda medarbetare använder e-post, Internet och telefon? Det beror på vad arbetsgivaren ska använda uppgifterna till. All kontroll och övervakning måste ha ett i förväg bestämt syfte. Huvudregeln är att det krävs samtycke och arbetsgivaren bör undvika att kartlägga anställdas vanor. Men en del registrering och kontroll kan få ske utan de anställdas samtycke t.ex. för att administrera anställningsförhållandet (planera bemanning eller beräkna lön). Annan registrering kan vara nödvändig av säkerhetsskäl. Det är viktigt att skilja mellan filförteckningar som arbetsgivaren normalt har tillgång till och innehållet i enskilda filer. Rätten att kontrollera att uppsatta regler följs innebär inte att arbetsgivaren har rätt att läsa innehållet i t.ex. privat e-post Om arbetsgivaren vill kontrollera internetanvändningen av tekniska skäl får logguppgifterna t.ex. inte användas senare för att kontrollera de anställdas arbetsprestationer. Skulle arbetsgivaren vilja använda uppgifterna för ett annat ändamål än de ursprungligen samlades in för krävs som regel de anställdas samtycke. FÖR ATT REDA UT HUR och i vilken omfattning uppgifter om anställda får behandlas enligt PuL ger Datainspektionen under våren ut en ny informationsskrift, som kommer att kunna hämtas på eller beställas per telefon Datainspektionen planerar en konferens om registrering av personuppgifter i arbetslivet den 1 oktober i år. Mer information kommer på webbplatsen. EN UTREDNING (dir. 1999:73) ska se över behovet av ändrad lagstiftning för att stärka skyddet av den personliga integriteten i arbetslivet. Utredningen ska titta på hur drogtester och andra medicinska kontroller samt Internet och e-post används i arbetet. Ett slutbetänkande är planerat till den sista december TEMA Arbetslivet Skola och dagis kontrollerar anställdas bakgrund De som erbjuds arbete inom skola och barnomsorg måste visa upp ett utdrag ur polisens belastningsregister för att få jobbet. Det är innebörden av en ny lag (SFS 2000:873) som trädde ikraft den 1 januari i år. Lagen har kommit till för att skydda barn. Kontrollen i belastningsregistret begränsas till sexbrott och brott mot liv och hälsa t.ex. mord, dråp och grov misshandel. Rikspolisstyrelsens (RPS) registerenhet räknade med att den nya lagen skulle innebära att de behöver expediera registerutdrag per år åt barnomsorg och skola, men redan under januari hade de fått in så många ansökningar. Orsaken är att många arbetsgivare kräver registerutdrag av alla sökande, trots att det bara är de som faktiskt erbjuds jobb som enligt lagen måste visa upp ett utdrag. Även många andra arbetsgivare kräver att de som söker arbete visar upp ett utdrag ur belastningsregistret. Men till skillnad från skolan och barnomsorgen har inte dessa arbetsgivare rätt att ta del av uppgifterna i belastningsregistret. RPS har därför ändrat sina rutiner så att alla, straffade eller ostraffade, får likadana svarsbrev. De som är straffade får dessutom en bilaga med sina domar, men det framgår inte av svarsbrevet om en bilaga existerar eller ej. Arbetsgivaren är helt enkelt hänvisad till att lita på den sökande. Tillfälligt anställda svartlistades Datainspektionen uppmärksammades i höstas på att ett företag i Motala hade listor med nedsättande omdömen om personer som var tillfälligt anställda i företaget. Listorna fanns i en anställds dator och innehöll uppgifter om att någon var slö, en annan likgiltig och att någon hade dålig kapacitet. Inspektionen startade en granskning av företaget som förklarade att listan inte var sanktionerad av företaget och att uppgifterna nu hade förstörts. Listan hade upprättats av en enskild medarbetare och var avsedd som arbetsmaterial under en begränsad tid då företaget hade ett stort rekryteringsbehov. Datainspektionen konstaterade att det var fråga om personuppgifter som är särskilt känsliga ur integritetssynpunkt och att det stred mot personuppgiftslagen att registrera dem. Inspektionen förutsatte att företaget i fortsättningen såg till att det inte registrerades liknande uppgifter och avskrev därefter ärendet (dnr ). LO-bok om integritet i arbetslivet I Distansarbete, datorer, integritet handbok för anställda presenteras tydligt och överskådligt på vilka olika sätt anställdas integritet kan hotas och vilka regler som gäller för arbetsgivarna. Inom nästan all yrkesverksamhet i dag är någon del av arbetsutrustningen datoriserad. Datorerna genererar elektroniska spår som gör att arbetstagarens verksamhet kan kartläggas och kontrolleras i efterhand. I boken beskrivs att detta inte enbart gäller personal som arbetar vid datorer utan även kassapersonal vid datoriserade växlar, lastbilschaufförer med satellituppföljning av färdrutten, datoriserade portlås som gör det möjligt för arbetsgivaren att följa hur en arbetstagare rör sig inom företagets område, osv. Boken är utgiven av LO och skriven av Kurt Junesjö som är förbundsjurist på LO-TCO Rättsskydd AB. Den kan kostnadsfritt beställas på eller på MAGAZIN DIREKT #1/2001 5

6 Snart ska du kunna sköta dina myndighetskontakter från hemmadatorn. Dygnet runt. Du ska inte bara kunna söka information utan också fylla i och lämna in deklarationen eller söka bostadsbidrag och studiebidrag. Det är regeringens vision för den så kallade 24-timmarsmyndigheten som börjar ta form. Myndigheter ska ha öppet dygnet MEN INNAN VISIONEN BLIR VERKLIGHET måste säkerheten fungera, så att inte myndigheterna lämnar ut dina känsliga uppgifter till någon annan. Det måste också finnas garantier för att informationen inte kan förvanskas på vägen och att myndigheten säkert vet att det är just du som har lämnat in din ansökan. En stor del av den offentliga informationen är redan idag elektroniskt producerad och lagrad. Det är billigt att ta fram och leverera information till medborgare och företag. Du kan kostnadsfritt söka och hämta information hos många myndigheter, t.ex. på Datainspektionens webbplats. Du kan också hämta och fylla i blanketter, men där är det än så länge stopp. Så långt kommen måste du skriva ut den ifyllda blanketten, skriva under den för hand och posta den. Begränsningen är att det ännu inte finns något utbyggt och standardiserat system för elektroniska signaturer, IT-världens motsvarighet till namnunderskrift. Men ett sådant system är på väg (se separat artikel). REGERINGEN HAR BESTÄMT att IT ska användas både mellan myndigheterna och gentemot allmänhet och företag. Det framgår bl.a. av IT-propositionen 1999/2000:86. Beteckningen på arbetet är 24-timmarsmyndigheten och Statskontoret fick för ett år sedan i uppdrag att ta fram en modell med kriterier som regeringen ska kunna använda för att kvalitetsbedöma och styra myndigheter. I en rapport, (2000:21) 24-timmarsmyndighet. Förslag till kriterier för statlig elektronisk förvaltning i medborgarnas tjänst föreslår Statskontoret att baskriterierna ska vara fyra successiva steg i en utvecklingstrappa: STEG 1. Webbplats som innehåller paketerad information om myndigheten och dess tjänster. STEG 2. Webbplats som innehåller interaktiv information om myndigheten och dess tjänster. STEG 3. Webbplats och kommunikationsfunktioner som tillåter besökaren att lämna och hämta personlig information. STEG 4. Webbplats och nätverksfunktioner för samverkan med andra myndigheter och samhälleliga instanser. DATAINSPEKTIONEN OCH MÅNGA ANDRA myndigheter befinner sig på Steg 2 och i viss mån i Steg 3 (frågor och svar via e-post). Steg 4 syftar till att man bara ska behöva kontakta en myndighet även om ärendet behandlas av flera myndigheter. Rapporten, som kan hämtas på timmarsmyndighet/index.html, presenterades på ett seminarium, där statssekreteraren Hans-Eric Holmqvist sa att målet med 6 MAGAZIN DIREKT #1/2001

7 Elektroniska signaturer NU ÄR EN ELEKTRONISK SIGNATUR som sänds över Internet i vissa fall lika bindande som en underskrift på papper. Men den breda användningen lär dröja. I SÄKERT 20 ÅR har det pågått försök med elektroniska signaturer, IT-världens motsvarighet till namnunderskrifter. De används redan i slutna miljöer som i banker eller hos polisen, men ett allmänt bruk kräver att ett stort antal aktörer skaffar utrustning (för samma system!) och att säkerheten kan garanteras. För att få fart på användningen och dessutom få till stånd en standard som fungerar i hela EU, utfärdades direktivet 1999/93/ EG, som i Sverige har resulterat i lagen (SFS 2000:832) om kvalificerade elektroniska signaturer. Lagen trädde i kraft vid årsskiftet. Man utgår från systemet PKI, Public Key Infrastructure, där avsändaren signerar dokumentet med sin egen hemliga nyckel och mottagaren öppnar det med en öppen nyckel. En kvalificerad signatur är likvärdig med en namnunderskrift om det inte finns avvikande bestämmelser som utesluter användning av elektroniska signaturer. Om du t.ex. köper en villa kan du inte underteckna avtalet med en elektronisk signatur. runt projektet förvisso är att förbättra myndigheternas service, men att man också gjort dygd av nödvändigheten: Vi ska inte inbilla oss att myndigheterna ska kunna ha lika mycket personal i framtiden. Dels blir det för dyrt, dels kommer det att bli brist på arbetskraft. Fram till 2015 pensioneras en tredjedel av oss som nu jobbar i staten. Räkna med att hälften kommer att ersättas. Varje myndighet måste nu anpassa sina egna rutiner till den nya situationen och effektivisera med till exempel självbetjäning. Hans-Eric Holmqvist ser också en framtid där man i stället för myndigheter har samhällsfunktioner med ingångar eller portaler för olika livssituationer, t.ex. om man är student eller småbarnsförälder. I sitt handlingsprogram e-europe 2002 Ett informationssamhälle för alla arbetar även EU med att ta fram mått på hur effektivt IT används i förvaltningen. Just nu samlar man in förslag till s.k. e-government Indicators for Benchmarking e-europe. OM DU VILL ANVÄNDA PKI, skaffar du ett elektroniskt ID-kort. Det ser ut och fungerar som ett vanligt ID-kort, men innehåller också ett elektronisk chips med information om din identitet och dessutom din personliga, hemliga, krypteringsnyckel. Om du t.ex. vill signera ett kontrakt som du har skrivit i din dator, sätter du in ditt kort i din kortläsare en sådan måste du ha! och aktiverar kortet med ditt lösenord. Dokumentet förses då med din egen elektroniska signatur. Nu kan du e- posta kontraktet och när mottagaren vill läsa det, använder han en öppen nyckel. Med hjälp av den kan han dels se att dokumentet kommer från dig, dels att inte ett enda tecken i kontraktet har ändrats efter det att du förseglade det. ETT VILLKOR FÖR ATT DET SKA FUNGERA, är att någon garanterar att din signatur verkligen är din. Det gör en betrodd tredje part, t.ex. Posten eller Telia, som utfärdar ID-kortet och även ett s.k. certifikat där de som använder den öppna nyckeln kan se att signaturen är din och att din nyckel inte är spärrad. Post- och telestyrelsen är tillsynsmyndighet som ger tillstånd att utfärda certifikat och kontrollerar att certifikatet innehåller det som lagen föreskriver. Ett annat villkor för att systemet ska fungera är att tillräckligt många skaffar ID-kort och kortläsare. Hittills har det gått trögt och det lär dröja innan allmänheten skaffar kort och läsare i någon större utsträckning. Regeringen anser i projektet 24-timmarsmyndigheten att den statliga förvaltningen ska gå i spetsen för utvecklingen. Riksskatteverket ska ta fram en gemensam statlig lösning för smarta kort och har beställt kort från Posten. Statskontoret kräver i sina upphandlingar att hårdvaruleverantörerna ska kunna leverera kortläsare helst inbyggda. Stadskontorets rapport (2000:40) Elektroniska signaturer och elektronisk identifiering av myndigheters e-tjänst kan hämtas på Näringsdepartementet har lagt ut ett informationsblad på fragor/it/esign.htm. MAGAZIN DIREKT #1/2001 7

8 Regeringen föreslår att kreditupplysningsföretagen ska bli tvungna att ta bort vissa betalningsanmärkningar ur sina register. Enstaka betalningsanmärkningar skyddas DEN SOM INTE BETALAR sin skuld efter uppmaning riskerar att hamna i kronofogdemyndighetens register och få en betalningsanmärkning. En sådan anmärkning registreras hos kreditupplysningsföretagen och finns kvar i upp till fyra år. Anmärkningen medför att personen får svårt att handla på kredit, ta lån och kanske få ett nytt hyreskontrakt. Detta gäller oavsett hur stor eller liten skulden var. Nu föreslår regeringen ändringar i sekretesslagen som innebär att skulder som betalas innan kronofogden fattar beslut i ärendet ska sekretessbeläggas. Det innebär att kreditupplysningsföretagen tvingas ta bort uppgifter om vissa enstaka betalningsanmärkningar. Men om samma person får mer än en anmärkning inom en tvåårsperiod, hävs sekretessen. EXEMPEL: Om A inte betalar sin tv-licens i tid, får han en betalningsuppmaning från Radiotjänst i Kiruna. Betalar han inte efter denna uppmaning, registreras skulden hos kronofogdemyndigheten (restförs). Kreditupplysningsföretagen får automatiskt information om detta och registrerar det som en betalningsanmärkning. Kronofogden skickar också ett brev till A där man kräver att han ska betala skulden inom en viss tid. Det är här den föreslagna lagändringen får effekt: Om A betalar till kronofogden innan fristen hinner gå ut, avslutas ärendet och ska då enligt förslaget bli sekretessbelagt. Då måste kreditupplysningsföretagen ta bort uppgiften om A:s betalningsanmärkning ur sina register. En förutsättning för detta är att A under en tvåårsperiod bara har denna enda betalningsanmärkning. Om A däremot inte betalar innan fristen går ut och kronofogden hinner besluta om t.ex. utmätning, kommer betalningsanmärkningen att synas både hos kronofogdemyndigheten och hos kreditupplysningsföretagen. KREDITUPPLYSNINGSFÖRETAGEN HAR PROTESTERAT kraftigt mot förslaget eftersom de menar att det är viktigt att kunna följa historiken för en betalningsskyldig. Av personer som har en eller flera betalningsanmärkningar kommer drygt 60 % att drabbas av ytterligare anmärkningar inom tolv månader. Riksdagen planeras ta ställning till förslaget (prop. 2000/ 01:33) under våren. Lagändringarna föreslås träda i kraft den 1 oktober MAGAZIN DIREKT #1/2001

9 KuL anpassas till PuL Regeringen föreslår nu att kreditupplysningslagen (KuL) från 1973 ska anpassas till dataskyddsdirektivet och PuL. Ändringarna i KuL väntas träda i kraft redan den 1 april i år. Ändringarna som föreslås i prop. 2000/01:50 innebär bland annat att uppgifter om fysiska personer endast får samlas in för kreditupplysningsändamål dvs. bedömning av någons kreditvärdighet eller vederhäftighet i ekonomiskt hänseende. Det innebär att de uppgifter som samlas in ska vara relevanta för en kreditbedömning eller annan ekonomisk riskbedömning. Bestämmelsen gäller inte för uppgifter om juridiska personer som t.ex. aktiebolag och handelsbolag. Enligt PuL krävs i flera fall samtycke från den registrerade för att personuppgifter ska få behandlas. Genom ändringen i KuL införs en uttrycklig regel att uppgifter får behandlas för kreditupplysningsändamål utan samtycke. Den registrerade har inte rätt att motsätta sig en sådan behandling. Lagrådet varnar i sitt yttrande för att flera av förslagen kan innebära att integritetsskyddet försvagas. Det gäller särskilt en ändring som medför att det blir möjligt för kreditupplysningsföretag att registrera beslut från socialtjänsten om att en person är föremål för åtgärder enligt socialtjänstlagen eller lagen om stöd och service till vissa funktionshindrade. Lagrådet menar att det finns risk för att denna typ av information i framtiden kommer att visa sig viktig ur kreditvärderingssynpunkt. För närvarande har inte något av kreditupplysningsföretagen ansökt om Datainspektionens tillstånd att registrera information från socialtjänsten. Med den föreslagna lagändringen släpps behandlingen fri och det finns inte längre någon faktor som motverkar att sådana känsliga personuppgifter behandlas. Offentlighetsprincipen anpassas till IT-åldern Den som begär ut en allmän handling från en myndighet har i dag enbart rätt att få ut handlingen i form av utskrift på papper. Offentlighets- och Sekretesskommittén vill ändra på detta och föreslår i sitt delbetänkande SOU 2001:3 Offentlighetsprincipen och den nya tekniken att man i framtiden ska kunna få ut allmänna handlingar även i elektronisk form på samma sätt som informationen är tillgänglig för myndigheten själv. Tidigare utredningar har varit tveksamma till denna lösning eftersom det kan ge svårlösta frågor om t.ex. databaser som myndigheter använder sig av kan bli allmän handling hos myndigheten. Det skulle då kunna ge effekten att Internet blir allmän handling som allmänheten kan begära att få tillgång till hos myndigheten. Men kommitténs förslag innebär att sådana databaser räknas som referensbibliotek för myndigheten och därmed inte blir allmän handling. Endast sådana databaser som myndigheten har tillgång till efter särskilt avtal t.ex. med en annan myndighet skulle bli allmän handling. Kommittén föreslår också att arkivreglernas betydelse för offentligheten tydliggörs. Man menar att detta blir extra viktigt i ett samhälle där allt mer av myndigheternas verksamhet är datoriserad. Om elektroniskt lagrade handlingar inte struktureras och dokumenteras på ett bra sätt riskerar insynsmöjligheterna att försämras. Kommitténs arbete fortsätter nu med en översyn av sekretessregler som har samband med offentlighetsprincipen. Ännu regleras de flesta register av datalagen NYA SKRIFTER Generaldirektör Ulf Widebäck skriver i Datainspektionens årsredovisningen för 2000 att det under det gångna året har visat sig att en stor del av personuppgiftsbehandlingen fortfarande sker med stöd av datalagen. Först den 1 oktober 2001 inträffar den verkliga övergången till PuL. En viktig uppgift för Datainspektionen har varit att informera företag och organisationer om hur de ska anpassa sin verksamhet inför Dagen PuL. Myndighetens gradvisa övergång från tillståndsmyndighet till i första hand tillsyns- och rådgivande myndighet fortskrider enligt planerna. Läs mer om Datainspektionens verksamhet i årsredovisningen som kan hämtas som pdf-fil på En tryckt version kan beställas via nätet eller per telefon Hög tid att PuL-anpassa personregister Hittills har datalagen gällt för de flesta företag, myndigheter och organisationer i Sverige som har personregister. Före den första oktober måste de anpassa sin verksamhet till personuppgiftslagen (PuL). För att informera om det viktigaste de bör tänka på har Datainspektionen tagit fram två nya informationsblad Anmälan och förhandskontroll och Övergången till personuppgiftslagen. Informationsbladet Övergången till personuppgiftslagen skickades under februari ut till alla kommuner, landsting, länsstyrelser, centrala statliga myndigheter samt till organisationer med fler än 100 anställda. PuL trädde i kraft hösten Under en övergångstid tillämpas fortfarande datalagen för de behandlingar som hade påbörjats före ikraftträdandet. Den 1 oktober 2001 upphör datalagen att gälla och PuL kommer att reglera de allra flesta behandlingar av personuppgifter. Båda informationsbladen kan hämtas på som pdf-filer på En tryckt version kan beställas via nätet eller per telefon MAGAZIN DIREKT #1/2001 9

10 Datainspektionens framtid utreds Förutsättningarna för Datainspektionens verksamhet förändras. Dels genom utvecklingen inom IT-området, dels genom att PuL i oktober fullt ut ersätter datalagen. Därför har regeringen tillsatt en utredare som ska göra en översyn av inspektionens uppgifter och verksamhet i framtiden. Utredaren ska också utvärdera erfarenheterna av tillsynsverksamheten och ge förslag till hur framtidens tillsyn bör bedrivas, både enligt PuL och inom polis- och tullsamarbetet. Enligt direktiven dir. 2000:52 Översyn av Datainspektionens verksamhet och finansiering ska utredaren också analysera möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och om det kan medföra behov av ny kompetens. Utredare är Sten Wahlqvist, lagman vid kammarrätten i Jönköping, tidigare chefsjurist vid Datainspektionen. Han ska presentera sitt resultat senast den 15 januari Dataskyddsdirektivet utvärderas med offentlig enkät Enligt EU:s dataskyddsdirektiv som PuL bygger på ska EU-kommissionen senast i oktober i år rapportera om hur direktivet har genomförts och lämna förslag till ändringar om sådana behövs. Den svenska regeringen och riksdagen vill ändra direktivet så att PuL kan inriktas på missbruk av personuppgifter idag reglerar lagen hanteringen av uppgifterna. En samrådsgrupp med representanter från samtliga riksdagspartier har bildats och nu samlar Justitiedepartementet in underlag om vilka problem PuL och direktivet kan ha orsakat och även synpunkter på hur direktivet skulle kunna skrivas om. Bl.a. har en enkät lagts ut på regeringen.se/_enkat/index.htm (det finns också en länk från Datainspektionens webbplats). Fram till den 30 mars kan alla intresserade lämna sina förslag och synpunkter. Inbjudan till klassfest var olaglig En festarrangör hade som affärsidé att leta fram gamla klasslistor på skolor och i kommunala arkiv. Personnumren på listorna skickades till SPAR, statens personadressregister, som uppdaterade namn och adresser. Därefter sändes listorna ut till samtliga i klassen tillsammans med ett erbjudande att arrangera klassträffar. Några personer som fick erbjudandet kände sig kränkta och gjorde anmälan till Datainspektionen. Någon hade flyttat och bytt namn för att komma bort från sina gamla kamrater, någon hade hemligt telefonnummer, någon hade reklamspärr i SPAR, etc. Datainspektionen konstaterade vid sin tillsyn (dnr ) att företagets behandling av personnummer stred mot PuL och branschöverenskommelsen om direktreklam. Då begärde företaget hos SPAR att i stället få använda förnamn, födelsetid och de två första siffrorna i födelsenumret som sökbegrepp. Datainspektionen yttrade sig (dnr ) och konstaterade att uppgifterna visserligen inte är personnummer, men att de ger nära nog samma mått av upplysning. Det kan därför ifrågasättas om en sådan behandling är förenlig med PuL. SPAR-nämnden avslog företagets begäran. EU får en egen datainspektion EU har nyligen inrättat en oberoende tillsynsmyndighet, Europeiska datatillsynsmannen, som ska övervaka behandlingen av personuppgifter och därmed garantera integritetsskyddet inom gemenskapens institutioner och organ. Europeiska datatillsynsmannen ska vara fullständigt oberoende i sin tjänsteutövning och i hans uppgifter ingår bl.a. att höra och utreda klagomål, leda utredningar samt ge råd till gemenskapens institutioner och organ i alla frågor som rör behandling av personuppgifter. En annan viktig uppgift är att samarbeta med de nationella tillsynsmyndigheterna inom EU och de gemensamma tillsynsmyndigheterna för Europol, Schengen och CIS (tullinformationssystemet). EU:s institutioner och organ ska utse uppgiftsskyddsombud, som kommer att ha motsvarande uppgifter som personuppgiftsombuden har enligt svenska PuL. Myndigheten regleras av en förordning, (EG) nr 45/2001, som innehåller i stort sett samma regler som dataskyddsdirektivet. Enligt förordningen ska den europeiska datatillsynsmannen utnämnas av Europaparlamentet och rådet i samförstånd för en period av fem år. Det ska också finnas en biträdande datatillsynsman. Förordningen är tillämplig på den verksamhet inom EU som helt eller delvis omfattas av gemenskapsrätten. Det innebär att tillsynsmannen ska övervaka de delar av Schengensamarbetet som rör utlänningsrättsliga frågor (yttre gränskontroll, fri rörlighet för personer, asyl och invandring), medan däremot Europol inte omfattas av förordningen. Vad använder webbplatsen dina personuppgifter till? Många webbplatser samlar in personuppgifter om besökarna utan att informera om vad de ska användas till. Det visar en internationell rapport som är sammanställd av Consumers International, en paraplyorganisation för världens konsumentrörelser. Konsumentorganisationer runt om i världen har undersökt totalt 751 webbplatser. Från Sverige har Konsumentverket bidragit med att granska ca 50 sajter. Några av resultaten: Två tredjedelar av de undersökta webbplatserna samlade in uppgifter om sina besökare. Bara 58 procent av dessa informerade om hur de hanterar uppgifterna och den informationen var oftast svår att hitta. De flesta webbplatserna gav inte besökaren möjlighet att tacka nej till framtida reklam. Var tredje webbplats försökte placera åtminstone en cookie i besökarens dator. Bara var tionde webbplats för barn uppmanade barnen att fråga sina föräldrar om de fick lov att lämna uppgifter. Enligt PuL får visserligen personuppgifter samlas in och behandlas för att användas till direktmarknadsföring om inte konsumenten skriftligen har motsatt sig det. Men när uppgifterna samlas in ska den registrerade informeras om vad de ska användas till. Läs mer om rapporten i Konsumentverkets pressmeddelande som kan hämtas på Hela rapporten finns på 10 MAGAZIN DIREKT #1/2001

11 KORTFATTAT Hovrätten rådfrågar EG-domstolen om PuL-dom Göta hovrätt har ställt sju frågor till EG-domstolen om hur EU:s dataskyddsdirektiv ska tolkas. Det gäller den konfirmandlärare som utan samtycke hade publicerat uppgifter om sina arbetskamrater i jag-form på en webbsajt (DIrekt 2/00). Eksjö tingsrätt dömde henne till dagsböter för brott mot PuL. Domen har överklagats och Göta hovrätt har meddelat prövningstillstånd (Mål B ). Nu har alltså hovrätten skrivit till EG-domstolen i Luxemburg och frågat hur dataskyddsdirektivet och därmed PuL ska tolkas. Målet vilar till dess EG-domstolen har svarat. Hur vill du ha i fortsättningen? Göteborg vägrar GP data om anställda GP, Göteborgs-Posten, begärde att från Göteborgs stad få ut personnummer, hemadress, hemtelefonnummer, löner, arvoden, m.m. för över tjänstemän och politiker i stadsförvaltningen. Kommunen avslog begäran och hänvisade till sekretesslagens 7 kap 16 (personuppgifter får inte lämnas ut om det kan antas att mottagaren kommer att behandla uppgifterna i strid med PuL). Kommunen ansåg inte heller att undantaget i PuL för journalistiska ändamål var tillämpligt. GP överklagade beslutet till kammarrätten. Kommunen vidhöll sin vägran att lämna ut uppgifterna, och begärde att kammarrätten ska be att EG-domstolen prövar frågan, dvs. hur dataskyddsdirektivet går att förena med svensk offentlighetsprincip. Kammarrätten har också begärt yttrande från Datainspektionen. I sitt yttrande (dnr ) uttalade inspektionen att de begärda uppgifterna bör lämnas ut eftersom det inte är osannolikt att de ska användas på ett sätt som omfattas av något av undantagen i 7 PuL. Med andra ord ska PuL inte tillämpas eftersom reglerna om tryck- och yttrandefrihet tar över, alternativt att det är fråga om en behandling uteslutande för journalistiska ändamål. På Vi lägger fortlöpande ut nyhetsnotiser på vår webbplats. Fyra gånger per år samlar vi ihop, redigerar och kompletterar materialet som då bildar ett nytt nummer av magazin DIrekt. Magazinen samlas i pdf-format under rubriken Kunskapsbanken. e-post med länk Du kan prenumerera på Datainspektionens nyheter. När något nytt publiceras på vår webbplats, t.ex. när ett nytt nummer av magazin DIrekt har kommit ut, får du som prenumerant ett e-brev med en länk. Anmäl dig som prenumerant på Med post Vi kan också sända magazin DIrekt på papper. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna. Oavsett distributionsform är DIrekt gratis. magazin DIrekt produceras av Datainspektionen, Box 8114, Stockholm. Tel: (växel), (beställningar). Fax: E-post: datainspektionen@datainspektionen.se. Webbplats: Grafisk form: Neo Media. Foto och illustration: Mauritius/Megapix s. 1, Photo Researchers Inc./Luck Look s.2, Howard Berman/The Image Bank s. 4, Lars Rehnberg s. 6 och 8. Ansvarig utgivare: Ulf Widebäck. ISSN JA! JAG VILL HA MAGAZIN DIREKT med post Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... Postadress... Jag medger att uppgifterna dataregistreras. DATAINSPEKTIONEN BOX STOCKHOLM MAGAZIN DIREKT #1/

12 B PORTO BETALT Ska öppenheten ha gränser? Datainspektionen Box Stockholm SJ:S WEBBPLATS LÄCKER UPPGIFTER ur folkbokföringen! Den som har ett personnummer kan den vägen få ut folkbokföringsadressen! En indignerad skälvning gick genom medierna. Varför då? Uppgifterna är ju offentliga. Ett enkelt telefonsamtal till personregistret på skattemyndigheten ger samma information. Plus namnet, om man vill ha det. Gratis, på sekunden och utan frågor. Det är väl bra att offentliga uppgifter är lätta att få tag på? Eller? GÖTEBORGS-POSTEN begärde ut personnummer och andra uppgifter om ett par tusen kommunala tjänstemän och politiker. Begäran avslogs och nu ligger ärendet i kammarrätten. Datainspektionen har yttrat sig och anser att de begärda uppgifterna ska lämnas ut då användningen faller under yttrandefrihetsgrundlagen eller avser uteslutande journalistiska ändamål. Sjöfartsverket dömdes nyligen att lämna ut uppgifter om alla sjöbefäl till Aftonbladet. VÄGVERKET VILLE LÄGGA UT BILREGISTRET på webben. Inte så konstigt, uppgifterna är offentliga och man besvarar 1,2 miljoner frågor om året per telefon och fax. Mycket av det jobbet skulle man slippa om bilregistret låg på webben. Datainspektionen stoppade förslaget för den här gången, men öppenhet är det nya slagordet både bland politiker och medier. BÖR DET FINNAS GRÄNSER för öppenheten? Medierna driver frågan hårt, och på samma sätt som lantmännen håller fram öppna landskap och röda stugor för att försvara sina djurindustrier, håller medierna fram Motalaavslöjandet och liknande för att motivera att man behöver alla bra-att-hauppgifter. Men personligen har jag väldigt svårt att tro att det i Göteborgs kommun finns makthavare av sådan dignitet att det är motiverat och anständigt att registrera dem. Även om det är lagligt. DET ÄR SKILLNAD mellan ett samhälle där medborgarna kan övervaka makthavarna och ett samhälle där alla vet allt om alla. Göran Rosenberg menar i sin bok Tankar om journalistik att mediernas öppenhetsiver till stor del har praktiska motiv: Medborgarna kräver transparens och öppenhet därför att de vill känna sig delaktiga i demokratin. Mediebranschen kräver transparens och öppenhet därför att den inte vill ha några produktionsbegränsningar. KAN VI DRA GRÄNSER för öppenheten så att vi kan hålla tummen på ögat på makten utan att alla därför ska kunna få reda på allt om alla? Där har alla dessa utredningar om integritet, sekretess och inte minst om Datainspektionens framtid något att bita i! Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF Glöm inte konferensen Dagen PuL så förbereder du dig den 7 maj Mer information hittar du på NÄSTA NUMMER KOMMER I MAJ OCH DÅ KAN DU LÄSA OM: SÅ REGISTRERAS PERSONUPPGIFTER INOM TELEKOMMUNIKATION VAD DU BÖR TÄNKA PÅ INFÖR DAGEN PUL 12 MAGAZIN DIREKT #1/2001 DATAINSPEKTIONENS GRANSKNING AV KREDITUPPLYSNINGSBRANSCHEN