Kompetensdatabaser och PuL - vilka uppgifter får registreras om anställda?

| Av Hanna Stenvall | Tipsa redaktionen

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

Kompetensdatabaser är en typ av register där arbetsgivare lagrar uppgifter om exempelvis anställdas utbildningsnivå, arbetslivserfarenhet, resultat från tester och övriga kvalifikationer. I vissa fall registreras också värderande uppgifter om anställda, som om personen är lämplig för avancemang inom företaget eller inte. Kompetensdatabasen kan sedan komma att användas för att inventera och utvärdera de anställdas kompetenser, då befattningar tillsätts internt samt kanske även vid utvecklings- och lönesamtal och vid lönesättning.
Eftersom uppgifter som behandlas i en kompetensdatabas antingen direkt eller indirekt kan hänföras till fysiska personer så är personuppgiftslagen, PuL, tillämplig på behandlingen i databasen. För kompetensdatabaser är det arbetsgivaren, det vill säga den juridiska personen, som är personuppgiftsansvarig och som därmed är skyldig att se till att personuppgifterna i databasen behandlas i enlighet med PuL.

Det är alltså i första hand arbetsgivaren, och inte en enskild personalchef eller företagsledare, som riskerar att drabbas av sanktioner enligt PuL. Om databasen till exempel innehåller förbjuden registrering av så kallade känsliga personuppgifter - som uppgifter om ras, hälsa, politisk åskådning eller sexuell läggning - kan dock en enskild företagsledare hållas ansvarig straffrättsligt. Om ett företag tillhör en koncern, vilket torde vara normalfallet inom säkerhetsbranschen, kompliceras situationen något. I en koncern kan, beroende på vem som bestämmer ändamålen och medlen med behandlingen, nämligen exempelvis moderbolaget eller annat koncernbolag vara personuppgiftsansvarigt, antingen ensamt eller tillsammans med arbetsgivaren. Om moderbolaget är ensamt personuppgiftsansvarigt, utan att vara arbetsgivare, måste normalt ett särskilt personuppgiftsbiträdesavtal ingås mellan bolagen (30 § PuL). En arbetsgivare som önskar använda en kompetensdatabas bör överväga följande:

1. Fastställ ett specifikt ändamål med kompetensdatabasen
Arbetsgivaren bör tidigt, innan kompetensdatabasen tas i bruk, fastställa ändamålet med personuppgiftsbehandlingen i databasen och tänka igenom vilka personuppgifter som verkligen behöver registreras för att uppfylla ändamålet. Ändamålet bör finnas lättillgängligt för alla personer som använder databasen och också tydligt kommuniceras till de anställda, se nedan om information till de anställda.


2. Utred den rättsliga grunden för personuppgiftsbehandlingen
Redan innan personuppgifter samlas in bör den ansvarige ta ställning till den så kallade rättsliga grunden för behandlingen. Enligt PuL så är en behandling antingen tillåten om de anställda har samtyckt till den eller om behandlingen är nödvändig utifrån vissa kriterier. Om den rättsliga grunden för behandlingen är samtycke, så ska samtycket föregås av information om ändamål med behandlingen, vilka mottagarna av uppgifterna är, rätten att ansöka om information och få rättelse med mera (25 § PuL).
Det bör understrykas att ett samtycke inte med giltig verkan kan lämnas i efterhand (se NJA 2005 s. 361). Ett samtycke måste alltid kunna återkallas av den anställde. Om den rättsliga grunden istället bygger på att registreringen är nödvändig måste en intresseavvägning göras mellan arbetsgivarens intresse av behandlingen och de anställdas intresse av skydd för sin integritet. Enligt DI är det ofta tillåtet att, med stöd av en intresseavvägning, lagra faktauppgifter om anställdas prestationer, utbildningar, poäng från sakkunskapstester och liknande men inte att lagra värderande omdömen från exempelvis ett utvecklingssamtal.

På samma sätt kan det i vissa fall vara tillåtet att med stöd av en intresseavvägning lagra en uppgift om att en anställd är lämplig för avancemang inom företaget - men detsamma gäller inte nödvändigtvis att en anställd inte är lämplig för avancemang inom företaget, då en sådan behandling kan strida mot god sed på arbetsmarknaden. Vid osäkerhet om utfallet av en intresseavvägning kan därför arbetsgivaren ställa frågor till DI eller begära så kallat samråd.

3. Informera arbetstagarna om personuppgiftsbehandlingen
Som antytts ovan, måste arbetsgivaren i förväg informera de anställda om att personuppgifter kommer att börja behandlas i en kompetensdatabas. Om personuppgifterna till exempel samlats in från ett kunskapstest via dator så ska de anställda informeras om ändamålet med behandlingen och sina rättigheter enligt PuL, som rätten till registerutdrag. Sådan information kan exempelvis lämnas genom en särskild informationsruta.

4. Gallra personuppgifterna löpande
Arbetsgivaren är skyldig att löpande gallra inaktuella och felaktiga personuppgifter. Efter en anställnings upphörande ska personuppgifterna nästintill omedelbart gallras, såvida de inte behövs för eventuell återanställning eller liknande. Här är det viktigt att arbetsgivaren redan vid införandet av kompetensdatabasen tar ställning till hur länge personuppgifterna ska sparas.

5. Tillämpa privacy by design
Genom att tillämpa principerna om inbyggd integritet, eller privacy by design, så kan arbetsgivaren minska risken för att integritetskänsliga personuppgifter behandlas felaktigt (se Skydd & Säkerhet nr 4/13). Kompetensdatabasen bör exempelvis vara uppbyggd kring fördefinierade alternativ i kryssfält, rullistor och liknande. Så kallade fritextfält bör helst undvikas och om sådana används, bör det finnas tydliga instruktioner om vilka uppgifter som får registreras och rutiner för att upptäcka och ta bort olämpliga uppgifter. Skräckexemplet är annars att känsliga personuppgifter, till exempel om sjukdomshistoria, och uppgifter om lagöverträdelser, som att en person misstänks ha tagit pengar ur kaffekassan, registreras - vilket kan innebära att arbetsgivaren drabbas av straffrättsliga sanktioner. Därutöver ska personuppgifterna behandlas säkert, vilket kan omfatta personlig inloggning (personliga användarnamn och lösenord) till kompetensdatabasen och att personuppgifterna krypteras.


6. Inför behörighetsstyrning
Endast sådana personer hos arbetsgivaren som behöver tillgång till kompetensdatabasen ska ges det. En personalchef kan exempelvis behöva full tillgång till kompetensdatabasen i sitt arbete men detsamma gäller inte för alla anställda på personalavdelningen. I en större koncern kan vd:n behöva tillgång till kompetensdatabasen men detsamma gäller nödvändigtvis inte hela moderbolagets styrelse.


7 . Utred om personuppgifter ska överföras till tredje land
Om personuppgifterna ska överföras till tredje land, alltså land utanför EU/EES, måste arbetsgivaren säkerställa att det landet har en adekvat skyddsnivå för behandlingen. Därutöver krävs ofta anställdas samtycke till själva överföringen. Viktigt att tänka på i sammanhanget är att överföring till tredje land är vanligare än vad man kan tro. Lagring av personuppgifter hos lagringstjänster i molnet eller på koncernens server i USA innebär typiskt sett en överföring till tredje land. Anställda ska även få särskild information för det fall personuppgifterna kan komma att överföras till tredje land.


8. Tänk på personuppgiftsbiträdesavtal
Om kompetensdatabasen ska skötas av ett utomstående företag eller om personuppgifter lämnas ut till ett annat företag så måste arbetsgivaren i regel ingå ett personuppgiftsbiträdesavtal med det utomstående företaget. Detta bland annat för att säkerställa att säkerhetskraven i PuL följs. Arbetsgivaren behåller dock det yttersta ansvaret för behandlingen, vilket alltså inkluderar ansvar för personuppgiftsbiträdets behandling och säkerhetsrutiner.

9. Glöm inte arbetsrätten
Användning av en kompetensdatabas kan medföra skyldighet att informera och samråda med fackliga representanter enligt MBL .

Det är lätt att inse värdet av en kompetensdatabas, inte minst i större organisationer med många anställda och olika interna tänkbara karriärvägar. Genom att följa ovanstående principer kan arbetsgivaren undvika de värsta fallgroparna med kompetensdatabaser utifrån PuL och därigenom minska risken för potentiella skadestånd, goodwill- och PR-förluster samt risken att de anställda tappar förtroendet för företaget.

Avslutningsvis kan nämnas att PuL inte är tillämplig på rent manuella register, såvida de inte har strukturerats för sökning eller sammanställning enligt särskilda kriterier. Det innebär att PuL sannolikt inte är tillämplig på en ”kompetensdatabas” i form av chefens anteckningsbok, där han/hon har skrivit ned omdömen om anställda.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå oktober 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Anders Thornberg Sommarpratar 16 juli

Rikspolischef Anders Thornberg kommer bland annat berätta om tiden som Säpo-chef, P1 måndag 16 juli klockan 10.00.

Vi ses i höst!

Tv-klassikern blir partner med SäkerhetsBranschen

TV3:s Efterlyst gör nystart i höst och tar in SäkerhetsBranschen för att bidra med kunskap och expertis.

Polisutbildningen i Malmö till jättelokaler

9 000 kvadratmeter – inklusive skjutbanor och garage för polisfordon

IT-SÄKERHET
Lista: Så undviker du att bli ID-kapad

Svenska AI-kameror till Förenade Arabemiraten

Nyhetsbrev

Drönare ska vinna tid åt Södertörns brandförsvar

4C Strategies och Södertörns Brandförsvarsförbund har ingått ett samarbete med drönarföretaget Flypulse.

Arkiv

Över 10 000 har skrivit under

IT-SÄKERHET
Svensk säkerhets-startup tar in 58 miljoner

"Målsättningen är att vara världsledande 2021"

IT-SÄKERHET
Branschen efterlyser relevanta IT-säkerhetsutbildningar

Målkonflikt i kampen mot den organiserade brottsligheten

Riksrevisionen kliver in och gör oberoende granskning av de samarbetande myndigheterna.

7-miljonersavtal till Sectis – årets största

Heine Wang: ”Vi får en väldigt bra position”

Nokas beräknas ta 30 procent av den svenska bevakningsmarknaden, om förvärvet av Avarn går i lås. "Nu får marknaden en stor spelare till", säger koncernchefen Heine Wang, som vill börsintroducera företaget.

Stor dubbelbeställning till Saab

Nokas näst störst i Norden – går mot börsen

Nokas bekräftar att företaget är i slutförhandlingar med Sector Alarm Group för förvärv av Avarn Holding.

Efter hyllningarna: "Vår skogsbrandssäsong är för kort för egna plan"

De kom, de vattenbombade, de hyllades. Nu är piloterna och deras gula vattenbombplan hemma i Italien igen. Men det är, med största sannolikhet, inte sista gången vi ser dem här.

VALET 2018
Så många avstår från att uttrycka politiska åsikter på nätet

Unga värderar sociala medier högre som informationskälla inför det första "internetvalet".

Tar pop-up-trucken till i Almedalen

Polisen angav fel födelsedatum i pass

Branschen om Polisens lagförslag

"En välkommen present inför semestern". "Denna process kommer dock ta många år". "Borde kanske köpt aktier i branschen"

DEBATT
Inför ROT- och RUT-avdrag för trygghetsinvesteringar

Inför valet prioriterar Säkerhetsföretagen tre frågeställningar. En av dem är ROT- och RUT-avdrag: "Det är orimligt att avdrag medges för byte av köksluckor, men inte för installation av ett kvalitetssäkrat hemlarm", skriver Li Jansson, branschchef och vice VD i Säkerhetsföretagen.

Midsommar – nödsamtalens tid

Gävleborgs län värst – 73% fler nödsamtal i fjol.

IT-SÄKERHET
Hackarna checkar ut under fotbolls-VM

Tydligt mönster när IT-attackerna minskar.

Tar över centrumjättens samtliga gallerior

Oroligt i Malmö – staden öppnar stödcentrum

Nu är det klart: Tvingas i konkurs

Vesper Group och Hantera agera inleder samarbete

Confidence skriver avtal med stort bostadsföretag

Polisens Twitterkonto väcker känslor

Hennes IT-säkerhetsföretag värt två miljarder

Nokas får ny order för kontanthantering

IT-SÄKERHET
Så mycket kostar en ransomewareattack

De vinner nya marknadsandelar i Storstockholm

Securitas värvar turkisk säkerhetsjätte

Rusta testar DNA mot brott

Fjärde person anhållen för terrorbrott

Se alla Företagens egna nyheter

Sänd till en kollega

0.14