23948sdkhjf

Kompetensdatabaser och PuL - vilka uppgifter får registreras om anställda?

| Av Hanna Stenvall | Tipsa redaktionen

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

Kompetensdatabaser är en typ av register där arbetsgivare lagrar uppgifter om exempelvis anställdas utbildningsnivå, arbetslivserfarenhet, resultat från tester och övriga kvalifikationer. I vissa fall registreras också värderande uppgifter om anställda, som om personen är lämplig för avancemang inom företaget eller inte. Kompetensdatabasen kan sedan komma att användas för att inventera och utvärdera de anställdas kompetenser, då befattningar tillsätts internt samt kanske även vid utvecklings- och lönesamtal och vid lönesättning.
Eftersom uppgifter som behandlas i en kompetensdatabas antingen direkt eller indirekt kan hänföras till fysiska personer så är personuppgiftslagen, PuL, tillämplig på behandlingen i databasen. För kompetensdatabaser är det arbetsgivaren, det vill säga den juridiska personen, som är personuppgiftsansvarig och som därmed är skyldig att se till att personuppgifterna i databasen behandlas i enlighet med PuL.

Det är alltså i första hand arbetsgivaren, och inte en enskild personalchef eller företagsledare, som riskerar att drabbas av sanktioner enligt PuL. Om databasen till exempel innehåller förbjuden registrering av så kallade känsliga personuppgifter - som uppgifter om ras, hälsa, politisk åskådning eller sexuell läggning - kan dock en enskild företagsledare hållas ansvarig straffrättsligt. Om ett företag tillhör en koncern, vilket torde vara normalfallet inom säkerhetsbranschen, kompliceras situationen något. I en koncern kan, beroende på vem som bestämmer ändamålen och medlen med behandlingen, nämligen exempelvis moderbolaget eller annat koncernbolag vara personuppgiftsansvarigt, antingen ensamt eller tillsammans med arbetsgivaren. Om moderbolaget är ensamt personuppgiftsansvarigt, utan att vara arbetsgivare, måste normalt ett särskilt personuppgiftsbiträdesavtal ingås mellan bolagen (30 § PuL). En arbetsgivare som önskar använda en kompetensdatabas bör överväga följande:

1. Fastställ ett specifikt ändamål med kompetensdatabasen
Arbetsgivaren bör tidigt, innan kompetensdatabasen tas i bruk, fastställa ändamålet med personuppgiftsbehandlingen i databasen och tänka igenom vilka personuppgifter som verkligen behöver registreras för att uppfylla ändamålet. Ändamålet bör finnas lättillgängligt för alla personer som använder databasen och också tydligt kommuniceras till de anställda, se nedan om information till de anställda.


2. Utred den rättsliga grunden för personuppgiftsbehandlingen
Redan innan personuppgifter samlas in bör den ansvarige ta ställning till den så kallade rättsliga grunden för behandlingen. Enligt PuL så är en behandling antingen tillåten om de anställda har samtyckt till den eller om behandlingen är nödvändig utifrån vissa kriterier. Om den rättsliga grunden för behandlingen är samtycke, så ska samtycket föregås av information om ändamål med behandlingen, vilka mottagarna av uppgifterna är, rätten att ansöka om information och få rättelse med mera (25 § PuL).
Det bör understrykas att ett samtycke inte med giltig verkan kan lämnas i efterhand (se NJA 2005 s. 361). Ett samtycke måste alltid kunna återkallas av den anställde. Om den rättsliga grunden istället bygger på att registreringen är nödvändig måste en intresseavvägning göras mellan arbetsgivarens intresse av behandlingen och de anställdas intresse av skydd för sin integritet. Enligt DI är det ofta tillåtet att, med stöd av en intresseavvägning, lagra faktauppgifter om anställdas prestationer, utbildningar, poäng från sakkunskapstester och liknande men inte att lagra värderande omdömen från exempelvis ett utvecklingssamtal.

På samma sätt kan det i vissa fall vara tillåtet att med stöd av en intresseavvägning lagra en uppgift om att en anställd är lämplig för avancemang inom företaget - men detsamma gäller inte nödvändigtvis att en anställd inte är lämplig för avancemang inom företaget, då en sådan behandling kan strida mot god sed på arbetsmarknaden. Vid osäkerhet om utfallet av en intresseavvägning kan därför arbetsgivaren ställa frågor till DI eller begära så kallat samråd.

3. Informera arbetstagarna om personuppgiftsbehandlingen
Som antytts ovan, måste arbetsgivaren i förväg informera de anställda om att personuppgifter kommer att börja behandlas i en kompetensdatabas. Om personuppgifterna till exempel samlats in från ett kunskapstest via dator så ska de anställda informeras om ändamålet med behandlingen och sina rättigheter enligt PuL, som rätten till registerutdrag. Sådan information kan exempelvis lämnas genom en särskild informationsruta.

4. Gallra personuppgifterna löpande
Arbetsgivaren är skyldig att löpande gallra inaktuella och felaktiga personuppgifter. Efter en anställnings upphörande ska personuppgifterna nästintill omedelbart gallras, såvida de inte behövs för eventuell återanställning eller liknande. Här är det viktigt att arbetsgivaren redan vid införandet av kompetensdatabasen tar ställning till hur länge personuppgifterna ska sparas.

5. Tillämpa privacy by design
Genom att tillämpa principerna om inbyggd integritet, eller privacy by design, så kan arbetsgivaren minska risken för att integritetskänsliga personuppgifter behandlas felaktigt (se Skydd & Säkerhet nr 4/13). Kompetensdatabasen bör exempelvis vara uppbyggd kring fördefinierade alternativ i kryssfält, rullistor och liknande. Så kallade fritextfält bör helst undvikas och om sådana används, bör det finnas tydliga instruktioner om vilka uppgifter som får registreras och rutiner för att upptäcka och ta bort olämpliga uppgifter. Skräckexemplet är annars att känsliga personuppgifter, till exempel om sjukdomshistoria, och uppgifter om lagöverträdelser, som att en person misstänks ha tagit pengar ur kaffekassan, registreras - vilket kan innebära att arbetsgivaren drabbas av straffrättsliga sanktioner. Därutöver ska personuppgifterna behandlas säkert, vilket kan omfatta personlig inloggning (personliga användarnamn och lösenord) till kompetensdatabasen och att personuppgifterna krypteras.


6. Inför behörighetsstyrning
Endast sådana personer hos arbetsgivaren som behöver tillgång till kompetensdatabasen ska ges det. En personalchef kan exempelvis behöva full tillgång till kompetensdatabasen i sitt arbete men detsamma gäller inte för alla anställda på personalavdelningen. I en större koncern kan vd:n behöva tillgång till kompetensdatabasen men detsamma gäller nödvändigtvis inte hela moderbolagets styrelse.


7 . Utred om personuppgifter ska överföras till tredje land
Om personuppgifterna ska överföras till tredje land, alltså land utanför EU/EES, måste arbetsgivaren säkerställa att det landet har en adekvat skyddsnivå för behandlingen. Därutöver krävs ofta anställdas samtycke till själva överföringen. Viktigt att tänka på i sammanhanget är att överföring till tredje land är vanligare än vad man kan tro. Lagring av personuppgifter hos lagringstjänster i molnet eller på koncernens server i USA innebär typiskt sett en överföring till tredje land. Anställda ska även få särskild information för det fall personuppgifterna kan komma att överföras till tredje land.


8. Tänk på personuppgiftsbiträdesavtal
Om kompetensdatabasen ska skötas av ett utomstående företag eller om personuppgifter lämnas ut till ett annat företag så måste arbetsgivaren i regel ingå ett personuppgiftsbiträdesavtal med det utomstående företaget. Detta bland annat för att säkerställa att säkerhetskraven i PuL följs. Arbetsgivaren behåller dock det yttersta ansvaret för behandlingen, vilket alltså inkluderar ansvar för personuppgiftsbiträdets behandling och säkerhetsrutiner.

9. Glöm inte arbetsrätten
Användning av en kompetensdatabas kan medföra skyldighet att informera och samråda med fackliga representanter enligt MBL .

Det är lätt att inse värdet av en kompetensdatabas, inte minst i större organisationer med många anställda och olika interna tänkbara karriärvägar. Genom att följa ovanstående principer kan arbetsgivaren undvika de värsta fallgroparna med kompetensdatabaser utifrån PuL och därigenom minska risken för potentiella skadestånd, goodwill- och PR-förluster samt risken att de anställda tappar förtroendet för företaget.

Avslutningsvis kan nämnas att PuL inte är tillämplig på rent manuella register, såvida de inte har strukturerats för sökning eller sammanställning enligt särskilda kriterier. Det innebär att PuL sannolikt inte är tillämplig på en ”kompetensdatabas” i form av chefens anteckningsbok, där han/hon har skrivit ned omdömen om anställda.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå oktober 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Inläggen nedan modereras inte i förväg och omfattas därmed inte av webbplatsens utgivningsbevis.
Startsidan just nu

Fortsatt irritation mot Securitas

Migrationsverket: "Vi hamnar kring 80 miljoner"

”Summan har ingen verklighetsförankring”

Securitas vd Joachim Källsholm menar att Migrationsverkets summa inte stämmer.

Twitter öppnar upp trollfarmsarkiv

Nu inleder Datainspektionen GDPR-granskning

Fokus på samtycke som rättslig grund.

PÅ NYTT JOBB
Hon ska hjälpa handeln mot bedrägerier

Svensk Handel rekryterar expert från Polisen.

Väktare stal för över 100 000 från kund

Nyhetsbrev

”Vi är aggressiva på marknaden”

Henie Wang om: konkurrensen med Securitas, höstens affärer och en börsintroduktion.

Arkiv

Kan du lösa FRA:s kryptotweet?

Behöver anställa tusentals

"Stor klientökning inom kriminalvården"

Ilskan mot Securitas

"En form av utpressning"

Tar klivet in på superlistan

Framgångsrika hösten fortsätter

Nytt avtal klart – nu med bygghandelsjätte

Ingen växtvärk för Tempest

Utsett till Gasellföretag – igen

Klädkedja DNA-sprejar kosmetika

Vad innebär brottsdatalagen?

Skriver avtal med stor dagligvarukedja

Värde: en halv miljon om året.

Polisen varnar för mobilskalet

"Någon kommer att bli skjuten"

10-i-topp-lista: Framtidssäkra städer

Stockholm bland världens mest framtidssäkra urbana miljöer.

PÅ NYTT JOBB
Hon får nyinrättad säkerhetstjänst

Från stad till kommun.

Tryckte sedlar i hemkopiatorn

Gick på shoppingtur i Mall of Scandinavia.

Ska leverera säker webb till Finland

Ny drönare ska hitta gruvsprickor

Vid Luleå tekniska universitet finns en drönare, utrustad med kamera och magnetometer. Betydelsen för gruvindustrin är odiskutabel.

Spionläkare avslöjad efter Salisbury

Ska skydda larmsystem mot IoT-attacker

Extronic och AddSecure i samarbete.

PÅ NYTT JOBB
Ny marknadschef på Akamai

Bedragare stal bonuspoäng på Coop

Ska samarbeta med Lidingöloppet

PÅ NYTT JOBB
Internrekryteras på Stanley Security

PÅ NYTT JOBB
Då larmoperatör – nu försäljningschef

Brandskyddet brister i Kaknästornet

Låsjätten investerar i biometri

Nytt högtflygande avtal klart

VALET 2018
Falska nyheter sprids efter valet

IT-SÄKERHET
Växer snabbast på marknaden

VALET 2018
Långsiktig risk för dagens valsedlar

PÅ NYTT JOBB
AddSecure satsar på HR – tillsätter CHRO

Se alla Företagens egna nyheter

Sänd till en kollega

0.152