Ansökan om undantag från förbudet i 21 personuppgiftslagen



Relevanta dokument
Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Datainspektionens författningssamling

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204), PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn - äldreomsorg

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Visselblåsarfunktion. Information och regler

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204), PuL

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Sidas förhållningssätt till korruption och oegentligheter är.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Datainspektionen lämnar följande synpunkter.

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Styrande dokument Instruktion/Handbok 1.0 2/Internt Rutiner för whistleblowing Godkänd AGES Industri AB

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbehandling i forskning

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Publicering på Internet

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av hotell

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsynsbeslut; omdömen om elever

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen (1998:204) Commuter Security Group AB:s registrering av personuppgifter i samband med insatser mot skadegörelse

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

HÖGSTA DOMSTOLENS BESLUT

INTEGRITETSPOLICY Tikkurila Sverige AB

Visselblåsarpolicy för GARO-Koncernen

Handlägges.Q"(4.e...

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

Transkript:

Beslut Dnr 2008-03-26 1202-2007 Tyco Electronics Svenska AB Ombud: Jur. Kand. Patrik Ottosson Maqs Law Firm Advokatbyrå AB Box 119 18 404 39 GÖTEBORG Ansökan om undantag från förbudet i 21 personuppgiftslagen Datainspektionens beslut Datainspektionen beslutar att Tyco Electronics Svenska AB får behandla uppgifter om lagöverträdelser inom ramen för ConcernLINE, dvs. ett system för whistleblowing, dock endast i den omfattning och under de förutsättningar som framgår enligt nedan. 1. Systemet ska utgöra ett komplement till normal internförvaltning och måste vara frivilligt att använda. Systemet får bara användas när det är sakligt motiverat att inte använda företagets interna informations- och rapporteringskanaler. 2. Systemet för whistleblowing ska begränsas till allvarliga oegentligheter som rör bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen. Det kan även avse andra allvarliga oegentligheter som rör företagets vitala intressen eller enskildas liv och hälsa. 3. Endast anställda i nyckelpositioner eller ledande ställning får anmälas och behandlas i systemet. 4. Tyco Electronics Svenska AB måste se till att bestämmelserna i personuppgiftslagen följs för den del av behandlingen som bolaget ansvarar för, t.ex. när det gäller känsliga personuppgifter, information till de anställda och överföring av personuppgifter till tredje land. Undantaget kan återkallas om det skulle visa sig att personuppgifter behandlas på ett sätt som strider mot förutsättningarna för detta beslut. I övrigt avslår Datainspektionen ansökan. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (5) Ansökan Tyco Electronics Svenska AB (Tyco Sverige) har ansökt om undantag från förbudet i 21 personuppgiftslagen att behandla uppgifter om lagöverträdelser som innefattar brott. Av ansökan framgår bl.a. följande. Ansökan görs med anledning av införandet av en s.k. Whistleblower Hotline som kallas ConcernLINE, som ska implementeras inom hela koncernen. Detta till följd av de regler som införts i USA genom Sarbanes Oxley Act. Anställda vid Tyco Sverige kommer därigenom att beredas tillfälle att anmäla brott mot bolagets etiska kod och svensk lag. Anmälan kan göras anonymt. Syftet med införandet av ConcernLINE i koncernen är att försäkra sig om att bolagets anställda följer den etiska koden och lagen i respektive land, vilket i förlängningen borgar för att redovisning sker på ett korrekt sätt. Anmälan kan göras per telefon eller via Internet till Global Compliance Services Inc., som är en extern part i USA och som rapporterar vidare till moderbolaget i USA. Global Compliance Services Inc. är safe harbour - certifierade av handelsdepartementet i USA. Inom ramen för rapporteringen sker all databehandling i USA. Utrustning i Sverige som används för rapporteringen kommer endast att användas för att vidarebefordra uppgifter till Global Compliance Services Inc. Ärendet kan i vissa fall hänskjutas till personal i Sverige för utredning. Skäl för beslutet Tyco Sverige är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som bolaget utför inom ramen för ConcernLINE, dvs. för den insamling och utlämnande av personuppgifter till moderbolaget som kan förekomma genom att Tyco Sverige bereder sina anställda möjlighet att använda ConcernLINE, samt för den fortsatta behandling av personuppgifter som Tyco Sverige kan komma att utföra avseende de lämnade uppgifterna. Eftersom det kan gälla uppgifter om att någon har eller kan ha begått något visst brott, t.ex. anklagelser om bokföringsbrott, är det fråga om sådana uppgifter om lagöverträdelser som avses i 21 personuppgiftslagen. Uppgifterna behandlas i ett system för whistleblowing som har byggts upp för rapportering och utredning av oegentligheter av olika slag. Datainspektionen bedömer därför att det inte kan vara fråga om en sådan vardaglig och ostrukturerad behandling av personuppgifter som enligt 5 a personuppgiftslagen skulle innebära att förbudet i 21 inte behöver tillämpas. Inget av undantagen från förbudet i 21 personuppgiftslagen som följer av Datainspektionens föreskrifter (DIFS 1998:3) är heller tillämpliga. Datainspektionen har alltså att pröva om det föreligger tillräckliga skäl för att i ett enskilt fall besluta om undantag från förbudet i 21 personuppgiftslagen. Bestämmelsen har sin grund i artikel 8.5. i dataskyddsdirektivet. I artikeln anges att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som in-

3 (5) nehåller lämpliga och specifika skyddsåtgärder. I förarbetena till personuppgiftslagen förutsätts att undantag föreskrivs på det sätt som krävs enligt dataskyddsdirektivet när enskilda har ett befogat intresse av behandlingen och den står under tillfredställande kontroll av en myndighet (se SOU 1997:39 s 379). Av bland annat ovanstående uttalanden i förarbetena, har Datainspektionen dragit slutsatsen att möjligheten att meddela undantag från förbudet skall utnyttjas restriktivt. En förutsättning för att Datainspektionen skall kunna besluta om undantag är att systemet för whistleblowing inrättas på ett sådant sätt att det är i överensstämmelse med bestämmelserna i personuppgiftslagen. Artikel 29-gruppen har lämnat riktlinjer för hur interna system för uppgiftslämnande kan inrättas i överensstämmelse med EU:s regler om uppgiftsskydd enligt direktiv 95/46/EG, dvs. det direktiv som personuppgiftslagen bygger på, se WP117; Yttrande 1/2006 om tillämpningen av EU:s regler om uppgiftsskydd på interna system för uppgiftslämnande inom bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen. System för whistleblowing, som är ett relativt nytt fenomen i Sverige, underlättar för anställda att göra anonyma anmälningar riktade mot andra anställda. Det är således fråga om mycket integritetskänslig information av osäker kvalitet, där det finns en inte oväsentlig risk för felaktiga utpekanden. Konsekvenserna för den som blir felaktigt anklagad är svåra att överblicka. Datainspektionen anser att det, ur integritetsskyddssynpunkt, inte är en önskvärd utveckling att det byggs upp nya stora databaser som riskerar att innehålla vad som kan betecknas som allmänt skvaller. Vår allmänna utgångspunkt är därför att behandlingen av personuppgifter inom ramen för ett system för whistleblowing, bör vara begränsad. System för whistleblowing aktualiserar inte bara frågan om behandling av brottsuppgifter, utan även frågor om behandling av känsliga personuppgifter, överföring av personuppgifter till tredje land, och frågor om utlämnande av personuppgifter inom en koncern. Whistleblowing väcker även frågan om vad som kan anses vara god sed på svensk arbetsmarknad och vad som kan anses vara ett berättigat intresse. En förutsättning för att behandlingen av personuppgifter ska vara tillåten är att den måste vara i överensstämmelse med de grundläggande kraven i 9 personuppgiftslagen. Detta innebär bl.a. följande. Behandlingen får inte vara i strid med svensk arbetsrättslig lagstiftning, eller ett eventuellt gällande kollektivavtal. Den måste också vara i enlighet med god sed på svensk arbetsmarknad. Behandlingen av personuppgifter får inte heller vara mer omfattande än vad som är nödvändigt med hänsyn till ändamålet med att inrätta ett system för whistleblowing. Enligt Datainspektionens mening bör således ändamålet med ett system för whistleblowing vara att fånga upp sådana, för ett företag och enskilda, särskilt allvarliga oegentligheter som annars riskerar att inte nå fram till rätt personer. Detta bör vidare innebära att företagets normala interna informations- och rapporteringskanaler ska användas i första hand.

4 (5) En ytterligare förutsättning för att behandlingen skall vara tillåten är att den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Datainspektionen konstaterar att när det är fråga om att behandla integritetskänslig information med stöd av en intresseavvägning, måste den personuppgiftsansvarige kunna åberopa starka skäl för att behandlingen ska vara tillåten. Detta innebär enligt Datainspektionens mening att system för whistleblowing i princip endast bör användas för sådana oegentligheter som kan få allvarliga konsekvenser för företaget. Förutom brottsuppgifter kan det vara fråga om att behandla känsliga personuppgifter enligt 13 personuppgiftslagen. När det gäller sådana uppgifter finns särskilda begränsningar i lagen för när det är tillåtet att behandla och lämna ut den typen av information (13 och 16 personuppgiftslagen). Systemet för whistleblowing måste således inrättas på ett sådant sätt att risken för att känsliga personuppgifter behandlas i strid med personuppgiftslagen minimeras. Om personuppgifter överförs till tredje land, dvs. till ett land där det kan saknas godtagbara regler till skydd för personuppgifter, måste bestämmelserna i 33-35 personuppgiftslagen följas. Risken för integritetsintrång i samband med system för whistleblowing kan, med hänsyn till det ovanstående, således bedömas som stor. Datainspektionen bedömer dock att Tyco Sverige har ett berättigat intresse att inrätta ett system för whistleblowing som är begränsat till allvarliga oegentligheter som rör bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen. Datainspektionen väger då in de rättsliga krav som följer enligt Sarbanes-Oxley Act, samt risken att drabbas av sanktioner om dessa bestämmelser inte följs. Datainspektionen anser vidare att det finns ett berättigat intresse att använda ett system för whistleblowing även för andra allvarliga oegentligheter som rör företagets vitala intressen eller enskildas liv och hälsa. Det kan, förutom allvarliga ekonomiska oegentligheter som är riktade mot företaget eller aktieägarna, exempelvis gälla allvarliga miljöbrott eller stora brister i säkerheten på arbetsplatsen. Datainspektionen anser att ett system för whistleblowing endast ska utgöra ett komplement till normal internförvaltning. Detta innebär för det första att systemet ska vara frivilligt att använda. För det andra ska systemet bara användas när det är sakligt motiverat att inte använda de normala interna informationsoch rapporteringskanalerna. Ett exempel är när den anmälde ingår i ledningen och de misstänkta oegentligheterna av det skälet riskerar att inte tas om hand på vederbörligt sätt. Datainspektionen anser av samma skäl att endast anställda i nyckelpositioner eller ledande ställning får anmälas och behandlas i systemet.

5 (5) Tyco Sverige måste emellertid, för att behandlingen ska kunna tillåtas, se till att bestämmelserna i personuppgiftslagen följs. Detta innebär bl.a. att Tyco Sverige måste se till att de anställda får information i enlighet med bestämmelserna i 23-25 personuppgiftslagen. Systemet måste inrättas på ett sådant sätt att risken för att t.ex. känsliga personuppgifter behandlas i strid med personuppgiftslagen minimeras, exempelvis genom tydliga användarinstruktioner, utbildning samt tekniska begränsningar. När personuppgifter förs över till tredje land, t.ex. till moderbolaget i USA, måste Tyco Sverige se till att något av de undantag som finns från förbudet mot överföring till tredje land är tillämpliga. Sammantaget anser Datainspektionen således att det finns förutsättningar att meddela undantag från förbudet att behandla uppgifter om lagöverträdelser, dock endast i den omfattning och under de förutsättningar som framgår enligt ovan. Ansökan skall därför bifallas i begränsad omfattning och under vissa förutsättningar. Det innebär att ansökan i övrigt ska avslås. Datainspektionen förutsätter att Tyco Sverige kommer att vidta åtgärder för att se till att personuppgifter inom ramen för systemet för whistleblowing behandlas i enlighet med förutsättningarna enligt detta beslut. För att säkerställa att behandlingen sker under tillfredställande kontroll avser Datainspektionen att följa upp beslutet. Om det skulle framkomma att personuppgifter behandlas på ett sätt som strider mot förutsättningarna för detta beslut kan Datainspektionen återkalla det beviljade undantaget. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Britt Marie Wester, datarådet Agneta Runmarker och juristen Katarina Högquist, föredragande Göran Gräslund Katarina Högquist

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss