Tillsyn enligt personuppgiftslagen

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Tillsynsbeslut; omdömen om elever

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Tillsyn - äldreomsorg

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus vid Posten Logistik AB:s anläggning på Exportgatan 16 i Göteborg

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt personuppgiftslagen (1998:204) Fackförenings behandling av personuppgifter rörande personer som inte är medlemmar i föreningen

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling vid systemtester

Samråd om behandling av personuppgifter i verksamhetsledningssystemet

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Samråd enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Aktiebolaget Gröna Lunds Tivolis användning av Facebook

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Transkript:

200 Datum Diarienr 2009 05 13 92 2009 Bolagsverket 851 81 Sundsvall Tillsyn enligt personuppgiftslagen Beslut Datainspektionen bedömer att Bolagsverket med stöd av en intresseavvägning enligt 10 punkten f personuppgiftslagen får behandla personuppgifter som innebär individuell prestationsmätning av anställda med ändamålen att planera, organisera, leda och följa upp arbetet, att identifiera kompetensutvecklingsbehov och som ett verktyg vid individuell lönesättning. Bolagsverket får med samma stöd behandla personuppgifter i realtid i telefonisystemet med ändamålet att kontrollera åtkomst och tillgänglighet i tjänsterna. Datainspektionen vill uppmärksamma Bolagsverket på att en förutsättning för att behandlingen av personuppgifter ska vara tillåten är att tekniken inte används på ett onödigt närgånget eller omfattande sätt, att de anställda har fått tydlig information om vilka kontroller som görs, på vilket sätt de utförs och hur de ska användas och att det finns för ändamålet lämpliga gallringsrutiner Datainspektionen anser i linje med det ovanstående att övervakning i realtid är känsligare än uppföljning i efterhand. Övervakningen i realtid bör därför så långt som möjligt begränsas. Sådan övervakning bör som regel inte heller användas för att vidta åtgärder mot enskilda. Datainspektionen utgår ifrån att Bolagsverket kommer att beakta de synpunkter som lämnats ovan och kommer inte i nuläget att vidta några ytterligare åtgärder. Ärendet ska därför avslutas, men det kan komma att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Redogörelse för tillsynsärendet SEKO klubb Bolagsverket (SEKO) har gett in ett klagomål som rör individuell prestationsmätning av anställda samt det förhållandet att det är möjligt för handläggare att dels spela in sina egna telefonsamtal trots att funktionen inte ska vara aktiv, dels internt ringa upp en dator och under vissa förutsättningar kunna lyssna på den närmaste omgivningen kring den datorn. SEKO:s uppfattning är att mätningarna (statistiken) inte ska vara på individnivå utan att det är tillräckligt att den är på sektionsnivå samt att det inte ska vara möjligt att spela in telefonsamtal eller avlyssna en arbetsplats. Datainspektionen har inlett tillsyn mot Bolagsverket som har yttrat sig. Av yttrandet framgår bland annat följande. Från ärendesystemet sammanställs veckovis uppgifter om antalet påbörjade och avslutade ärenden som respektive handläggare har presterat under en vecka. Sammanställningen är tillgänglig för ett begränsat antal personer på Bolagsverket. Sektionscheferna får uppgifter som avser den egna sektionens personal. I telefonisystemet lagras alla uppgifter om telefonin och en gång i månaden görs en sammanställning på sektions och handläggarnivå som lämnas till respektive sektionschef. Varannan vecka sammanställs en lista över felregistreringar som handläggare har gjort under den angivna perioden. Listan lämnas till respektive sektionschef. Ändamålet med statistiken på individnivå är att följa upp verksamhetens produktion för att på så sätt säkerställa rätt bemanning samt för att kunna planera, leda och fördela arbetet. Om handläggningstiderna eller svarsfrekvenserna inte uppfyller de mål och krav som myndigheten har angett ger statistiken underlag för att kunna omfördela ärenden eller resurser samt för att identifiera de anställdas behov av kompetensutveckling. Uppgifter som registreras av Bolagsverkets anställda utgör ett viktigt underlag för åtgärder inom näringslivet. Det är därför av avgörande betydelse att de uppgifter som finns i Bolagsverkets register är korrekta samt att uppföljning av felregistreringar görs för att kunna identifiera kompetensutvecklingsbehov. Bolagsverket tillämpar individuell lönesättning och den individuella uppföljningen är ett av verktygen vid lönesättningen. Bolagsverket kontrollerar dessutom i realtid genom telefonisystemet i vilken omfattning myndigheten når upp till det interna målet för telefonförfrågningar. Om svarsfrekvensen understiger det interna målet, kan genom systemet tas fram en förteckning med uppgift om handläggarnas namn, grupp, roll, tillstånd (ledig eller upptagen), tilldelning, besvarade samtal, obesvarade samtal, medelsamtalslängd och total samtalslängd. Ändamålet med uppföljningen i realtid i telefonisystemet är att kontrollera åtkomst och tillgänglighet Sida 2 av 6

i tjänsterna samt att se till att bemanningen i callcenter motsvarar behovet så att Bolagsverket uppfyller det interna målet vad gäller telefonin. Den person som har det övergripande ansvaret för bemanningen i telefonisystemet gör uppföljningen, men det är även möjligt för respektive chef att ta del av information om den egna personalen i telefonisystemet. Skäl för beslutet En arbetsgivare kan kontrollera sina anställda på olika sätt. Om kontrollen innefattar en datoriserad behandling av personuppgifter gäller personuppgiftslagen. Datainspektionen bedömer att det, i vart fall när det gäller ärendeoch telefonisystemen rör sig om behandling av personuppgifter i strukturerat material, det vill säga att uppgifterna ingår i eller är avsedda att ingå i ett system som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (se 5 a personuppgiftslagen). Det innebär att Bolagsverket måste ta hänsyn till samtliga regler i personuppgiftslagen. Om behandlingen till någon del inte skulle vara strukturerad gäller den begränsningen att behandlingen inte får innebära en kränkning av den registrerades personliga integritet. Datainspektionen gör följande bedömning Behandling av personuppgifter för individuell prestationsmätning av anställda samt för övervakning i realtid. En arbetsgivares rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras, utöver bestämmelserna i personuppgiftslagen, genom arbetsrättsliga regelverk och eventuellt genom kollektivavtal. Det finns även arbetsmiljöaspekter som kan behöva tas hänsyn till när det gäller dessa frågor. På grund av detta anser inspektionen att det är lämpligt att den här typen av frågor i första hand löses mellan arbetsgivaren och de fackliga organisationerna. SEKO har i ärendet ifrågasatt om Bolagsverket får göra mätningar på individnivå genom telefoni och ärendesystemen samt genom att sammanställa felregistreringar. Datainspektionen bedömer att Bolagsverket med stöd av en intresseavvägning enligt 10 punkten f personuppgiftslagen får behandla personuppgifter som innebär individuell prestationsmätning med ändamålen att planera, organisera, leda och följa upp arbetet. Uppgifterna får även användas för att identifiera kompetensutvecklingsbehov och som ett verktyg vid individuell lönesättning. Bolagsverket får med samma stöd behandla personuppgifter i realtid i telefonisystemet med ändamålet att kontrollera åtkomst och tillgänglighet i tjänsterna. Sida 3 av 6

Datainspektionen vill uppmärksamma Bolagsverket på att en förutsättning för att behandlingen av personuppgifter ska vara tillåten är att övriga bestämmelser i personuppgiftslagen följs när det exempelvis gäller grundläggande krav, information och gallring. Grundläggande krav Enligt de grundläggande kraven i 9 personuppgiftslagen får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen med behandlingen bestämmer sedan hur arbetsgivaren får använda de redan insamlade uppgifterna. Arbetsgivaren får inte använda de insamlade uppgifterna för något nytt ändamål som är oförenligt med det för vilket uppgifterna samlades in. Dessutom får inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. All kontroll av anställda som utförs genom behandling av personuppgifter måste med andra ord ha ett i förväg bestämt ändamål som är sakligt grundat i verksamheten. Kontrollen får inte heller utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed på arbetsmarknaden. Att personuppgifter inte får behandlas i strid med god sed kan bland annat innebära att kontroller inte får utföras på ett sätt som innebär en mycket närgången och omfattande övervakning av arbetstagaren. SEKO har uppgett att det förekommer att sektionschefen skickar ett snabbmeddelande till en anställd som har pratat för länge i telefon och frågar om han eller hon pratar med en kund eller privat. Bolagsverket har inte särskilt kommenterat detta men har i enlighet med vad som framgår ovan redogjort för uppföljningen i realtid i telefonisystemet. Som framgår ovan får tekniken inte användas på ett onödigt närgånget eller omfattande sätt. Datainspektionen anser av det skälet att övervakning i realtid är mer känsligt än uppföljning i efterhand. Övervakningen i realtid bör därför så långt som möjligt begränsas. Sådan övervakning bör som regel inte heller användas för att vidta åtgärder mot en enskild. Information I klagomålet har gjorts gällande att de anställda inte har fått tillräcklig information om personuppgiftsbehandlingen. Sida 4 av 6

Bolagsverket har uppgett att de anställda har fått löpande information bland annat genom öppen dialog mellan chefer och medarbetare, genom introduktionsutbildning och genom arbetsplatsträffar. En förutsättning för att behandling av personuppgifter för ändamål som innebär individuell prestationsmätning ska vara tillåten är att de anställda har fått tillräcklig information enligt bestämmelserna i 23 25 personuppgiftslagen. Det måste vara tydligt för de anställda vilka kontroller som görs, på vilket sätt de utförs och hur de ska användas. Informationen ska lämnas i förväg, det vill säga senast i samband med att personuppgifterna samlas in. Det är således inte tillräckligt att lämna informationen först i samband med genomgång av statistiken eller genom annan kommunikation som rör redan utförda prestationer. Gallring När det gäller gallring har Bolagsverket uppgett att utgångspunkten är att gallring av det individuella mätningsmaterialet ska göras efter ett år, samt att det pågår ett arbete med att dokumentera rutiner för gallring och förvaring. Av 9 punkten i) personuppgiftslagen följer att uppgifter som ligger till grund för bland annat statistiken normalt ska gallras ur systemen så snart de inte längre har något betydelse för individuell prestationsmätning. Bolagsverket bör överväga om uppgifterna behöver vara tillgängliga i systemen under så lång tid som ett år. Inspelning av telefonsamtal och överhörning/avlyssning SEKO har klagat på att handläggare kan häva den av arbetsgivaren gjorda avaktiveringen av funktionen Inspelning av telefonsamtal och spela in sina egna samtal. De har också klagat på att det är möjligt att internt ringa upp en dator och lyssna på den närmaste omgivningen kring den datorn. Bolagsverket har uppgett att verket för närvarande utreder frågan om funktionen Inspelning av telefonsamtal ska vara aktiv, så att handläggare eventuellt kan spela in hotfulla samtal samt att man arbetar tillsammans med bland annat leverantören för att lösa problemet med överhörning/avlyssning. Mot bakgrund av detta finner inte Datainspektionen skäl att i dagsläget ha några synpunkter i dessa delar. Sida 5 av 6

Avslutande synpunkter Datainspektionen utgår från att Bolagsverket kommer att beakta de synpunkter som lämnats ovan, bland annat i fråga om övervakning av anställda i realtid och information till de registrerade, och kommer i nuläget inte att vidta några ytterligare åtgärder. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Britt Marie Wester, datarådet Agneta Runmarker och juristen Katarina Högquist, föredragande. Göran Gräslund Katarina Högquist Kopia till: SEKO Klubb Bolagsverket, Personuppgiftsombudet. Sida 6 av 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss