personuppgifter i arbetslivet - faktabroschyr - …...arbetslivet från 2009 (sou 2009:44), som i...

Personuppgifter i arbetslivetDatainspektionen informerar

Ej gällande

2 Datainspektionen informerar – Personuppgifter i arbetslivet

Personuppgifter i arbetslivetIllustrationer: Oscar AlarikReviderad i september 2016. Det kan finnas en senare version av den här broschyren i pdf-format på www.datainspektionen.se.Tryckt hos Ineko AB i september 2016 på Arctic Volume White.

Miljömärkt trycksak 341 142. IISSN 1100-3308.

Ej gällande

3Datainspektionen informerar – Personuppgifter i arbetslivet

FörordI den här broschyren får du veta mer om hur personuppgifter i arbetslivet får behandlas enligt personuppgiftslagen och kameraövervakningslagen. Broschyren vänder sig till arbetsgivare, arbetstagare, fackförbund och branschorganisationer inom både privat och offentlig sektor. I vissa fall kan särskilda regler gälla för arbetsgivare i offentlig verksamhet och dessa tas upp i ett särskilt kapitel. I den mån det finns särskilda lagregler om behandling av personuppgifter inom arbetslivet, gäller dessa före personuppgiftslagen.

Broschyren innehåller en genomgång av personuppgiftslagens bestäm-melser och hur dessa tillämpas på arbetslivets område. Dessutom hittar du exempel från verkliga fall som Datainspektionen behandlat. När det talas om arbetstagare menas i vissa fall även arbetssökande.

Frågan om införande av en särskild lag beträffande personlig integritet i arbetslivet har utretts ett antal gånger. Betänkandet Integritetsskydd i arbetslivet från 2009 (SOU 2009:44), som i och för sig föreslog en särskild lag avseende arbetslivet, gjorde bedömningen att personuppgiftslagen ger ett bra skydd för den personliga integriteten på arbetslivets område.

Det är vår förhoppning att den här broschyren ska bidra till att öka kunskapen om både principerna bakom personuppgiftslagen och vara till nytta vid den praktiska hanteringen av ärenden som rör behandlingen av personuppgifter i arbetslivet.

Stockholm den 22 mars 2012

Ej gällande


Innehåll

Definitioner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Inledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

När gäller personuppgiftslagen? . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Etablerad i Sverige eller etablerad i tredje land och använder utrustning här . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Avvikande bestämmelser i författning . . . . . . . . . . . . . . . . . . . 9

Helt eller delvis automatiserad behandling . . . . . . . . . . . . . . . 9

Manuella register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Behandling i ostrukturerat material . . . . . . . . . . . . . . . . . . . . 10

Särskilda regler för offentlig verksamhet . . . . . . . . . . . . . . . . .11

Arbetsgivaren är personuppgiftsansvarig . . . . . . . . . . . . . . . . . . 14

Personuppgiftsbiträde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Vad innebär ansvaret? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Ansvaret för sociala medier . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Om man bryter mot personuppgiftslagen . . . . . . . . . . . . . . . 15

Skadestånd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Arbetsgivarens behandling av personuppgifter – några grunder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Arbetsgivaren måste informera de anställda . . . . . . . . . . . . . 19

Behandlingen måste vara tillåten . . . . . . . . . . . . . . . . . . . . . . 19

Med arbetstagarens samtycke . . . . . . . . . . . . . . . . . . . . . . . . . 22

Ej gällande


Personuppgifter i arbetslivet – några särskilda områden . . . . . . 25

Publicering på arbetsgivarens webbplats . . . . . . . . . . . . . . . . 25

Bilder på de anställda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Känsliga uppgifter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Brottsuppgifter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Whistleblowing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Personnummer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Kontroll och övervakning av de anställda . . . . . . . . . . . . . . . 31

Tredjelandsöverföring. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Säkerhet för personuppgifter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Anmälan till Datainspektionen . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Personuppgiftsombud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Samråd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Datainspektionens tillsyn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Om du behöver mer information . . . . . . . . . . . . . . . . . . . . . . . . . 44

Ej gällande


DefinitionerPersonuppgifter är all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bild och ljuduppgifter om en fysisk person räknas som personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter, som exempelvis IP-nummer, omfattas också av personuppgiftslagen om uppgifterna direkt eller indirekt kan kopplas till fysiska personer.

Känsliga personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Behandling av personuppgifter är varje åtgärd som utförs med person-uppgifter, vare sig det sker på automatisk väg eller inte. Behandling är ett vitt begrepp som omfattar alla åtgärder som exempelvis:

� insamling � registrering � lagring � bearbetning eller ändring � utlämnande genom översändande, spridning eller annat till-

handahållande av uppgifter � sammanställning eller samkörning.

Den registrerade är den som en personuppgift handlar om, till exempel arbetstagaren eller en arbetssökande.

Kompetensdatabaser är en typ av register hos exempelvis arbetsgivare där uppgifter om anställda lagras. Uppgifterna kan handla om genom-förda utbildningar, arbetslivserfarenhet och poäng från kunskapstester. Det kan också röra sig om omdömen och värderande uppgifter om den anställde. Kompetensdatabaser kan användas till exempel då befatt-ningar ska tillsättas internt och för att matcha personer mot kundernas behov.

Ej gällande


Samtycke är varje slag av otvetydig viljeyttring genom vilken den regist-rerade godtar behandling av personuppgifter som rör honom eller henne. Samtycket ska vara:

� individuellt � frivilligt � särskilt � otvetydigt � informerat, det vill säga lämnat efter det att information om

behandlingen har lämnats (informerat samtycke).

Tredje land är en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES).

PersonuppgiftslagenPersonuppgiftslagen trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Person-uppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar.

PersonuppgiftsansvarigPersonuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet. Personuppgiftsansvarig är den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.

PersonuppgiftsbiträdePersonuppgiftsbiträde är den som utanför den personuppgiftsansvariges organi-sation behandlar personuppgifter för dennes räkning.

FAKTAEj gällande


Inledning I arbetslivet används personuppgifter i många olika sammanhang, allt från löneregister och adresslistor till behörighetssystem och kompe-tensdatabaser. Någon lagstiftning som direkt avser behandling av personuppgifter inom arbetslivet finns inte. Arbetstagarens integritet i arbetslivet regleras och preciseras istället på flera olika ställen; genom arbetsrättslig lagstiftning, Arbetsmiljöverkets föreskrifter och allmänna råd, domstolsavgöranden (praxis) och i riktlinjer som skapas på arbets-marknaden och anses uttrycka god sed i arbetslivet. Personuppgiftslagen tar vid där andra lagar slutar och gäller där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter.

Vissa typer av personuppgifter anser de flesta av oss vara integritets-känsliga, till exempel uppgifter om hälsa och sexualliv. Ibland kan en arbetstagare uppleva behandling av personuppgifter som ett integri-tetsintrång, till exempel om informationen som behandlas är mycket detaljerad. Det är viktigt att finna en rimlig balans mellan en arbetsgivares behov av att behandla personuppgifter och den enskildes anspråk på personlig integritet. När man gör en sådan bedömning bör man också tänka på att en arbetstagare i allmänhet befinner sig i en beroendeställning i förhållande till arbetsgivaren. Ett samtycke till en viss behandling kan därför inte alltid ges samma betydelse som i andra sammanhang.

Personuppgiftslagen ställer inte något krav på licens eller tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar den personuppgiftsansvarige, det vill säga arbetsgivaren, för att behandling av personuppgifter utförs på ett lagligt sätt. Det är alltså arbetsgivaren som självständigt har ansvaret och som beslutar om vem eller vilka som har rätt att behandla personuppgifter. Detta gäller även om någon annan (ett personuppgiftsbiträde) har fått till uppgift att utföra själva registreringen, till exempel en leverantör av IT-system. Datainspek-tionen är en tillsynsmyndighet och övervakar tillämpningen av bestäm-melserna.

Ej gällande


När gäller personuppgiftslagen?

Etablerad i Sverige eller etablerad i tredje land och använder utrustning härPersonuppgiftslagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen gäller också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige, om inte utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

Avvikande bestämmelser i författningOm det finns bestämmelser i en annan lag eller förordning om behandling av personuppgifter som avviker från personuppgiftslagen, så kallad registerförfattning, ska de bestämmelserna gälla i stället. Kollek-tivavtal utgör inte en sådan lag eller förordning som gäller före person-uppgiftslagen.

Helt eller delvis automatiserad behandlingPersonuppgiftslagen tillämpas på all behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer. Att lagen även omfattar delvis automatiserad behandling innebär bland annat att den gäller redan när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen.

Manuella registerÄven manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek) omfattas av personuppgiftslagen om uppgifterna är

Ej gällande


sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter efternamn. För att det ska vara ett manuellt register som omfattas av personuppgifts-lagen krävs därför att samlingen av personuppgifter är strukturerad. Det krävs dessutom att personuppgifterna i samlingen gjorts tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling i ostrukturerat materialPersonuppgiftslagen innehåller ett antal hanteringsregler (närmare 50 paragrafer), som bland annat handlar om grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthante-ringssystem. För behandling av personuppgifter i ostrukturerat material, såsom löpande text och ljud och bild gäller en förenklad reglering. Därför är det bra att först ställa sig frågan: Är behandlingen strukturerad eller ostrukturerad?

Den förenklade regleringen innebär att hanteringsreglerna inte behöver följas när man hanterar personuppgifter i ett ostrukturerat material såsom löpande text i ordbehandlingssystem och på Internet, ljud- och bildupptagningar och korrespondens med e-post. Undantaget kan också omfatta enkla strukturer som listor över anställda på ett företags webb-plats (se även avsnittet om arbetsgivarens webbplats). Syftet med förenk-lingen är att underlätta vardaglig hantering av personuppgifter som typiskt sett inte medför integritetsrisker.

Den förenklade regleringen innebär att vardaglig, ostrukturerad behandling, i princip får utföras fritt så länge man inte kränker någon. Kränkande behandling är inte tillåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte

Ej gällande


de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får alltså göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen.

Observera att hanteringsreglerna ska tillämpas om ett ostrukturerat material senare ska infogas i ett strukturerat material, till exempel ett kvalificerat dokument eller ärendehanteringssystem.

Om en samling personuppgifter har strukturerats så att hanterings-reglerna gäller, så omfattas alla personuppgifter som finns i materialet, även om vissa av dessa inte är strukturerade (till exempel i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem).

Vid behandling av personuppgifter i ett ostrukturerat material behöver man, förutom en kränkningsbedömning, i stort sett bara tänka på bestämmelserna om säkerhet för personuppgifter (se sidan 41). Vill man vara säker på att behandling av personuppgifter inte innebär en kränkning av den personliga integriteten kan man välja att följa person-uppgiftslagens hanteringsregler, till exempel de grundläggande kraven och kriterierna för när en behandling av personuppgifter är tillåten.

Fortsättningsvis i den här broschyren förutsätts att det är fråga om arbetsgivarens behandling av personuppgifter i ett struktu-rerat material och att därför alla bestämmelser i personuppgifts-lagen gäller.

Särskilda regler för offentlig verksamhet Förutom personuppgiftslagen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav, exempelvis när det gäller offentlighetsprincipen.

Ej gällande


Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga inte-gritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garan-terar vidare offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av personuppgiftslagen lämna personuppgifter för offent-liggörande i massmedia.

Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestäm-melser om allmänna handlingars offentlighet, den så kallade offent-lighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personregister hos en offentlig arbetsgivare lämnas ut till allmänheten i

Ej gällande


samma omfattning som traditionella handlingar. Det innebär att många uppgifter om arbetstagare kan bli tillgängliga för vem som helst om det inte råder sekretess enligt offentlighets och sekretesslagen.

När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem den sökande är och vilket syfte denne har med sin begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa personuppgiftslagens regel om att informera arbetstagaren om för vilket ändamål uppgiften lämnas ut eller till vem den lämnas. Det finns dock inget som hindrar att arbetsgivaren informerar de anställda om att uppgifter kan komma att lämnas ut med stöd av offentlighetsprincipen.

Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande e-postmeddelanden. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation. Sådana meddelanden bör tas bort eller i vart fall avskiljas från e-postsystemet, till exempel genom att placeras i en särskilt markerad ”privat” mapp.

Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna kan innebära undantag från personuppgiftslagens regler om gallring.

Allmänna handlingar i kompetensdatabasDatainspektionen bedömde i ett samrådsyttrande att en kompetensdatabas hos en offentlig arbetsgivare, där bland annat omdömen om de anställda fanns med, inte var tillåten. I bedömningen togs bland annat hänsyn till att det var en mycket ingående kartläggning av de anställda, att det rörde sig om information av integri-tetskänslig natur och att informationen inte skyddades av några sekretessbestäm-melser utan kunde komma att lämnas ut enligt offentlighetsprincipen.

Ej gällande


Arbetsgivaren är personuppgiftsansvarig Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening) eller den myndighet som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till. Även en fysisk person kan vara personuppgiftsansvarig, till exempel en enskild företagare.

Ibland kan flera juridiska personer eller myndigheter vara inblandade i behandlingen av samma personuppgifter. Det är då viktigt att ta ställning till ansvarsfrågan från början. Det är de faktiska omständighe-terna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. I till exempel stora företagskoncerner med dotterbolag kan personupp-giftsansvaret se ut på flera olika sätt. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen.

PersonuppgiftsbiträdeArbetsgivaren kan låta någon annan utföra den faktiska behandlingen av personuppgifter genom att anlita ett personuppgiftsbiträde för exempelvis hanteringen av de anställdas löner. Personuppgiftsansvaret kan däremot aldrig överlåtas och arbetsgivaren är fortsatt ansvarig för behandlingen även om den utförs av ett personuppgiftsbiträde som exem-pelvis en molntjänstleverantör. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd som behandlar person-uppgifter för arbetsgivarens räkning är alltså inte personuppgiftsbiträde.

Det ska finnas ett skriftligt avtal mellan arbetsgivaren och person-uppgiftsbiträdet. I avtalet måste det stå att personuppgiftsbiträdet och dennes anställda bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Det är alltså arbetsgivaren som bestämmer för vilka ändamål personuppgifterna ska behandlas.

Ej gällande


Vad innebär ansvaret?Arbetsgivaren ansvarar för att de anställda inte behandlar person-uppgifter på ett otillåtet eller lagstridigt sätt i tjänsten och kan bli ansvarig för skador som de orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller person-uppgiftslagens krav, till exempel vad gäller ändamål med behandlingen, gallring och bevarande samt säkerhet. Det här gäller oavsett om det är på arbetsplatsen, i hemmet eller på en tjänsteresa. Arbetsgivaren bör därför upprätta och informera om regler och rutiner som beskriver hur de anställda ska behandla personuppgifter. Man bör också fastställa en policy för informationssäkerhet.

Ansvaret för sociala medierEn organisation som använder sig av sociala medier som Facebook, Twitter, bloggar och liknande kommunikationskanaler har ett ansvar för de personuppgifter som organisationen själva publicerar. När det gäller Facebook och bloggar ansvarar organisationen även för personuppgifter som andra publicerar i till exempel kommentarer. Den som arbetar med sociala medier för organisationens räkning behöver informeras om ända-målen med behandlingen av personuppgifter som kan förekomma och att användning som är oförenlig med dessa ändamål är förbjuden. Mer information om organisationers användning av sociala medier hittar du på www.datainspektionen.se/socialamedier.

Om man bryter mot personuppgiftslagenPersonuppgiftslagen innehåller regler om straff, böter eller fängelse i högst sex månader för den som bryter mot bestämmelser i lagen. Det straffrättsliga ansvaret utkrävs av den fysiska person i organisationen som har gjort sig skyldig till överträdelsen. Lagen säger att till straff ”döms den som uppsåtligen eller av grov oaktsamhet”:

� Lämnar osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen.

Ej gällande


� Behandlar känsliga personuppgifter eller uppgifter om brott m.m., med mera i strid med bestämmelserna i lagen.

� För över personuppgifter till tredje land i strid med bestäm-melserna i lagen.

� Låter bli att göra en anmälan om behandling till Datainspek-tionen när sådan krävs.

� Behandlar känsliga uppgifter eller uppgifter om brott m.m. i en ostrukturerad samling av personuppgifter i strid med 5 a § andra stycket personuppgiftslagen.

� I strid med 5 a § andra stycket personuppgiftslagen för över personuppgifter till tredje land som inte har en adekvat skyddsnivå för skyddet av personuppgifterna.

Är brottet grovt är straffet fängelse i högst två år.

Skadestånd En arbetsgivare som behandlar personuppgifter om en arbetstagare i strid med personuppgiftslagen ska ersätta arbetstagaren för skada och kränkning av den personliga integriteten som behandlingen har orsakat. Dessutom kan ideell ersättning utgå för själva kränkningen. Om det visar sig att det inte var arbetsgivarens fel, kan ersättningsskyldigheten sättas ned eller helt falla bort.

Kom ihåg att även om arbetsgivaren har anlitat ett personuppgiftsbiträde kan personuppgiftsansvaret aldrig överlåtas. Det är alltid arbetsgivaren som är personuppgiftsansvarig och som kan bli skadeståndsskyldig.

Ej gällande


Arbetsgivarens behandling av personuppgifter – några grunderAll behandling av personuppgifter måste vara laglig och ska dessutom utföras på ett korrekt sätt och i enlighet med god sed på arbetsmark-naden. Vad som är god sed kan avgöras mot bakgrund av bland annat överenskommelser inom arbetsmarknaden. Om arbetsgivaren upprättar en policy för sin behandling av personuppgifter, får det som regel anses strida mot god sed att arbetsgivaren inte följer den. Arbetsgivaren bör sträva efter att i första hand samla in personuppgifter från arbetstagaren själv.

Ändamål för behandlingenPersonuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål eller syften och dessa måste bestämmas redan när behandlingen påbörjas. Ändamålen får inte vara för allmänt hållna och arbetsgivaren måste därför bestämma ett för varje typ av behandling, till exempel personaladministration, behörighetskontroll, säkerhets- och katastrofplanering. Uppgifter som har samlats in för ett visst syfte, till exempel personaladministration, får sedan inte behandlas för något annat syfte som är oförenligt med det ursprungliga, till exempel presta-tionsmätning. Det här kallas för finalitetsprincipen.

Ändamålet bör beskrivas så noggrant som möjligt och det ska göras innan man börjar samla in personuppgifter. Man kan ange flera ändamål samtidigt. Det ställs inte krav på att ändamålen ska dokumenteras skriftligt men för att undvika tvister och förenkla arbetet med att lämna information till de registrerade kan det ändå vara en fördel att göra det.

Om personuppgifterna ska lämnas vidare till någon annan krävs att även utlämnandet är förenligt med de ursprungliga ändamålen. Att samköra två eller flera register med olika ändamål innebär i allmänhet att ett eller flera nya register med nya ändamål skapas. Att samköra register på detta sätt strider mot finalitetsprincipen och är normalt otillåtet.

Ej gällande


Man får bara behandla uppgifter som är adekvata och relevanta i förhål-lande till ändamålet med behandlingen. Det betyder att uppgifterna måste ha någon faktisk betydelse för det ändamålet och att man inte ska registrera mer än vad man verkligen behöver. Arbetsgivaren måste bland annat ta ställning till om behandlingen måste utföras på individnivå. Om ändamålet är att föra statistik kan det vara tillräckligt att registreringen sker på ett sätt så att enskilda inte kan identifieras.

GallringPersonuppgifter ska hålla så hög kvalitet som möjligt. Arbetsgivaren måste därför se till att det finns tydliga rutiner för uppdatering och gallring av uppgifter om arbetstagare. Uppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Ändamålet är alltså utgångspunkten för bedömningen av när uppgifter ska bevaras eller gallras. Man ska inte spara uppgifter bara för att de ”kan vara bra att ha”.

När en anställning upphör finns det i regel ingen grund för att spara e-postkontot eller uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad.

Ibland krävs det att uppgifter bevaras under en längre tid, till exempel på grund av bestämmelser i lag eller för att de behövs för utbetalning av till exempel pension från arbetsgivaren. En offentlig arbetsgivare måste under vissa förhållanden behålla uppgifter om en arbetssökande, till exempel vid ett överklagande av ett beslut att inte anställa sökanden.

Ändamålet var inte tillräckligt angivetDatainspektionen ansåg i ett ärende att det inte var tillräckligt att enbart ange att ”kontroll och loggning kan förekomma” som ändamål för loggning och övervakning på ett sjukhus utan att man samtidigt angav vad syftet med denna kontroll var. Till exempel kan ett sådant syfte vara att man vill övervaka de anställdas arbete för att senare göra en uppföljning av att de interna reglerna följs.

Ej gällande


Arbetsgivaren kan då behöva uppgifterna för att styrka att ansökan har behandlats på rätt sätt.

Arbetsgivaren måste informera de anställdaPersonuppgiftslagen ställer stora krav på att arbetsgivaren självmant informerar de anställda om vilka personuppgifter som samlas in och vad de ska användas till. Detta gäller i princip vid all behandling av person-uppgifter. Om uppgifterna samlas in från någon annan källa än den anställde ska arbetsgivaren normalt lämna den anställde information om behandlingen när uppgifterna registreras. Om uppgifterna istället ska samlas in från den anställde själv behöver arbetsgivaren lämna informationen redan i samband med insamlingen. För att ett samtycke till behandling ska vara giltigt måste arbetstagaren ha fått sådan infor-mation att han eller hon kan bedöma för- och nackdelarna med behand-lingen. Informationen och samtycket måste gälla en viss behandling som rör arbetstagaren och som utförs av en viss arbetsgivare för bestämda syften. Läs mer om samtycke på sidan 22.

Arbetsgivaren är även skyldig att lämna skriftlig information till arbets-tagaren om vilka personuppgifter som behandlas och vad uppgifterna används till. Arbetstagaren har rätt att få sådan information en gång per år genom att göra en ansökan om registerutdrag. Läs mer om information till registrerade på www.datainspektionen.se/information.

Behandlingen måste vara tillåtenFör att en arbetsgivare ska få behandla personuppgifter krävs att behand-lingen sker med stöd av ett giltigt samtycke eller omfattas av något annat i personuppgiftslagen uppräknat fall av tillåten behandling som beskrivs nedan. En förutsättning för all behandling är att de grundläggande kraven som beskrivits i avsnittet innan detta är uppfyllda, till exempel att ändamålet med behandlingen är tydligt beskrivet i förväg och att person-uppgifterna som behandlas har betydelse för arbetsförhållandet.

Ej gällande


För känsliga personuppgifter, uppgifter om brott m.m. och person-nummer finns det fler bestämmelser som avgör om en behandling är tillåten. Det finns också särskilda regler för hur personuppgifter får över-föras till utlandet. Läs mer om det på sidan 40.

På grund av avtal Personuppgifter får behandlas om det är nödvändigt för att anställnings-avtalet eller något annat avtal mellan arbetsgivaren och arbetstagaren ska kunna uppfyllas. Detsamma gäller för att åtgärder som den regist-rerade har begärt ska kunna vidtas innan ett avtal träffas. Avtalet måste ha ingåtts med arbetstagaren själv. Ett avtal mellan arbetsgivaren och en juridisk person, till exempel ett bemanningsföretag, innebär alltså inte att uppgifter får behandlas om personer som är anställda hos beman-ningsföretaget. Det finns flera olika typer av system där personuppgifter kan komma att behandlas på grund av avtal, till exempel:

� personaladministrativa system, det vill säga system för löne-beräkning, registrering av sjukfrånvaro

� in- och utpasseringssystem

� flextidsystem

� behörighetskontrollsystem

� företagshälsovård.

Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med den anställde, får registreras om det behövs för anställningsförhållandet. Detsamma gäller uppgifter om prestationer, till exempel om uppgifterna behövs för att uppfylla skyldig-heter enligt ett ackordslöneavtal eller något annat avtalat prestationsba-serat lönesystem. Se även avsnittet Arbetstagares prestationer på sidan 31.

För att en arbetsgivare ska ha rätt att registrera värderande uppgifter måste det tydligt framgå av anställningsavtalet vilken betydelse dessa

Ej gällande


har för den aktuella tjänsten. Det är inte tillräckligt att parterna har kommit överens om individuell lönesättning.

På grund av en rättslig skyldighet En arbetsgivare får samla in och registrera personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet. Arbetsgivare är enligt ett flertal lagar och förordningar skyldiga att lämna ut uppgifter om anställda till bland annat statliga och kommunala myndigheter. Som exempel kan nämnas uppgifter som behövs för att:

� redovisa skatter och sociala avgifter beträffande arbetstagarna

� erlägga grupplivs- och pensionsavgifter till försäkringsbolag

� upprätta listor över anställda för att följa de turordnings-bestämmelser som gäller vid uppsägning

� behandla personuppgifter för att kunna leva upp till arbets-miljölagstiftningen.

För att skydda vitala intressen En arbetsgivare får behandla personuppgifter om det är nödvändigt för att skydda arbetstagaren i situationer som innebär fara för liv och hälsa.

Efter en intresseavvägning En arbetsgivare får behandla personuppgifter om det är nödvändigt och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Den här bedömningen ska avgöras efter en avvägning och hur den utfaller beror bland annat på förhål-landena på den aktuella arbetsplatsen, vilken slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras, vilka regler och riktlinjer som utfärdats av arbetsgivaren och vilken information arbetsta-garna har fått. Mer information om intresseavvägning hittar du på www.datainspektionen.se/intresseavvagning.

Ej gällande


Några exempel på behandling av personuppgifter med stöd av en intresseavvägning:

� Arbetsgivaren har ofta ett starkt intresse av att kunna kontakta anhöriga vid till exempel olycksfall eller sjukdom. Intresse av att samla in och registrera anhörigas namn och kontaktuppgifter väger normalt över de registrerades intresse av att uppgifterna inte behandlas. Eftersom behandlingen i sådana fall kan ske efter en intresseavvägning behöver inte samtycke inhämtas från de anhöriga men de anhöriga måste fortfarande få information.

� Inspelning av anställdas telefonsamtal i utbildningssyfte får under vissa förutsättningar ske med stöd av en intresse-avvägning. Inspelning av kunders telefonsamtal får ske om man får deras samtycke. I undantagsfall kan inspelning av kunders samtal vara tillåten med stöd av en så kallad intresse-avvägning. Mer information om inspelning av telefonsamtal hittar du på Datainspektionens webbplats.

Med arbetstagarens samtycke Är inget av villkoren ovan för att få behandla personuppgifter uppfyllt kan en arbetsgivare i vissa fall ändå ha rätt att utföra behandlingen. Men då krävs att arbetstagaren ger sitt samtycke. En förutsättning är, som tidigare nämnts, att man uppfyllt de grundläggande krav som ställs på all behandling av personuppgifter och som vi gått igenom i föregående kapitel.

Om ett uttryckligt samtycke har lämnats kan känsliga personuppgifter behandlas. Uppgifter kan också få lämnas ut till tredje land med stöd av samtycke. Brottsuppgifter får däremot inte behandlas ens med samtycke, se mer om detta i avsnittet Brottsuppgifter på sidan 29.

Ej gällande


Fackets registrering av löneuppgifter var inte tillåten...Datainspektionen ansåg i ett ärende att en fackförenings insamling av löneupp-gifter rörande personer som inte var medlemmar i föreningen, i syfte att kontrollera att arbetsgivaren följt kollektivavtalet, inte var tillåten med stöd av en intresse-avvägning. Den anställdes intresse av att slippa få sina personuppgifter registrerade vägde tyngre än fackförbundets intresse av att behandla uppgifterna. Datainspek-tionen ansåg att löneuppgifter har ett skyddsvärde ur integritetssynpunkt. Inspek-tionen bedömde vidare att det var ett otillbörligt integritetsintrång att anställda tvingades få sina löneuppgifter registrerade hos en fackförening som de själva valt att stå utanför. Datainspektionen bedömde att en sådan behandling istället borde stödja sig på samtycke från den anställde.

...men i ett annat fall godkändes behandlingenI ett liknande fall ansåg däremot Arbetsdomstolen (AD) att ett fackförbunds insamling och behandling av uppgifter i anställningsbevis om bland annat löneupp-gifter, i enlighet med gällande kollektivavtal, kunde ske med stöd av en intresse-avvägning enligt personuppgiftslagen. Behandlingen omfattade även uppgifter om anställda som inte var medlemmar i förbundet. Eftersom det var fråga om att endast lämna ut uppgifter i samband med ingåendet av anställningsavtalet för att kontrollera att anställningsvillkoren överensstämde med kollektivavtalet och att uppgifterna inte skulle behandlas ytterligare, ansåg domstolen att förbundets intresse vägde tyngre än de icke-anslutna arbetstagarnas intresse av skydd för sin personliga integritet.

Ett samtycke måste vara giltigt Ett samtycke till att behandla personuppgifter ska enligt personuppgifts-lagen vara frivilligt, särskilt, informerat och en otvetydig viljeyttring. Samtycket ska också vara individuellt. Det kan lämnas muntligt eller skriftligt. Eftersom det är arbetsgivaren som har bevisbördan för att arbetstagaren verkligen givit sitt samtycke kan det vara lämpligt att på något sätt dokumentera det, till exempel på ett formulär som samtidigt innehåller den information som ska lämnas till den registrerade. Skriver man in sina personuppgifter i en databas efter att ha fått information om vad uppgifterna ska användas till anses man ha samtyckt. Däremot är det inte tillräckligt att arbetsgivaren antar att arbetstagaren samtycker till en behandling av personuppgifter.

Ej gällande


Det kan ofta vara svårt för arbetsgivare att stödja en behandling av personuppgifter på samtycken från arbetstagarna. Det beror på att arbetstagare ofta befinner sig i en beroendeställning gentemot sina arbetsgivare och därför inte kan lämna sådana frivilliga samtycken som personuppgiftslagen kräver. Behandling av personuppgifter i arbetslivet med stöd av samtycke begränsas därför till sådana situationer där arbets-tagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar. Om de anställda erbjuds rimliga alternativ och inte utsätts för någon direkt eller indirekt påtryckning att samtycka kan det vara tillåtet för arbetsgivaren att behandla person-uppgifter med stöd av samtycken från de anställda.

Man kan inte samtycka generellt till behandling av personuppgifter, till exempel eventuella behandlingar i framtiden, utan att känna till vilka dessa är. Arbetsgivaren måste informera om en eller flera planerade behandlingar och samtycket avser då dessa. Det avgörande är att arbets-tagaren vet vilka behandlingar han eller hon samtycker till.

Att samtycket ska vara individuellt innebär att det ska vara den regist-rerade som genom viljeyttringen godtar behandlingen av person-uppgifter. Med det hindrar inte att en facklig organisation samlar in samtycken från varje medlem och lämnar dessa vidare till arbetsgivaren.

Ett samtycke kan återkallas Arbetstagaren har rätt att när som helst ta tillbaka sitt samtycke. Det kan göras skriftligt eller muntligt. Det är arbetstagaren som har bevis-bördan för att en återkallelse har gjorts och när det gjordes. Därefter får bara redan insamlade personuppgifter behandlas. Eftersom uppgifterna inte får uppdateras eller kompletteras utan samtycke kan de därför bli inaktuella eller ofullständiga och behöva avidentifieras eller raderas. De grundläggande kraven innebär nämligen att personuppgifter måste vara riktiga och aktuella. Läs mer om samtycke på www.datainspektionen.se/samtycke.

Ej gällande


Personuppgifter i arbetslivet – några särskilda områden

Publicering på arbetsgivarens webbplatsNär man publicerar text och bild på Internet är de nästan alltid ostruktu-rerade. Publiceringen är då tillåten om den inte kränker arbetstagarens personliga integritet. Ett exempel på otillåten behandling är om arbets-givaren på Internet publicerar namn på en anställd som har skyddade personuppgifter. Om man är osäker på om publiceringen kan vara krän-kande är det en god regel att inhämta ett samtycke från arbetstagaren. Observera att det måste vara ett frivilligt samtycke.

En arbetsgivare kan ofta publicera arbetsrelaterade uppgifter om de anställda på webbplatsen med stöd av den förenklade regleringen i personuppgiftslagen som handlar om ostrukturerade uppgifter. Det är normalt tillåtet att publicera anställdas namn, befattning, telefon-nummer, e-postadress och liknande uppgifter som har anknytning till arbetet.

Arbetsgivaren kan normalt webbpublicera sådan arbetsrelaterad infor-mation om de anställda även om det är fråga om ett strukturerat material för vilket hanteringsreglerna gäller. Publiceringen får i dessa fall grundas på en intresseavvägning där arbetsgivaren eller tredje mans berättigade intresse av att uppgifterna publiceras vägs mot de anställdas intresse av skydd mot kränkning av den personliga integriteten.

Bilder på de anställdaMöjligheten att publicera bilder på anställda får bedömas i varje enskilt fall, oavsett om det rör sig om ostrukturerad eller strukturerad behandling. Att få sin bild publicerad på Internet kan av många upplevas som särskilt känsligt. För att undvika att kränka någon kan det därför vara lämpligt att fråga den anställde innan man publicerar bilder på

Ej gällande


denne. Vid strukturerad behandling kan man normalt sett utgå från att samtycke måste inhämtas för att bildpublicering ska vara tillåten. Men det finns undantag. Inom vissa verksamheter kan arbetsgivaren ha tungt vägande skäl för att exponera bilder på anställda med exempelvis kund-orienterade arbetsuppgifter. I sådana fall kan arbetsgivarens intresse av att publicera bilder väga tyngre än de anställdas intresse av skydd och därmed ge stöd för publiceringen.

Känsliga uppgifter Känsliga personuppgifter är som tidigare nämnts uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över-tygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjuk-frånvaro, graviditet och läkarbesök. En arbetsgivare får bara behandla känsliga personuppgifter i vissa undantagsfall, men aldrig efter enbart en intresseavvägning. Här beskrivs några av undantagsfallen:

På grund av skyldighet eller rättighet inom arbetsrätten En arbetsgivare får behandla känsliga personuppgifter om det krävs för att denne ska kunna fullgöra sina skyldigheter eller utöva sina rättig-heter gentemot sina arbetstagare och deras fackliga organisationer. Som exempel kan nämnas när uppgifter om anställdas sjukdom behandlas för att beräkna sjuklön, utreda frånvarorätt eller inleda en rehabiliterings-utredning. Ytterligare exempel är när uppgifter om fackligt medlemskap registreras på grund av att arbetsgivaren har åtagit sig att göra löneavdrag för fackföreningsavgift eller för att kunna fullgöra sin förhandlingsskyl-dighet enligt lagen (1976:580) om medbestämmande i arbetslivet. Om det blir aktuellt att behandla känsliga uppgifter på grund av skyldighet inom arbetsrätten ska man tänka på att behandlingen ska begränsas till enbart detta.

De känsliga personuppgifterna får bara lämnas vidare till någon annan om arbetstagaren uttryckligen har samtyckt till det eller när det finns en

Ej gällande


sådan skyldighet inom arbetsrätten. Det kan till exempel gälla uppgifter för grupplivs- och pensionsavgifter som lämnas till försäkringsbolag.

Vissa arbetsgivare anlitar fristående företag för att administrera sjuk-anmälningar och liknande. Om det handlar om ett vårdföretag, till exempel en företagshälsovård som för patientjournaler om de anställda, måste de följa patientdatalagen. Vårdgivaren måste också ta hänsyn till bestämmelser om sekretess och tystnadsplikt i offentlighets och sekre-tesslagen samt patientsäkerhetslagen.

I den offentliga sektorn gäller lagen (1994:260) om offentlig anställning (LOA) och den bestämmelse om periodiska undersökningar som finns

Ej gällande


där. Bestämmelsen innebär en skyldighet för arbetstagaren att i vissa fall genomgå hälsoundersökningar. Inom den privata sektorn gäller prin-cipen om den fria antagningsrätten och arbetsgivarna har därför en stor frihet att bestämma vilka krav som ska ställas på den arbetssökande, till exempel angående medicinska kontroller. För alla arbetsgivare gäller arbetsmiljölagen (1977:1160) där arbetsgivaren har ett allmänt ansvar att se till att hälsoövervakning och medicinska kontroller som behövs genomförs. Läs mer om det i Arbetsmiljöverkets föreskrifter om medi-cinska kontroller i arbetslivet.

Alkoskåpet var tillåtetI ett ärende hade ett bussbolag integrerat ett alkoskåp med ett system för inpassering. Samtliga anställda var tvungna att lämna utandningsprov i alkoskåpet vid arbetsdagens början och slut. Datainspektionen ansåg att bolaget fick behandla personuppgifter från alkoskåpet om till exempel busschaufförer med stöd av en intresseavvägning, under förutsättning att de kompletterade sin information om behandlingen. Beträffande annan personal som inte hade arbetsuppgifter av direkt betydelse för det säkra framförandet av fordon, exempelvis administrativ personal, krävdes samtycke för behandling av personuppgifter i alkoskåpet. Om någon på grund av för hög alkoholkoncentration i utandningsluften gör ett icke godkänt blåsprov kan det röra sig om en känslig personuppgift som rör hälsa, i alla fall om det indikerar ett alkoholmissbruk. I personuppgiftslagen finns ett principiellt förbud att behandla känsliga uppgifter men det finns flera undantag, som exempelvis om det är nödvändigt på grund av en arbetsrättslig skyldighet.

Arbetsgivaren får inte regelmässigt registrera uppgifter om till exempel provsvar, diagnoser och vaccinering. Om sådana uppgifter ska registreras måste det ske i överensstämmelse med personuppgiftslagen, till exempel att dessa uppgifter är nödvändiga på grund av arbetsrättsliga åligganden. Här är det särskilt viktigt att tänka på att arbetsgivaren ser till att till-gången till uppgifterna begränsas.

För att hävda rättsliga anspråk En arbetsgivare får behandla känsliga personuppgifter när det behövs för att utreda, göra gällande eller försvara ett rättsligt anspråk. Det kan till exempel vara tillåtet att behandla känsliga personuppgifter i syfte

Ej gällande


att säkra bevisning inför en eventuell framtida arbetsrättslig tvist. Ett exempel är uppgifter om arbetsoförmåga, om det är nödvändigt för att kunna framställa ett rättsligt anspråk som grund för uppsägning. Ett annat exempel är uppgifter om medlemskap i fackförening, för att kunna veta var en talan i domstol ska väckas eller föras.

Behandling av känsliga uppgifter med stöd av ett samtyckeKänsliga personuppgifter kan få behandlas med ett klart uttalat samtycke från arbetstagaren. Även om det inte föreligger en skyldighet enligt arbetsrätten att lämna ut uppgifter så får en arbetsgivare med arbets-tagarens uttryckliga samtycke lämna ut sådana känsliga uppgifter om arbetstagaren som denne samlat in med stöd av arbetsrätten.

Personuppgifter som är känsliga får också behandlas om arbetstagaren själv gått ut med informationen. Det kan till exempel gälla uppgift om medlemskap i en fackförening när den anställde aktivt verkat för fören-ingen på arbetsplatsen. Lagen talar här om att den registrerade på ett tydligt sätt offentliggjort uppgifterna.

BrottsuppgifterDet är förbjudet för arbetsgivare som inte är myndigheter att behandla personuppgifter om lagöverträdelser, det vill säga uppgifter om brott, domar i brottmål, häktningar och andra former av tvångsingripanden med stöd av lag. Någon dom eller liknande beträffande brottet krävs inte. Ett samtycke från arbetstagaren ger inte arbetsgivaren rätt att frångå det här förbudet. Däremot finns det undantag:

� Det kan finnas särskilda bestämmelser i andra lagar och förordningar än personuppgiftslagen eller myndighetstillstånd i enskilda fall som tillåter behandling av brottsuppgifter.

� Man får också behandla brottsuppgifter om det gäller en enstaka personuppgift som är nödvändig för att kunna fast-ställa, göra gällande eller försvara ett rättsligt anspråk i ett särskilt fall, till exempel ett skadeståndsanspråk.

Ej gällande


� Enstaka brottsuppgifter får också behandlas om det krävs för att kunna fullgöra en anmälningsskyldighet enligt lag, till exempel att göra en polisanmälan.

Det förekommer att arbetsgivare vid en anställningsintervju ställer frågor om brottslighet eller kräver att den arbetssökande visar upp ett intyg ur polisens belastningsregister. Personuppgiftslagen hindrar inte att arbetsgivaren agerar på det sättet. För vissa verksamheter gäller särskild lagstiftning som säger att arbetsgivare är skyldiga att begära att den som erbjuds en anställning uppvisar ett utdrag ur belastningsregistret, till exempel i skollagen (2010:800). Det är olagligt att utan lagstöd registrera eller scanna in uppgifter ur belastningsregistret. Däremot är det ok att registrera uppgift om att ett utdrag inhämtats och uppvisats om doku-mentet och de aktuella personuppgifterna förstörs omgående.

WhistleblowingMånga bolag har särskilda rapporteringskanaler som de anställda kan använda för att rapportera om allvarliga oegentligheter inom bolagen, som exempelvis bokföringsbrott eller mutbrott. Sådana system kallas för whistleblowingsystem. Bolag som vill inrätta whistleblowingsystem, där uppgifter om lagöverträdelser kan förekomma, har möjlighet att göra det med stöd av Datainspektionens föreskrifter DIFS 1998:3 (omtryckt 2010:1). Bolaget måste följa bestämmelserna i personuppgiftslagen och de särskilda förutsättningarna som anges i grundläggande kraven i person-uppgiftslagen, ha en laglig grund för behandlingen och lämna tillräcklig information till registrerade. Rapporteringen får endast omfatta allvarliga oegentligheter som begåtts av personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen. För mer information se Datainspektionens vägledning Ansvaret för personuppgifter som hanteras i system för whistleblowing.

Ej gällande


Personnummer Uppgifter om personnummer får behandlas med arbetstagarens samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen vikten av en säker identifiering eller av något annat beak-tansvärt skäl. En arbetsgivare får till exempel registrera personnummer för att administrera sina anställda eller för att kunna lämna uppgifter till olika myndigheter, till exempel skatteverket. Däremot finns det sällan anledning att använda personnummer när man skriver ut tjänstgörings-listor och adressetiketter.

Som utgångspunkt är det inte motiverat att använda personnummer som användarnamn vid inloggning på exempelvis en dator. Däremot kan det vara motiverat när man behöver en säker identifiering för behö-righetsadministration. Detta beror på att när man utreder felaktig eller obehörig användning av personuppgifter måste man kunna identifiera användaren. När det gäller stora organisationer med många anställda kan det vara tillåtet att använda personnummer för både behörighets-administration och vid inloggning. Tänk på att det inte innebär en ökad IT-säkerhet att använda personnummer som användarnamn. Det krävs alltid goda rutiner och tydliga instruktioner till de anställda när det gäller hantering av lösenord. Notera också att inloggning över öppet nät till integritetskänsliga personuppgifter kräver säker autentisering i form av till exempel e-legitimation. Läs mer om säkerhet på sidan 41.

Kontroll och övervakning av de anställda

Arbetstagarens prestationer En arbetsgivares rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras i huvudsak genom arbetsrättslig lagstiftning och eventuellt i kollektivavtal.

Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med arbetstagaren, får registreras om

Ej gällande


det är nödvändigt för att administrera anställningsavtalet eller för att uppfylla rättsliga skyldigheter.

Behandling av personuppgifter för ändamål som innebär individuell prestationsmätning är tillåten om den är nödvändig för att uppfylla anställningsavtalet, till exempel för att beräkna och betala ut lön. Behandling av personuppgifter som innebär individuell prestations-mätning är också tillåten för andra berättigade ändamål såsom att planera, organisera, leda och följa upp arbetet om det sker på ett sätt som inte strider mot god sed på arbetsmarknaden eller är kränkande för de anställda. Behandlingen kan i sådana fall grunda sig på en intresse-avvägning.

Prestationsmätning var tillåtenDatainspektionen bedömde att arbetsgivarens registrering av anställdas effektivitet på ett bryggerilager var tillåten. Mätningarna gjordes för att betala ut avtalad premielön och för att få underlag till individuella måltalssamtal som bolaget regelbundet håller med de anställda plockarna på lagret. Utifrån de angivna ändamålen var det däremot inte motiverat att använda systemet för att i realtid övervaka hur de anställda utförde sina arbetsuppgifter och när de tog raster.

Att mäta och registrera prestationer kan också vara tillåtet om arbetsta-garen har lämnat ett giltigt samtycke (se närmare om samtycke på sidan 22). I så fall måste de grundläggande kraven i personuppgiftslagen som nämns på sidan 17–19 vara uppfyllda. Det krävs också att arbetsgivaren har informerat arbetstagaren om behandlingen.

I den individuella lönesättningens natur ligger att arbetstagarens prestation har betydelse för lönen och det kan därför inte anses krän-kande att arbetsgivaren vill följa upp prestationen så länge det sker på ett godtagbart sett. Det gäller också att behandlingen följer vad som kan anses vara god sed på arbetsmarknaden.

Ej gällande


Sammanställningar av uppgifter om de anställda som lagras för att användas för ett visst syfte, till exempel fakturering eller bemannings-planering, får normalt inte användas för något annat syfte, till exempel individuell värdering vid lönesättning.

Uppgifter om resultat från personlighetstester, profiler och liknande får som huvudregel endast behandlas med arbetstagarens samtycke. Undantag från denna regel kan finnas i lag eller annan författning. Det kan inte uteslutas att uppgifterna kan få registreras med stöd av en intresseavvägning. Det krävs i så fall att arbetsgivarens behov av att behandla uppgifterna om de anställda på ett tydligt sätt överväger de anställdas intresse av skydd mot kränkning av den personliga integri-teten.

Rekryteringssystem och kompetensdatabaser Intern och extern rekrytering av arbetstagare utförs ofta med hjälp av datoriserade rekryteringssystem. Använder man sådana system får bara uppgifter som är nödvändiga för rekryteringens ändamål behandlas, till exempel för att bedöma den arbetssökandes lämplighet och karriärmöj-ligheter.

Personuppgifter i en ansökan, intervjuanteckningar och uppgifter från referenser får registreras och sparas så länge de är nödvändiga för ansök-ningsförfarandet. Därefter ska uppgifterna gallras. Arbetsgivaren får dock spara uppgifterna så länge sökande som inte har anställts kan vidta rättsliga åtgärder, till exempel om man inte fått jobbet och vill överklaga. Om uppgifterna ska sparas under en längre tid för framtida rekrytering krävs den sökandes samtycke.

Ej gällande


Kompetensdatabasen var inte tillåtenI ett ärende bedömde Datainspektionen att en offentlig arbetsgivares registrering av bland annat omdöme, kompetenser, utbildning, prestationer och personliga egenskaper om de anställda i en kompetensdatabas inte var tillåten med stöd av en intresseavvägning. Anledningen var framförallt att systemet innebar en mycket ingående kartläggning av de anställda. Stora delar av databasen ansågs bestå av information av integritetskänslig natur utan möjlighet att sekretessbelägga uppgifterna.

Datainspektionen anser att en arbetstagare normalt kan lämna ett giltigt samtycke till att hans/hennes personuppgifter behandlas i en kompetens-databas. Arbetsgivaren kan även efter en intresseavvägning och i enlighet med god sed på arbetsmarknaden ofta registrera faktauppgifter om anställda i kompetensdatabaser. Det kan till exempel avse uppgifter om genomförda utbildningar, arbetslivserfarenhet, uppdrag, poäng från sakkunskapstester och liknande. Vill man registrera andra uppgifter, till exempel värderande omdömen, krävs normalt ett samtycke från arbets-tagaren.

Regler för användningen av IT-systemet Datorer som arbetsgivaren ställer till de anställdas förfogande är arbets-redskap. Med stöd av arbetsledningsrätten har arbetsgivaren rätt att bestämma hur utrustningen på arbetsplatsen får användas. Arbetsgi-varen ansvarar för organisationens informationssäkerhet och för att inga otillåtna behandlingar av personuppgifter utförs. Denne bör därför utarbeta regler och riktlinjer för användningen av datorer och datanät.

Arbetsgivaren har rätt att kontrollera om reglerna följs. Sådan kontroll av de anställda måste ha ett i förväg bestämt ändamål som är sakligt grundat i verksamheten. De anställda måste vara informerade om vilka regler som gäller, vilka kontroller som kan komma att utföras samt syftet med dessa. De anställdas intresse att få information kan förväntas vara särskilt starkt när det gäller vilka kontroller som de kan komma att utsättas för med hjälp av de insamlade uppgifterna. Information ska

Ej gällande


normalt lämnas självmant av arbetsgivaren innan uppgifterna samlas in men behöver inte lämnas vid varje enskilt kontrolltillfälle. Om arbetsgi-varens ändamål exempelvis är att spåra och motverka oegentligheter och sabotage måste tydlig information lämnas till de registrerade, så att det klart framgår vad detta innebär och vilka kontroller som kan bli aktuella. Det kan inte förutsättas att den anställde känner till vad arbetsgivaren menar med ”oegentligheter” och ”missbruk”.

Arbetsgivaren har normalt sett inte rätt att läsa eller på annat sätt ta del av arbetstagarens privata epost eller privata filer. Undantag kan gälla vid en allvarlig misstanke om illojalt eller brottsligt beteende eller en allvarlig misstanke om att den anställde använder IT-utrustningen i strid med arbetsgivarens regler och riktlinjer.

Loggning Logguppgifter registreras ofta av tekniska skäl men förekommer även i en mängd andra situationer, till exempel vid elektroniska inpasserings-kontroller, i telefonväxlar och butikskassor. Om uppgifter som registreras i en loggfil går att knyta till en enskild person är de personuppgifter. Genom loggfiler går det till exempel att kontrollera arbetstagarens användning av e-post och vilka webbplatser denne har besökt.

Loggning uppfattas ofta som mycket integritetskänsligt och bör därför inte utformas eller utnyttjas så att den medför risk för intrång i de anställdas integritet. Ibland är det kanske tillräckligt att övervaka ett systems tekniska funktion eller kontrollera dess användning utan att den enskilde användaren registreras. Loggning av användarnas aktiviteter har också en förebyggande funktion om de anställda informeras om att loggningen finns och att den kontrolleras.

Om arbetsgivaren vill logga till exempel internetanvändningen för att tekniskt övervaka systemet av säkerhetsskäl, får loggen inte senare användas för andra syften som är oförenliga med det ursprungliga syftet (finalitetsprincipen), till exempel kontroll av arbetstagarens prestationer.

Ej gällande


Om kontroller utförs för andra syften än det ursprungligen bestämda krävs som huvudregel information och samtycke.

Kameraövervakning Kameraövervakning innebär alltid ett intrång i de övervakades personliga integritet. För att avgöra om integritetsintrånget är tillåtet ska en arbets-givare fråga sig om övervakningen är proportionerlig i förhållande till de problem man vill åtgärda på arbetsplatsen och till det integritetsintrång som det innebär att bli kameraövervakad. Arbetsgivaren måste väga arbetstagarnas intresse av en fredad, privat sfär mot andra motstående intressen i det enskilda fallet. Då bör man särskilt tänka på att en arbets-

Ej gällande


plats är ett ställe där många vistas dagligen och under en stor del av dagen.

Annat som ska vägas in i bedömningen är möjliga alternativa åtgärder, hur övervakningen bedrivs samt övriga effekter för de anställdas inte-gritet. Arbetsgivare som använder eller överväger att införa kamera-övervakning måste göra en samlad bedömning som tar hänsyn till dessa faktorer.

Det som kan vara av betydelse för bedömningen av om kamera-övervakning är tillåten eller inte är bland annat:

� syftet med kameraövervakningen

� behovet av kameraövervakningen

� vilken plats som ska övervakas

� vilken information som man ger till den övervakade om att platsen är kameraövervakad

� hur integritetskänslig platsen är

� hur länge det inspelade materialet sparas och vem eller vilka som har tillgång till det.

För mer information se Datainspektionens checklista Kamera-övervakning på arbetsplatser som du hittar på www.datainspektionen.se/kamera-arbetsplatser.

Positioneringsteknik (GPS)Att kontrollera var fordon och anställda befinner sig genom olika former av positioneringssystem har blivit allt vanligare. Positioneringssystem möjliggör en närgången övervakning av enskilda individer och medför risker för otillbörliga integritetsintrång.

Ej gällande


Arbetsgivare som vill använda positioneringssystem måste normalt stödja sig på en intresseavvägning. Ändamål som är godtagbara är säkerhet, logistik, fördelning av resurser och underlag för fakturering. Behand-lingen måste vara sakligt motiverad i verksamheten och får inte utföras på ett alltför närgånget eller omfattande sätt. Datainspektionen har ansett att det normalt är otillåtet att med stöd av en intresseavvägning använda positioneringssystem för att rutinmässigt kontrollera hur länge den anställde arbetar. Detta kan dock vara tillåtet vid misstankar om att den anställde allvarligt missbrukar arbetsgivarens förtroende, till exempel vid missbruk av tidredovisningen.

Elektronisk körjournalArbetsgivare som vill använda positioneringssystem för elektronisk körjournal, i syfte att underlätta efterlevnaden av Skatteverkets krav på redovisning av anställdas körda mil i tjänsten, kan stödja sig på en intresseavvägning. Det krävs dock att arbetsgivaren ser till att enbart behandla de uppgifter från positioneringssystemet som behövs för att uppfylla redovisningsskyldigheten gentemot Skatteverket. Det kan ske genom att arbetsgivaren endast sparar sådana uppgifter som de skulle ha registrerat om de istället använt en manuell körjournal. Övriga uppgifter ska i princip gallras omedelbart, i den mån uppgifterna inte behövs för att uppfylla andra berättigade ändamål. Datainspektionen har dock ansett att det bör vara rimligt att spara detaljerade uppgifter om fordonens position i upp till tre månader för att i efterhand kunna komplettera befintliga körjournaler med exempelvis uppgift om syftet med en viss resa.

För mer information se Datainspektionens checklista Positionerings-teknik i arbetslivet som du hittar på www.datainspektionen.se/positione-ringsteknik.

BiometriBiometriska uppgifter är mycket speciella till sin natur eftersom de rör individens beteendemässiga och fysiologiska egenskaper och möjliggör en unik identifiering av varje person, exempelvis genom fingeravtryck,

Ej gällande


irismönster och handgeometri. När man använder biometriska uppgifter ger det upphov till integritetsrisker som kan vara svåra att överblicka i dagsläget.

För att arbetsgivaren ska få behandla biometriska uppgifter med stöd av en intresseavvägning krävs tungt vägande skäl. Rent allmänt vägs åtgärder som betingas av säkerhetsskäl tyngre än åtgärder som betingas av företagsekonomiska effektivitetsskäl. Vid intresseavvägningen är det också av betydelse:

� vilken slags verksamhet som bedrivs

� vilken typ av biometriska uppgifter som registreras och hur omfattande registreringen är

� hur länge uppgifterna sparas

� om det är möjligt att återskapa exempelvis ett fingeravtryck utifrån de uppgifterna som registreras

� om det finns risk för att uppgifterna på något sätt skulle kunna missbrukas eller användas för andra ändamål än det avsedda

� om uppgifterna ska sparas lokalt eller centralt

� vilka tekniska och organisatoriska åtgärder som omgärdar de uppgifter som behandlas.

För att arbetsgivaren ska få använda biometri för närvaro- och tidsrap-portering krävs normalt att arbetstagarna samtycker till behandlingen. För att samtycket ska vara giltigt måste arbetstagaren ha ett verkligt fritt val och senare kunna ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Det innebär bland annat att arbetstagaren, liksom när det gäller positioneringsteknik, måste erbjudas en alternativ metod, exempelvis att logga in genom användarnamn och lösenord, samt att han eller hon inte utsätts för någon direkt eller indirekt påtryckning att välja det alternativ som innebär behandling av biometriska uppgifter.

Ej gällande


TredjelandsöverföringEU:s dataskyddsdirektiv, som ligger till grund för den svenska person-uppgiftslagen, kräver att alla medlemsstater har regler som ger ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU/EES har man ansett att överföring till sådana länder bör begränsas. Det finns dock flera undantag.

Personuppgifter får föras över till tredje land i någon av följande situa-tioner:

� Om det finns en adekvat skyddsnivå i mottagarlandet (till exempel i enlighet med beslut av EU-kommissionen som finns uppräknade i en bilaga till personuppgiftsförordningen. I förordningen anges också uttryckligen att överföring är tillåten i dessa fall).

� När den registrerade gett sitt samtycke till överföringen.

� I vissa särskilda situationer, till exempel om överföringen är nödvändig för att ett avtal med den registrerade och arbetsgi-varen ska kunna fullgöras.

� Om det i annat fall är tillåtet enligt föreskrifter eller särskilda beslut av regeringen eller Datainspektionen därför att det finns tillräckliga garantier för att de registrerades rättigheter ändå skyddas. Sådana garantier kan finnas genom:

� Standardavtalsklausuler som EU-kommissionen godkänt. � Bindande företagsinterna regler (så kallade Binding Corporate Rules – BCR).

Om arbetsgivaren anlitar ett personuppgiftsbiträde utanför EU/EES som behandlar personuppgifter för arbetsgivarens räkning, till exempel genom att de lagras på en server hos biträdet, måste arbetsgivaren se till

Ej gällande


att reglerna om överföring av personuppgifter till tredjeland är uppfyllda. Det kan till exempel ske genom att man ingår ett avtal med standardav-talsklausuler som EU-kommissionen godkänt.

På www.datainspektionen.se/tredjeland kan du läsa mer om tredjelands-överföring.

Säkerhet för personuppgifterDet är arbetsgivaren som ansvarar för att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för behandlingen av personuppgifter. Utgångspunkten är att det bara är befattningshavare som har behov av personuppgifterna som ska ha tillgång till dem. Säkerhetsåtgärderna skall ställas i relation till de tekniska möjligheter som finns, kostna-derna för åtgärderna, de risker som finns samt de behandlade uppgif-ternas känslighet. Till tekniska åtgärder räknas till exempel inloggning, behörighetsspärrar och krypteringsfunktioner medan organisatoriska åtgärder handlar om det administrativa säkerhetsarbetet som till exempel rutiner, instruktioner och policier.

Personuppgifter som rör ett anställningsförhållande kan vara integri-tetskänsliga och ska därför skyddas från insyn av obehöriga. Utgångs-punkten är att ju känsligare personuppgifter desto högre krav ställs på säkerhetsåtgärderna. Datainspektionen har utfärdat allmänna råd om säkerhet för personuppgifter. Dessa beskriver närmare vilka krav person-uppgiftslagen ställer på säkerhet vid behandlingen av personuppgifter. Läs mer om säkerhet på www.datainspektionen.se/sakerhet.

Anmälan till Datainspektionen Normalt sett behöver man inte anmäla en behandling av personuppgifter till Datainspektionen. Det beror på att det har gjorts ett stort antal undantag från den anmälningsskyldighet som personuppgiftslagen inne-håller. Dessa undantag finns i personuppgiftsförordningen (1998:1191)

Ej gällande


och i Datainspektionens föreskrifter DIFS 1998:2 (omtryckt 2001:1). Till exempel gäller i många fall undantag för behandling av personuppgifter avseende anställning.

Personuppgiftsombud Normalt sett finns det ingen skyldighet att utse ett personuppgiftsombud enligt personuppgiftslagen. Det finns dock flera fördelar med att utse ett personuppgiftsombud exempelvis behöver den som har anmält ett personuppgiftsombud inte anmäla sina behandlingar till Datainspek-tionen. Personuppgiftsombudet ska hjälpa den personuppgiftsansvarige att uppfylla lagens krav och bidra till att skapa ordning och reda. Det kan i vissa fall finnas en skyldighet att utse personuppgiftsombud i register-författningar. Läs mer om personuppgiftsombud på www.datainspek-tionen.se/personuppgiftsombud.

SamrådPersonuppgiftsombud som är tveksamma till hur personuppgiftslagen ska tolkas i olika frågor inom arbetslivet kan skriva till Datainspektionen för att få råd. En sådan förfrågan kallas för samråd och svaret från Data-inspektionen kallas för samrådsyttrande. På Datainspektionens webb-plats kan man också läsa en mängd olika samrådsyttranden som handlar om arbetslivet och som kan vara ett bra stöd. Besök www.datainspek-tionen.se/samradsyttranden.

Datainspektionens tillsynDatainspektionen är tillsynsmyndighet enligt personuppgiftslagen och kan genom tillsyn kontrollera om en behandling av personuppgifter är laglig, det vill säga att bestämmelser i personuppgiftslagen följs. Tillsynen kan inledas till exempel genom ett klagomål från en arbets-tagare eller en facklig organisation, genom uppgifter i media, genom en anmälan om behandling eller genom uppgifter från ett personuppgifts-

Ej gällande


ombud. Datainspektionen har ingen ombudsmannaroll utan prövar självständigt om tillsyn ska inledas och på vilket sätt den ska bedrivas. Tillsynsverksamheten är inriktad på integritetskänsliga behandlingar, nya företeelser och behandlingar där risk för missbruk är särskilt stor.

Tillsynen utförs till exempel genom inspektioner på företag, organisa-tioner och myndigheter. Datainspektionen kan begära in en skriftlig redogörelse från den personuppgiftsansvarige eller utföra tillsyn genom anmälda och oanmälda inspektioner. Datainspektionen har rätt att få tillgång till de personuppgifter som behandlas och tillträde till lokaler med anknytning till behandlingen. Upplysningar om och dokumentation av behandlingen, liksom om säkerhetsåtgärder, ska lämnas på begäran. Om den personuppgiftsansvarige inte tillmötesgår denna begäran kan Datainspektionen besluta om vite.

I första hand ska Datainspektionen åstadkomma rättelse genom påpe-kanden och förelägganden. Går det inte att få rättelse på annat sätt kan inspektionen vid vite förbjuda fortsatt behandling. Även när arbetsgi-varen inte frivilligt följer ett beslut om säkerhetsåtgärder kan vite före-läggas.

I vissa fall är det som nämnts straffbart för en arbetsgivare att behandla personuppgifter i strid med personuppgiftslagen. Om Datainspektionen i sin utredning av ett ärende konstaterar att en behandling av person-uppgifter är straffbar kan myndigheten besluta att polisanmäla behand-lingen.

Enligt personuppgiftslagen finns det möjlighet för en arbetstagare att få skadestånd för den skada som en behandling orsakat, se sidan 16. Data-inspektionen kan dock inte hjälpa till med detta utan arbetstagaren måste själv framföra sina krav och vid behov väcka talan om skadestånd hos en allmän domstol. Justitiekanslern har möjlighet att på frivillig väg reglera vissa skadeståndsanspråk som riktas mot staten.

Ej gällande


Om du behöver mer informationPå Datainspektionens webbplats www.datainspektionen.se kan du läsa mer om integritetsfrågor och ladda ner eller beställa informa-tionsmaterial. Där kan du också beställa en prenumeration på Data-inspektionens tidning Integritet i fokus och vårt nyhetsbrev.

Datainspektionens kurserDatainspektionen anordnar kurser för dig som vill lära dig mer om personuppgiftslagen och hur den tillämpas. Kurserna vänder sig till personuppgiftsombud och personuppgiftsansvariga inom både offentlig och privat verksamhet. Ibland anordnar vi även seminarier och större konferenser om aktuella frågor. I mån av tid kan våra specialister gäst-föreläsa hos myndigheter, företag och organisationer runt om i landet.

Läs mer om aktuella kurser på www.datainspektionen.se/utbildning.

Ej gällande


Ej gällande


Anteckningar

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Ej gällande


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Ej gällande


Kontakta DatainspektionenE-post: [email protected] Webb: www.datainspektionen.se

Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.

DatainspektionenDatainspektionen är en myndighet som arbetar för att behand-lingen av personuppgifter i samhället inte ska medföra otill-börliga intrång i enskilda människors personliga integritet. Ansvarsområdet omfattar framförallt personuppgiftslagen, kameraövervakningslagen, kreditupplysningslagen, inkasso-lagen och patientdatalagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande informationsverk-samhet, vi utbildar, svarar på frågor och ger stöd till person-uppgiftsombud.

Datainspektionen informerar Datainspektionen informerar är en skriftserie som vänder sig till dig som är personuppgiftsansvarig eller personuppgiftsombud samt till dig som vill veta mer om integritetsfrågor. Broschyrerna kan du ladda ner eller beställa på vår webbplats www.datainspek-tionen.se/ladda-ner.

Ej gällande

personuppgifter i arbetslivet - faktabroschyr - …...arbetslivet från 2009 (sou 2009:44), som i...

Documents