Samråd om behandling av personuppgifter i verksamhetsledningssystemet

Relevanta dokument
Tillsyn enligt personuppgiftslagen

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsynsbeslut; omdömen om elever

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn - äldreomsorg

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) behandling av provresultat från alkoholtester

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS)

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Personuppgiftsbehandling för forskningsändamål

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Publicering på Internet

Handlägges.Q"(4.e...

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Bilaga 1. Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL. Ärendet avslutas men kan komma att följas upp.

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Personuppgiftsombudet Eva-Karin Jonsson Dept: STOPX Scandinavian Airlines System STOCKHOLM. Samråd enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Fackförenings behandling av personuppgifter rörande personer som inte är medlemmar i föreningen

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Information om personuppgiftslagens tillämpning i Riksbanken

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Skolorna visar brister i att hantera personuppgifter

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

INTEGRITETSPOLICY Anställda

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet

Personuppgiftsbehandling i forskning

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Riktlinjer för webbpublicering enligt PuL

Transkript:

Datum Diarienr 2010-11-26 1454-2010 Försvarsmakten Högkvarteret Juridiska staben Personuppgiftsombudet N.N 107 85 STOCKHOLM Samråd om behandling av personuppgifter i verksamhetsledningssystemet PRIO. Med anledning av er begäran om samråd angående fråga om behandlingen av personuppgifter i systemet PRIO är tillåten enligt personuppgiftslagen, får Datainspektionen lämna följande vägledning. Sammanfattande bedömning Sammantaget anser Datainspektionen att behandlingen av personuppgifter i systemet PRIO inte är tillåten med stöd av en intresseavvägning enligt 10 punkten f, personuppgiftslagen. Datainspektionen bedömer att Försvarsmakten har ett berättigat behov att systematiskt sammanställa uppgifter angående personalens utbildning, kompetens, prestationer och personliga egenskaper. För att Försvarsmakten ska kunna behandla personuppgifter på beskrivet sätt i systemet (PRIO) krävs att Försvarsmaktens behov väger tyngre än de registrerades intresse av skydd mot kränkning av den personliga integriteten. Datainspektionen uppfattar att det här systemet innebär en mycket ingående kartläggning av de anställda. Stora delar av innehållet i databasen utgör information av integritetskänslig natur för de anställda. Det kan inte heller uteslutas att det blir fråga om behandling av känsliga personuppgifter enligt personuppgiftslagen. Informationen är dessutom inte skyddad av några sekretessbestämmelser, utan kan komma att lämnas ut enligt offentlighetsprincipen. Behandling av personuppgifter i systemet Av beskrivningen av de i ärendet ingivna handlingarna har vi i huvudsak uppfattat behandlingen av personuppgifter i systemet enligt följande. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Bakgrunden till den tänkta personuppgiftsbehandlingen är att Försvarsmakten enligt ett riksdagsbeslut ska personalförsörjas med nya personalkategorier istället för värnpliktiga. Ni anser att det är viktigt att kompetensutveckla nuvarande och tillkommande personal mot kunskaps- och kompetensområden som den förändrade Försvarsmakten och era nya uppgifter ställer krav på. Ni måste också underlätta karriärväxling ut från Försvarsmakten. För att kunna göra detta behövs ett verksamhetsledningsstöd (system PRIO). Ni har framhållit att det är av stor betydelse för Försvarsmakten som arbetsgivare att kunna behandla uppgifter om de anställdas kompetenser, intressen, reservationer och inte minst prestationer. Allt i syfte att utveckla medarbetarna i sina yrkesroller, och för att kunna bemanna organisationen med rätt individer på rätta befattningar i rätt tid med rätta kompetenser till rätt kostnader. Försvarsmakten förfogar över ett unikt våldsmandat och det är därför av yttersta vikt att personalen har för uppgiften adekvata egenskaper i form av utbildning och kompetens, värdegrund och personliga egenskaper. Försvarsmakten bedömer, med hänsyn till ovanstående beskrivning, att betydelsen av att kunna behandla dessa personuppgifter i det interna verksamhetsledningssystemet överstiger den eventuella kränkning av den personliga integriteten som möjligtvis vissa medarbetare kan uppleva av detta. Ni åberopar 10 punkten f, personuppgiftslagen som grund för behandlingen av personuppgifter i systemet PRIO. Försvarsmakten inför för närvarande ett stort verksamhetsledningssystem kallat PRIO. Systemet ersätter ett flertal äldre system och innehåller fyra moduler, ett system för ledning och styrning av verksamheten, en ekonomimodul, en logistikmodul och en HR-modul. HR-modulen består av en del traditionell personaladministrativ verksamhet och en del som kallas gemensam personal- och kompetenshantering. I denna senare del ingår beskrivningar av medarbetarnas utbildning, arbetsområde, kunskaper och erfarenheter inom olika områden som är av intresse för Försvarsmakten (kvalifikationsprofil). Medarbetarna ska själva skatta sina kvalifikationer på en skala A-D. Vidare behandlas uppgifter om medarbetarnas intressen, reservationer, potential och individuell utveckling (personprofil). I personal- och kompetensdelen ingår också det utvecklande bedömningssystemet, UBS, där medarbetaren skattar sig själv avseende beteenden och personliga egenskaper (UBS-profil). UBS är en personalbedömningsmodell som är utformad för att användas på all tjänstgörande personal inom Försvarsmakten. UBS består av nio olika områden med totalt 35 olika beteenden som ska självskattas/bedömas på en niogradig skala. De nio områdena som bedöms är; föredöme, inspiration och Sida 2 av 7

motivation, personlig omtanke, social kompetens, fackkompetens, resultatleverans, framsyn, planera och strukturera arbetet och icke önskvärda beteenden. Det huvudsakliga syftet är att UBS ska utgöra underlag för personlig utveckling. Det kan även användas för att utgöra en del av helhetsbedömningen för befordran, karriärutveckling och lönesättning. UBS innefattar en s.k. 180- graders bedömning där alla arbetstagare i Försvarsmakten bedöms av såväl underlydande som överordnade. UBS är tänkt att ersätta vitsordssystemet inom Försvarsmakten. Grunden för detta system lades i Befordringsförfarandet inom krigsmakten (SOU 1974). Vitsordssystemet bedömde åtta faktorer; kunnighet, arbetskapacitet, intellektuell rörlighet, omdömesförmåga, psykisk stabilitet, samarbets- och kontaktförmåga, fysisk kondition och ledarskap. De sammanfattas i Tjänstduglighet i befattningen. Försvarsmakten har beslutat att samtliga medarbetare, såväl civila som militära, årligen ska genomföra obligatoriska utvecklingssamtal med sin närmaste chef. Till viss del kommer förberedelserna inför samtalen att genomföras i system PRIO med hjälp av självbetjäningsportalen ESS (Employee Self Service). Som avslutande del i utvecklingssamtalet använder chefen formuläret i MSS (Management Self Service) summering av utvecklingssamtal. I detta registrerar chefen vad som framkommit under utvecklingssamtalet och de överenskommelser som träffats med medarbetaren. I vägledningen för fritextfältet anges bland annat att man ska observera att inte notera sådan information som kan vara integritetskränkande. Efter utvecklingssamtalet har medarbetaren möjlighet att inom sju dagar lämna kommentarer eller reservationer på sammanfattningen och UBS-bedömningen varefter utvecklingssamtalet avslutas. Bedömningen av underställda ersätter det gamla vitsordet och tjänstgöringsomdömet och är den viktigaste bedömningen i UBS. Det ska utgöra underlag för personlig utveckling och kan även användas för befordran, karriärutveckling och lönesättning. Försvarsmakten arbetar med roller och behörigheter och har en plan för hur dessa ska fördelas. De personer som har tillgång till uppgifterna i PRIO är chefen, i vissa fall chefens chef, HR-centrum, lokala HR-funktioner, interna nomineringsnämnder och eventuella arbetstagarorganisationer. Ett logghanteringssystem, TCIM, är i första hand införskaffat för PRIO behov. Loggarna ger svar på vem, när, vad och var något gjordes samt vilken åtgärd som gjordes, varifrån händelsen startade och var den slutade. Slagningar och tittande loggas inte. I stället förutsätter man att den som fått behörighet att ta sig in i de olika delarna i systemet även har behörighet att ta del av uppgifterna. PRIO Sida 3 av 7

har ca 13 000 användare. Någon gallringsutredning har inte genomförts och kommer enligt uppgift inte att genomföras inom överskådlig tid. Av begäran om samråd framgår att systemet för närvarande bedöms som övrig sekretess d.v.s. det är inte placerat i s.k. informationssäkerhetsklass. Enligt uppgift kommer systemet på sikt att klassas om och placeras i en informationssäkerhetsklass vilket höjer de interna säkerhetskraven på systemet. Utåt är systemet helt öppet med anledning av offentlighetsprincipen och det är inte särskilt många uppgifter eller sammanställningar i systemet som kommer att omfattas av sekretess i offentlighets- och sekretesslagens (2009:400) mening. Följaktligen kan i princip alla uppgifter, bedömningar och sammanställningar om den enskilde komma att lämnas ut till den som begär att få ta del av informationen. Försvarsmakten överväger att söka lagstöd för sekretess av uppgifterna i systemet. Datainspektionens bedömning Bestämmelser att ta hänsyn till Att registrera uppgifter om anställda i ett datasystem på sätt som beskrivs innebär en behandling av personuppgifter. Arbetsgivaren måste därför följa personuppgiftslagens regler. En första förutsättning är att de grundläggande kraven i 9 personuppgiftslagen, som ställs på all personuppgiftsbehandling, är uppfyllda. Det innebär bland annat att ändamålen med behandlingen måste vara tydligt beskrivna i förväg och sakligt grundade i verksamheten och att de personuppgifter som behandlas ska ha betydelse för arbetsförhållandet. Vidare ska uppgifterna vara adekvata och relevanta i förhållande till ändamålen med behandlingen och det är inte tillåtet att behandla fler uppgifter än nödvändigt med hänsyn till de angivna ändamålen. Behandlingen ska vara förenlig med god sed. På arbetsmarknaden innebär det bland annat att personuppgiftsbehandlingen inte får vara onödigt närgången eller omfattande. Det har också betydelse vad det är för verksamhet som bedrivs, om det finns eventuella överenskommelser i kollektivavtal och vad det finns för branschpraxis. I 10 personuppgiftslagen finns en uttömmande uppräkning av i vilka fall behandling av personuppgifter är tillåten. Enligt huvudregeln får personuppgifter enbart behandlas om den registrerade har lämnat sitt samtycke till behandlingen. Personuppgiftsbehandlingen i systemet PRIO kommer att vara obligatorisk varför denna punkt inte är aktuell här. Det finns en rad undantag från huvudregeln om samtycke. Enligt 10 punkten a, personuppgiftslagen får till exempel personuppgifter behandlas om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan arbets- Sida 4 av 7

givaren och arbetstagaren ska kunna uppfyllas. Med stöd av denna bestämmelse kan uppgifter om kompetens, omdömen eller andra värderande upplysningar t.ex. från utvecklingssamtal med den anställde, registreras om det behövs för anställningsförhållandet. Det är av betydelse hur anställningsavtalet är utformat i det enskilda fallet. Enligt Datainspektionens bedömning torde det sällan kunna anses vara nödvändigt för anställningsavtalet att arbetsgivaren behandlar värderande omdömen om de anställda. Om det i en lag eller annan författning finns särskilda kompetenskrav för en viss anställning kan det också vara nödvändigt för en arbetsgivare att behandla uppgifter om anställda, i en kompetensdatabas. Behandlingen är då tillåten med stöd av 10 punkten b, personuppgiftslagen. Behandling av personuppgifter i en kompetensdatabas kan vara tillåten med stöd av en intresseavvägning enligt 10 punkten f, personuppgiftslagen. En intresseavvägning kan ofta ge stöd för att i enlighet med god sed på arbetsmarknaden registrera faktauppgifter om anställda i kompetensdatabaser. Exempel på sådana faktauppgifter är uppgifter om genomförda utbildningar, arbetslivserfarenhet, uppdrag, poäng från sakkunskapstester och liknande. Däremot kan en intresseavvägning normalt inte ge stöd för registrering av omdömen eller andra värderande uppgifter från exempelvis utvecklingssamtal, eller uppgifter om resultat från personlighetstester, personlighetsprofiler och liknande. Detta gäller dock inte helt undantagslöst. I vissa fall kan arbetsgivaren ha ett berättigat behov av att registrera även denna typ av uppgifter, som får anses väga tyngre än arbetstagarnas intressen av skydd för den personliga integriteten. En samlad bedömning måste göras där hänsyn tas till samtliga relevanta omständigheter. I grunden handlar det om att avgöra om behandlingen är proportionerlig i förhållande till ändamålen med behandlingen och det integritetsintrång som behandlingen innebär. Kan behandlingen anses tillåten med stöd av en intresseavvägning? I det nu aktuella fallet är det fråga om att göra en intresseavvägning enligt 10 punkten f, personuppgiftslagen mellan Försvarsmaktens behov av att behandla personuppgifterna på angivet sätt och de anställdas intresse av integritetsskydd. I samband härmed får man göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet. Har Försvarsmakten ett berättigat behov av att sammanställa personuppgifter i systemet PRIO? Försvarsmakten har framhållit att de förfogar över ett unikt våldsmandat och att det därför är av yttersta vikt att personalen har för uppgiften adekvata egenskaper i form av utbildning och kompetens, värdegrund och personliga egenskaper. Datainspektionen bedömer att Försvarsmakten har ett berättigat behov av att systematiskt sammanställa uppgifter angående personalens ut- Sida 5 av 7

bildning, kompetens, prestationer och personliga egenskaper. Det är fråga om en speciell verksamhet som ställer särskilda krav på de anställda. Detta behov får anses vara betydligt starkare beträffande militär personal än för civil personal. Kan Försvarsmaktens berättigade behov anses väga tyngre än de anställdas intresse av skydd mot kränkning av den personliga integriteten? För att Försvarsmakten ska kunna behandla personuppgifter på beskrivet sätt i systemet (PRIO) krävs att Försvarsmaktens behov väger tyngre än de registrerades intresse av skydd mot kränkning av den personliga integriteten. Följande omständigheter får bland annat vägas in i bedömningen. Försvarsmakten använder sedan gammalt ett vitsordsystem med ingående bedömningar av de militära medarbetarna inom försvaret för att bedöma tjänsteduglighet. Att avge värderande omdömen om dessa medarbetare skulle möjligen kunna anses vara praxis i branschen. Det nya bedömningssystemet är utvecklat i samarbete med forskare. Det är alltid närmaste chef som gör bedömningen, både över- som underordnad bedöms och de anställda har möjlighet att komma med kommentarer om de inte delar chefens uppfattning efter utvecklingssamtalet i personalens bedömningsmodell UBS. Det finns också rutiner och begränsningar till skydd för kränkande skrivningar i fritextfältet. Åtkomsten till uppgifterna är begränsad internt genom roller och tilldelade behörigheter. Enligt Datainspektionens allmänna råd om säkerhet för personuppgifter bör en behandlingshistorik (logg) normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. I systemet PRIO loggas inte läsning (slagningar) varför det inte går att utläsa vem som har tagit del av vilken information. Vid behandling av integritetskänsliga personuppgifter såsom i detta personalsystem bör sådan loggning och kontroll ske. Personuppgifter får enligt personuppgiftslagen inte behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. När det som här gäller uppgifter om anställda i personalsystem innebär detta att uppgifterna ska tas bort när anställningen avslutas. Vissa uppgifter kan av administrativa skäl behöva bevaras längre t.ex. uppgifter om själva anställningen, utbetald lön och slutbetyg. Det saknas en åtgärdsplan för gallring av uppgifter i systemet PRIO. Sida 6 av 7

De anställda får tydlig information om behandlingen av personuppgifter i systemet både muntligen och skriftligen. De personuppgifter som kommer att behandlas i systemet är för närvarande inte placerade i någon särskild informationssäkerhetsklass internt. Utåt är systemet helt öppet med anledning av offentlighetsprincipen och enligt uppgift är det inte särskilt många uppgifter eller sammanställningar i systemet som kommer att omfattas av sekretess i offentlighets- och sekretesslagens (2009:400) mening. Datainspektionen uppfattar att det här systemet innebär en mycket ingående kartläggning av de anställda. Stora delar av innehållet i databasen utgör information av integritetskänslig natur för de anställda. Det kan inte heller uteslutas att det blir fråga om behandling av känsliga personuppgifter enligt personuppgiftslagen. Informationen är dessutom inte skyddad av några sekretessbestämmelser, utan kan komma att lämnas ut enligt offentlighetsprincipen. Sammantaget anser Datainspektionen att behandlingen av personuppgifter i systemet PRIO inte är tillåten med stöd av en intresseavvägning enligt 10 punkten f, personuppgiftslagen. För det fall Försvarsmakten ser behov av att, vid utförandet av sitt speciella uppdrag, behandla personuppgifter om sina anställda på tänkt sätt anser Datainspektionen att det kan vara lämpligt med särskild lagstiftning på området för att tillgodose detta behov och samtidigt skydda de anställdas integritet. Detta samråd har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Britt Marie Wester och datarådet Agneta Runmarker, föredragande. Göran Gräslund Agneta Runmarker Sida 7 av 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss