Kompetensdatabaser och PuL - vilka uppgifter får registreras om anställda?

| Av Hanna Stenvall | Tipsa redaktionen

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

DATABASER. Flera bolag i säkerhetsbranschen använder sig av kompetensdatabaser som en del av sina HR-system. Sådana databaser kan innehålla information om de anställda med objektiva fakta, som utbildningsnivå och mer subjektiva och värderande omdömen om arbetsprestationer. Registrering av uppgifterna kan strida mot PuL. Genom att iaktta några enkla principer går det dock att undvika de värsta fallgroparna.

Kompetensdatabaser är en typ av register där arbetsgivare lagrar uppgifter om exempelvis anställdas utbildningsnivå, arbetslivserfarenhet, resultat från tester och övriga kvalifikationer. I vissa fall registreras också värderande uppgifter om anställda, som om personen är lämplig för avancemang inom företaget eller inte. Kompetensdatabasen kan sedan komma att användas för att inventera och utvärdera de anställdas kompetenser, då befattningar tillsätts internt samt kanske även vid utvecklings- och lönesamtal och vid lönesättning.
Eftersom uppgifter som behandlas i en kompetensdatabas antingen direkt eller indirekt kan hänföras till fysiska personer så är personuppgiftslagen, PuL, tillämplig på behandlingen i databasen. För kompetensdatabaser är det arbetsgivaren, det vill säga den juridiska personen, som är personuppgiftsansvarig och som därmed är skyldig att se till att personuppgifterna i databasen behandlas i enlighet med PuL.

Det är alltså i första hand arbetsgivaren, och inte en enskild personalchef eller företagsledare, som riskerar att drabbas av sanktioner enligt PuL. Om databasen till exempel innehåller förbjuden registrering av så kallade känsliga personuppgifter - som uppgifter om ras, hälsa, politisk åskådning eller sexuell läggning - kan dock en enskild företagsledare hållas ansvarig straffrättsligt. Om ett företag tillhör en koncern, vilket torde vara normalfallet inom säkerhetsbranschen, kompliceras situationen något. I en koncern kan, beroende på vem som bestämmer ändamålen och medlen med behandlingen, nämligen exempelvis moderbolaget eller annat koncernbolag vara personuppgiftsansvarigt, antingen ensamt eller tillsammans med arbetsgivaren. Om moderbolaget är ensamt personuppgiftsansvarigt, utan att vara arbetsgivare, måste normalt ett särskilt personuppgiftsbiträdesavtal ingås mellan bolagen (30 § PuL). En arbetsgivare som önskar använda en kompetensdatabas bör överväga följande:

1. Fastställ ett specifikt ändamål med kompetensdatabasen
Arbetsgivaren bör tidigt, innan kompetensdatabasen tas i bruk, fastställa ändamålet med personuppgiftsbehandlingen i databasen och tänka igenom vilka personuppgifter som verkligen behöver registreras för att uppfylla ändamålet. Ändamålet bör finnas lättillgängligt för alla personer som använder databasen och också tydligt kommuniceras till de anställda, se nedan om information till de anställda.


2. Utred den rättsliga grunden för personuppgiftsbehandlingen
Redan innan personuppgifter samlas in bör den ansvarige ta ställning till den så kallade rättsliga grunden för behandlingen. Enligt PuL så är en behandling antingen tillåten om de anställda har samtyckt till den eller om behandlingen är nödvändig utifrån vissa kriterier. Om den rättsliga grunden för behandlingen är samtycke, så ska samtycket föregås av information om ändamål med behandlingen, vilka mottagarna av uppgifterna är, rätten att ansöka om information och få rättelse med mera (25 § PuL).
Det bör understrykas att ett samtycke inte med giltig verkan kan lämnas i efterhand (se NJA 2005 s. 361). Ett samtycke måste alltid kunna återkallas av den anställde. Om den rättsliga grunden istället bygger på att registreringen är nödvändig måste en intresseavvägning göras mellan arbetsgivarens intresse av behandlingen och de anställdas intresse av skydd för sin integritet. Enligt DI är det ofta tillåtet att, med stöd av en intresseavvägning, lagra faktauppgifter om anställdas prestationer, utbildningar, poäng från sakkunskapstester och liknande men inte att lagra värderande omdömen från exempelvis ett utvecklingssamtal.

På samma sätt kan det i vissa fall vara tillåtet att med stöd av en intresseavvägning lagra en uppgift om att en anställd är lämplig för avancemang inom företaget - men detsamma gäller inte nödvändigtvis att en anställd inte är lämplig för avancemang inom företaget, då en sådan behandling kan strida mot god sed på arbetsmarknaden. Vid osäkerhet om utfallet av en intresseavvägning kan därför arbetsgivaren ställa frågor till DI eller begära så kallat samråd.

3. Informera arbetstagarna om personuppgiftsbehandlingen
Som antytts ovan, måste arbetsgivaren i förväg informera de anställda om att personuppgifter kommer att börja behandlas i en kompetensdatabas. Om personuppgifterna till exempel samlats in från ett kunskapstest via dator så ska de anställda informeras om ändamålet med behandlingen och sina rättigheter enligt PuL, som rätten till registerutdrag. Sådan information kan exempelvis lämnas genom en särskild informationsruta.

4. Gallra personuppgifterna löpande
Arbetsgivaren är skyldig att löpande gallra inaktuella och felaktiga personuppgifter. Efter en anställnings upphörande ska personuppgifterna nästintill omedelbart gallras, såvida de inte behövs för eventuell återanställning eller liknande. Här är det viktigt att arbetsgivaren redan vid införandet av kompetensdatabasen tar ställning till hur länge personuppgifterna ska sparas.

5. Tillämpa privacy by design
Genom att tillämpa principerna om inbyggd integritet, eller privacy by design, så kan arbetsgivaren minska risken för att integritetskänsliga personuppgifter behandlas felaktigt (se Skydd & Säkerhet nr 4/13). Kompetensdatabasen bör exempelvis vara uppbyggd kring fördefinierade alternativ i kryssfält, rullistor och liknande. Så kallade fritextfält bör helst undvikas och om sådana används, bör det finnas tydliga instruktioner om vilka uppgifter som får registreras och rutiner för att upptäcka och ta bort olämpliga uppgifter. Skräckexemplet är annars att känsliga personuppgifter, till exempel om sjukdomshistoria, och uppgifter om lagöverträdelser, som att en person misstänks ha tagit pengar ur kaffekassan, registreras - vilket kan innebära att arbetsgivaren drabbas av straffrättsliga sanktioner. Därutöver ska personuppgifterna behandlas säkert, vilket kan omfatta personlig inloggning (personliga användarnamn och lösenord) till kompetensdatabasen och att personuppgifterna krypteras.


6. Inför behörighetsstyrning
Endast sådana personer hos arbetsgivaren som behöver tillgång till kompetensdatabasen ska ges det. En personalchef kan exempelvis behöva full tillgång till kompetensdatabasen i sitt arbete men detsamma gäller inte för alla anställda på personalavdelningen. I en större koncern kan vd:n behöva tillgång till kompetensdatabasen men detsamma gäller nödvändigtvis inte hela moderbolagets styrelse.


7 . Utred om personuppgifter ska överföras till tredje land
Om personuppgifterna ska överföras till tredje land, alltså land utanför EU/EES, måste arbetsgivaren säkerställa att det landet har en adekvat skyddsnivå för behandlingen. Därutöver krävs ofta anställdas samtycke till själva överföringen. Viktigt att tänka på i sammanhanget är att överföring till tredje land är vanligare än vad man kan tro. Lagring av personuppgifter hos lagringstjänster i molnet eller på koncernens server i USA innebär typiskt sett en överföring till tredje land. Anställda ska även få särskild information för det fall personuppgifterna kan komma att överföras till tredje land.


8. Tänk på personuppgiftsbiträdesavtal
Om kompetensdatabasen ska skötas av ett utomstående företag eller om personuppgifter lämnas ut till ett annat företag så måste arbetsgivaren i regel ingå ett personuppgiftsbiträdesavtal med det utomstående företaget. Detta bland annat för att säkerställa att säkerhetskraven i PuL följs. Arbetsgivaren behåller dock det yttersta ansvaret för behandlingen, vilket alltså inkluderar ansvar för personuppgiftsbiträdets behandling och säkerhetsrutiner.

9. Glöm inte arbetsrätten
Användning av en kompetensdatabas kan medföra skyldighet att informera och samråda med fackliga representanter enligt MBL .

Det är lätt att inse värdet av en kompetensdatabas, inte minst i större organisationer med många anställda och olika interna tänkbara karriärvägar. Genom att följa ovanstående principer kan arbetsgivaren undvika de värsta fallgroparna med kompetensdatabaser utifrån PuL och därigenom minska risken för potentiella skadestånd, goodwill- och PR-förluster samt risken att de anställda tappar förtroendet för företaget.

Avslutningsvis kan nämnas att PuL inte är tillämplig på rent manuella register, såvida de inte har strukturerats för sökning eller sammanställning enligt särskilda kriterier. Det innebär att PuL sannolikt inte är tillämplig på en ”kompetensdatabas” i form av chefens anteckningsbok, där han/hon har skrivit ned omdömen om anställda.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi Advokatbyrå oktober 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Great Security köper Norrköpingsbolag

Säkerhet viktigare i skolan

Stänger efter protester

Fler söker hjälp för hedersvåld

Allt fler personer söker hjälp för att de utsatts för hedervåld, enligt en undersökning från TT.

Ny fakturastorm från blufföretag

Sverige får myndighet för psykologiskt försvar

Regeringen vill inrätta en myndighet för psykologiskt försvar, förklarade statsminister Stefan Löfven i sitt tal på söndagen vid försvarskonferensen ”Folk & Försvar” i Sälen.

Nyhetsbrev

Förbjuder elefanter på cirkus

I en remiss föreslår regeringen en skärpt djurskyddslag som bland annat innebär ett förbud mot att tamdjur överges samt mot användning av utrustning som kan orsaka lidande eller skada på tävlingsdjur.

Arkiv

Ny lag ska göra vägarna säkrare

Arbetar mot brott i Skåne

Mobilbilder på dödade djur räckte inte

Mobilbilder och filmer på lodjur i olika fällor, en film där ett lodjur snaras i ett träd och en film där någon petar på ett fångat lodjur – det räckte inte som bevis för en fällande dom för grovt jaktbrott. Men tre av de åtalade i den så kallade jakthärvan har dömts till fängelse.

Malmö universitet ökar säkerheten

Så blev första helgen med ny vapenlag

Topright får flera beställningar

”VMA-systemet behöver bli enklare”

Vill ha fler kameror

Nätsajt varnar för lavinfara

På Naturvårdsverkets hemsida finns daglig uppdaterad information om lavinfaran i den svenska fjällvärlden under hela skidsäsongen.

Fler ärenden till åklagare

Antalet ärenden som polisen redovisat till åklagare ökade i fjol med 3,4 procent jämfört med 2016.

Förlängd åtalstid om misstänkt terroristbrott

Swedavia bygger ut

Saab köper Dockstavarvet

Saab köper två varv, Dockstavarvet och Muskövarvet.

Liseberg nöjt med Nokas

Ännu ett förvärv för Addsecure

Addsecure stärker sin nordiska närvaro genom att förvärva alarmkommunikationsverksamheten av finska Prevent 360.

Malmö får polisutbildning

Tryggare pakethantering hos Bussgods

5 listade mål för cyberattacker

Så vill Stockholm skydda valet

Strongpoint i ryskt storavtal

Hatbrott ökar på asylboenden

Det är polisens lönemål

Great Security till Uppsala

”Frågetecken kring nya kameralagen”

Han är säkerhetsbolagets nye vd

Svensk handel vill se större polisnärvaro i oroliga områden

Tjuvarna sågade sig in genom taket

Miljoner till säkrare cykling

Företagsstjärna utsedd i Helsingborg

Sänd till en kollega

0.141