Kompetensdatabaser och PuL - vilka uppgifter får registreras om anställda?

| Av Hanna Stenvall | Tipsa redaktionen

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

Kompetensdatabaser är en typ av register där arbetsgivare lagrar uppgifter om exempelvis anställdas utbildningsnivå, arbetslivserfarenhet, resultat från tester och övriga kvalifikationer. I vissa fall registreras också värderande uppgifter om anställda, som om personen är lämplig för avancemang inom företaget eller inte. Kompetensdatabasen kan sedan komma att användas för att inventera och utvärdera de anställdas kompetenser, då befattningar tillsätts internt samt kanske även vid utvecklings- och lönesamtal och vid lönesättning.
Eftersom uppgifter som behandlas i en kompetensdatabas antingen direkt eller indirekt kan hänföras till fysiska personer så är personuppgiftslagen, PuL, tillämplig på behandlingen i databasen. För kompetensdatabaser är det arbetsgivaren, det vill säga den juridiska personen, som är personuppgiftsansvarig och som därmed är skyldig att se till att personuppgifterna i databasen behandlas i enlighet med PuL.

Det är alltså i första hand arbetsgivaren, och inte en enskild personalchef eller företagsledare, som riskerar att drabbas av sanktioner enligt PuL. Om databasen till exempel innehåller förbjuden registrering av så kallade känsliga personuppgifter - som uppgifter om ras, hälsa, politisk åskådning eller sexuell läggning - kan dock en enskild företagsledare hållas ansvarig straffrättsligt. Om ett företag tillhör en koncern, vilket torde vara normalfallet inom säkerhetsbranschen, kompliceras situationen något. I en koncern kan, beroende på vem som bestämmer ändamålen och medlen med behandlingen, nämligen exempelvis moderbolaget eller annat koncernbolag vara personuppgiftsansvarigt, antingen ensamt eller tillsammans med arbetsgivaren. Om moderbolaget är ensamt personuppgiftsansvarigt, utan att vara arbetsgivare, måste normalt ett särskilt personuppgiftsbiträdesavtal ingås mellan bolagen (30 § PuL). En arbetsgivare som önskar använda en kompetensdatabas bör överväga följande:

1. Fastställ ett specifikt ändamål med kompetensdatabasen
Arbetsgivaren bör tidigt, innan kompetensdatabasen tas i bruk, fastställa ändamålet med personuppgiftsbehandlingen i databasen och tänka igenom vilka personuppgifter som verkligen behöver registreras för att uppfylla ändamålet. Ändamålet bör finnas lättillgängligt för alla personer som använder databasen och också tydligt kommuniceras till de anställda, se nedan om information till de anställda.


2. Utred den rättsliga grunden för personuppgiftsbehandlingen
Redan innan personuppgifter samlas in bör den ansvarige ta ställning till den så kallade rättsliga grunden för behandlingen. Enligt PuL så är en behandling antingen tillåten om de anställda har samtyckt till den eller om behandlingen är nödvändig utifrån vissa kriterier. Om den rättsliga grunden för behandlingen är samtycke, så ska samtycket föregås av information om ändamål med behandlingen, vilka mottagarna av uppgifterna är, rätten att ansöka om information och få rättelse med mera (25 § PuL).
Det bör understrykas att ett samtycke inte med giltig verkan kan lämnas i efterhand (se NJA 2005 s. 361). Ett samtycke måste alltid kunna återkallas av den anställde. Om den rättsliga grunden istället bygger på att registreringen är nödvändig måste en intresseavvägning göras mellan arbetsgivarens intresse av behandlingen och de anställdas intresse av skydd för sin integritet. Enligt DI är det ofta tillåtet att, med stöd av en intresseavvägning, lagra faktauppgifter om anställdas prestationer, utbildningar, poäng från sakkunskapstester och liknande men inte att lagra värderande omdömen från exempelvis ett utvecklingssamtal.

På samma sätt kan det i vissa fall vara tillåtet att med stöd av en intresseavvägning lagra en uppgift om att en anställd är lämplig för avancemang inom företaget - men detsamma gäller inte nödvändigtvis att en anställd inte är lämplig för avancemang inom företaget, då en sådan behandling kan strida mot god sed på arbetsmarknaden. Vid osäkerhet om utfallet av en intresseavvägning kan därför arbetsgivaren ställa frågor till DI eller begära så kallat samråd.

3. Informera arbetstagarna om personuppgiftsbehandlingen
Som antytts ovan, måste arbetsgivaren i förväg informera de anställda om att personuppgifter kommer att börja behandlas i en kompetensdatabas. Om personuppgifterna till exempel samlats in från ett kunskapstest via dator så ska de anställda informeras om ändamålet med behandlingen och sina rättigheter enligt PuL, som rätten till registerutdrag. Sådan information kan exempelvis lämnas genom en särskild informationsruta.

4. Gallra personuppgifterna löpande
Arbetsgivaren är skyldig att löpande gallra inaktuella och felaktiga personuppgifter. Efter en anställnings upphörande ska personuppgifterna nästintill omedelbart gallras, såvida de inte behövs för eventuell återanställning eller liknande. Här är det viktigt att arbetsgivaren redan vid införandet av kompetensdatabasen tar ställning till hur länge personuppgifterna ska sparas.

5. Tillämpa privacy by design
Genom att tillämpa principerna om inbyggd integritet, eller privacy by design, så kan arbetsgivaren minska risken för att integritetskänsliga personuppgifter behandlas felaktigt (se Skydd & Säkerhet nr 4/13). Kompetensdatabasen bör exempelvis vara uppbyggd kring fördefinierade alternativ i kryssfält, rullistor och liknande. Så kallade fritextfält bör helst undvikas och om sådana används, bör det finnas tydliga instruktioner om vilka uppgifter som får registreras och rutiner för att upptäcka och ta bort olämpliga uppgifter. Skräckexemplet är annars att känsliga personuppgifter, till exempel om sjukdomshistoria, och uppgifter om lagöverträdelser, som att en person misstänks ha tagit pengar ur kaffekassan, registreras - vilket kan innebära att arbetsgivaren drabbas av straffrättsliga sanktioner. Därutöver ska personuppgifterna behandlas säkert, vilket kan omfatta personlig inloggning (personliga användarnamn och lösenord) till kompetensdatabasen och att personuppgifterna krypteras.


6. Inför behörighetsstyrning
Endast sådana personer hos arbetsgivaren som behöver tillgång till kompetensdatabasen ska ges det. En personalchef kan exempelvis behöva full tillgång till kompetensdatabasen i sitt arbete men detsamma gäller inte för alla anställda på personalavdelningen. I en större koncern kan vd:n behöva tillgång till kompetensdatabasen men detsamma gäller nödvändigtvis inte hela moderbolagets styrelse.


7 . Utred om personuppgifter ska överföras till tredje land
Om personuppgifterna ska överföras till tredje land, alltså land utanför EU/EES, måste arbetsgivaren säkerställa att det landet har en adekvat skyddsnivå för behandlingen. Därutöver krävs ofta anställdas samtycke till själva överföringen. Viktigt att tänka på i sammanhanget är att överföring till tredje land är vanligare än vad man kan tro. Lagring av personuppgifter hos lagringstjänster i molnet eller på koncernens server i USA innebär typiskt sett en överföring till tredje land. Anställda ska även få särskild information för det fall personuppgifterna kan komma att överföras till tredje land.


8. Tänk på personuppgiftsbiträdesavtal
Om kompetensdatabasen ska skötas av ett utomstående företag eller om personuppgifter lämnas ut till ett annat företag så måste arbetsgivaren i regel ingå ett personuppgiftsbiträdesavtal med det utomstående företaget. Detta bland annat för att säkerställa att säkerhetskraven i PuL följs. Arbetsgivaren behåller dock det yttersta ansvaret för behandlingen, vilket alltså inkluderar ansvar för personuppgiftsbiträdets behandling och säkerhetsrutiner.

9. Glöm inte arbetsrätten
Användning av en kompetensdatabas kan medföra skyldighet att informera och samråda med fackliga representanter enligt MBL .

Det är lätt att inse värdet av en kompetensdatabas, inte minst i större organisationer med många anställda och olika interna tänkbara karriärvägar. Genom att följa ovanstående principer kan arbetsgivaren undvika de värsta fallgroparna med kompetensdatabaser utifrån PuL och därigenom minska risken för potentiella skadestånd, goodwill- och PR-förluster samt risken att de anställda tappar förtroendet för företaget.

Avslutningsvis kan nämnas att PuL inte är tillämplig på rent manuella register, såvida de inte har strukturerats för sökning eller sammanställning enligt särskilda kriterier. Det innebär att PuL sannolikt inte är tillämplig på en ”kompetensdatabas” i form av chefens anteckningsbok, där han/hon har skrivit ned omdömen om anställda.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå oktober 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Dags att anmäla alla brott

De skyddar Spotify

TC Connects dotterbolag får order för musikföretagets kontor i Amsterdam.

Trots polisens tillskott – åklagare kritiserar vårbudgeten

Vårbudgeten, som presenterades i går, ger polisen 200 miljoner extra till bland annat ny utrustning och förstärkningsvapen. Men alla är inte nöjda.

Digitala lås kan skydda äldre

Lanserar utbildning i informationssäkerhet

Färre vapen lämnas in till polisen

Nyhetsbrev

Ny CMO på Addsecure

Arkiv

Vesper första svenska personsäkerhetsföretag på världsmässan

Vesper Group blir det första svenska personsäkerhetsföretag som ställer ut på International Security Expo i London – en av väldens största säkerhetsmässor.

Inyett får ny vd

Svenska skolor har höjt säkerheten

70 procent av Sveriges kommuner har höjt säkerheten på skolorna och fler är på väg. Det visar en ny enkät som Dagens Samhälle har gjort.

En halv miljard för tryggare kollektivtrafik

Nu ska antalet väktare öka kraftigt i Stockholms kollektivtrafik. Alliansen satsar en halv miljard kronor för att bygga upp tryggheten i SL-trafiken – och de vill återinföra tunnelbanepolisen.

Åtalas för flyktingspionage

Stor inspektion av HVB-hem – efter hoten

Så läckte Facebook informationen

55 000 svenska Facebook-konton finns bland de 87 miljoner konton vars information har delats till konsultbolaget Cambridge Analytica. Delningen skedde via en specialdesignad app.

Mozart för stressade polishundar

Den spanska polisen tar till ett oväntat grepp för att minska polishundarnas höga stressnivåer. Musikterapi.

Tar in väktare mot lågstadieelev

Han leder Nixu

Björn-Erik Karlsson ansvarar för den svenska verksamheten.

Ökat antal it-angrepp mot myndigheter

Antalet it-angrepp mot statliga myndigheter ökade med 18 procent förra året. Det visar MSB:s årsrapport för allvarliga it-incidenter hos statliga myndigheter.

Därför är isbrytarna viktiga för säkerheten

Minskning av våldsbrott i Stockholm city

Antalet våldsbrott i Stockholm city har under den senaste tioårsperioden minskat kraftigt. En av anledningarna är stadens långsiktiga arbetet för en mer ansvarsfull alkoholservering.

Tiden snart ute för isbrytarna

De svenska isbrytarna börjar bli ålderstigna och bör ersättas. "Om ingenting görs kommer förmågan att assistera vintersjöfarten att minska successivt. Det skulle innebära stora negativa konsekvenser för landet", säger Dan Broström på Sjöfartsverket.

Utökar samarbetet med smarta lås

Hemleveranstjänsten Amazon Key kan nu erbjuda åtta smarta lås.

Plus

Årets branschprofil - nätverkande visionär med sisu

Ett genuint intresse för juridik, sälj och mångfald har varit Lotta Salomonssons framgångsrecept. Årets branschprofil sätter alltid laget före jaget och tankar energi i inspirerande nätverk.

Här är de vanligaste brotten

Mindre misshandel, fler våldtäkter, fler inbrott i lägenheter och ett ökat antal fall av dödligt våld – det var vad 2017 bjöd på enligt statistik från Brå.

Swedsecur byter ägare

JSB förlänger med Nokas

Ökade kostnader för väktare på skånska sjukhus

Många söker till Kriminalvården

Ny chef på CIA

Åldersbedömning mer osäker för flickor

Han är årets ledare

SOS Alarm växer i Falun

Drönare i jakt på olagligt ålfiske

Tre år för tre rån

Ny miljonorder för Advenica

Skåne förbereder sjukvården på terrordåd

Se alla Företagens egna nyheter

Sänd till en kollega

0.139