Kompetensdatabaser och PuL - vilka uppgifter får registreras om anställda?

| Av Hanna Stenvall | Tipsa redaktionen

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

Kompetensdatabaser är en typ av register där arbetsgivare lagrar uppgifter om exempelvis anställdas utbildningsnivå, arbetslivserfarenhet, resultat från tester och övriga kvalifikationer. I vissa fall registreras också värderande uppgifter om anställda, som om personen är lämplig för avancemang inom företaget eller inte. Kompetensdatabasen kan sedan komma att användas för att inventera och utvärdera de anställdas kompetenser, då befattningar tillsätts internt samt kanske även vid utvecklings- och lönesamtal och vid lönesättning.
Eftersom uppgifter som behandlas i en kompetensdatabas antingen direkt eller indirekt kan hänföras till fysiska personer så är personuppgiftslagen, PuL, tillämplig på behandlingen i databasen. För kompetensdatabaser är det arbetsgivaren, det vill säga den juridiska personen, som är personuppgiftsansvarig och som därmed är skyldig att se till att personuppgifterna i databasen behandlas i enlighet med PuL.

Det är alltså i första hand arbetsgivaren, och inte en enskild personalchef eller företagsledare, som riskerar att drabbas av sanktioner enligt PuL. Om databasen till exempel innehåller förbjuden registrering av så kallade känsliga personuppgifter - som uppgifter om ras, hälsa, politisk åskådning eller sexuell läggning - kan dock en enskild företagsledare hållas ansvarig straffrättsligt. Om ett företag tillhör en koncern, vilket torde vara normalfallet inom säkerhetsbranschen, kompliceras situationen något. I en koncern kan, beroende på vem som bestämmer ändamålen och medlen med behandlingen, nämligen exempelvis moderbolaget eller annat koncernbolag vara personuppgiftsansvarigt, antingen ensamt eller tillsammans med arbetsgivaren. Om moderbolaget är ensamt personuppgiftsansvarigt, utan att vara arbetsgivare, måste normalt ett särskilt personuppgiftsbiträdesavtal ingås mellan bolagen (30 § PuL). En arbetsgivare som önskar använda en kompetensdatabas bör överväga följande:

1. Fastställ ett specifikt ändamål med kompetensdatabasen
Arbetsgivaren bör tidigt, innan kompetensdatabasen tas i bruk, fastställa ändamålet med personuppgiftsbehandlingen i databasen och tänka igenom vilka personuppgifter som verkligen behöver registreras för att uppfylla ändamålet. Ändamålet bör finnas lättillgängligt för alla personer som använder databasen och också tydligt kommuniceras till de anställda, se nedan om information till de anställda.


2. Utred den rättsliga grunden för personuppgiftsbehandlingen
Redan innan personuppgifter samlas in bör den ansvarige ta ställning till den så kallade rättsliga grunden för behandlingen. Enligt PuL så är en behandling antingen tillåten om de anställda har samtyckt till den eller om behandlingen är nödvändig utifrån vissa kriterier. Om den rättsliga grunden för behandlingen är samtycke, så ska samtycket föregås av information om ändamål med behandlingen, vilka mottagarna av uppgifterna är, rätten att ansöka om information och få rättelse med mera (25 § PuL).
Det bör understrykas att ett samtycke inte med giltig verkan kan lämnas i efterhand (se NJA 2005 s. 361). Ett samtycke måste alltid kunna återkallas av den anställde. Om den rättsliga grunden istället bygger på att registreringen är nödvändig måste en intresseavvägning göras mellan arbetsgivarens intresse av behandlingen och de anställdas intresse av skydd för sin integritet. Enligt DI är det ofta tillåtet att, med stöd av en intresseavvägning, lagra faktauppgifter om anställdas prestationer, utbildningar, poäng från sakkunskapstester och liknande men inte att lagra värderande omdömen från exempelvis ett utvecklingssamtal.

På samma sätt kan det i vissa fall vara tillåtet att med stöd av en intresseavvägning lagra en uppgift om att en anställd är lämplig för avancemang inom företaget - men detsamma gäller inte nödvändigtvis att en anställd inte är lämplig för avancemang inom företaget, då en sådan behandling kan strida mot god sed på arbetsmarknaden. Vid osäkerhet om utfallet av en intresseavvägning kan därför arbetsgivaren ställa frågor till DI eller begära så kallat samråd.

3. Informera arbetstagarna om personuppgiftsbehandlingen
Som antytts ovan, måste arbetsgivaren i förväg informera de anställda om att personuppgifter kommer att börja behandlas i en kompetensdatabas. Om personuppgifterna till exempel samlats in från ett kunskapstest via dator så ska de anställda informeras om ändamålet med behandlingen och sina rättigheter enligt PuL, som rätten till registerutdrag. Sådan information kan exempelvis lämnas genom en särskild informationsruta.

4. Gallra personuppgifterna löpande
Arbetsgivaren är skyldig att löpande gallra inaktuella och felaktiga personuppgifter. Efter en anställnings upphörande ska personuppgifterna nästintill omedelbart gallras, såvida de inte behövs för eventuell återanställning eller liknande. Här är det viktigt att arbetsgivaren redan vid införandet av kompetensdatabasen tar ställning till hur länge personuppgifterna ska sparas.

5. Tillämpa privacy by design
Genom att tillämpa principerna om inbyggd integritet, eller privacy by design, så kan arbetsgivaren minska risken för att integritetskänsliga personuppgifter behandlas felaktigt (se Skydd & Säkerhet nr 4/13). Kompetensdatabasen bör exempelvis vara uppbyggd kring fördefinierade alternativ i kryssfält, rullistor och liknande. Så kallade fritextfält bör helst undvikas och om sådana används, bör det finnas tydliga instruktioner om vilka uppgifter som får registreras och rutiner för att upptäcka och ta bort olämpliga uppgifter. Skräckexemplet är annars att känsliga personuppgifter, till exempel om sjukdomshistoria, och uppgifter om lagöverträdelser, som att en person misstänks ha tagit pengar ur kaffekassan, registreras - vilket kan innebära att arbetsgivaren drabbas av straffrättsliga sanktioner. Därutöver ska personuppgifterna behandlas säkert, vilket kan omfatta personlig inloggning (personliga användarnamn och lösenord) till kompetensdatabasen och att personuppgifterna krypteras.


6. Inför behörighetsstyrning
Endast sådana personer hos arbetsgivaren som behöver tillgång till kompetensdatabasen ska ges det. En personalchef kan exempelvis behöva full tillgång till kompetensdatabasen i sitt arbete men detsamma gäller inte för alla anställda på personalavdelningen. I en större koncern kan vd:n behöva tillgång till kompetensdatabasen men detsamma gäller nödvändigtvis inte hela moderbolagets styrelse.


7 . Utred om personuppgifter ska överföras till tredje land
Om personuppgifterna ska överföras till tredje land, alltså land utanför EU/EES, måste arbetsgivaren säkerställa att det landet har en adekvat skyddsnivå för behandlingen. Därutöver krävs ofta anställdas samtycke till själva överföringen. Viktigt att tänka på i sammanhanget är att överföring till tredje land är vanligare än vad man kan tro. Lagring av personuppgifter hos lagringstjänster i molnet eller på koncernens server i USA innebär typiskt sett en överföring till tredje land. Anställda ska även få särskild information för det fall personuppgifterna kan komma att överföras till tredje land.


8. Tänk på personuppgiftsbiträdesavtal
Om kompetensdatabasen ska skötas av ett utomstående företag eller om personuppgifter lämnas ut till ett annat företag så måste arbetsgivaren i regel ingå ett personuppgiftsbiträdesavtal med det utomstående företaget. Detta bland annat för att säkerställa att säkerhetskraven i PuL följs. Arbetsgivaren behåller dock det yttersta ansvaret för behandlingen, vilket alltså inkluderar ansvar för personuppgiftsbiträdets behandling och säkerhetsrutiner.

9. Glöm inte arbetsrätten
Användning av en kompetensdatabas kan medföra skyldighet att informera och samråda med fackliga representanter enligt MBL .

Det är lätt att inse värdet av en kompetensdatabas, inte minst i större organisationer med många anställda och olika interna tänkbara karriärvägar. Genom att följa ovanstående principer kan arbetsgivaren undvika de värsta fallgroparna med kompetensdatabaser utifrån PuL och därigenom minska risken för potentiella skadestånd, goodwill- och PR-förluster samt risken att de anställda tappar förtroendet för företaget.

Avslutningsvis kan nämnas att PuL inte är tillämplig på rent manuella register, såvida de inte har strukturerats för sökning eller sammanställning enligt särskilda kriterier. Det innebär att PuL sannolikt inte är tillämplig på en ”kompetensdatabas” i form av chefens anteckningsbok, där han/hon har skrivit ned omdömen om anställda.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå oktober 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Så nystades IT-härvan upp

Nyligen startade rättegången mot huvudmannen i det malmöbaserade kriminella gäng som misstänks ligga bakom den största IT-härvan i Sverige.

Öppet hus hos Försvarsmakten

Igår, söndag, var det försvarsfokus på Gärdet i Stockholm när Försvarsmakten ordnade en försvarsdag för allmänheten.

Finalisterna redo för Security Awards

Säkerhetsbranschens egna pris delas ut i oktober.

Han avgår som vd

Microsoft automatiserar säkerheten för Windows 10

Assa Abloy köper amerikanskt bolag

Coop i Kristianstad anställer vakter

Arkiv

50 appar sprider skadlig kod

Dataintrångsliga sprängd

Synlig polis minskar oron

Enligt Brottförebyggande rådet, Brå, oroar sig allt fler svenskar för att bli utsatta för överfall eller misshandel. I en undersökning listas de motåtgärder som svenskarna tror på.

Kameror och robotar kan vara hackade

Svenskarna gillar säkerhetskameror

Ingen går säker för skadlig kod

Massiva attacker av skadlig kod, ransomware, har blivit högsta mode bland cyberkriminella.

Militärkrubb till 19 000

Fazer är huvudleverantör av lisvmedel och måltider till Sveriges största militäröving på 20 år- Aurora 17.

Aurora 17 kommer att märkas

Nu vill säkerhetsbranschen kliva in på arenan

Ransomware- årets affärssuccé

På CPX Sweden, säkerhetsföretaget Checkpoints seminarium om cybersäkerhet som hölls i Stockholm nyligen, talade Magnus Sköld, säkerhetsingenjör, om den senaste tidens ransomware-attacker ur ett lite annorlunda perspektiv.

Svenskar slarvar trots riskmedvetenet

Cykelhjälmsanvändningen står still

Forskning kan hejda våldspiral

Kupp mot modebutiker

Nu utreds våld mot närstående

PCI-DSS skyddar väl mot datastöld

IT-och telekomföretaget Verizon publicerade på måndagen sin årliga rapport om betalkortsäkerhet, kallad Verizon 2017 Payment Security Report. Den visar att säkerhetsstandarden PCI DSS verkligen ger ett gott skydd mot stöld av kortinnehavares data ur betalsystemen.

Ny chefsekonom på Svensk Handel

Släpp reglerna – se till sammanhanget!

Statsministern polisanmäld

Krafttag mot falska nyheter

Brist på insikt om GDPR

Ljusteknikföretag till börsen

Amerikansk certifiering säkrar dataflöden

Stockholm har valt säkerhetsleverantör

Cyberkriminella utbildar on-line

Svensk styrka till Somalia

Nätskurk hittad

Securitas-vd utsedd

Sänd till en kollega

0.148