Personuppgiftslagen. En handledning för en korrekt behandling av personuppgifter i arbetslivet

Relevanta dokument
Intresseavvägning enligt personuppgiftslagen

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Svensk författningssamling

Regler för behandling av personuppgifter vid Högskolan Dalarna

Information om personuppgiftslagens tillämpning i Riksbanken

Frågor & svar om nya PuL

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Policy för behandling av personuppgifter vid uthyrning av bostäder

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Kameraövervakningslag (2013:460)

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Personuppgiftslagen Så berör den dig som företag Christina Wainikka December 2007

Information till registrerade enligt personuppgiftslagen

ändamål samtidigt som enskilda skyddas mot otillbörliga intrång i 1 Prop. 2012/13:115, bet. 2012/13:JuU22, rskr. 2012/13:252.

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för behandling av personuppgifter vid webbpublicering

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Granskningar avseende Upphandling och Personuppgiftslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

Datainspektionen informerar. Hur länge får personuppgifter

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Datainspektionens beslut

Riktlinjer för webbpublicering enligt PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Patientdatalag (2008:355)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Svensk författningssamling

Rutin för webbpublicering av personuppgifter

Riktlinjer rörande kameraövervakningsfrågor i Sundbybergs stad 1

Personuppgiftsbehandling i forskning

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på MQ Retail AB

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

PERSONUPPGIFTSLAGEN (PUL)

SÖDERTÄLJE KOMMUN Utbildningskontoret

INTEGRITETSSKYDD I ARBETSLIVET Utredningen om Integritetsskydd i arbetslivet (SOU 2009:44)

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Sida 1 av 7. Länk till register o förarbeten. SFS nr: 1998:150. Departement/ myndighet: Justitiedepartementet L5

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

NYA DATASKYDDSFÖRORDNINGEN

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Personuppgiftslagen (PuL) - En kort introduktion

Säkerhetsåtgärder vid kameraövervakning

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Lathund Personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Innan du fyller i blanketten är det viktigt att du läser informationen på DO:s webbplats, se

Hur förhåller sig yttrandefriheten till lojalitetsåtagandet i anställningen?

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Hur länge får personuppgifter bevaras? Datainspektionen informerar

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

LAG (1982:80) OM ANSTÄLLNINGSSKYDD UPPDATERAD T.OM. SFS

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

En handledning för INDUSTRI- OCH KEMIGRUPPEN STÅL OCH METALL ARBETSGIVARE- FÖRBUNDET SVEMEK SVEMIN

Uppsägning på grund av personliga skäl

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Använd den här blanketten för att anmäla att en utbildningsanordnare brister i arbetet med så kallade aktiva åtgärder.

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Appendix 2 Lagrum, efterlevnad av rättsliga krav

Personuppgiftslagen 20 april 2010

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Lindex Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Publicering på Internet

Införande av elektroniska körjournaler i kommunens bilar

FÖRBUNDSINFO. Ny diskrimineringslag 1 januari 2009 nyheter på arbetslivets område

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL av kameraövervakning i Tensta gymnasium

Användning av sociala linköpings universitet

Syfte...1 Omfattning...1 Beskrivning...1

Personuppgiftsbiträdesavtal

Den hos vilken praktiken söks eller fullgörs skall anses som arbetsgivare. Lag (2003:308).

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Remiss: En ny kameraövervakningslag (SOU 2009:87), (Ju2009/9053/L6)

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Nationell lagstiftning, EU och ny teknik för utlämnande av data

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Transkript:

Personuppgiftslagen En handledning för en korrekt behandling av personuppgifter i arbetslivet

INNEHÅLLSFÖRTECKNING INNEHÅLLSFÖRTECKNING... 1 FÖRORD... 3 1. INLEDNING... 4 1.1 PERSONUPPGIFTER... 4 1.2 PERSONUPPGIFTSBEHANDLING (3 PUL)... 5 1.3 KRAV PÅ BEHANDLINGEN... 5 1.4 UNDANTAG FÖR ARBETSGIVARE ATT TILLÄMPA PULS KRAV... 5 1.5 PULS TILLÄMPNINGSOMRÅDE... 7 1.6 SAMTYCKE... 8 1.7 ANSVAR FÖR PUL-HANTERINGEN... 8 1.8 PUL PÅ DET ARBETSRÄTTSLIGA OMRÅDET... 9 2. FÖRSLAG TILL ÅTGÄRDER FÖR EN SÄKRARE PUL-HANTERING... 10 2.1 KARTLÄGG OCH DOKUMENTERA... 10 2.2 ANALYSERA/KONTROLLERA... 10 2.3 ANMÄLNINGS- OCH FÖRTECKNINGSSKYLDIGHET... 20 2.4 INFORMATION - OM, HUR OCH VAR?... 21 2.5 STRUKTURERA... 23 2.6 UTFÄRDA INSTRUKTIONER OCH UTBILDA/INFORMERA... 24 2.7 PERSONUPPGIFTSOMBUDET... 24 2.8 PERSONUPPGIFTSBITRÄDE... 26 2.9 SE ÖVER SÄKERHETSNIVÅN... 26 2.10 OM SKADA UPPSTÅR... 26 2.11 SAMMANFATTNING... 28 3. LÄNKAR... 30 LÄNKAR... 30 EU-RELATERAT... 30 REGERING/RIKSDAG... 30 SÄKERHET PÅ INTERNET... 31

4. BLANKETTER... 32 Blankett 1 Blankett 2 Blankett 3 Blankett 4 Blankett 5 Allmän samtyckes- och informationslämningsblankett Anmälan om behandling av personuppgifter Anmälan om personuppgiftsombud Behandling av personuppgifter Avtal mellan företag eller flera företag inom koncern och personuppgiftsbiträde 2

FÖRORD Personuppgiftslagen (1998:204) utgör i egentlig mening ingen arbetsrättslig lagstiftning. Inte desto mindre påverkar den företagen i deras roll som arbetsgivare, som många gånger i sin verksamhet hanterar stora mängder information om anställda. Det är därför viktigt att såväl företag som dess organisationer har en tillfredställande kunskapsnivå om lagen och dess tillämpning. Personuppgiftslagen syftar till att skydda den enskilde från att kränkas vid personuppgiftsbehandling. Lagens regler är snåriga och inte direkt anpassade för anställningsförhållanden. Den kan därför hamna i konflikt med en arbetsgivares intresse av att snabbt, enkelt och effektivt hantera personinformation. Denna rapport har tagits fram till stöd för företag att korrekt och effektivt kunna tillämpa PuL. En stor del av rapporten utgörs av en handlingsplan, vilken företaget kan använda som checklista eller följa steg-för-steg vid utarbetandet av rutiner för hanteringen av personuppgifter. Rapporten innehåller vidare praktiska hjälpmedel såsom blanketter och användbara länkhänvisningar. Rapporten riktar sig främst till personer med ansvar för företagets PuL-arbete, personuppgiftsombud, IT-säkerhetsansvariga, personalansvariga samt personer som behandlar stora mängder personinformation i sitt arbete. Industriarbetsgivarna december 2013

Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) 1. INLEDNING För dagens arbetsgivare är behandling av personuppgifter en nödvändig del av den löpande verksamheten, t ex för personaladministration, men innebär även en risk för att den enskildes personliga integritet kränks. Risken för kränkning är särskilt stor då uppgifterna behandlas digitalt,. För att skydda enskildas personliga integritet är personuppgiftsbehandling förenad med krav och restriktioner. Dessa regler återfinns främst i Personuppgiftslagen, PuL. PuLs syfte är att skydda levande människors personliga integritet mot de kränkningar som kan komma ifråga vid behandling av personuppgifter som ingår i eller är avsedda att ingå i en struktur. Det sammanhang som personuppgifter registreras i och på vilket sätt uppgifterna används, påverkar risken för integritetskränkning. Till synes harmlös information kan vid vårdslös hantering eller använd i fel syfte medföra att en enskild kränks eller på annat sätt skadas. PuL ställer därför krav på att personuppgifter hanteras med tillfredsställande säkerhet och att behandlingen ryms inom det ändamål för vilket uppgifterna samlades in. PuLs regler aktualiseras vidare exempelvis då en arbetsgivare vill kontrollera anställdas användning av Internet och andra IT-verktyg. Här måste en avvägning ske mellan kontrollåtgärder enligt arbetsledningsrätten och risken för integritetskränkning. Till stöd för företaget att följa och efterleva PuLs regler utan att informationsflöde, administration och säkerhet hämmas, har i detta kompendium sammanställts tips och idéer om hur man kan arbeta med personuppgiftshantering. Kompendiet förklarar och går igenom regelsystemet och är tänkt att användas som en handledning. Vidare återfinns blankettförslag och aktuella länkar. I länksamlingen finns också hänvisning till aktuell lagstiftning. Inledningsvis bör även nämnas den statliga myndigheten, Datainspektionen (DI), som bl a har till uppgift att skydda människors privatliv i IT-samhället. DI hjälper enskilda vars integritet kränkts, följer upp klagomål och gör inspektioner. Stor vikt läggs vid det förebyggande arbetet, främst genom information. Möjlighet finns för arbetsgivare att kontakta DI för rådgivning rörande PuL. 1.1 PERSONUPPGIFTER Med personuppgifter avses i PuL information som direkt eller indirekt kan knytas till en levande person, t ex namn, adress, telefonnummer och fotografier. Krypterade uppgifter och olika elektroniska identiteter (t ex anställningsnummer) omfattas också, ifall de kan kopplas till en viss person. För vissa typer av personuppgifter gäller särskilda regler. Dessa personuppgiftstyper är: a) Känsliga personuppgifter (13 PuL) - personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör sexualliv och hälsa. b) Brott och brottsmisstankar (21 PuL) 4

Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) och c) Fullständiga personnummer (22 PuL) I det följande benämns de personuppgifter som inte omfattas av någon av ovanstående punkter för traditionella personuppgifter. Den som personuppgifterna avser kallas den registrerade. Uppgifter om en juridisk person är inte personuppgifter enligt PuL. Uppgifter om avlidna omfattas inte av PuL. Däremot kan uppgifter om avlidna personer vara en personuppgift om uppgiften går att koppla till en annan person som är i livet. 1.2 PERSONUPPGIFTSBEHANDLING (3 PUL) Med behandling avses varje åtgärd eller serie av åtgärder som utförs med personuppgifter, t ex insamling, registrering, lagring, bearbetning, ändring, utlämnande genom översändelse, spridning eller annat tillhandahållande av uppgifter och sammanställning eller samkörning 1.3 KRAV PÅ BEHANDLINGEN Grundläggande krav som gäller behandling av personuppgifter tas upp i 9 PuL. Vidare ställs ytterligare krav på behandling av traditionella personuppgifter i 10. Förutsättningar för behandling av känsliga personuppgifter behandlas i 13-20. Behandling av uppgifter om brott eller misstankar om brott regleras i 21. Regler om behandling av personnummer finns i 22. Regler om behandling för personuppgifter som sprids till tredje land och på Internet finns i 33-35. 1.4 UNDANTAG FÖR ARBETSGIVARE ATT TILLÄMPA PULS KRAV Hanteringsregler i denna skrift behöver bara följas när en arbetsgivare behandlar personuppgifter som ingår i eller är avsedda att ingå i en struktur (t ex ett register) som gör det påtagligt enklare att söka efter eller sammanställa uppgifterna (5 a PuL). Detta innebär att den som hanterar personuppgifter i ostrukturerad form, t ex löpande text på Internet eller använder vanliga filsystem och e-postprogram, inte behöver bry sig om de hanteringsregler i PuL som nämns ovan. Tänk dock på att ett företag inte får behandla personuppgifter i ostrukturerat material om det medför att den registrerades personliga integritet kränks (se under 1.4.1 Begränsningar för behandling av ostrukturerat material? ). 5

Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) EXEMPEL Att på Internet publicera en lista med namn som inte har strukturerats på annat sätt än att de står i en viss ordning är ett exempel på behandling av personuppgifter som är undantagen från PuLs hanteringsregler. Det kan t ex vara en arbetsgivare som presenterar en lista på medlemmarna i styrelsen på sin webbplats eller en kommun som på sin webbplats listar personer som innehar kommunala förtroendeuppdrag. Listan får publiceras på Internet utan andra restriktioner än att den inte får innebära en kränkning av de registrerades personliga integritet. Om det dock rör sig om behandling av personuppgifter som ingår i eller är avsedda att ingå i ett mer kvalificerat system, t ex ett dokument- eller ärendehanteringssystem, måste hanteringsreglerna i PuL fortfarande tillämpas. Även dokument som elektroniskt är kopplade till systemet får anses ingå däri. Vid exempelvis marknadsföring ingår personuppgifterna i praktiken alltid i ett system som medför att hanteringsreglerna ska tillämpas på behandlingen. 1.4.1 BEGRÄNSNINGAR FÖR BEHANDLING AV OSTRUKTURERAT MATERIAL? Även behandling av personuppgifter i ostrukturerad form kan kränka den som uppgifterna avser. Behandling, som enligt ovan undantas från PuLs hanteringsregler, omfattas därför av en missbruksregel, vilken innebär följande: 1.4.2 MISSBRUKSREGELN (5 A ANDRA STYCKET PUL) Behandling som innebär en kränkning av den registrerades personliga integritet är förbjuden. En intresseavvägning där den enskildes intresse av en fredad privat sfär vägs mot motstående intressen som informations- och yttrandefriheten måste göras. Vad som är en kränkning får bedömas utifrån följande parametrar: vilka uppgifter som behandlas i vilket sammanhang uppgifterna förekommer för vilket syfte de behandlas vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till EXEMPEL Om uppgifterna behandlas med syfte att förfölja eller skandalisera en person, om stora mängder uppgifter om en person samlas in och sprids utan godtagbart skäl, om felaktiga eller missvisande uppgifter medvetet behandlas och om behandlingen innebär förtal eller förolämpning eller brott mot tystnadsplikt och sekretess, är behandlingen oftast en kränkning av den registrerades personliga integritet. Nedan följer några tumregler och exempel på vad som är kränkande och därför inte är tillåtet: Behandla inte personuppgifter för otillbörliga syften, som förföljelse eller skandalisering. Ett exempel är skandalisering av en konkurrerande arbetsgivare. Samla inte utan godtagbara skäl en stor mängd uppgifter om en person. En enskild person har rätt att kräva att ingen har en nästan fullständig kunskap om honom eller henne. Att utan något godtagbart ändamål samla en stor mängd uppgifter om en person måste därför ofta ses som en integritetskränkning. Som exempel kan nämnas en hyresvärd som av nyfikenhet iakttar en hyresgäst och samlar bilder och anteckningar i löpande text. 6

Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) Rätta till personuppgifter som visar sig vara felaktiga eller missvisande. Det är oftast en kränkning av den registrerades personliga integritet om någon medvetet behandlar uppgifter om denne som är klart felaktiga eller missvisande. Förtala eller förolämpa inte någon annan. Spridning av personuppgifter som innebär förtal eller förolämpning är givetvis en kränkning av den personliga integriteten. Bryt inte mot sekretess eller tystnadsplikt. Spridning av personuppgifter som innebär brott mot bestämmelser om sekretess och tystnadsplikt är i de flesta fall en kränkning av den personliga integriteten. 1.4.3 YTTERLIGARE UNDANTAG FRÅN PULS KRAV PuL: s regler gäller inga former av privat behandling. Med privat behandling avses t ex elektroniska dagböcker, privata adressregister eller brev som skrivs till någon och som inte har med arbetslivet att göra. Enskilda personers privata ord- och textbehandling eller e- postkommunikation omfattas inte heller. Avgränsningen kan vara svår att göra, men personuppgifterna som t ex går ut i brev till en obestämd krets av personer är inte av privat natur. Den obestämda personkretsen gör att behandlingen därmed faller behandlingen under PuLs regler. Journalistiska ändamål samt konstnärligt och litterärt skapande faller också utanför lagen. Undantaget för journalistisk verksamhet anses värna om rätten till fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och om en fri debatt i samhällsfrågor. Undantaget är omfattande och inte begränsat till etablerade massmedier eller personer yrkesverksamma inom sådana medier, och anger inte något kvalitetsmått på verksamheten. Publicering av personuppgifter på Internet med ett journalistiskt ändamål är undantaget PuL, vilket t ex gäller företags medlemstidningar. Dock måste regler avseende säkerhetsåtgärder i 31 PuL (se kapitel 2 punkt 9) fortfarande tillämpas. PuL tillämpas inte om det skulle strida mot bestämmelser i tryck- och yttrandefrihetsgrundlagarna eller offentlighetsprincipen. 1.5 PULS TILLÄMPNINGSOMRÅDE 1.5.1 NÄR GÄLLER FORTFARANDE HANTERINGSREGLERNA I PUL? Då arbetsgivare behandlar personuppgifter som ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter ska PuLs regler tillämpas. 7

Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) Vid s k personuppgiftsanknuten strukturering, d v s när informationen, t ex uppgifter i ett dokument- och ärendehanteringssystem eller en databas, är sorterad för att enkelt kunna sökas fram eller för sammanställning av personuppgifter. För att det ska vara obligatoriskt att tillämpa hanteringsreglerna ska strukturen göra det påtagligt enklare att söka eller sammanställa personuppgifter. Som nämnts ovan är t ex namnlistor på nätet exempel på strukturer som är så enkla att arbetsgivaren inte behöver tillämpa hanteringsreglerna. Det är naturligtvis tillåtet att tillämpa hanteringsreglerna även om man inte måste. Om en samling personuppgifter har strukturerats så att hanteringsreglerna är tillämpliga, ska reglerna tillämpas på alla personuppgifter som finns i materialet, även om vissa personuppgifter i materialet inte är strukturerade (t ex i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem). Hanteringsreglerna ska tillämpas om arbetsgivaren behandlar ett ostrukturerat material som senare ska infogas i ett strukturerat material, t ex ett kvalificerat dokument- eller ärendehanteringssystem. PuL omfattar alla företag som behandlar personuppgifter i Sverige! 1.6 SAMTYCKE Samtycke från och information till en registrerad är ofta en grundläggande förutsättning för tillåten registrering av personuppgifter. Ett samtycke ska ha lämnats frivilligt, särskilt och vara grundat på tillräcklig information om vad registreringen avser. Registrerad ska också informeras om vart man ska vända sig för att återkalla samtycket. Samtycket bör inhämtas skriftligt. Ett samtycke kan i vissa fall vara underförstått (s k konkludent). Någon tvångssituation eller otillbörlig påverkan får inte förekomma i samband med samtyckets inhämtande. I ett anställningsförhållande finns risken för otillbörlig påverkan till att lämna samtycke p g a den anställdes beroendeställning. Otillbörligt påverkade samtycken klassas som ogiltiga. När det gäller känsliga personuppgifter ska samtycket även vara uttryckligt, dvs. klart manifesterat, vilket utesluter konkludenta samtycken. Exempel: DI kom i sitt beslut den 17 december 2007 fram till att det saknas lagligt stöd för en fackförening att utan samtycke behandla personuppgifter rörande personer som inte är medlemmar i fackföreningen. För att det ska vara tillåtet att behandla personuppgifter utan stöd av samtycke krävs att något av undantagen i 10 PuL är tillämpligt. Eftersom inget av undantagen var tillämpliga i det aktuella fallet, saknades lagligt stöd för facket att utan samtycke behandla personuppgifter rörande personer som inte var medlemmar i fackföreningen. Facket förelades därför att upphöra med behandlingen. 1.7 ANSVAR FÖR PUL-HANTERINGEN Ansvarig för personuppgiftsbehandlingen är den som ensam eller tillsammans med andra bestämmer ändamålen, syftet och medlen för behandlingen av personuppgifter. Denne kallas 8

Kapitel 1 - Beskrivning av personuppgiftslagen (1998:204) för den personuppgiftsansvarige. Det är arbetsgivaren/den juridiska personen som är personuppgiftsansvarig, alltså inte styrelse, vd eller någon annan anställd. Ansvarig i ett koncernförhållande kan vara moderbolaget (om det ensamt bestämmer över behandlingen), varje bolag var för sig eller alla bolag inom koncernen tillsammans, (om de ansvarar för ett gemensamt register). Avtal där ansvaret preciseras bör övervägas. Den personuppgiftsansvarige är enligt 36 PuL skyldig att anmäla behandling av personuppgifter till DI. Undantag härifrån finns dock, se nedan. För ett företag kan det vara enkelt och effektivt att utse och anmäla ett personuppgiftsombud (se blankett nr 3). Personuppgiftsombudet ska på ett oberoende sätt se till att företaget följer PuLs regler. Personuppgiftsombudet för förteckningar över de behandlingar som företaget genomför, som annars skulle behöva anmälas till DI. För ytterligare information om personuppgiftsombud, se kapitel 2.7. Ett personuppgiftsbiträde är t ex en servicebyrå utanför den egna organisationen som utför den faktiska behandlingen av ett företags personuppgifter. Se mer om personuppgiftsbiträdet under kapitel 2.8. 1.8 PUL PÅ DET ARBETSRÄTTSLIGA OMRÅDET PuLs regler ska tillämpas allmänt och således även inom arbetslivet. Då en arbetsgivare hanterar personuppgifter rörande en anställd får PuL därför arbetsrättslig karaktär. Lagen om rättegången i arbetstvister är tillämplig på tvister rörandet förhållandet mellan arbetsgivare och arbetstagare. Det är samma formulering som återfinns i 1 MBL. En tvist som uppstår i ett anställningsförhållande angående en arbetsgivares behandling av personuppgifter rörande en anställd torde därför omfattas av förhandlingsordningarna och kunna bli föremål för prövning i Arbetsdomstolen. DI fungerar som tillsynsmyndighet i frågor som rör PuLs tillämpning. DI kan efter klagomål (från fack eller enskild) välja att öppna ett tillsynsärende mot arbetsgivaren. DI kan utfärda vidare vitesbeslut. 9

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2. FÖRSLAG TILL ÅTGÄRDER FÖR EN SÄKRARE PUL-HANTERING Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. För att försöka säkerställa att företagets personuppgiftshantering följer PuLs regler samtidigt som inte informationsflöde, administration och säkerhet hämmas, kan denna handlingsplan utgöra stöd i arbetet. 2.1 KARTLÄGG OCH DOKUMENTERA Kartlägg och dokumentera alla nuvarande och planerade behandlingar av personuppgifter i verksamheten, internt och externt. a) Behandlas personuppgifter som ingår i eller är avsedda att ingå i en struktur (t ex ett register) som gör det påtagligt enklare att söka efter eller sammanställa uppgifterna? I sådant fall ska förmodligen PuLs regler tillämpas. b) Behandlas känsliga personuppgifter, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör sexualliv och hälsa? Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men lagen stadgar ett antal undantag. c) När och var behandlas personnummer? Förekommer personnummer där något annat kan användas? d) Behandlas brott och/eller brottsmisstankar? e) Existerar kameraövervakning på företaget? Finns det någon IT-säkerhetspolicy, där t ex loggning av arbetstagarnas surfning regleras? f) Sker överföring av personuppgifter till tredje land (utanför EU och EES), t ex via personuppgifter på företagets hemsida? 2.2 ANALYSERA/KONTROLLERA Analysera/kontrollera om företagets behandlingar av personuppgifter är tillåtna enligt PuL. Bedöm varje behandling mot de krav som PuL ställer upp för: 2.2.1 Grundläggande krav på all behandling av personuppgifter, 2.2.2 Behandling av traditionella personuppgifter, 2.2.3 Närmare om intresseavvägningen 2.2.4 Behandling av känsliga uppgifter 2.2.5 Personnummer 2.2.6 Behandling av uppgifter om brott och eller uppgifter om brottsmisstankar 2.2.7 Kameraövervakning 2.2.8 IT-säkerhet 2.2.9 Positioneringsteknik i arbetslivet 2.2.10 Överföringar av personuppgifter till tredje land 2.2.11 Behandling av personuppgifter på Internet 10

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2.2.1 GRUNDLÄGGANDE KRAV FÖR BEHANDLING AV ALLA PERSONUPPGIFTER Under förutsättning att personuppgifterna behöver behandlas enligt PuL (för personuppgifter undantagna PuLs tillämpningsområde, se ovan under kapitel 1) är de grundläggande kraven för behandling av personuppgifter enligt PuL 9 följande: Att behandlingen är laglig enligt PuL, Personuppgiftsbehandlingen ska följa PuLs och andra lagar och förordningars regler. Kravet får främst sitt konkreta innehåll av reglerna om när behandling av personuppgifter är tillåten (se nedan). Att personuppgifterna behandlas på ett korrekt sätt och i enlighet med god sed, En korrekt behandling innebär bl a att registrerad ska få kännedom och fullständig information om registreringen och att uppgifter inte samlas in i hemlighet eller via dolda anordningar. Vad som är god sed får bedömas från fall till fall. Vad som av Arbetsdomstolen anses vara god sed på arbetsmarknaden torde kunna ge vägledning. God sed kan även framgå av branschöverenskommelser, se för exempel marknadsundersöknings- och direktutskicksområdets branschregler på www.swedma.se. En tumregel är att om ett visst sätt av behandling har tillämpats under ett antal år och ingen har reagerat, brukar det kunna anses överensstämma med god sed. Att personuppgifterna bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål, Ändamålen ska vara bestämda redan vid insamlingstillfället. De insamlade uppgifterna får inte behandlas för något ändamål som är oförenligt med det ursprungliga. Krav finns inte på skriftligt angivna ändamål, även om det i vissa fall kan vara praktiskt. Uppgifterna måste vidare ha någon faktisk betydelse för ändamålet med behandlingen. Exempel Information som samlats in vid ett anställningsförfarande bör gallras när anställningsförfarandet resulterar i att den sökande inte anställs. Vill företaget ändå spara uppgifterna, måste den arbetssökande informeras och samtycka till den fortsatta registreringen. Det är inte tillåtet att förutsättningslöst insamla uppgifter för att vid ett senare tillfälle bestämma ändamålet med behandlingen. Däremot kan man precisera flera ändamål samtidigt. Att inte fler personuppgifter än vad som är nödvändigt med hänsyn till behandlingens ändamål behandlas, Tänk på att man kan tvingas behöva redovisa varför de olika uppgifterna behövs för att fylla ändamålen med behandlingen Att de personuppgifter som behandlas är riktiga och, om nödvändigt, aktuella, Som antyds är aktualitetskravet inte ovillkorligt, men om någon reagerar på en inaktuell personuppgift, bör den ändras omgående. Då det gäller känsliga personuppgifter eller uppgifter om brott eller brottsmisstankar, måste dock uppgifterna alltid vara aktuella. 11

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Att rimliga åtgärder vidtas för att rätta, blockera eller utplåna med hänsyn till behandlingen felaktiga och ofullständiga personuppgifter, Att personuppgifterna inte bevaras en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. 2.2.2 BEHANDLING AV TRADITIONELLA PERSONUPPGIFTER Utöver de allmänna krav som gäller för alla sorters personuppgifter, gäller vissa ytterligare krav för behandling av de traditionella personuppgifterna, upptagna i 10 PuL. Personuppgiftsbehandling av dessa under förutsättning att: Den registrerade lämnat samtycke till behandlingen samtycket ska vara frivilligt och särskilt lämnat till konkret behandling och för visst ändamål, otvetydigt och grundat på tillräcklig information eller om behandlingen är nödvändig för Ett avtals fullgörande Anställningsavtal eller något annat avtal mellan den anställde och arbetsgivaren. Avtalet måste ha ingåtts av den anställde själv. Rättsligt fullgörande Den personuppgiftsansvarige kan behöva behandla personuppgifter för att fullgöra en rättslig skyldighet, i t ex lag eller kollektivavtal. Skyddande av vitala intressen Då registrerad inte kan lämna samtycke och det föreligger fara för dennes liv eller hälsa. Utförandet av en arbetsuppgift av allmänt intresse T ex arkivering, forskning, framställning av statistik och opinionsundersökningar som har ett intresse för allmänheten. Exempel: Kreditupplysningsverksamhet, förande av offentligt fastighetsregister samt att i samband med kreditupplysning förmedla uppgifter om ekonomisk brottslighet för att ge näringsidkare och andra bättre möjligheter att skydda sig mot ekonomisk brottslighet. Utförandet av en arbetsuppgift i samband med myndighetsutövning Att ett berättigat intresse som överväger den enskildes intresse av skydd mot kränkning av den personliga integriteten ska kunna tillgodoses (Intresseavvägningen under 2.2.3) 2.2.3 NÄRMARE OM INTRESSEAVVÄGNINGEN 12

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Intresseavvägningen är en slags generalklausul där en helhetsbedömning görs i varje enskilt fall. Generellt gäller att säkerhetsaspekter väger tyngre än företagsekonomiska effektivitetsskäl. Om den registrerade motsätter sig registrering och detta kan anses sakligt motiverat, krävs starka skäl för att trots detta genomföra behandling av personuppgifter och intresset av att behandla uppgifterna kan i dylika fall endast i undantagsfall anses väga över. Om det inte finns förutsättningar för att behandla personuppgifter efter en intresseavvägning och behandlingen inte kan anses falla under någon annan tillåtelsepunkt måste de behandlade uppgifterna utplånas eller avidentifieras, eftersom även lagring av personuppgifter är en typ av behandling. Ett berättigat intresse kan avse arbetsgivarens eget intresse, men kan också vara ett intresse hos en utomstående till vilken uppgifterna ska lämnas ut, t ex en ny arbetsgivare. Faktorer som kan spela in är: 1. vilken verksamhet som bedrivs, 2. eventuella kollektivavtal, 3. branschpraxis, 4. arbetsgivarens regler och riktlinjer samt 5. ändamålet med behandlingen I helhetsbedömningen ska även tas fasta på den grundläggande principen om arbetsgivarens arbetsledningsrätt och dennes rätt att leda och fördela arbetet. Exempel: DI har angivit när det efter en intresseavvägning i normala fall typiskt sett är tillåtet respektive otillåtet att behandla personuppgifter på arbetsmarknaden enligt följande: Tillåtna fall: Planera, organisera, leda och följa upp kvalitetsbedöma arbetet i stort Mäta de anställdas individuella prestationer Kontrollera och övervaka anställda om det krävs av säkerhetsskäl, t ex för inpasseringssystem Kontrollera anställdas användning av e-post och Internet av tekniska och säkerhetsmässiga skäl Ta del av anställdas privata e-post vid allvarlig misstanke om illojalt eller brottsligt beteende Registrera uppgifter om anställda i rekryteringssystem och kompetensdatabaser, vilket även gäller bolag utomlands inom samma koncern Lämna ut harmlösa uppgifter, t ex anställdas namn och befattning, till andra bolag inom koncern för personalinformation, förmånserbjudanden etc., även utomlands Lämna ut vissa harmlösa uppgifter om anställda i informationssyfte, t ex på Internet eller intranätet Lämna ut uppgifter om icke-medlemmar till fackförening i syfte att kontrollera arbetsgivarens efterlevnad av kollektivavtal I personalregister lagra fotografier som tagits fram av säkerhetsskäl Otillåtna fall: Använda sammanställningar av uppgifter som har lagrats för att användas för t ex fakturering eller bemanningssyfte för något helt annat syfte, t ex individuell värdering vid lönesättning Registrera uppgifter om resultat från personlighetstester och liknande Använda logguppgifter för andra ändamål eller syften än de ursprungligen bestämda Läsa arbetstagares privata e-post Upprätta spärrlistor eller liknande över tidigare anställda för att förhindra återanställning Samkörning av register med olika ändamål 13

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2.2.4 BEHANDLING AV KÄNSLIGA PERSONUPPGIFTER Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör sexualliv och hälsa klassas som känsliga personuppgifter. Dessa får bara behandlas i vissa undantagsfall. Reglerna för behandling av dessa finns i 13-20 PuL och gäller utöver de grundläggande allmänna kraven i 9. Behandling av känsliga personuppgifter är tillåten: eller Vid uttryckligt samtycke från den anställde Samtycket ska vara frivilligt, uttryckligt och informerat, muntligt eller skriftligt. Underförstådda (konkludenta) samtycken är här inte tillräckliga. När uppgifterna på ett tydligt sätt har offentliggjorts av registrerad. Exempelvis genom aktivt och offentligt fackligt arbete eller när någon ställer upp till val under en viss partibeteckning Vid behandling som är nödvändig för fullgörande för skyldigheter eller utöva rättigheter enligt arbetsrätten. Skyldigheter eller rättigheter enligt arbetsrätten kan följa av lagstiftning, myndighetsbeslut i enskilda fall eller kollektivavtal eller andra avtal, t ex behandling i samband med sjuklön, rehabilitering, avdrag för fackföreningsavgifter eller fullgörande av förhandlingsskyldighet. Då det krävs för att skydda den anställdes eller annans liv eller hälsa, och då samtycke inte kan inhämtas. Då det krävs för att fastställa, göra gällande eller försvara rättsliga anspråk. T ex i rättsliga processer, eller i samband med fullgörandet av förhandlingsskyldighet. Vid behandling inom ideella organisationer. Inom politiska, filosofiska, religiösa eller fackliga organisationer inom ramen för deras verksamhet. Inom hälso- och sjukvården, om det är nödvändigt för medicinska diagnoser, förebyggande hälso- och sjukvård eller administration av hälso- och sjukvård, t ex inom företagshälsovården. 2.2.5 PERSONNUMMER Personnummer och samordningsnummer (som i vissa fall används i stället för personnummer) tas upp i 22 PuL och är tillåtna för registrering vid samtycke från registrerad. Då samtycke inte finns kan dock registreringen vara tillåten då den är 14

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering a) klart motiverad med hänsyn till ändamålet med aktuell behandling, b) en säker identifiering är viktig eller c) då andra beaktansvärda skäl finns Exempel: Tillräcklig anledning till att registrera personuppgifter kan vara för att fullgöra uppgiftsskyldighet till t ex Skatteverket. Undvik att använda personnummer t ex på utskrifter av tjänstgöringslistor och adressetiketter, då något mindre ingripande är tillräckligt. Anställningsnummer är ofta lämpligare för identifiering av anställda. Tänk på att även anställningsnumret är en typ av personuppgift. Att generellt använda personnummer som anställningsnummer torde enligt DI sällan vara förenligt med PuL, om inte samtycke erhållits. 2.2.6 BEHANDLING AV UPPGIFTER OM BROTT OCH/ELLER BROTTSMISSTANKAR Behandling av uppgifter rörande brott eller brottsmisstankar regleras i 21 PuL och är endast tillåten vid behandling av enstaka personuppgifter som är nödvändiga för att fastställa, göra gällande eller försvara ett rättsligt anspråk i ett särskilt fall eller om det krävs för att fullgöra anmälningsskyldighet, t ex vid polisanmälan eller i samband med uppsägningsförfaranden. I övrigt får inte sådana och liknande uppgifter behandlas ens med samtycke! Märk att det endast är registreringen av brottsuppgifter som regleras i PuL. Att vid ett anställningsförfarande be att få se uppgifter om en anställds eller en arbetssökandes förflutna utan att någon form av registrering sker är tillåtet. De stränga kraven på när personuppgiftsbehandling rörande brott eller brottsmisstankar gör att det i samband med skriftliga varningar eller dylikt kan vara mer ändamålsenligt att notera brottsuppgifter manuellt utanför PuLs tillämpningsområde. Ett sådant förfarande innebär vidare en mindre risk för att uppgifterna kopieras eller sprids till obehöriga. 2.2.7 KAMERAÖVERVAKNING Kamerabevakning av platser dit allmänheten har tillträde Det krävs tillstånd från länsstyrelsen för kameraövervakning av platser dit allmänheten har tillträde, d v s platser som är fritt upplåtna för allmänheten. I detta sammanhang är det ointressant om platsen är ett offentligt eller privat område. I vissa fall är dock en anmälan till länsstyrelsen tillräcklig, t ex i butiker, vagnar och stationer i tunnelbanan samt parkeringshus. När det gäller kameraövervakning i en butikslokal får övervakningen efter anmälan ske ifall övervakningen har till enda syfte att förebygga, avslöja eller utreda brott, övervakningskameran är fast monterad och försedd med fast optik och den som avser att bedriva övervakningen har ingått en skriftlig överenskommelse om övervakningen med skyddsombud, skyddskommittén eller en organisation som företräder de anställda på arbetsplatsen. Bild- eller ljudmaterial från kameraövervakning av en plats dit allmänheten har tillträde får bevaras under högst två månader, om inte länsstyrelsen beslutar om en längre bevarandetid. Kamerabevakning av platser dit allmänheten inte har tillträde DI hand om den operativa tillsynen av kameraövervakningen för kameraövervakning av platser dit allmänheten inte har tillträde. Områden som inte anses upplåtna för allmänheten är t ex områden på 15

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering arbetsplatser där allmänheten inte tillåts uppehålla sig. Ska ett företag ha sådan kameraövervakning finns följande två möjligheter. Den eller de som ska övervakas lämnar sitt samtycke till övervakningen Övervakningen sker efter en tillämpning av den s k överviktsprincipen. Detta innebär att kameraövervakningen är tillåten om övervakningsintresset väger tyngre än den enskildes intresse av att inte bli övervakad Arbetsgivaren måste se till att övervakningen endast sker för särskilda och berättigade ändamål, att den som bedriver kameraövervakning av en plats dit allmänheten inte har tillträde ska se till att ändamålen med övervakningen dokumenteras, och att övervakningen inte sker i större omfattning än vad som behövs för att tillgodose ändamålen med övervakningen. Upplysning om kameraövervakning ska lämnas genom tydlig skyltning eller på något annat verksamt sätt. Upplysning ska också lämnas om vem som bedriver övervakningen om detta inte framgår av förhållandena på platsen. Om ljud kan avlyssnas eller tas upp vid övervakningen ska även detta upplysas om. Ifall de som övervakas genom kameraövervakning begär det, ska de som bedriver kameraövervakning lämna upplysning om ändamålen med övervakningen, t ex att det beror på att förebygga brott, olyckor etc. Bild- och ljudmaterial från kameraövervakning dit allmänheten inte har tillträde får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med övervakningen. 2.2.8 IT-SÄKERHET Ett företag har rätt att utfärda och kontrollera efterlevnaden av regler för användandet av företagets IT-utrustning. Denna kontroll måste ha ett i förväg uttryckligt bestämt ändamål som är sakligt grundat i verksamheten (enligt ovan nämnda regler om behandling av personuppgifter) och de anställda ska vara informerade om de regler som gäller för de specifika IT-verktygen på arbetsplatsen samt vilka eventuella kontroller som kan komma att följa. Om kontroller kommer att riktas mot oegentligheter eller missbruk, måste anställda vara informerade om vad företaget avser med dessa begrepp. Då det gäller loggning av uppgifter om anställdas internetanvändning, registreras dessa ofta av tekniska skäl. Kontroll av behörighet samt vad som vidtagits i ett datasystem kan vara nödvändigt. Ofta är det dock tillräckligt att övervaka tekniska funktioner och dess användning utan att den enskilda användaren registreras. Om kontroll utförs på ett ingripande sätt, t ex genom att läsning av de anställdas privata e-post, måste starka skäl, som allvarlig misstanke om illojalt eller brottsligt beteende, vara för handen vid en intresseavvägning (se avsnitt 2.2.3 ovan). Utöver detta ska naturligtvis ändamålet med kontrollen vara fastställt. Kontrollerna får inte utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed på arbetsmarknaden. Märk att uppgifter registrerade i en loggfil som går att knyta till en enskild person är att klassa som personuppgifter. Informera även om eventuella cookies på företagets hemsida. 16

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering 2.2.9 POSITIONERINGSTEKNIK I ARBETSLIVET Av olika anledningar kan arbetsgivare vilja kontrollera var företagens fordon befinner sig. Detta kan göras med hjälp av olika slags positioneringssystem, vilkas användning kan medföra risk för otillbörliga integritetsintrång för t ex bilburna servicetekniker, säljare eller personal som transporterar varor. Nedanstående checklista tar upp vilka krav PuL ställer på företaget: Även om positioneringssystem sällan innehåller uppgifter som direkt går att knyta till enskilda individer till exempel personnamn går det ofta med tjänstgöringslistor eller på annat sätt att knyta fordonen i systemen till enskilda individer. En sådan indirekt koppling är tillräcklig för att PuL ska gälla. Det finns EU-regler för kör- och vilotider samt regler om färdskrivare vid vägtransporter. DI har i uttalanden inte sett något principiellt hinder i PuL mot att arbetsgivare använder positioneringsteknik för att uppfylla de krav som dessa regelverk ställer. Positioneringssystem är ofta en tjänst som erbjuds av utomstående leverantörer, som vid aktuella tillfällen lagrar personuppgifter på en server hos leverantören. Arbetsgivaren måste då i egenskap av personuppgiftsansvarig upprätta ett skriftligt avtal ett så kallat biträdesavtal med leverantören. I avtalet ska föreskrivas att leverantören får behandla personuppgifterna enbart i enlighet med instruktioner från arbetsgivaren och att leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Biträdesavtalet kan utgöra en del av ett annat avtal med personuppgiftsbiträdet, t ex ett uppdragsavtal. En arbetsgivare kan i regel inte grunda behandlingen av personuppgifter som aktualiseras vid användningen av positioneringssystem på samtycken från arbetstagarna. Det beror på att de anställda, p g a den beroendeställning de befinner sig i. Om de anställda erbjuds rimliga alternativ och inte utsätts för någon direkt eller indirekt påtryckning att välja ett system baserat på positioneringsteknik, kan det vara tillåtet för arbetsgivaren att behandla personuppgifter med stöd av samtycken från de anställda. Ett sådant exempel är körjournalshantering, där de anställda kan välja mellan manuellt ifylld körjournal och ett system som bygger på positioneringsteknik. Arbetsgivare som vill använda positioneringssystem måste normalt stödja sig på en intresseavvägning. Arbetsgivarens intresse av att utföra behandlingen måste då väga tyngre än de anställdas intresse av skydd mot intrång i den personliga integriteten. Vid den helhetsbedömning som ska göras i dessa fall bör bl a följande faktorer vägas in: o ändamålen med behandlingen o hur uppgifterna hanteras och hur resultatet används o vilken information som ges till de anställda o om behandlingen kan utföras på ett mindre integritetskänsligt sätt o vilken teknisk och administrativ säkerhet som finns för uppgifterna o förekomsten av fackliga överenskommelser och innehållet i dessa och o om behandlingen följer god sed på arbetsmarknaden För vilka ändamål personuppgifter ska behandlas ska tydligt ha bestämts innan ett positioneringssystem tas i drift, vilket även bör skrivas ned. I ett sådan dokuemt ska även ingå vilka kontroller av de anställda som kan bli aktuella. 17

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Uppgifterna i positioneringssystemet måste ha faktisk betydelse för de ändamål som bestämts med behandlingen och får inte senare användas för andra, oförenliga ändamål. Om ändamålet till exempel är att föra statistik är det tillräckligt att samla in uppgifter på ett sådant sätt att enskilda inte kan identifieras. Det är ändamålen med behandlingen som styr hur länge uppgifterna får bevaras. Om arbetsledning i realtid är ändamålet bör inte uppgifterna sparas annat än under mycket kort tid. Ändamålen ska vara förenliga med god sed. Parterna behöver överväga i vilken utsträckning man ska få övervaka anställda, ska det t ex gå att stänga av systemet på arbetstagarens fritid? Om arbetsgivaren använder uppgifterna för statistikändamål ska uppgifterna avidentifieras. De anställde ska vara informerade i förväg om att personuppgifter behandlas i positioneringssystem och ska även ha fungerande rutiner för detta. Det ska framgå vem som är personuppgiftsansvarig för behandlingen (normalt arbetsgivaren), ändamålen med behandlingen, vilka kategorier av uppgifter som samlas in, hur länge uppgifterna sparas och om uppgifterna lämnas ut till utomstående (t ex ett företag som sköter driften av systemet). De anställda ska också upplysas om sin rätt att få veta vilka uppgifter som finns registrerade om dem (registerutdrag) och om möjligheten att få eventuella felaktigheter rättade.di rekommenderar att informationen sprids aktivt till de anställda, både skriftligt och muntligt, innan systemet börjar användas, t ex på intranät eller i personalpärm. Tillgången till uppgifterna i positioneringssystemen måste begränsas med hjälp av ett system för behörighetsstyrning så att endast personer som behöver åtkomst för att kunna utföra sitt arbete har det. Åtkomsten bör tekniskt begränsas så mycket som det är praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Det måste finnas väl fungerande administrativa rutiner om hur systemen får användas. Inloggningen ska vara individuell för att kunna följa upp felaktig eller obehörig åtkomst. Det måste finnas en logg (d v s en historik över vem som loggat in och vad man gjort i systemet) samt rutiner för regelbunden uppföljning av loggen, för att kunna utreda felaktig eller obehörig användning av personuppgifter i systemet. Loggen måste skyddas mot otillåtna ändringar. De anställda ska informeras om att loggning och logguppföljning sker. När personuppgifter från positioneringssystem överförs via öppna nät, som exempelvis Internet, bör uppgifterna skyddas med hjälp av kryptering. DET HÄR FÅR ARBETSGIVAREN GÖRA Det är normalt tillåtet att med stöd av en intresseavvägning enligt PuL använda positioneringsteknik för följande ändamål: logistik och fördelning av resurser säkerhet framställning av statistik och klagomålshantering och kundservice För att behandlingen ska vara tillåten krävs naturligtvis att den sker i överensstämmelse med PuL. Behandlingen måste till exempel vara sakligt motiverad i verksamheten och får inte utföras på ett alltför närgånget eller omfattande sätt. DET HÄR FÅR ARBETSGIVAREN INTE GÖRA 18

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering Det är normalt otillåtet att med stöd av en intresseavvägning enligt personuppgiftslagen använda positioneringssystem för följande ändamål: Rutinmässig kontroll av arbetad tid. Detta kan undantagsvis vara tillåtet vid konkreta misstankar om allvarligt missbruk av arbetsgivarens förtroende, t ex missbruk av tidredovisningen. 2.2.10 ÖVERFÖRINGAR AV PERSONUPPGIFTER TILL TREDJE LAND (UTANFÖR EU OCH EES) Inom EU och EES Personuppgifter som får behandlas enligt PuL får också fritt överföras till länder inom EU och EES (Norge, Island och Liechtenstein) och Schweiz. Utom EU och EES Till områden utanför EU och EES (tredje land) får personuppgifterna överföras om skyddsnivån i det aktuella landet är adekvat. Detta kan ha betydelse t ex vid överföring av personuppgifter inom koncerner. Vid fråga om adekvat skyddsnivå föreligger ska samtliga omständigheter som har samband med överföringen tas hänsyn till, bl a; 1. Uppgifternas art 2. Ändamålet med behandlingen 3. Hur länge behandlingen ska pågå 4. Varifrån uppgifterna ursprungligen kommer 5. Var uppgifterna slutligen kommer att hamna 6. Vilka dataskyddsregler som finns i det tredje landet. Överföring till tredje land är dock, oavsett skyddsnivå, tillåten om: Registrerad har lämnat samtycke till den Överföringen är nödvändig för att fullgöra avtal mellan den personuppgiftsansvarige och registrerad eller åtgärder som registrerad begärt ska kunna vidtas innan avtal träffas t ex tjänstgöringslistor som skickas mellan länder inom en koncern. Ett avtal ska ingås eller fullgöras av personuppgiftsansvarige med tredje part och detta ligger i den registrerades intresse t ex överföring av adressuppgifter i samband med fullgörandet av ett avtal om förmedling av present och dylikt till registrerad i utlandet Rättsliga anspråk ska kunna fullgöras, göras gällande eller försvaras t ex för att föra talan i viss instans, för rätt till skatteavdrag eller för fackföreningsavgift Den registrerades vitala intressen ska skyddas 19

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering t ex vid arbetstagares plötsliga sjukdom för att få reda på dennes blodgrupp och sjukdomshistoria samt för att underrätta anhöriga. 2.2.11 BEHANDLING AV UPPGIFTER PÅ INTERNET Vid samtycke är det tillåtet att publicera registrerades personuppgifter på Internet (tänk på att registrerad ska ha fått sådan tydlig information att denne själv kan bestämma för- och nackdelar med publiceringen). Det typiska fallet är personuppgifter publicerade på företagets hemsida. Med säte inom EU Personuppgifter publicerade på Internet blir tillgängliga över hela världen. Då detta sker får man, bortsett från de fall då samtycke finns eller då det rör harmlös information (se nästa stycke), undersöka ifall överföringen enligt lagens definition sker till tredje land. Det anses inte vara en överföring till tredje land om man för över materialet till en Internetleverantör med säte inom EU, trots att man därmed kan ta del av materialet över hela världen. Trots att Internetleverantörens säte ligger utanför EU får man, efter en intresseavvägning enligt 10 PuL, publicera harmlös information på Internet. Vad som är harmlöst får avgöras från fall till fall med utgångspunkt från huruvida den enskilde skulle kunna uppleva uppgifterna som kränkande. Namn, befattning, avdelning eller enhet, anställningsår, arbetstelefonnummer, e-postadress och liknande arbetsrelaterade personuppgifter är att anse som harmlösa och därför tillåtna för publicering på Internet. Fråga dock alltid den enskilde personen innan dennes hemadress, hemtelefonnummer eller fotografier läggs upp på en hemsida. Med säte utanför EU Skulle det röra sig om annat än harmlösa uppgifter och Internetleverantörens säte ligger utanför EU, krävs ett verkligt stort behov av publicering för att den ska vara tillåten. Om registrerad sakligt motsätter sig publicering krävs starka skäl för att genomföra behandling av personuppgifter och den personuppgiftsansvariges intresse av att behandla personuppgifterna bör endast i undantagsfall anses väga över. Tänk i övrigt på att då identifierbara personers bilder och fotografier lagras på en dator klassas det som personuppgiftsbehandling i PuLs mening. Då personuppgifter som behandlas uteslutande av journalistiska ändamål eller konstnärligt eller litterärt skapande läggs ut på Internet gäller inte reglerna i PuL. 2.3 ANMÄLNINGS- OCH FÖRTECKNINGSSKYLDIGHET Huvudregeln är att personuppgiftsansvariga är skyldiga att anmäla behandlingar av personuppgifter till DI. Till anmälningsskyldigheten finns dock en rad undantag. Anmälan behöver inte ske: a) Om ett personuppgiftsombud utsetts (se avsnitt 2.7 samt blankett nr 3). b) Om behandlingen sker med den registrerades samtycke c) Om behandlingen avser personuppgifter i löpande text eller minnesanteckningar Överväg rutiner för anmälan (se blankett nr. 2). 20

Kapitel 2 - Förslag till åtgärder för en säkrare PuL-hantering DI har vidare utfärdat regler om att anmälningsskyldigheten kan ersättas av att den personuppgiftsansvarige enligt 39 PuL upprättar och behåller en förteckning om behandlingar som i annat fall skulle ha anmälts, (blankett nr. 4, används för förteckning både av personuppgiftsansvarig och av personuppgiftsombud). Detta kan bl a ske: a) Då det finns en anknytning mellan registrerad och den personuppgiftsansvarige genom anställning, medlemskap, kundförhållande eller annat liknande förhållande. Behandlingen får då inte omfatta känsliga personuppgifter b) Då företaget behöver behandla personuppgifter om arbetstagares sjukdom som anser tid för sjukfrånvaro för löneadministration eller för att avgöra om arbetsgivaren är skyldig att påbörja rehabiliteringsutredning c) Då behandling av personuppgifter krävs för att uppfylla lag eller förordning d) Vid registrering av uppgifter som avslöjar medlemskap i fackförening om det krävs för att uppfylla krav inom arbetsrätten Vissa särskilt integritetskänsliga behandlingar ska anmälas till DI för förhandskontroll. Se mer på DIs hemsida (www.datainspektionen.se) för detaljerad info om dessa krav. 2.4 INFORMATION OM, HUR OCH VAR! De registrerade har rätt till att få veta om, hur och var de är registrerade hos den personuppgiftsansvarige. Information om detta kan av företaget lämnas på olika sätt. Observera dock att detta inte gäller behandling av personuppgifter i ostrukturerad form. 2.4.1 INFORMATION TILL REGISTRERAD PÅ PERSONUPPGIFTSANSVARIGES INITIATIV (23-25 ) Från den registrerade Om uppgifter inhämtas från registrerad, ska företaget på eget initiativ redan i samband med insamlingen informera om personuppgiftsbehandlingen. En typisk situation är vid anställningsavtalets ingående, se blankett nr. 1. Från annan än den registrerade Då uppgifter inhämtas från någon annan än registrerad, ska information självmant lämnas vid tillfället för registreringen, t ex från en chef till en annan. Informationen kan då förslagsvis lämnas i ett brev till den registrerade. Är uppgifterna avsedda för tredje man behöver inte information ges förrän uppgifterna lämnas ut första gången. Informationen ska bestå av: a) varför uppgifterna behandlas (ändamålen med behandlingen) b) vem som är personuppgiftsansvarig samt c) all övrig information som krävs för att registrerad ska kunna ta tillvara sina rättigheter i samband med behandlingen, t ex vart de ska vända sig med eventuella klagomål eller återtagande av samtycke, eventuella mottagare av uppgifterna och skyldigheter att lämna ut information. Helst skriftlig information 21

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss