En handledning för INDUSTRI- OCH KEMIGRUPPEN STÅL OCH METALL ARBETSGIVARE- FÖRBUNDET SVEMEK SVEMIN

Transkript

1 Personuppgiftslagen En handledning för en korrekt beh handling av personuppgifter i arbetslivet INDUSTRI- OCH KEMIGRUPPEN STÅL OCH METALL ARBETSGIVARE- FÖRBUNDET SVEMEK SVEMIN

2 INNEHÅLLSFÖRTECKNING FÖRORD INLEDNING PERSONUPPGIFTER PERSONUPPGIFTSBEHANDLING KRAV PÅ BEHANDLINGEN UNDANTAG FRÅN PUL:S KRAV PUL:S TILLÄMPNINGSOMRÅDE SAMTYCKE ANSVAR FÖR PUL-HANTERINGEN PUL PÅ DET ARBETSRÄTTSLIGA OMRÅDET FÖRSLAG TILL ÅTGÄRDER FÖR EN SÄKRARE PUL-HANTERING KARTLÄGG OCH DOKUMENTERA ANALYSERA/KONTROLLERA ANMÄLNINGS- OCH FÖRTECKNINGSSKYLDIGHET INFORMATION STRUKTURERA UTFÄRDA INSTRUKTIONER OCH UTBILDA/INFORMERA PERSONUPPGIFTSOMBUDET PERSONUPPGIFTSBITRÄDE SE ÖVER SÄKERHETSNIVÅN OM SKADA UPPSTÅR SAMMANFATTNING LÄNKAR BLANKETTER... 28

3 FÖRORD Personuppgiftslagen (1998:204) utgör i egentlig mening ingen arbetsrättslig lagstiftning. Inte desto mindre påverkar den företagen i dess roll som arbetsgivare eftersom man i sin verksamhet med nödvändighet hanterar stora mängder information om anställda. Det är därför viktigt att såväl företag som dess organisationer har en tillfredställande kunskapsnivå om lagen och dess tillämpning. Personuppgiftslagen syftar till att skydda den enskilde från att kränkas vid personuppgiftsbehandling. Lagens regler är snåriga och inte direkt anpassade för anställningsförhållanden. Den kan därför hamna i konflikt med en arbetsgivares intresse av att snabbt, enkelt och effektivt hantera personinformation. Denna rapport har tagits fram till stöd för företag att korrekt och effektivt kunna tillämpa Personuppgiftslagen (PuL). En stor del av rapporten utgörs av en handlingsplan, vilken företaget kan använda som checklista eller följa steg-för-steg vid utarbetandet av rutiner för hanteringen av personuppgifter. Rapporten innehåller vidare praktiska hjälpmedel såsom blanketter och användbara länkhänvisningar. Rapporten riktar sig främst till personer med ansvar för företagets PuL-arbete, personuppgiftsombud, IT-säkerhetsansvariga, personalansvariga samt personer som behandlar stora mängder personinformation i sitt arbete. Industriarbetsgivarna mars 2011

4 Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) 1. INLEDNING Dagens företag behandlar i sin löpande verksamhet stora informationsflöden. Inte sällan utgörs denna information av uppgifter om fysiska personer. Behandling av personuppgifter är naturligtvis nödvändig, t ex för personaladministration, men innebär även en risk för att den enskildes personliga integritet kränks. Risken för kränkning är särskilt stor då uppgifterna behandlas med informationsteknologi (IT) eftersom spridning, ändring och kopiering då mycket lättare sker. För att skydda enskildas personliga integritet är personuppgiftsbehandling förenad med krav och restriktioner. Dessa regler återfinns främst i Personuppgiftslagen, PuL. PuL:s syfte är att skydda levande människors personliga integritet mot de kränkningar som kan komma ifråga vid behandling av personuppgifter som ingår i eller är avsedda att ingå i en struktur. Bestämmelserna berör all professionell personuppgiftsbehandling. Det är därför viktigt att ett företag ser till att den som utför behandling för företagets räkning följer gällande lagar och regler. Det sammanhang som personuppgifter registreras i och på vilket sätt uppgifterna används, påverkar risken för integritetskränkning. Till synes harmlös information kan vid vårdslös hantering eller använd i fel syfte medföra att en enskild kränks eller på annat sätt skadas. PuL ställer därför krav på att personuppgifter hanteras med tillfredsställande säkerhet och att behandlingen ryms inom det ändamål för vilket uppgifterna samlades in. PuL:s regler aktualiseras vidare exempelvis då en arbetsgivare vill kontrollera anställdas användning av Internet och andra IT-verktyg. Här måste en avvägning ske mellan kontrollåtgärder enligt arbetsledningsrätten och risken för integritetskränkning. Till stöd för företaget att följa och efterleva PuL:s regler utan att informationsflöde, administration och säkerhet hämmas, har i detta kompendium sammanställts tips och idéer om hur man kan arbeta med personuppgiftshantering. Kompendiet förklarar och går igenom regelsystemet och är tänkt att användas som en handledning. Vidare återfinns blankettförslag och aktuella länkar. I länksamlingen finns också hänvisning till aktuell lagstiftning. Inledningsvis bör även nämnas den statliga myndigheten, Datainspektionen (DI), som bl a har till uppgift att skydda människors privatliv i IT-samhället. DI hjälper enskilda vars integritet kränkts, följer upp klagomål och gör inspektioner. Stor vikt läggs vid det förebyggande arbetet, främst genom information och regelgivning. 1.1 PERSONUPPGIFTER Med personuppgifter avses i PuL information som direkt eller indirekt kan knytas till en levande person, t ex namn, adress, telefonnummer och fotografier. Krypterade uppgifter och olika elektroniska identiteter (t ex anställningsnummer) omfattas också, så länge de kan kopplas till en viss person. För vissa typer av personuppgifter gäller särskilda regler. Dessa personuppgiftstyper är: a) Känsliga personuppgifter - personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör sexualliv och hälsa. b) Fullständiga personnummer 3

5 Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) och c) Brott och brottsmisstankar I det följande benämns de personuppgifter som inte omfattas av någon av ovanstående punkter för traditionella personuppgifter. Den som personuppgifterna avser kallas den registrerade. Uppgifter om en juridisk person är inte personuppgifter enligt PuL. Uppgifter om avlidna omfattas inte av PuL. 1.2 PERSONUPPGIFTSBEHANDLING Med behandling avses varje åtgärd eller serie av åtgärder som utförs med personuppgifter, t ex insamling, registrering, lagring, bearbetning, ändring, utlämnande genom översändelse, spridning eller annat tillhandahållande av uppgifter och sammanställning eller samkörning 1.3 KRAV PÅ BEHANDLINGEN Grundläggande krav som gäller behandling av personuppgifter tas upp i 9 PuL. Vidare ställs ytterligare krav på behandling av traditionella personuppgifter i 10. Förutsättningar för behandling av känsliga personuppgifter behandlas i Behandling av uppgifter om brott eller misstankar om brott regleras i 21. Regler om personnummer finns i 22. Regler om behandling för personuppgifter som sprids till tredje land och på Internet finns i UNDANTAG FRÅN PUL:S KRAV Hanteringsregler i denna skrift behöver bara följas när en arbetsgivare behandlar personuppgifter som ingår i eller är avsedda att ingå i en struktur (t ex ett register) som gör det påtagligt enklare att söka efter eller sammanställa uppgifterna. Detta innebär att den som hanterar personuppgifter i ostrukturerad form, t ex löpande text på Internet eller använder vanliga filsystem och e-postprogram, inte behöver bry sig om de hanteringsregler i PuL som nämns ovan. Tänk dock på att ett företag inte får behandla personuppgifter i ostrukturerat material om det medför att den registrerades personliga integritet kränks (se under Begränsningar för behandling av ostrukturerat material? ). 4

6 Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) EXEMPEL Att på Internet publicera en lista med namn som inte har strukturerats på annat sätt än att de står i en viss ordning är ett exempel på behandling av personuppgifter som är undantagen från PuL:s hanteringsregler. Det kan t ex vara en arbetsgivare som presenterar en lista på medlemmarna i styrelsen på sin webbplats eller en kommun som på sin webbplats listar personer som innehar kommunala förtroendeuppdrag. Listan får publiceras på Internet utan andra restriktioner än att den inte får innebära en kränkning av de registrerades personliga integritet. Om det dock rör sig om behandling av personuppgifter som ingår i eller är avsedda att ingå i ett mer kvalificerat system, t ex ett dokument- eller ärendehanteringssystem, måste hanteringsreglerna i PuL fortfarande tillämpas. Även dokument som elektroniskt är kopplade till systemet får anses ingå däri. Vid exempelvis marknadsföring ingår personuppgifterna i praktiken alltid i ett system som medför att hanteringsreglerna ska tillämpas på behandlingen BEGRÄNSNINGAR FÖR BEHANDLING AV OSTRUKTURERAT MATERIAL? Även behandling av personuppgifter i ostrukturerad form kan kränka den som uppgifterna avser. Behandling, som enligt ovan undantas från PuL:s hanteringsregler, omfattas därför av en missbruksregel, vilken innebär följande: MISSBRUKSREGELN Behandling som innebär en kränkning av den registrerades personliga integritet är förbjuden. En intresseavvägning där den enskildes intresse av en fredad privat sfär vägs mot motstående intressen som informations- och yttrandefriheten måste göras. Vad som är en kränkning får bedömas utifrån följande parametrar: vilka uppgifter som behandlas i vilket sammanhang uppgifterna förekommer för vilket syfte de behandlas vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. EXEMPEL Om uppgifterna behandlas med syfte att förfölja eller skandalisera en person, om stora mängder uppgifter om en person samlas in och sprids utan godtagbart skäl, om felaktiga eller missvisande uppgifter medvetet behandlas och om behandlingen innebär förtal eller förolämpning eller brott mot tystnadsplikt och sekretess, är behandlingen oftast en kränkning av den registrerades personliga integritet. Nedan följer några tumregler och exempel på vad som är kränkande och därför inte är tillåtet: Behandla inte personuppgifter för otillbörliga syften, som förföljelse eller skandalisering. Ett exempel är publicering på Internet av bilder på en före detta pojk- eller flickvän i eller utan badkläder eller rent personliga detaljer om dennes beteende. Ett annat exempel är spridning av uppgifter om meningsmotståndare för att kunna angripa dem p g a politisk uppfattning, sexuell läggning eller etniskt ursprung. Samla inte utan godtagbara skäl en stor mängd uppgifter om en person. En enskild person har rätt att kräva att ingen har en nästan fullständig kunskap om honom eller henne. Att utan något godtagbart ändamål samla en stor mängd uppgifter om en person måste därför ofta ses som en 5

7 Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) integritetskränkning. Som exempel kan nämnas en hyresvärd som av nyfikenhet iakttar en hyresgäst och samlar bilder och anteckningar i löpande text. Rätta personuppgifter som visar sig vara felaktiga eller missvisande. Det är oftast en kränkning av den registrerades personliga integritet om någon medvetet behandlar uppgifter om denne som är klart felaktiga eller missvisande. Förtala eller förolämpa inte någon annan. Spridning av personuppgifter som innebär förtal eller förolämpning är givetvis en kränkning av den personliga integriteten. Bryt inte mot sekretess eller tystnadsplikt. Spridning av personuppgifter som innebär brott mot bestämmelser om sekretess och tystnadsplikt är i de flesta fall en kränkning av den personliga integriteten YTTERLIGARE UNDANTAG FRÅN PUL:S KRAV PuL: s regler gäller inga former av privat behandling. Med privat behandling avses t ex elektroniska dagböcker, privata adressregister eller brev som skrivs till någon och som inte har med arbetslivet att göra. Enskilda personers privata ord- och textbehandling eller e- postkommunikation omfattas inte heller. Avgränsningen kan vara svår att göra, men personuppgifterna som t ex går ut i brev till en obestämd krets av personer är inte av privat natur. Den obestämda personkretsen gör att behandlingen därmed faller behandlingen under PuL: s regler. Journalistiska ändamål samt konstnärligt och litterärt skapande faller också utanför lagen. Undantaget för journalistisk verksamhet anses värna om rätten till fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och om en fri debatt i samhällsfrågor. Undantaget är omfattande och inte begränsat till etablerade massmedier eller personer yrkesverksamma inom sådana medier, och anger inte något kvalitetsmått på verksamheten. Publicering av personuppgifter på Internet med ett journalistiskt ändamål är undantaget PuL, vilket t ex gäller företags medlemstidningar. Dock måste regler avseende säkerhetsåtgärder i 31 PuL (se kapitel 2 punkt 7) fortfarande tillämpas. PuL tillämpas inte om det skulle strida mot bestämmelser i tryck- och yttrandefrihetsgrundlagarna eller offentlighetsprincipen. 1.5 PUL:S TILLÄMPNINGSOMRÅDE NÄR GÄLLER FORTFARANDE HANTERINGSREGLERNA I PUL? Då arbetsgivare behandlar personuppgifter som ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter ska PuL:s regler tillämpas. Vid s k personuppgiftsanknuten strukturering, d v s när informationen, t ex uppgifter i ett dokument- och ärendehanteringssystem eller en databas, är sorterad för att enkelt kunna sökas fram eller för sammanställning av personuppgifter. 6

8 Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) För att det ska vara obligatoriskt att tillämpa hanteringsreglerna ska strukturen göra det påtagligt enklare att söka eller sammanställa personuppgifter. Som nämnts ovan är t ex namnlistor på nätet exempel på strukturer som är så enkla att arbetsgivaren inte behöver tillämpa hanteringsreglerna. Det är naturligtvis tillåtet att tillämpa hanteringsreglerna även om man inte måste. Om en samling personuppgifter har strukturerats så att hanteringsreglerna är tillämpliga, ska reglerna tillämpas på alla personuppgifter som finns i materialet, även om vissa personuppgifter i materialet inte är strukturerade (t ex i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem). Hanteringsreglerna ska tillämpas om arbetsgivaren behandlar ett ostrukturerat material som senare ska infogas i ett strukturerat material, t ex ett kvalificerat dokument- eller ärendehanteringssystem. PuL omfattar alla företag som behandlar personuppgifter i Sverige! 1.6 SAMTYCKE Samtycke från och information till en registrerad är ofta en grundläggande förutsättning för tillåten registrering av personuppgifter. Ett samtycke ska ha lämnats frivilligt, särskilt och vara grundat på tillräcklig information om vad registreringen avser. Registrerad ska också informeras om vart man ska vända sig för att återkalla samtycket. Samtycket bör inhämtas skriftligt. Ett samtycke kan i vissa fall vara underförstått (s k konkludent). Någon tvångssituation eller otillbörlig påverkan får inte förekomma i samband med samtyckets inhämtande. I ett anställningsförhållande finns risken för otillbörlig påverkan till att lämna samtycke pga. den anställdes beroendeställning. Otillbörligt påverkade samtycken klassas som ogiltiga. När det gäller känsliga personuppgifter ska samtycket även vara uttryckligt, dvs. klart manifesterat, vilket utesluter konkludenta samtycken. DI kom i sitt beslut den 17 december 2007 fram till att det saknas lagligt stöd för en fackförening att utan samtycke behandla personuppgifter rörande personer som inte är medlemmar i fackföreningen. För att det ska vara tillåtet att behandla personuppgifter utan stöd av samtycke krävs att något av undantagen i 10 PuL är tillämpligt. Eftersom inget av undantagen var tillämpliga i det aktuella fallet, saknades lagligt stöd för facket att utan samtycke behandla personuppgifter rörande personer som inte var medlemmar i fackföreningen. Facket förelades därför att upphöra med behandlingen. 1.7 ANSVAR FÖR PUL-HANTERINGEN Ansvarig för personuppgiftsbehandlingen är den som ensam eller tillsammans med andra bestämmer ändamålen, syftet och medlen för behandlingen av personuppgifter. Denne kallas för den personuppgiftsansvarige. Det är arbetsgivaren/den juridiska personen som är personuppgiftsansvarig, alltså inte styrelse, vd eller någon annan anställd. Ansvarig i ett koncernförhållande kan vara moderbolaget (om det ensamt bestämmer över behandlingen), varje bolag var för sig eller alla bolag inom koncernen tillsammans, (om de ansvarar för ett gemensamt register). Avtal där ansvaret preciseras bör övervägas. 7

9 Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) Den personuppgiftsansvarige är enligt 36 PuL skyldig att anmäla behandling av personuppgifter till Datainspektionen (DI). Undantag härifrån finns dock, se nedan. För ett företag kan det vara enkelt och effektivt att utse och anmäla ett personuppgiftsombud (se blankett nr 3). Personuppgiftsombudet ska på ett oberoende sätt se till att företaget följer PuL:s regler. Personuppgiftsombudet för förteckningar över de behandlingar som företaget genomför, som annars skulle behöva anmälas till DI. För ytterligare information om personuppgiftsombud, se kapitel 2 punkt 7. Ett personuppgiftsbiträde är t ex en servicebyrå utanför den egna organisationen som utför den faktiska behandlingen av ett företags personuppgifter. Se mer om personuppgiftsbiträdet under kapitel 2 punkt PUL PÅ DET ARBETSRÄTTSLIGA OMRÅDET PuL:s regler ska tillämpas allmänt och således även inom arbetslivet. Då en arbetsgivare hanterar personuppgifter rörande en anställd får PuL därför arbetsrättslig karaktär. Lagen om rättegången i arbetstvister är tillämplig på tvister rörandet förhållandet mellan arbetsgivare och arbetstagare. Det är samma formulering som återfinns i MBL 1. En tvist som uppstår i ett anställningsförhållande angående en arbetsgivares behandling av personuppgifter rörande en anställd torde därför omfattas av förhandlingsordningarna och kunna bli föremål för prövning i Arbetsdomstolen. Datainspektionen (DI) fungerar som tillsynsmyndighet i frågor som rör PuL:s tillämpning. DI kan efter klagomål (från fack eller enskild) välja att öppna ett tillsynsärende mot arbetsgivaren. DI kan utfärda vidare vitesbeslut. 8

10 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2. FÖRSLAG TILL ÅTGÄRDER FÖR EN SÄKRARE PUL-HANTERING Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. För att försöka säkerställa att företagets personuppgiftshantering följer PuL:s regler samtidigt som inte informationsflöde, administration och säkerhet hämmas, kan denna handlingsplan utgöra stöd i arbetet. 2.1 KARTLÄGG OCH DOKUMENTERA Kartlägg och dokumentera alla nuvarande och planerade behandlingar av personuppgifter i verksamheten, internt och externt. a) Behandlas personuppgifter som ingår i eller är avsedda att ingå i en struktur (t ex ett register) som gör det påtagligt enklare att söka efter eller sammanställa uppgifterna? I sådant fall ska förmodligen PuL:s regler tillämpas. b) Behandlas känsliga personuppgifter, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör sexualliv och hälsa? Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men lagen stadgar ett antal undantag. c) När och var behandlas personnummer? Förekommer personnummer där något annat kan användas? d) Behandlas brott och/eller brottsmisstankar? e) Existerar kameraövervakning på företaget? Finns det någon IT-säkerhetspolicy, där t ex loggning av arbetstagarnas surfning regleras? f) Sker överföring av personuppgifter till tredje land (utanför EU och EES), t ex via personuppgifter på företagets hemsida. 2.2 ANALYSERA/KONTROLLERA Analysera/kontrollera om företagets behandlingar av personuppgifter är tillåtna enligt PuL. Bedöm varje behandling mot de krav som PuL ställer upp för: Grundläggande krav på all behandling av personuppgifter, Behandling av traditionella personuppgifter, Närmare om intresseavvägningen Behandling av känsliga uppgifter Personnummer Behandling av uppgifter om brott och eller uppgifter om brottsmisstankar Kameraövervakning IT-säkerhet Överföringar av personuppgifter till tredje land Behandling av personuppgifter på Internet 9

11 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering GRUNDLÄGGANDE KRAV FÖR BEHANDLING AV ALLA PERSONUPPGIFTER Under förutsättning att personuppgifterna behöver behandlas enligt PuL (för personuppgifter undantagna PuL:s tillämpningsområde, se ovan under kapitel 1) är de grundläggande kraven för behandling av personuppgifter enligt PuL 9 följande: Att behandlingen är laglig enligt PuL, Personuppgiftsbehandlingen ska följa PuL: s och andra lagar och förordningars regler. Kravet får främst sitt konkreta innehåll av reglerna om när behandling av personuppgifter är tillåten (se nedan). Att personuppgifterna behandlas på ett korrekt sätt och i enlighet med god sed, En korrekt behandling innebär bl a att registrerad ska få kännedom och fullständig information om registreringen och att uppgifter inte samlas in i hemlighet eller via dolda anordningar. Vad som är god sed får bedömas från fall till fall. Vad som av AD anses vara god sed på arbetsmarknaden torde kunna ge vägledning. God sed kan även framgå av branschöverenskommelser, se för exempel marknadsundersöknings- och direktutskicksområdets branschregler på En tumregel är att om ett visst sätt av behandling har tillämpats under ett antal år och ingen har reagerat, brukar det kunna anses överensstämma med god sed. Att personuppgifterna bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål, Ändamålen ska vara bestämda redan vid insamlingstillfället. De insamlade uppgifterna får inte behandlas för något ändamål som är oförenligt med det ursprungliga. Krav finns inte på skriftligt angivna ändamål, även om det i vissa fall kan vara praktiskt. Uppgifterna måste vidare ha någon faktisk betydelse för ändamålet med behandlingen. Ett exempel är information som samlats in vid ett anställningsförfarande. Dessa bör gallras om när anställningsförfarandet resulterar i att den sökande inte anställs. Vill företaget ändå spara uppgifterna, måste den arbetssökande informeras och samtycka till den fortsatta registreringen. Det är inte tillåtet att förutsättningslöst insamla uppgifter för att vid ett senare tillfälle bestämma ändamålet med behandlingen. Däremot kan man precisera flera ändamål samtidigt. Att inte fler personuppgifter än vad som är nödvändigt med hänsyn till behandlingens ändamål behandlas, Tänk på att man kan tvingas behöva redovisa varför de olika uppgifterna behövs för att fylla ändamålen med behandlingen Att de personuppgifter som behandlas är riktiga och, om nödvändigt, aktuella, Som antyds är aktualitetskravet inte ovillkorligt, men om någon reagerar på en inaktuell personuppgift, bör den ändras omgående. Då det gäller känsliga personuppgifter eller uppgifter om brott eller brottsmisstankar, måste dock uppgifterna alltid vara aktuella. Att rimliga åtgärder vidtas för att rätta, blockera eller utplåna med hänsyn till behandlingen felaktiga och ofullständiga personuppgifter, 10

12 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Att personuppgifterna inte bevaras en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen BEHANDLING AV TRADITIONELLA PERSONUPPGIFTER Utöver de allmänna krav som gäller för alla sorters personuppgifter, gäller vissa ytterligare krav för behandling av de traditionella personuppgifterna, upptagna i 10 PuL. Personuppgiftsbehandling av dessa under förutsättning att: Den registrerade lämnat samtycke till behandlingen samtycket ska vara frivilligt och särskilt lämnat till konkret behandling och för visst ändamål, otvetydigt och grundat på tillräcklig information eller om behandlingen är nödvändig för Ett avtals fullgörande Anställningsavtal eller något annat avtal mellan den anställde och arbetsgivaren. Avtalet måste ha ingåtts av den anställde själv. Rättsligt fullgörande Den personuppgiftsansvarige kan behöva behandla personuppgifter för att fullgöra en rättslig skyldighet, i t ex lag eller kollektivavtal. Skyddande av vitala intressen Då registrerad inte kan lämna samtycke och det föreligger fara för dennes liv eller hälsa. Utförandet av en arbetsuppgift av allmänt intresse T ex arkivering, forskning, framställning av statistik och opinionsundersökningar som har ett intresse för allmänheten. Exempelvis kreditupplysningsverksamhet, förande av offentligt fastighetsregister samt att i samband med kreditupplysning förmedla uppgifter om ekonomisk brottslighet för att ge näringsidkare och andra bättre möjligheter att skydda sig mot ekonomisk brottslighet. Utförandet av en arbetsuppgift i samband med myndighetsutövning Att ett berättigat intresse som överväger den enskildes intresse av skydd mot kränkning av den personliga integriteten ska kunna tillgodoses (Intresseavvägningen nedan) NÄRMARE OM INTRESSEAVVÄGNINGEN Intresseavvägningen är en slags generalklausul där en helhetsbedömning görs i varje enskilt fall. Generellt gäller att säkerhetsaspekter väger tyngre än företagsekonomiska effektivitetsskäl. Om registrerad motsätter sig registrering och detta kan anses sakligt motiverat, krävs starka skäl för att trots detta genomföra behandling av personuppgifter och intresset av att behandla uppgifterna kan i dylika fall endast i undantagsfall anses väga över. Om det inte finns förutsättningar för att behandla personuppgifter efter en intresseavvägning och behandlingen inte kan anses falla under någon annan 11

13 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering tillåtelsepunkt måste de behandlade uppgifterna utplånas eller avidentifieras, eftersom även lagring av personuppgifter är en typ av behandling. Ett berättigat intresse kan avse arbetsgivarens eget intresse, men kan också vara ett intresse hos en utomstående till vilken uppgifterna ska lämnas ut, t ex en ny arbetsgivare. Faktorer som kan spela in är: 1. vilken verksamhet som bedrivs, 2. eventuella kollektivavtal, 3. branschpraxis, 4. arbetsgivarens regler och riktlinjer samt 5. ändamålet med behandlingen. I helhetsbedömningen ska även tas fasta på den grundläggande principen om arbetsgivarens arbetsledningsrätt och dennes rätt att leda och fördela arbetet. DI har angivit när det efter en intresseavvägning i normala fall typiskt sett är tillåtet respektive otillåtet att behandla personuppgifter på arbetsmarknaden enligt följande: Tillåtna fall: Planera, organisera, leda och följa upp kvalitetsbedöma arbetet i stort Mäta de anställdas individuella prestationer Kontrollera och övervaka anställda om det krävs av säkerhetsskäl, t ex för inpasseringssystem Kontrollera anställdas användning av e-post och Internet av tekniska och säkerhetsmässiga skäl Ta del av anställdas privata e-post vid allvarlig misstanke om illojalt eller brottsligt beteende Registrera uppgifter om anställda i rekryteringssystem och kompetensdatabaser, vilket även gäller bolag utomlands inom samma koncern Lämna ut harmlösa uppgifter, t ex anställdas namn och befattning, till andra bolag inom koncern för personalinformation, förmånserbjudanden etc., även utomlands Lämna ut harmlösa uppgifter om anställda i informationssyfte, t ex på Internet eller intranätet Lämna ut uppgifter om icke-medlemmar till fackförening i syfte att kontrollera arbetsgivarens efterlevnad av kollektivavtal I personalregister lagra fotografier som tagits fram av säkerhetsskäl Otillåtna fall: Använda sammanställningar av uppgifter som har lagrats för att användas för t ex fakturering eller bemanningssyfte för något helt annat syfte, t ex individuell värdering vid lönesättning Registrera uppgifter om resultat från personlighetstester och liknande Använda logguppgifter för andra ändamål eller syften än de ursprungligen bestämda Läsa arbetstagares privata e-post Upprätta spärrlistor eller liknande över tidigare anställda för att förhindra återanställning Samkörning av register med olika ändamål BEHANDLING AV KÄNSLIGA PERSONUPPGIFTER Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör sexualliv och hälsa klassas som känsliga personuppgifter. Dessa får bara behandlas i vissa undantagsfall. Reglerna för behandling av dessa finns i PuL och gäller utöver de grundläggande allmänna kraven i 9. 12

14 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Behandling av känsliga personuppgifter är tillåten: Vid uttryckligt samtycke från den anställde eller Samtycket ska vara frivilligt, uttryckligt och informerat, muntligt eller skriftligt. Underförstådda (konkludenta) samtycken är här inte tillräckliga. När uppgifterna på ett tydligt sätt har offentliggjorts av registrerad. Exempelvis genom aktivt och offentligt fackligt arbete eller när någon ställer upp till val under en viss partibeteckning Vid behandling som är nödvändig för fullgörande för skyldigheter eller utöva rättigheter enligt arbetsrätten. Skyldigheter eller rättigheter enligt arbetsrätten kan följa av lagstiftning, myndighetsbeslut i enskilda fall eller kollektivavtal eller andra avtal, t ex behandling i samband med sjuklön, rehabilitering, avdrag för fackföreningsavgifter eller fullgörande av förhandlingsskyldighet. Då det krävs för att skydda den anställdes eller annans liv eller hälsa, och då samtycke inte kan inhämtas. Då det krävs för att fastställa, göra gällande eller försvara rättsliga anspråk. T ex i rättsliga processer, eller i samband med fullgörandet av förhandlingsskyldighet. Vid behandling inom ideella organisationer. Inom politiska, filosofiska, religiösa eller fackliga organisationer inom ramen för deras verksamhet. Inom hälso- och sjukvården, om det är nödvändigt för medicinska diagnoser, förebyggande hälso- och sjukvård eller administration av hälso- och sjukvård, t ex inom företagshälsovården PERSONNUMMER Personnummer tas upp i 22 PuL och är tillåtna för registrering vid samtycke från registrerad. Då samtycke inte finns kan dock registreringen vara tillåten då den är klart motiverad med hänsyn till ändamålet med aktuell behandling, en säker identifiering är viktig eller då andra beaktansvärda skäl finns. Tillräcklig anledning till att registrera personuppgifter för att fullgöra uppgiftsskyldighet, t ex till Skatteverket. Undvik att använda personnummer då något mindre ingripande är tillräckligt, t ex på utskrifter av tjänstgöringslistor och adressetiketter. Anställningsnummer är ofta lämpligare för identifiering av anställda. Tänk på att även anställningsnumret är en typ av personuppgift. Att generellt använda personnummer som anställningsnummer torde enligt DI sällan vara förenligt med PuL, om ej samtycke erhållits. 13

15 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering BEHANDLING AV UPPGIFTER OM BROTT OCH/ELLER BROTTSMISSTANKAR Behandling av uppgifter rörande brott eller brottsmisstankar regleras i 21 PuL och är endast tillåten vid behandling av enstaka personuppgifter som är nödvändiga för att fastställa, göra gällande eller försvara ett rättsligt anspråk i ett särskilt fall eller om det krävs för att fullgöra anmälningsskyldighet, t ex vid polisanmälan eller i samband med uppsägningsförfaranden. I övrigt får inte sådana och liknande uppgifter behandlas ens med samtycke! Märk att det endast är registreringen av brottsuppgifter som regleras i PuL. Att vid ett anställningsförfarande be att få se uppgifter om en anställds eller en arbetssökandes förflutna utan att någon form av registrering sker är tillåtet. De stränga kraven på när personuppgiftsbehandling rörande brott eller brottsmisstankar gör att det i samband med skriftliga varningar eller dylikt kan vara mer ändamålsenligt att notera brottsuppgifter manuellt utanför PuL:s tillämpningsområde. Ett sådant förfarande innebär vidare en mindre risk för att uppgifterna kopieras eller sprids till obehöriga KAMERAÖVERVAKNING De anställda ska alltid i förväg bli informerade om att kameraövervakning förekommer på en arbetsplats. Om kameran övervakar ett område dit allmänheten har tillträde krävs som regel tillstånd av länsstyrelsen. Både kamera och ljudutrustning får dock utan tillstånd sättas upp på platser dit allmänheten inte har tillträde. I vissa fall kan upptagningar från övervakningskameror anses vara strukturerad behandling, exempelvis om uppgifterna ingår i (eller ska läggas in i) ett ärendehanteringssystem. Då måste man följa alla regler i PuL, i och med att arbetsgivaren på begäran måste informera de registrerade om vilka uppgifter som har samlats in. Uppgifterna får bara samlas in för bestämda ändamål villka inte får ändras i efterhand. Alla som behandlar personuppgifter, vare sig i strukturerad eller i ostrukturerad form, ska skydda uppgifterna med lämpliga säkerhetsåtgärder. Så få personer som möjligt bör ha tillgång till det inspelade materialet. När digitala kameror ska registrera andra ställen än platser dit allmänheten har tillträde, gäller PuL. Sådana ställen kan vara skolor, bostadshus och arbetsplatser. Det krävs inte tillstånd för att kameraövervaka sådana platser, men det betyder inte att det är fritt fram att sätta upp kameror och hantera bildmaterialet hur som helst. Bilder av personer som kan identifieras är personuppgifter enligt PuL. Vilka regler i PuL som gäller beror på hur personuppgifterna, i det här fallet bilderna, är strukturerade. Bild- och ljudupptagningar från övervakningskameror är normalt ostrukturerade. Då behöver man inte tillämpa alla regler i PuL; behandlingen är tillåten så länge den inte kränker den registrerade. Om ett brott fångas på videofilm och filmen sparas eller lagras innebär detta en behandling av brottsuppgifter, under förutsättning av att personerna på videofilmen är identifierbara. Dessa filmer får inte behållas längre tid än nödvändigt (gränsen bör enligt DI gå runt 2-3 månader). När en sådan film ges in till polisen tar myndigheten över ansvaret som personuppgiftsansvarig för uppgifterna. Iaktta god och vederbörlig säkerhet vid överlämnandet till polisen. Ifall man inte vill gå vidare med anmälan, bör uppgifterna raderas omedelbart för att undvika att komma i konflikt med förbudet mot att lagra uppgifter om brott eller brottsmisstankar. 14

16 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering IT-SÄKERHET Ett företag har rätt att utfärda och kontrollera efterlevnaden av regler för användandet av företagets IT-utrustning. Denna kontroll måste ha ett i förväg uttryckligt bestämt ändamål som är sakligt grundat i verksamheten (enligt ovan nämnda regler om behandling av personuppgifter) och de anställda ska vara informerade om de regler som gäller för de specifika IT-verktygen på arbetsplatsen samt vilka eventuella kontroller som kan komma att följa. Om kontroller kommer att riktas mot oegentligheter eller missbruk, måste anställda vara informerade om vad företaget avser med dessa begrepp. Då det gäller loggning av uppgifter om anställdas internetanvändning, registreras dessa ofta av tekniska skäl. Kontroll av behörighet samt vad som vidtagits i ett datasystem kan vara nödvändigt. Ofta är det dock tillräckligt att övervaka tekniska funktioner och dess användning utan att den enskilda användaren registreras. Om kontroll utförs på ett ingripande sätt, t ex genom att läsning av de anställdas privata e-post, måste starka skäl, som allvarlig misstanke om illojalt eller brottsligt beteende, vara för handen vid en intresseavvägning (se avsnitt ovan). Utöver detta ska naturligtvis ändamålet med kontrollen vara fastställt. Kontrollerna får inte utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed på arbetsmarknaden. Märk att uppgifter registrerade i en loggfil som går att knyta till en enskild person är att klassa som personuppgifter. Informera även om eventuella cookies på företagets hemsida ÖVERFÖRINGAR AV PERSONUPPGIFTER TILL TREDJE LAND (UTANFÖR EU OCH EES) Personuppgifter som får behandlas enligt PuL får också fritt överföras till länder inom EU och EES (Norge, Island och Liechtenstein) och Schweiz. Till områden utanför EU och EES (tredje land) får personuppgifterna överföras om skyddsnivån i det aktuella landet är adekvat. Detta kan ha betydelse t ex vid överföring av personuppgifter inom koncerner. Vid fråga om adekvat skyddsnivå föreligger ska hänsyn tas till samtliga omständigheter som har samband med överföringen bl a; 1. Uppgifternas art 2. Ändamålet med behandlingen 3. Hur länge behandlingen ska pågå 4. Varifrån uppgifterna ursprungligen kommer 5. Var uppgifterna slutligen kommer att hamna 6. Vilka dataskyddsregler som finns i det tredje landet. 15

17 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Överföring till tredje land är dock, oavsett skyddsnivå, tillåten om: Registrerad har lämnat samtycke till den Överföringen är nödvändig för att fullgöra avtal mellan den personuppgiftsansvarige och registrerad eller åtgärder som registrerad begärt ska kunna vidtas innan avtal träffas t ex tjänstgöringslistor som skickas mellan länder inom en koncern. Ett avtal ska ingås med tredje part och det ligger i registrerads intresse t ex överföring av adressuppgifter i samband med fullgörandet av ett avtal om förmedling av present och dylikt till registrerad i utlandet Rättsliga anspråk ska kunna fullgöras eller försvaras t ex för att föra talan i viss instans, för rätt till skatteavdrag eller för fackföreningsavgift Vitala intressen ska skyddas t ex vid arbetstagares plötsliga sjukdom för att få reda på dennes blodgrupp och sjukdomshistoria samt för att underrätta anhöriga BEHANDLING AV UPPGIFTER PÅ INTERNET Vid samtycke är det tillåtet att publicera registrerades personuppgifter på Internet (tänk på att registrerad ska ha fått sådan tydlig information att denne själv kan bestämma för- och nackdelar med publiceringen). Det typiska fallet är personuppgifter publicerade på företagets hemsida. Personuppgifter publicerade på Internet förs ut över hela världen. Då detta sker får man, bortsett från de fall då samtycke finns eller då det rör harmlös information (se nästa stycke), studera ifall överföringen enligt lagens definition sker till tredje land. Det anses inte vara en överföring till tredje land om man för över materialet till en Internetleverantör med säte inom EU, trots faktumet att man därmed kan ta del av materialet över hela världen. Trots att Internetleverantörens säte ligger utanför EU får man, efter en intresseavvägning enligt 10 publicera harmlös information på Internet. Vad som är harmlöst får avgöras från fall till fall med utgångspunkt från huruvida den enskilde skulle kunna uppleva uppgifterna som kränkande. Namn, befattning, avdelning eller enhet, anställningsår, arbetstelefonnummer, e-postadress och liknande arbetsrelaterade personuppgifter är att anse som harmlösa och därför tillåtna för publicering på Internet. Fråga dock alltid den enskilde personen innan dennes hemadress, hemtelefonnummer eller fotografier läggs upp på en hemsida. Skulle det röra sig om annat än harmlösa uppgifter och Internetleverantörens säte ligger utanför EU, krävs ett verkligt stort behov av publicering för att den ska vara tillåten. Om registrerad sakligt motsätter sig publicering krävs starka skäl för att genomföra behandling av personuppgifter och den personuppgiftsansvariges intresse av att behandla personuppgifterna bör endast i undantagsfall anses väga över. Tänk i övrigt på att då identifierbara personers bilder och fotografier lagras på en dator klassas det som personuppgiftsbehandling i PuL:s mening. 16

18 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Då personuppgifter som behandlas uteslutande av journalistiska ändamål eller konstnärligt eller litterärt skapande läggs ut på Internet gäller inte reglerna i PuL. 2.3 ANMÄLNINGS- OCH FÖRTECKNINGSSKYLDIGHET Huvudregeln är att personuppgiftsansvariga är skyldiga att anmäla behandlingar av personuppgifter till DI. Till anmälningsskyldigheten finns dock en rad undantag. Anmälan behöver inte ske: a) Om ett personuppgiftsombud utsetts (se avsnitt 2.7 samt blankett. nr 3). b) Om behandlingen sker med registrerads samtycke c) Om behandlingen avser personuppgifter i löpande text eller minnesanteckningar Överväg rutiner för anmälan (se blankett nr. 2). DI har vidare utfärdat regler om att anmälningsskyldigheten kan ersättas av att den personuppgiftsansvarige upprättar och behåller en förteckning om behandlingar som i annat fall skulle ha anmälts, (blankett nr. 4, används för förteckning både av personuppgiftsansvarig och av personuppgiftsombud). Detta kan bl a ske: a) Då det finns en anknytning mellan registrerad och den personuppgiftsansvarige genom anställning, medlemskap, kundförhållande eller annat liknande förhållande. Behandlingen får då inte omfatta känsliga personuppgifter. b) Då företaget behöver behandla personuppgifter om arbetstagares sjukdom som anser tid för sjukfrånvaro för löneadministration eller för att avgöra om arbetsgivaren är skyldig att påbörja rehabiliteringsutredning. c) Då behandling av personuppgifter krävs för att uppfylla lag eller förordning. d) Vid registrering av uppgifter som avslöjar medlemskap i fackförening om det krävs för att uppfylla krav inom arbetsrätten. Vissa särskilt integritetskänsliga behandlingar ska anmälas till DI för förhandskontroll. Se mer på DI: s hemsida ( för detaljerad info om dessa krav. 2.4 INFORMATION De registrerade har rätt till att få veta om, hur och var de är de registrerade hos den personuppgiftsansvarige. Information om detta kan av företaget lämnas på olika sätt. Observera dock att detta inte gäller behandling av personuppgifter i ostrukturerad form INFORMATION TILL REGISTRERAD PÅ PERSONUPPGIFTSANSVARIGES INITIATIV (23-25 ) Om uppgifter inhämtas från registrerad, ska företaget på eget initiativ redan i samband med insamlingen informera om personuppgiftsbehandlingen. En typisk situation är vid anställningsavtalets ingående, se blankett nr. 1. Då uppgifter inhämtas från någon annan än registrerad, ska information självmant lämnas vid tillfället för registreringen, t ex från en chef till en annan. Informationen kan då förslagsvis lämnas i 17

19 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering ett brev till registrerad. Är uppgifterna avsedda för tredje man behöver inte information ges förrän uppgifterna lämnas ut första gången. Informationen ska bestå av: a) varför uppgifterna behandlas (ändamålen med behandlingen) b) vem som är personuppgiftsansvarig samt c) all övrig information som krävs för att registrerad ska kunna ta tillvara sina rättigheter i samband med behandlingen, t ex vart de ska vända sig med eventuella klagomål eller återtagande av samtycke, eventuella mottagare av uppgifterna och skyldigheter att lämna ut information. Informationen kan lämnas såväl muntligt som skriftligt, men den skriftliga formen är att föredra, eftersom den personuppgiftsansvarige bär bevisbördan för att informationen nått fram. I andra situationer kan informationen lämnas på följande sätt: Vid insamling via telefon el. dyl. lämnas information lämpligen muntligt, eventuellt kompletterat med en i efterhand lämnad informationsbroschyr. Vid skriftlig insamling kan informationen lämnas i en särskild ruta på ett frågeformulär eller på den blankett som registrerad fyller i. Vid loggning av användning av Internet, bör informationen lämnas på en inloggningsbild el. likn., t ex på intranätet med en länk med information på sidan för inloggning. Vid användning av olika former av kort, t ex vid inköp, resor, inpassering eller liknande, bör informationen lämnas i samband med att avtalet om kortets användning träffas. Om informationen är tillräcklig räcker det med att informera en gång beträffande personuppgifter som insamlats vid ett och samma tillfälle. Det finns tre undantag från den personuppgiftsansvariges skyldighet att lämna information: Om det rör sig om något som registrerad redan känner till (25 PuL). Om annat sägs i lag eller författning om sekretess eller tystnadsplikt (24 2 st. och 27 PuL). Om info till registrerad skulle innebära en omöjlig eller oproportionerlig arbetsinsats (se nedan), förutsatt att uppgifterna inte ska användas för att vidta åtgärder som rör den registrerade (24 3 st.) OPROPORTIONERLIG ARBETSINSATS Vid avgörandet om vad en oproportionerlig arbetsinsats att informera registrerad innebär, görs en helhetsbedömning av samtliga relevanta omständigheter. Bedömningen görs av hela den behandling av personuppgifter som ska utföras och i samband med den ursprungliga insamlingen av arbetsuppgifterna. I bedömningen ingår: antalet registrerade tillgång till eller avsaknad av adress och telefonnummer eller andra uppgifter för att möjliggöra information arten av behandlade uppgifter (t ex om uppgifterna är ingående eller av känslig karaktär) de särskilda integritetsrisker som kan vara förknippade med behandlingen det intresse registrerad kan tänkas ha av att bli informerad behandlingens ändamål, samt 18

20 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering de alternativa åtgärder som kan vidtas (t ex anslag på platser där de registrerade kan antas finnas, annonsering, informationsbroschyrer samt information via Internet och den personuppgiftsansvariges webbplats) INFORMATION TILL REGISTRERAD PÅ REGISTRERADS BEGÄRAN (26 PUL) Om registrerad begär det, är den personuppgiftsansvarige skyldig att en gång per kalenderår skriftligen (även elektroniskt är tillåtet) lämna registerutdrag angående vilken behandling av registrerads personuppgifter som har vidtagits. Informationen ska lämnas senast en månad efter ansökan. Denna information ska lämnas kostnadsfritt. Det är bara de uppgifter som finns hos den personuppgiftsansvarige när denne lämnar informationen som måste lämnas ut. Det är inte heller nödvändigt att lämna ut information som registrerad redan känner till. Undantag vad det gäller en oproportionerlig arbetsinsats från den personuppgiftsansvarige finns inte vid information till registrerad på dennes begäran. Registerutdraget till registrerad ska innehålla: a) Vilka uppgifter som har behandlats b) Varifrån uppgifterna har hämtats (om möjlighet finns) c) Vilket ändamål behandlingen har, och d) Till vilka mottagare eller kategorier av mottagare som uppgifterna lämnats ut. Undantag från ovanstående skyldighet gäller: uppgifter i löpande text som inte har fått sin slutliga utformning när ansökan görs eller som utgör minnesanteckningar eller liknande. Detta gäller dock inte om personuppgifterna har lämnats ut till tredje man eller om uppgifterna har behandlats under längre tid än ett år när ansökan görs. då det är särskilt föreskrivet att uppgifterna inte får lämnas ut enligt sekretesslagen. När det gäller manuella register som faller under PuL, ska registrerad erhålla kopior av de personuppgifter som finns där. Eventuell känslig information bör skickas med rekommenderat brev. 2.5 STRUKTURERA Upprätta interna rutiner för bl a inhämtande av samtycke från samt lämnande av information till registrerade. Fasta rutiner kommer att underlätta företagets hantering av personuppgifter. Där personuppgifter rutinmässigt behandlas, t ex vid anställningssituationer, utfärdande av intyg och upprättande av medlemsregister, är det naturligt att införa rutiner, men även i andra fall kan fasta rutiner vara till stor hjälp. 19

21 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering INHÄMTANDE AV SAMTYCKE För inhämtande av samtycke se blankett nr. 1. Denna kan även i modifierad form införas i andra avtal, t ex vid avtal om anställning. ANMÄLAN TILL DI Anmäl till DI (se punkt 2.3 ovan). Gör en förteckning över de behandlingar som behöver anmälas till DI. Om personuppgiftsombud förordnas (se under punkt 2.7) anmäls detta till DI vilket gör att den personuppgiftsansvarige undantas anmälningsskyldighet. GALLRING Ta bort onödiga uppgifter och avsluta behandlingar som inte längre behövs. Registrerade uppgifter får bara sparas så länge de är nödvändiga för de särskilda, uttryckligt angivna och berättigade ändamålen med behandlingen. I det enskilda fallet kan det dock vara svårt att säga hur länge uppgifterna bör sparas. Lämpligt är att redan i samband med att behandlingen av personuppgifter påbörjas ta ställning till hur länge uppgifter av det aktuella slaget bör sparas och när de bör avidentifieras eller raderas. Ändamålet med att uppgifterna sparades från början blir avgörande för hur länge de får lagras i identifierbart skick. Förlängt sparande på grund av nya ändamål med behandlingen är tillåtet om de nya ändamålen är förenliga med de gamla. Uppgifter får inte sparas för att de eventuellt kan komma att bli användbara vid ett senare tillfälle! Radera därför allt ovidkommande som inte hör till ändamålet med registreringen. Behandling av kunduppgifter bör raderas eller avidentifieras när mellanhavandet mellan den personuppgiftsansvarige och kunden har avslutats, förslagsvis då en vara är till fullo betald eller när garantitiden löpt ut. Angående behandling av arbetssökandes personuppgifter bör dessa inte sparas efter det att ansökan avslagits. Om sökanden skulle vara påtänkt för anställning i ett senare skede eller om företaget vill spara uppgifterna av någon annan anledning krävs den arbetssökandes godkännande. Behandling av uppgifter om anställda bör upphöra då anställningsförhållandet har upphört eller då åtagande till följd av anställningsförhållandet, t ex åtagande att utfärda tjänstgöringsintyg eller skicka ut medlemstidning, är klart. Vid pensionsutbetalningar till registrerad sparas uppgifter så länge utbetalningarna utgår. Tänk dock på att uppgifter om anställningstid kan behöva sparas under lång tid, eftersom en person som i ett senare skede återanställs i samma juridiska person får tillgodoräkna sig all äldre anställningstid utan begränsning bakåt i tiden. Även vissa andra äldre uppgifter rörande före detta anställda kan behöva sparas för att t ex kunna bemöta krav på retroaktiva ersättningar av olika slag. Utarbeta rutiner för uppdatering och gallring, utifrån tumregeln att registrering av information ska överensstämma med anledningen till att den sparades. 20

22 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2.6 UTFÄRDA INSTRUKTIONER OCH UTBILDA/INFORMERA Utfärda instruktioner för personuppgiftshanteringen och utbilda de som behandlar personuppgifter inom företaget om PuL: s regler. Informera samtliga anställda om PuL. För vissa nyckelpersoner kan externa kurser erfordras. Det är viktigt att det tydliggörs för hela organisationen att personuppgifter är något man ska hantera varsamt och med eftertanke. 2.7 PERSONUPPGIFTSOMBUDET Datainspektionens förlängda arm och företagets PuL-internrevisor Som tidigare nämnts måste företag som inte har utsett ett personuppgiftsombud enligt 36 PuL skriftligt anmäla sina register till DI innan en behandling påbörjas (se blankett nr. 2). Anmälningsskyldigheten har visserligen försetts med betydande undantag, men onödig byråkrati riskerar ändå att smyga sig in i det dagliga arbetet. Med personuppgiftsombud förordnat slipper man detta krångliga förfaringssätt, då personuppgiftsombudet istället upprättar löpande förteckningar (se blankett nr. 4) över företagets register, som ersätter personuppgiftsansvariges anmälningar. Personuppgiftsombudet definieras i 3 PuL som den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. PuL fortsätter vidare att förklara personuppgiftsombudets uppdrag i Personuppgiftsombudet (eller personuppgiftsombuden, då de kan vara flera) ska vara en fysisk person och kan vara såväl en anställd som en utomstående konsult. Personuppgiftsombudet ska vara såpass självständigt och oberoende av kritik att obekväma yttranden ska kunna dryftas om företagets PuLverksamhet, vilket exkluderar personer i alltför underordnad ställning. En annan del av självständighetskravet är att personuppgiftsombudet lämpligen ska ha tillräckliga kvalifikationer och kunskaper om sitt arbete. Den personuppgiftsansvarige bör erbjuda personuppgiftsombudet lämplig utbildning inom området. Personuppgiftsombudet bör också ha en befattningsbeskrivning över sina arbetsuppgifter. Finns det flera personuppgiftsombud, bör den inbördes arbetsfördelningen vara tydlig. Personuppgiftsansvarig bör se till att det på företaget blir känt vem som är personuppgiftsombud. Att företaget utsett personuppgiftsombud anmäls till DI enligt 36 PuL. Observera att denna anmälan inte är en lämplighetsprövning av ombudet som sådant. (se blankett nr. 3). Även entledigande av personuppgiftsombud ska också anmälas. Det finns ingen skyldighet för ett företag att utse ett personuppgiftsombud, även om det är att rekommendera. ARBETSUPPGIFTER Att se till att personuppgifter behandlas på ett korrekt och lagligt sätt Personuppgiftsombudet ska föra en förteckning (se blankett nr. 4) över de behandlingar som den personuppgiftsansvarige genomför, som annars skulle ha varit föremål för anmälningsskyldighet för den 21

23 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering personuppgiftsansvarige (se blankett nr. 2). Förteckningen kan vara ett hjälpmedel när personuppgiftsansvarig måste lämna upplysningar till allmänheten om behandlingar som inte anmälts till DI enligt 42 PuL. Vid eventuella tillsynsåtgärder från DI: s sida fyller dessa förteckningar också en viktig funktion. Personuppgiftsombudet är ett stöd för företaget att tillämpa PuL. Personuppgiftsombudet ska utöva intern kontroll över hur PuL efterlevs samt påtala brister, i första hand till de ansvariga för registret. Om påtalandet av bristerna inte ger effekt ska ledningen underrättas och i sista hand är personuppgiftsombudet skyldigt att underrätta DI. Målet är att lösa problemen inom företaget. Hur den interna kontrollen bör utföras får avgöras individuellt, men kan förslagsvis bedrivas genom granskning av rutinerna för registrering och de krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på den personal som behandlar personuppgifter. Personuppgiftsombudet kan samråda med DI vid eventuella tveksamheter om tillämpningen av bestämmelser, t ex huruvida ett register är tillräckligt säkrat eller ens tillåtet. Även här gäller att tveksamheter i första hand ska åtgärdas inom och i samråd med företaget. Personuppgiftsombudet ska också hjälpa registrerade att få rättelse då eventuella felaktiga eller missvisande behandlingar skett. Det är inte nödvändigt att personuppgiftsombudet själv handhar förfrågningar från de registrerade eller handhar krav på rättelser, ansvaret kan delegeras vidare. Personuppgiftsombudet har dock den övergripande skyldigheten att hjälpa de registrerade och bevaka att personuppgiftsansvariga fullgör sina skyldigheter enligt 28 PuL. FÖRDELAR Som nämnts finns det många fördelar med att utse ett personuppgiftsombud. Att regelmässigt behöva anmäla sina behandlingar av personuppgifter till DI är, trots undantagen, tungrott och resurskrävande. Personuppgiftsombudet blir den på företaget som genom att aktivt arbeta med PuL lär känna lagen och dess tillämplighet på nära håll, vilket borgar för färre fel och brister. Företagets anställda har härmed också någon som hjälper dem med eventuella problem som härrör från eventuellt felaktiga registreringar. 2.8 PERSONUPPGIFTSBITRÄDE Överväg att överlåta viss behandling av personuppgifter till ett Personuppgiftsbiträde (se bl a 30 PuL). Ett personuppgiftsbiträde är den fysiska eller juridiska person som behandlar personuppgifter för ett företags räkning, t ex en servicebyrå. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges företag. Med biträdet ska företaget upprätta ett skriftligt avtal (se blankett nr. 5) innehållandes instruktioner under vilka villkor behandlingen får ske. De säkerhetsåtgärder som ska vidtas ska också föreskrivas i avtalet. Märk således skillnaden mellan ett personuppgiftsbiträde och ett personuppgiftsombud. Personuppgiftsansvaret kan inte överlåtas. Även om en personuppgiftsansvarig anlitar ett personuppgiftsbiträde är det alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade. En registrerad har alltid rätt att vända sig till den personuppgiftsansvarige för att framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. 22

24 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Upprätta avtal och utfärda instruktioner för behandling av personuppgifter. Utgå från de avtal som i de flesta fall finns vid anlitande av servicebyrå, outsourcing etc. 2.9 SE ÖVER SÄKERHETSNIVÅN I samband med genomgången av behandling av personuppgifter vid företaget är det lämpligt att även se över företagets säkerhet, eftersom tekniska och organisatoriska åtgärder för skydd av personuppgifter är ett krav enligt 31 PuL. Upprätta en PuL-policy som offentliggörs på lämpligt sätt. Uppgifters art har betydelse för graden av den säkerhet som krävs. Då känsliga personuppgifter behandlas krävs generellt en högre grad av säkerhet. Så långt som möjligt bör endast de som handskas med specifika personuppgifter ha tillgång till dem OM SKADA UPPSTÅR SKADESTÅND Den personuppgiftsansvarige kan bli ersättningsskyldig gentemot en registrerad för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen orsakar. Detta ansvar kan inte överlåtas på någon annan. Om den personuppgiftsansvarige kan visa att felet inte berodde på denne, kan skadeståndsskyldigheten efter en skälighetsbedömning jämkas eller helt bortfalla. Troligen kommer de flesta skadeståndsanspråken att grunda sig på begreppet kränkning av den personliga integriteten. Uppgifternas art och deras spridning är faktorer som inverkar på bedömningen. Dock måste en kränkning eller skada ha skett, endast den felaktiga behandlingen leder inte till någon skadeståndsskyldighet STRAFF Om någon uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i information till registrerad eller i anmälan och information till DI, kan straffansvar utdömas (böter eller fängelse i högst sex månader, i grova fall upp till två år). Detsamma gäller om någon uppsåtligen eller av oaktsamhet: behandlat traditionella eller känsliga personuppgifter i strid med PuL: s bestämmelser, behandlat uppgifter om brott i strid mot PuL: s bestämmelser, överfört personuppgifter till tredje land i strid med PUL eller underlåtit att göra anmälan till DI där sådan krävs. Det är den fysiska personen som gjort sig skyldig till förfarandet som kan ådömas straffansvaret, oavsett om denne är personuppgiftsansvarig eller inte. Vem detta är avgörs mot bakgrund av omständigheterna i det enskilda fallet. I RINGA FALL DÖMS INTE TILL STRAFF. 23

25 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2.11 SAMMANFATTNING Nedan följer en rad korta punkter som sammanfattningsvis kan vara till nytta vid PUL-hantering: Kontrollfrågor Utgör uppgifterna personuppgifter? Behandlas personuppgifter som ingår i eller är avsedda att ingå i en struktur (t ex ett register), som gör det påtagligt enklare att söka efter eller sammanställa uppgifterna? Om så inte är fallet, behöver PuL:s regler inte tillämpas. Vad för slags personuppgifter rör det sig om (traditionella, känsliga, personnummer, brottsuppgifter)? Sker en behandling av personuppgifterna på sätt som gör PuL tillämplig? Vad är ändamålet med behandlingen? Är behandlingen tillåten? (9-10, 13, )? Förs personuppgifterna över till tredje land? På vilket sätt lämnas information till registrerad? Tänk på att personuppgifter kan vara mer eller mindre integritetskränkande beroende på sitt sammanhang, t ex är det extra känsligt när foton publiceras på nätet. Samtycke är i de flesta fallen nyckeln vid PUL-hantering. Se till att inhämta det på vederbörligt sätt. Bestäm ändamål för varje typ av behandling, t ex personaladministration, utbildning, behörighetskontroll eller katastrofplanering. Flera ändamål kan bestämmas samtidigt. Personuppgifter får inte behandlas med något syfte som är oförenligt med ursprungliga. Gallra onödiga uppgifter. Rätta personuppgifter som är felaktiga eller missvisande. Ha ordning och reda i registren. Samla inte utan godtagbara skäl stora mängder uppgifter om någon. Var sparsam med omdömen som kan anses kränkande och vars publicering inte har ett berättigat intresse. 24

26 Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Förekomsten av subjektiva åsikter om misskötsamhet och värdeomdömen etc måste vara klart motiverat utifrån verksamheten. Även om så är fallet kan denna typ av uppgifter lätt komma i konflikt med PuL:s regler. Det kan därför vara lämpligt att lagra dessa så att de faller utanför PUL: s tillämpningsområde, exempelvis i en pärm sökbar på endast ett sätt eller i en separat bok. Förtala eller förolämpa inte någon annan. Bryt inte mot tystnadsplikt. Överväg att utse ett personuppgiftsombud och anmäl detta till DI. Tydliggör för alla inom företaget vikten av en korrekt PuL-hantering. 25

27 Kapitel 3 - Länkar 3. LÄNKAR Nedan redovisas länkar till hemsidor som kan vara användbara bl a till lagtexten. Framför allt rekommenderas Datainspektionens (DI) hemsida. DI har bl a till uppgift att stötta personuppgiftsansvariga så att fel inte begås. Svar på frågor ges även per telefon LÄNKAR Personuppgiftslagen, PuL (SFS 1998:204) - Lagtexten i sin helhet Personuppgiftsförordningen, PuF (SFS 1998:1191) Datainspektionens föreskrifter (DIFS) Datainspektionen (DI) Bra hemsida med mycket material och allmänna råd för tillämpning av PuL i praktiken. DI har även ett call-center som ger svar på eventuella frågor. Safe Harbour =1998: Datainspektionen har till uppgift att skydda människors privatliv i IT-samhället. Skyddet ska tillgodoses utan att användningen av ny teknik onödigt hindras eller försvåras. DI hjälper också enskilda personer som råkat ut för integritetskränkningar, följer upp klagomål och gör inspektioner. DI utfärdar föreskrifter och allmänna råd och ger synpunkter på utredningar och lagförslag. Stor vikt läggs vid förebyggande arbete, främst information och regelgivning. Råd och hjälp åt personuppgiftsombud prioriteras. Datainspektionen följer och beskriver också utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Då det kommer till överföring av personuppgifter till tredje land, har EU-kommissionen beslutat att företag som anslutit sig till de s.k. safe-harbour-principerna samt anmält sig till Department of Commerce har adekvat säkerhetsnivå. Se vilka dessa länder är på denna hemsida. Tänk på att om samtycke för överföringen finns så behöver man inte bry sig om den adekvata säkerhetsnivån. Swedma För att studera hur begreppet god sed är organiserat på marknadsföringsområdet. Swedma är en marknadsföringsorganisation som ställer upp affärsoch etikregler som syftar till att upprätthålla och stärka förtroendet för branschen. 26

28 Kapitel 3 - Länkar EU-RELATERAT European commission justice Europeiska datatillsynsmannen ec.europa.eu/justice/policies/privacy/index_en.htm REGERING/RIKSDAG Regeringskansliets webbsidor om PuL SÄKERHET PÅ INTERNET Internetsäkerhet (PTS) redir=1 27

29 4. BLANKETTER Blankett 1 Blankett 2 Blankett 3 Blankett 4 Blankett 5 Allmän samtyckes- och informationslämningsblankett Anmälan om behandling av personuppgifter Anmälan om personuppgiftsombud Behandling av personuppgifter Avtal mellan företag eller flera företag inom koncern och personuppgiftsbiträde 28

30 BLANKETT 1 Avseende arbetstagare...s registrering av personuppgifter hos personuppgiftsansvarig.. Personuppgiftslagen (PuL) syftar till att skydda personer mot att deras personliga integritet kränks när personuppgifter behandlas. En viktig del i integritetsskyddet är därför att du vet hur och vilka av dina uppgifter som behandlas. I och med detta avtal samtycker jag till att mina personuppgifter, i detta fall t ex namn, adressuppgifter, kontonummer, foto, telefonnummer, e-post och befattning, får behandlas i vederbörligt register syftandes till 1. personaladministration såsom fullgörelse av ingångna avtal, såsom företagets kollektivavtal om lön och allmänna villkor, 2. att administrera och planera anställningsförhållandet samt uppfylla de förpliktelser som gäller i anställningsavtalet, 3. att uppfylla bestämmelser i lagar, förordningar, och förhandlingsordningar 4. att säkerhetsställa säkerhets- och hälsoaspekter, 5. att ha korrekta uppgifter i adress- och telefonregister. Behandling innebär att uppgifterna i ovanstående syften kan komma att spridas till tredje land. Detta samtycke kan när som helst återkallas. den Underskrift. Namnförtydligande Om du vill ha information om vilka uppgifter om dig som behandlas av oss kan du skriftligen begära detta i en av dig undertecknad ansökan. Uppge datum, anställningsnummer, namn och adress och skicka ansökan till... Hit vänder du dig även om någon personuppgift är felaktig eller om du av någon anledning vill återkalla ditt samtycke.

31 För Datainspektionens stämpel Anmälan om behandling av personuppgifter enligt 36 första stycket personuppgiftslagen samt ändring av tidigare anmälan 1 Skickas till: Datainspektionen Box Stockholm Personuppgiftsansvarig Namn (myndighet, juridisk eller fysisk person) 2 Organisationsnummer 3 Adress Postnummer Postadress Telefonnummer Anmälan enligt 36 första stycket personuppgiftslagen Nyanmälan Ändring av tidigare anmälan 4 Ändamålet/ändamålen med behandlingen 5 Den/de kategorier (grupper) av personer som berörs av behandlingen 6 De personuppgifter eller kategorier (grupper) av personuppgifter som skall behandlas 7 De mottagare eller kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut 8 Kommer uppgifter att överföras till tredje land? 9 Ja Nej Åtgärder som har vidtagits för att trygga säkerheten i behandlingen 10 Underskrift (av firmatecknare eller motsvarande) Underskrift Datum Namnförtydligande OBS! Behåll alltid en kopia av anmälan Instruktioner på nästa sida è

32 Instruktioner 1. Det finns omfattande undantag från anmälningsskyldigheten (se upplysningarna). 2. Den personuppgiftsansvarige, det vill säga myndigheten, företaget, föreningen eller organisationen som bestämmer ändamålen med eller medlen för behandlingen (jämför 3 personuppgiftslagen). 3. Fylls inte i om den personuppgiftsansvarige är en fysisk person. 4. Beskriv vilken anmälan som avses, lämpligen genom att ange tidigare anmält ändamål och de uppgifter som skall ändras. 5. Beskriv kortfattat ändamålet/ändamålen med behandlingen. Exempel: Direktmarknadsföring, Klientregister i en juridisk byrås verksamhet. 6. Exempel: Kvinnor i åldern år med taxerad inkomst över kr/år, Invånare i x kommun. 7. Exempel: Namn, adress, födelseår och taxerad inkomst. 8. Exempel: Återförsäljare av viss produkt. Myndigheter inom kommunen. 9. Vad som avses med tredje land framgår av 3 personuppgiftslagen. Förutsättningarna för att lämna ut personuppgifter till tredje land anges i personuppgiftslagen. 10. Ge en kortfattad beskrivning. Exempel: Riktlinjer för ADB-säkerheten finns inom företaget och en IT-säkerhetsansvarig har utsetts, Datainspektionens allmänna råd om säkerhet för personuppgifter iakttas. Upplysningar I 10 personuppgiftsförordningen (1998:1191) anges sådana särskilt integritetskänsliga behandlingar av personuppgifter som enligt 41 personuppgiftslagen alltid skall anmälas till Datainspektionen för förhandskontroll. Anmälan för förhandskontroll görs på särskild blankett. Personuppgiftsansvariga som inte har utsett och anmält ett personuppgiftsombud är enligt 36 första stycket personuppgiftslagen (1998:204) skyldiga att till Datainspektionen anmäla behandling av personuppgifter som är helt eller delvis automatiserad. Vissa undantag från anmälningsskyldigheten finns i 3-5 personuppgiftsförordningen (1998:1191). Där har regeringen undantagit behandling av personuppgifter som utförs till följd av en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut allmän handling, som till följd av bestämmelserna i arkivlagen (1990:782) eller arkivförordningen (1991:446) utförs av arkivmyndighet, som regleras genom särskilda föreskrifter i lag eller förordning i andra fall än som nämns ovan, i löpande text eller sådant ostrukturerat material som avses i 5 a personuppgiftslagen, samt som utförs av ideella organisationer inom ramen för organisationens verksamhet. Datainspektionen har i föreskrifter (DIFS 1998:2, omtryckt 2001:1) meddelat ytterligare undantag i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen. Behandling som sker efter samtycke från den registrerade är undantagen. Under förutsättning att den personuppgiftsansvarige själv för en förteckning över behandlingarna med de uppgifter som annars skulle ha anmälts till Datainspektionen, undantas även behandlingar av personuppgifter som avser registrerade som har sådan anknytning till den personuppgiftsansvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande, såvida behandlingen inte omfattar sådana känsliga uppgifter som avses i 13 personuppgiftslagen, hos arbetsgivare om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att avgöra om arbetsgivaren är skyldig att påbörja en rehabiliteringsutredning, hos arbetsgivare som avslöjar arbetstagarens medlemskap i en fackförening, om uppgifterna används för att arbetsgivaren skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten eller för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. som har samlats in från den registrerade om behandlingen är nödvändig för att uppfylla bestämmelser i lag eller förordning, som får behandlas på hälso- och sjukvårdsområdet enligt 18 personuppgiftslagen, i advokatverksamhet som har betydelse för att utföra uppdrag i verksamheten och för kontroll av att jävssistuation inte föreligger, och som sker i enlighet med en branschöverenskommelse som har bedömts av Datainspektionen enligt 15 personuppgiftsförordningen. De anmälda uppgifterna kommer med undantag för beskrivningen av vidtagna säkerhetsåtgärder att registreras i Datainspektionens anmälningsregister. Registret är tillgängligt för allmänheten. Om de anmälda uppgifterna kan läggas till grund för registreringen skickar Datainspektionen inte någon bekräftelse (registerutdrag eller motsvarande). Behåll därför alltid en kopia av anmälan. Kom ihåg! Datainspektionen prövar inte om en anmäld behandling är tillåten enligt personuppgiftslagen. Den personuppgiftsansvarige ansvarar alltid själv för att behandlingen är laglig. Kontakta Datainspektionen E-post: datainspektionen@datainspektionen.se Webb: Telefon: Fax: Postadress: Datainspektionen, Box 8114, Stockholm

33 För Datainspektionens stämpel Anmälan om personuppgiftsombud enligt 36 andra stycket personuppgiftslagen Datainspektionen Box Stockholm Personuppgiftsansvarig Namn (myndighet, juridisk eller fysisk person) 1 Organisationsnummer Adress Postnummer Postadress Personuppgiftsombud 2 Namn Postutdelningsadress Postnummer Ortnamn E-postadress Uppdraget gäller fr.o.m. den Entledigande 3 av tidigare anmält personuppgiftsombud Personuppgiftsombudets namn Entledigandet gäller fr.o.m. den Underskrift 4 Upplysningar 1 Den personuppgiftsansvarige, dvs. myndigheten, företaget, föreningen eller organisationen som har utsett eller entledigat ett personuppgiftsombud. 2 Den person som har utsetts till personuppgiftsombud. Eventuella ersättare ska inte an mälas. 3 Här anges om ett tidigare anmält personuppgiftsombud entledigas. 4 Anmälan undertecknas av den personuppgiftsansvariges firmatecknare eller motsvarande. Kontakta Datainspektionen E-post: datainspektionen@ datainspektionen.se Webb: Telefon: Fax: Postadress: Datainspektionen Box Stockholm

34 Behandling av personuppgifter Uppgifter till förteckning enligt 39 Personuppgiftslagen Förteckningen skall förvaras av personuppgiftsombudet. OBS Den skall inte sändas in till Datainspektionen. Detta är ett exempel på hur förteckningen kan se ut. Det är tillåtet att utforma den på annat sätt. Uppgifterna i fält makerade med * är dock obligatoriska. Personuppgiftsansvarig Namn (t.ex. myndighet eller juridisk person):* Postutdelningsadress:* Organisationsnummer:* Postnummer:* Ortnamn:* Telefonnummer:* Registret/behandlingen Uppgifterna nedan är: o Uppgifter om ny behandling o Ändring av eller tillägg till tidigare anmälan o Avanmälan Registrets/behandlingens namn: Ändamålet/ändamålen med behandlingen:*j Den/de kategorier (grupper) av personer som berörs av behandlingen:*k De mottagare eller de grupper av mottagare som uppgifterna kan komma att lämnas ut till:*l Kommer uppgifterna att föras över till tredje land (t.ex. via Internet)?*m o Nej o Ja, med samtycke o Ja, utan samtycke, men med författningsstöd: Åtgärder som har vidtagits för att trygga säkerheten i behandlingen:*n Laglig grund för behandlingen I 10 PuL anges sju olika grunder för att en behandling av personuppgifter kan vara tillåten. Ange enligt vilken eller vilka grunder som behandlingen kommer att ske: o Den registrerade har lämnat sitt samtycke o Avtal med den registrerade ska kunna fullgöras o Den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet o Vitala intressen för den registrerade ska skyddas o En arbetsuppgift av allmänt intresse ska kunna utföras o En arbetsuppgift i samband med myndighetsutövning ska kunna utföras o Berättigat intresse för behandlingen väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten

35 Övriga uppgifter om behandlingen Behandlade personuppgifter: o Namn o Adress o Telefonnummer o E-postadress o Personnummer o Foto Övriga uppgifter som ska behandlas: Behandlas känsliga uppgifter (ras/etniskt ursprung, politiska åsikter, religiös/filosofisk övertygelse, medlem i fackförening, hälsa, sexualliv)? o Ja o Nej Om ja, inhämtas samtycke? o Ja o Nej Om känsliga uppgifter ska behandlas utan att samtycke inhämtas, ange skälen till behandlingen (se PuL): Behandlas uppgifter om lagöverträdelser? o Ja o Nej Har den registrerade informerats om registreringen? o Ja o Nej o Muntligt o Registreringen är författningsreglerad o Skriftligt o De registrerade känner redan till o På annat sätt: att de förekommer i registret o Annat skäl: Övriga uppgifter: Uppgiftslämnare Uppgiftslämnarens namn Datum Telefonnummer j Exempel: Elevadministration, Klientregister i en juridisk byrås verksamhet, Direktmarknadsföring. k Exempel: Kvinnor i åldern år med en taxerad inkomst över kr/år, Invånare i x kommun. l Exempel: Myndigheter inom kommunen. Återförsäljare av en viss produkt. m Exempel: Vad som avses med tredje land framgår av 3 PuL. Förutsättningarna för att lämna ut personuppgifter till tredje land anges i PuL. n Exempel: Riktlinjer för ADB-säkerheten finns inom företaget och en IT-säkerhetsansvarig har utsetts, Datainspektionens allmänna råd om säkerhet för personuppgifter iakttas.

36 BLANKETT 5 AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE AVTALET MELLAN FLERA PERSONUPPGIFTSANSVARIGA OCH PERSONUPPGIFTSBITRÄDE Detta avtal gäller personuppgiftsansvarig, för egen del, samt för de bolag som anges i förteckning enligt Bilaga 1 och som ingår i samma koncern som den personuppgiftsansvarige. Den personuppgiftsansvarige har fullmakt från sagda bolag att ingå avtal med personuppgiftsbiträdet för gemensam behandling av personuppgifter. 1. PARTER Personuppgiftsansvarig: Org.nr Adress Personuppgiftsbiträde: Org.nr Adress

37 2 DEFINITIONER 2.1 Detta avtal har motsvarande definitioner som återfinns i 3 PuL, vilket bland annat innebär att: a) med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter b) med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning c) med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte d) med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 3 INNEHÅLL OCH SYFTE 3.1 Detta avtal har till syfte att uppfylla PuL: s krav enligt 30 2 st. på avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. 3.2 Mellan den personuppgiftsansvarige och personuppgiftsbiträdet har ett avtal benämnt. (Tjänsteavtalet) av den.upprättats. 3.3 Tjänsteavtalet är det avtal som reglerar personuppgiftsbiträdets ansvarsområde och vad denne ska utföra för den personuppgiftsansvariges räkning. De avtalade tjänsterna innebär att personuppgiftsbiträdet behandlar personuppgifter å den personuppgiftsansvariges vägnar, i omfattning som regleras av Tjänsteavtalet. 4 ANSVAR OCH INSTRUKTION 4.1 Den personuppgiftsansvarige har ansvar för all behandling av avtalade personuppgifter i enlighet med PuL. 4.2 Personuppgiftsbiträdet åtar sig att endast behandla avtalade personuppgifter i enlighet med Tjänsteavtalet och den personuppgiftsansvariges instruktioner. 5 SÄKERHET OCH SEKRETESS 5.1 Personuppgiftsbiträdet ska vidta åtgärder som avses i 31 första stycket PuL, vilket innebär att personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas å den personuppgiftsansvariges vägnar. Den personuppgiftsansvarige ska informeras om vilka åtgärder som vidtas. 5.2 Den personuppgiftsansvarige ska efter erhållande av personuppgiftsbiträdets sammanställning över utförda åtgärder enligt 5.1 informera personuppgiftsbiträdet om eventuellt ytterligare tekniska och organisatoriska åtgärder behövs eller om sammanställningen kan utgöra den personuppgiftsansvariges instruktion avseende säkerhetskrav. Personuppgiftsbiträdet ska vara berett att följa av DI fattade beslut om åtgärder för att uppfylla lagens säkerhetskrav. 5.3 Personuppgiftsbiträdet ska tillåta de inspektioner som DI eller annan berörd part, enligt PuL, kan kräva för upprätthållandet av en korrekt behandling av personuppgifter.

38 6 SKADA 6.1 Personuppgiftsbiträdet ska hålla den personuppgiftsansvarige skadeslös i händelse av att den personuppgiftsansvarige åsamkas skada som är hänförlig till personuppgiftsbiträdets behandling av personuppgifter i strid med instruktion från den personuppgiftsansvarige eller Tjänsteavtalet. 6.2 Parts skadeståndsansvar enligt detta avtal är i förekommande fall begränsat i omfattning och belopp av den ansvarsbegränsning som följer av Tjänsteavtalet. 7 UPPHÖRANDE AV BEHANDLING AV PERSONUPPGIFTER 7.1 Vid upphörande av personuppgiftsbiträdets behandling av den personuppgiftsansvariges personuppgifter ska personuppgiftsbiträdet återlämna alla data som innehåller personuppgifter på samtliga media som den är fixerad på, till exempel disketter, band, cd-romskivor etc. 8 TVIST 8.1 Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt Tjänsteavtalets bestämmelse om tvist. 8.2 Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt. PERSONUPPGIFTSANSVARIG Ort och datum PERSONUPPGIFTSBITRÄDE Ort och datum Underskrift av behörig firmatecknare enligt bifogat registreringsbevis Underskrift av behörig firmatecknare enligt bifogat registreringsbevis Namnförtydligande Namnförtydligande

39 En handledning för en korrekt behandling av personuppgifter i arbetslivet Reviderad mars 2011 IA/Information & marknadsföring/trycksaker