Personuppgifter i arbetslivet

Här får du veta mer om hur personuppgifter i arbetslivet får behandlas enligt personuppgiftslagen. Informationen vänder sig till arbetsgivare, arbetstagare, fackförbund och branschorganisationer inom både privat och offentlig sektor. I vissa fall kan särskilda regler gälla för arbetsgivare i offentlig verksamhet och dessa tas upp separat. I den mån det finns särskilda lagregler om behandling av personuppgifter inom arbetslivet gäller dessa före personuppgiftslagen.

Informationen innehåller en genomgång av personuppgiftslagens bestämmelser och hur dessa tillämpas på arbetslivets område. Dessutom hittar du exempel från verkliga fall som Datainspektionen behandlat. När det talas om arbetstagare menas i vissa fall även arbetssökande.

Frågan om införande av en särskild lag beträffande personlig integritet i arbetslivet har utretts ett antal gånger. Betänkandet Integritetsskydd i arbetslivet från 2009 (SOU 2009:44), som i och för sig föreslog en särskild lag avseende arbetslivet, gjorde bedömningen att personuppgiftslagen ger ett bra skydd för den personliga integriteten på arbetslivets område.

Inledning
När gäller personuppgiftslagen?
Särskilda regler för offentlig verksamhet
Arbetsgivaren är personuppgiftsansvarig
Arbetsgivarens behandling av personuppgifter – några grunder
Personuppgifter i arbetslivet – några särskilda områden
Publicering på arbetsgivarens webbplats
Bilder på de anställda
Känsliga uppgifter
Brottsuppgifter
Whistleblowing
Personnummer
Kontroll och övervakning av de anställda
Tredjelandsöverföring
Säkerhet för personuppgifter
Anmälan om behandling av personuppgifter
Personuppgiftsombud på arbetsplatsen
Datainspektionens tillsyn inom arbetslivet

Inledning

I arbetslivet används personuppgifter i många olika sammanhang, allt från löneregister och adresslistor till behörighetssystem och kompetensdatabaser. Någon lagstiftning som direkt avser behandling av personuppgifter inom arbetslivet finns inte. Arbetstagarens integritet i arbetslivet regleras och preciseras istället på flera olika ställen; genom arbetsrättslig lagstiftning, Arbetsmiljöverkets föreskrifter och allmänna råd, domstolsavgöranden (praxis) och i riktlinjer som skapas på arbetsmarknaden och anses uttrycka god sed i arbetslivet. Personuppgiftslagen tar vid där andra lagar slutar och gäller där det inte finns särskilda regler för arbetsgivarens behandling av de anställdas personuppgifter.

Vissa typer av personuppgifter anser de flesta av oss vara integritetskänsliga, till exempel uppgifter om hälsa och sexualliv. Ibland kan en arbetstagare uppleva behandling av personuppgifter som ett integritetsintrång, till exempel om informationen som behandlas är mycket detaljerad. Det är viktigt att finna en rimlig balans mellan en arbets­givares behov av att behandla personuppgifter och den enskildes anspråk på personlig integritet. När man gör en sådan bedömning bör man också tänka på att en arbetstagare i allmänhet befinner sig i en beroendeställning i förhållande till arbetsgivaren. Ett samtycke till en viss behandling kan därför inte alltid ges samma betydelse som i andra sammanhang.

Personuppgiftslagen ställer inte något krav på licens eller tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar den personuppgiftsansvarige, det vill säga arbetsgivaren, för att behandling av personuppgifter utförs på ett lagligt sätt. Det är alltså arbetsgivaren som självständigt har ansvaret och som beslutar om vem eller vilka som har rätt att behandla personuppgifter. Detta gäller även om någon annan (ett personuppgiftsbiträde) har fått till uppgift att utföra själva registreringen, till exempel en leverantör av IT-system. Datainspektionen är en tillsynsmyndighet och övervakar tillämpningen av bestämmelserna.

När gäller personuppgiftslagen?

Etablerad i Sverige eller etablerad i tredje land och använder utrustning här

Personuppgiftslagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen gäller också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige, om inte utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

Avvikande bestämmelser i författning

Om det finns bestämmelser i en annan lag eller förordning om behandling av personuppgifter som avviker från personuppgiftslagen, så kallad registerförfattning, ska de bestämmelserna gälla i stället. Kollektivavtal utgör inte en sådan lag eller förordning som gäller före personuppgiftslagen.

Helt eller delvis automatiserad behandling

Personuppgiftslagen tillämpas på all behandling av personuppgifter som utförs helt eller delvis med hjälp av datorer. Att lagen även omfattar delvis automatiserad behandling innebär bland annat att den gäller redan när någon samlar in personuppgifter manuellt, exempelvis genom en pappersenkät, med syfte att senare registrera uppgifterna digitalt. Det innebär också att till exempel muntligt utlämnande eller utlämnande på papper av personuppgifter som lagras digitalt omfattas av lagen.

Manuella register

Även manuell behandling av personuppgifter i register (till exempel ett klassiskt kartotek) omfattas av personuppgiftslagen om uppgifterna är sorterade enligt något slags system som gör det möjligt att söka bland uppgifterna. En hög med papper på ett skrivbord anses inte vara ett register även om de är sorterade i bokstavsordning efter efternamn. För att det ska vara ett manuellt register som omfattas av personuppgiftslagen krävs därför att samlingen av personuppgifter är strukturerad. Det krävs dessutom att personuppgifterna i samlingen gjorts tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling i ostrukturerat material

Personuppgiftslagen innehåller ett antal hanteringsregler (närmare 50 paragrafer), som bland annat handlar om grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material, såsom löpande text och ljud och bild gäller en förenklad reglering. Därför är det bra att först ställa sig frågan: Är behandlingen strukturerad eller ostrukturerad?

Den förenklade regleringen innebär att hanteringsreglerna inte behöver följas när man hanterar personuppgifter i ett ostrukturerat material såsom löpande text i ordbehandlingssystem och på Internet, ljud- och bildupptagningar och korrespondens med e-post. Undantaget kan också omfatta enkla strukturer som listor över anställda på ett företags webbplats (se även avsnittet om arbetsgivarens webbplats). Syftet med förenklingen är att underlätta vardaglig hantering av personuppgifter som typiskt sett inte medför integritetsrisker.

Den förenklade regleringen innebär att vardaglig, ostrukturerad behandling, i princip får utföras fritt så länge man inte kränker någon. Kränkande behandling är inte tillåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får alltså göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen.

Observera att hanteringsreglerna ska tillämpas om ett ostrukturerat material senare ska infogas i ett strukturerat material, till exempel ett kvalificerat dokument- eller ärendehanteringssystem.

Om en samling personuppgifter har strukturerats så att hanteringsreglerna gäller, så omfattas alla personuppgifter som finns i materialet, även om vissa av dessa inte är strukturerade (till exempel i dokument eller ljud- och bildupptagningar som ingår i ett ärendehanteringssystem).

Vid behandling av personuppgifter i ett ostrukturerat material behöver man, förutom en kränkningsbedömning, i stort sett bara tänka på bestämmelserna om säkerhet för personuppgifter (se längre ner). Vill man vara säker på att behandling av personuppgifter inte innebär en kränkning av den personliga integriteten kan man välja att följa personuppgiftslagens hanteringsregler, till exempel de grundläggande kraven och kriterierna för när en behandling av personuppgifter är tillåten.

Fortsättningsvis förutsätts att det är fråga om arbetsgivarens behandling av personuppgifter i ett strukturerat material och att därför alla bestämmelser i personuppgiftslagen gäller.

Särskilda regler för offentlig verksamhet

Förutom personuppgiftslagen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav, exempelvis när det gäller offentlighetsprincipen.

Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga integritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garanterar vidare offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av personuppgiftslagen lämna personuppgifter för offentliggörande i massmedia.

Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, den så kallade offentlighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personregister hos en offentlig arbetsgivare lämnas ut till allmänheten i samma omfattning som traditionella handlingar. Det innebär att många uppgifter om arbetstagare kan bli tillgängliga för vem som helst om det inte råder sekretess enligt offentlighets- och sekretesslagen.

Kriterier vid lönesättningen

Allmänna handlingar i kompetensdatabas
Datainspektionen bedömde i ett samrådsyttrande att en kompetensdatabas hos en offentlig arbetsgivare, där bland annat omdömen om de anställda fanns med, inte var tillåten. I bedömningen togs bland annat hänsyn till att det var en mycket ingående kartläggning av de anställda, att det rörde sig om information av integritetskänslig natur och att informationen inte skyddades av några sekretessbestämmelser utan kunde komma att lämnas ut enligt offentlighetsprincipen.

När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem den sökande är och vilket syfte denne har med sin begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa personuppgiftslagens regel om att informera arbetstagaren om för vilket ändamål uppgiften lämnas ut eller till vem den lämnas. Det finns dock inget som hindrar att arbetsgivaren informerar de anställda om att uppgifter kan komma att lämnas ut med stöd av offentlighetsprincipen.

Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande e-postmeddelanden. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation. Sådana meddelanden bör tas bort eller i vart fall avskiljas från e-postsystemet, till exempel genom att placeras i en särskilt markerad "privat" mapp.

Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna kan innebära undantag från personuppgiftslagens regler om gallring.

Arbetsgivaren är personuppgiftsansvarig

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening) eller den myndighet som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till. Även en fysisk person kan vara personuppgiftsansvarig, till exempel en enskild företagare.

Ibland kan flera juridiska personer eller myndigheter vara inblandade i behandlingen av samma personuppgifter. Det är då viktigt att ta ställning till ansvarsfrågan från början. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. I till exempel stora företagskoncerner med dotterbolag kan personuppgiftsansvaret se ut på flera olika sätt. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen.

Personuppgiftsbiträde

Arbetsgivaren kan låta någon annan utföra den faktiska behandlingen av personuppgifter genom att anlita ett personuppgiftsbiträde för exempelvis hanteringen av de anställdas löner. Personuppgiftsansvaret kan däremot aldrig överlåtas och arbetsgivaren är fortsatt ansvarig för behandlingen även om den utförs av ett personuppgiftsbiträde som exempelvis en molntjänstleverantör. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd som behandlar personuppgifter för arbetsgivarens räkning är alltså inte personuppgiftsbiträde.

Det ska finnas ett skriftligt avtal mellan arbetsgivaren och personuppgiftsbiträdet. I avtalet måste det stå att personuppgiftsbiträdet och dennes anställda bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna. Det är alltså arbetsgivaren som bestämmer för vilka ändamål personuppgifterna ska behandlas.

Vad innebär ansvaret?

Arbetsgivaren ansvarar för att de anställda inte behandlar personuppgifter på ett otillåtet eller lagstridigt sätt i tjänsten och kan bli ansvarig för skador som de orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller personuppgiftslagens krav, till exempel vad gäller ändamål med behandlingen, gallring och bevarande samt säkerhet. Det här gäller oavsett om det är på arbetsplatsen, i hemmet eller på en tjänsteresa. Arbetsgivaren bör därför upprätta och informera om regler och rutiner som beskriver hur de anställda ska behandla personuppgifter. Man bör också fastställa en policy för informationssäkerhet.

Ansvaret för sociala medier

En organisation som använder sig av sociala medier som Facebook, Twitter, bloggar och liknande kommunikationskanaler har ett ansvar för de personuppgifter som organisationen själva publicerar. När det gäller Facebook och bloggar ansvarar organisationen även för personuppgifter som andra publicerar i till exempel kommentarer. Den som arbetar med sociala medier för organisationens räkning behöver informeras om ändamålen med behandlingen av personuppgifter som kan förekomma och att användning som är oförenlig med dessa ändamål är förbjuden.

Läs mer om organisationers användning av sociala medier

Om man bryter mot personuppgiftslagen

Personuppgiftslagen innehåller regler om straff, böter eller fängelse i högst sex månader för den som bryter mot bestämmelser i lagen. Det straffrättsliga ansvaret utkrävs av den fysiska person i organisationen som har gjort sig skyldig till överträdelsen. Lagen säger att till straff "döms den som uppsåtligen eller av grov oaktsamhet":

  • Lämnar osann uppgift i information till registrerade eller i anmälan och information till Datainspektionen.
  • Behandlar känsliga personuppgifter eller uppgifter om brott m.m., med mera i strid med bestämmelserna i lagen.
  • För över personuppgifter till tredje land i strid med bestämmelserna i lagen.
  • Låter bli att göra en anmälan om behandling till Datainspektionen när sådan krävs.
  • Behandlar känsliga uppgifter eller uppgifter om brott m.m. i en ostrukturerad samling av personuppgifter i strid med 5 a § andra stycket personuppgiftslagen.
  • I strid med 5 a § andra stycket personuppgiftslagen för över personuppgifter till tredje land som inte har en adekvat skyddsnivå för skyddet av personuppgifterna.

Är brottet grovt är straffet fängelse i högst två år.

Skadestånd

En arbetsgivare som behandlar personuppgifter om en arbetstagare i strid med personuppgiftslagen ska ersätta arbetstagaren för skada och kränkning av den personliga integriteten som behandlingen har orsakat. Dessutom kan ideell ersättning utgå för själva kränkningen. Om det visar sig att det inte var arbetsgivarens fel, kan ersättningsskyldigheten sättas ned eller helt falla bort.

Kom ihåg att även om arbetsgivaren har anlitat ett personuppgiftsbiträde kan personuppgiftsansvaret aldrig överlåtas. Det är alltid arbetsgivaren som är personuppgiftsansvarig och som kan bli skadeståndsskyldig.

Arbetsgivarens behandling av personuppgifter – några grunder

All behandling av personuppgifter måste vara laglig och ska dessutom utföras på ett korrekt sätt och i enlighet med god sed på arbetsmarknaden. Vad som är god sed kan avgöras mot bakgrund av bland annat överenskommelser inom arbetsmarknaden. Om arbetsgivaren upprättar en policy för sin behandling av personuppgifter, får det som regel anses strida mot god sed att arbetsgivaren inte följer den. Arbetsgivaren bör sträva efter att i första hand samla in personuppgifter från arbetstagaren själv.

Ändamål för behandlingen
Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål eller syften och dessa måste bestämmas redan när behandlingen påbörjas. Ändamålen får inte vara för allmänt hållna och arbetsgivaren måste därför bestämma ett för varje typ av behandling, till exempel personaladministration, behörighetskontroll, säkerhets- och katastrofplanering. Uppgifter som har samlats in för ett visst syfte, till exempel personaladministration, får sedan inte behandlas för något annat syfte som är oförenligt med det ursprungliga, till exempel prestationsmätning. Det här kallas för finalitetsprincipen.

Ändamålet bör beskrivas så noggrant som möjligt och det ska göras innan man börjar samla in personuppgifter. Man kan ange flera ändamål samtidigt. Det ställs inte krav på att ändamålen ska dokumenteras skriftligt men för att undvika tvister och förenkla arbetet med att lämna information till de registrerade kan det ändå vara en fördel att göra det.

Om personuppgifterna ska lämnas vidare till någon annan krävs att även utlämnandet är förenligt med de ursprungliga ändamålen. Att samköra två eller flera register med olika ändamål innebär i allmänhet att ett eller flera nya register med nya ändamål skapas. Att samköra register på detta sätt strider mot finalitetsprincipen och är normalt otillåtet.

Ändamålet var inte tillräckligt angivet
Datainspektionen ansåg i ett ärende att det inte var tillräckligt att enbart ange att "kontroll och loggning kan förekomma" som ändamål för loggning och övervakning på ett sjukhus utan att man samtidigt angav vad syftet med denna kontroll var. Till exempel kan ett sådant syfte vara att man vill övervaka de anställdas arbete för att senare göra en uppföljning av att de interna reglerna följs.

Man får bara behandla uppgifter som är adekvata och relevanta i förhållande till ändamålet med behandlingen. Det betyder att uppgifterna måste ha någon faktisk betydelse för det ändamålet och att man inte ska registrera mer än vad man verkligen behöver. Arbetsgivaren måste bland annat ta ställning till om behandlingen måste utföras på individnivå. Om ändamålet är att föra statistik kan det vara tillräckligt att registreringen sker på ett sätt så att enskilda inte kan identifieras.

Gallring
Personuppgifter ska hålla så hög kvalitet som möjligt. Arbetsgivaren måste därför se till att det finns tydliga rutiner för uppdatering och gallring av uppgifter om arbetstagare. Uppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Ändamålet är alltså utgångspunkten för bedömningen av när uppgifter ska bevaras eller gallras. Man ska inte spara uppgifter bara för att de "kan vara bra att ha".

När en anställning upphör finns det i regel ingen grund för att spara e-postkontot eller uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad.

Ibland krävs det att uppgifter bevaras under en längre tid, till exempel på grund av bestämmelser i lag eller för att de behövs för utbetalning av till exempel pension från arbetsgivaren. En offentlig arbetsgivare måste under vissa förhållanden behålla uppgifter om en arbetssökande, till exempel vid ett överklagande av ett beslut att inte anställa sökanden. Arbetsgivaren kan då behöva uppgifterna för att styrka att ansökan har behandlats på rätt sätt.

Arbetsgivaren måste informera de anställda

Personuppgiftslagen ställer stora krav på att arbetsgivaren självmant informerar de anställda om vilka personuppgifter som samlas in och vad de ska användas till. Detta gäller i princip vid all behandling av personuppgifter. Om uppgifterna samlas in från någon annan källa än den anställde ska arbetsgivaren normalt lämna den anställde information om behandlingen när uppgifterna registreras. Om uppgifterna istället ska samlas in från den anställde själv behöver arbetsgivaren lämna informationen redan i samband med insamlingen. För att ett samtycke till behandling ska vara giltigt måste arbetstagaren ha fått sådan information att han eller hon kan bedöma för- och nackdelarna med behandlingen. Informationen och samtycket måste gälla en viss behandling som rör arbetstagaren och som utförs av en viss arbetsgivare för bestämda syften.

Läs mer om samtycke

Arbetsgivaren är även skyldig att lämna skriftlig information till arbetstagaren om vilka personuppgifter som behandlas och vad uppgifterna används till. Arbetstagaren har rätt att få sådan information en gång per år genom att göra en ansökan om registerutdrag.

Läs mer om information till registrerade

Behandlingen måste vara tillåten

För att en arbetsgivare ska få behandla personuppgifter krävs att behandlingen sker med stöd av ett giltigt samtycke eller omfattas av något annat i personuppgiftslagen uppräknat fall av tillåten behandling som beskrivs nedan. En förutsättning för all behandling är att de grundläggande kraven som beskrivits i avsnittet innan detta är uppfyllda, till exempel att ändamålet med behandlingen är tydligt beskrivet i förväg och att personuppgifterna som behandlas har betydelse för arbetsförhållandet.

För känsliga personuppgifter, uppgifter om brott m.m. och personnummer finns det fler bestämmelser som avgör om en behandling är tillåten. Det finns också särskilda regler för hur personuppgifter får överföras till utlandet. Läs mer om det längre ner.

På grund av avtal
Personuppgifter får behandlas om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan arbetsgivaren och arbetstagaren ska kunna uppfyllas. Detsamma gäller för att åtgärder som den registrerade har begärt ska kunna vidtas innan ett avtal träffas. Avtalet måste ha ingåtts med arbetstagaren själv. Ett avtal mellan arbetsgivaren och en juridisk person, till exempel ett bemanningsföretag, innebär alltså inte att uppgifter får behandlas om personer som är anställda hos bemanningsföretaget. Det finns flera olika typer av system där personuppgifter kan komma att behandlas på grund av avtal, till exempel:

  • personaladministrativa system, det vill säga system för löneberäkning, registrering av sjukfrånvaro
  • in- och utpasseringssystem
  • flextidsystem
  • behörighetskontrollsystem
  • företagshälsovård.

Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med den anställde, får registreras om det behövs för anställningsförhållandet. Detsamma gäller uppgifter om prestationer, till exempel om uppgifterna behövs för att uppfylla skyldigheter enligt ett ackordslöneavtal eller något annat avtalat prestationsbaserat lönesystem. Se även avsnittet Arbetstagares prestationer.

För att en arbetsgivare ska ha rätt att registrera värderande uppgifter måste det tydligt framgå av anställningsavtalet vilken betydelse dessa har för den aktuella tjänsten. Det är inte tillräckligt att parterna har kommit överens om individuell lönesättning.

På grund av en rättslig skyldighet
En arbetsgivare får samla in och registrera personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet. Arbetsgivare är enligt ett flertal lagar och förordningar skyldiga att lämna ut uppgifter om anställda till bland annat statliga och kommunala myndigheter. Som exempel kan nämnas uppgifter som behövs för att:

  • redovisa skatter och sociala avgifter beträffande arbetstagarna
  • erlägga grupplivs- och pensionsavgifter till försäkringsbolag
  • upprätta listor över anställda för att följa de turordningsbestämmelser som gäller vid uppsägning
  • behandla personuppgifter för att kunna leva upp till arbetsmiljölagstiftningen.

För att skydda vitala intressen
En arbetsgivare får behandla personuppgifter om det är nödvändigt för att skydda arbetstagaren i situationer som innebär fara för liv och hälsa.

Efter en intresseavvägning
En arbetsgivare får behandla personuppgifter om det är nödvändigt och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Den här bedömningen ska avgöras efter en avvägning och hur den utfaller beror bland annat på förhållandena på den aktuella arbetsplatsen, vilken slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras, vilka regler och riktlinjer som utfärdats av arbetsgivaren och vilken information arbetstagarna har fått.

Läs mer om intresseavvägning

Några exempel på behandling av personuppgifter med stöd av en intresseavvägning:

  • Arbetsgivaren har ofta ett starkt intresse av att kunna kontakta anhöriga vid till exempel olycksfall eller sjukdom. Intresse av att samla in och registrera anhörigas namn och kontaktuppgifter väger normalt över de registrerades intresse av att uppgifterna inte behandlas. Eftersom behandlingen i sådana fall kan ske efter en intresseavvägning behöver inte samtycke inhämtas från de anhöriga men de anhöriga måste fortfarande få information.
  • Inspelning av anställdas telefonsamtal i utbildningssyfte får under vissa förutsättningar ske med stöd av en intresseavvägning. Inspelning av kunders telefonsamtal får ske om man får deras samtycke. I undantagsfall kan inspelning av kunders samtal vara tillåten med stöd av en så kallad intresseavvägning.

Läs mer om inspelning av telefonsamtal

Med arbetstagarens samtycke

Är inget av villkoren ovan för att få behandla personuppgifter uppfyllt kan en arbetsgivare i vissa fall ändå ha rätt att utföra behandlingen. Men då krävs att arbetstagaren ger sitt samtycke. En förutsättning är, som tidigare nämnts, att man uppfyllt de grundläggande krav som ställs på all behandling av personuppgifter och som vi gått igenom i föregående kapitel.

Om ett uttryckligt samtycke har lämnats kan känsliga personuppgifter behandlas. Uppgifter kan också få lämnas ut till tredje land med stöd av samtycke. Brottsuppgifter får däremot inte behandlas ens med samtycke, se mer om detta i avsnittet Brottsuppgifter.

Fackets registrering av löneuppgifter var inte tillåten...
Datainspektionen ansåg i ett ärende att en fackförenings insamling av löneuppgifter rörande personer som inte var medlemmar i föreningen, i syfte att kontrollera att arbetsgivaren följt kollektivavtalet, inte var tillåten med stöd av en intresseavvägning. Den anställdes intresse av att slippa få sina personuppgifter registrerade vägde tyngre än fackförbundets intresse av att behandla uppgifterna. Datainspektionen ansåg att löneuppgifter har ett skyddsvärde ur integritetssynpunkt. Inspektionen bedömde vidare att det var ett otillbörligt integritetsintrång att anställda tvingades få sina löneuppgifter registrerade hos en fackförening som de själva valt att stå utanför. Datainspektionen bedömde att en sådan behandling istället borde stödja sig på samtycke från den anställde.

...men i ett annat fall godkändes behandlingen
I ett liknande fall ansåg däremot Arbetsdomstolen (AD) att ett fackförbunds insamling och behandling av uppgifter i anställningsbevis om bland annat löneuppgifter, i enlighet med gällande kollektivavtal, kunde ske med stöd av en intresseavvägning enligt personuppgiftslagen. Behandlingen omfattade även uppgifter om anställda som inte var medlemmar i förbundet. Eftersom det var fråga om att endast lämna ut uppgifter i samband med ingåendet av anställningsavtalet för att kontrollera att anställningsvillkoren överensstämde med kollektivavtalet och att uppgifterna inte skulle behandlas ytterligare, ansåg domstolen att förbundets intresse vägde tyngre än de icke-anslutna arbetstagarnas intresse av skydd för sin personliga integritet.

Ett samtycke måste vara giltigt
Ett samtycke till att behandla personuppgifter ska enligt personuppgiftslagen vara frivilligt, särskilt, informerat och en otvetydig viljeyttring. Samtycket ska också vara individuellt. Det kan lämnas muntligt eller skriftligt. Eftersom det är arbetsgivaren som har bevisbördan för att arbetstagaren verkligen givit sitt samtycke kan det vara lämpligt att på något sätt dokumentera det, till exempel på ett formulär som samtidigt innehåller den information som ska lämnas till den registrerade. Skriver man in sina personuppgifter i en databas efter att ha fått information om vad uppgifterna ska användas till anses man ha samtyckt. Däremot är det inte tillräckligt att arbetsgivaren antar att arbetstagaren samtycker till en behandling av personuppgifter.

Det kan ofta vara svårt för arbetsgivare att stödja en behandling av personuppgifter på samtycken från arbetstagarna. Det beror på att arbetstagare ofta befinner sig i en beroendeställning gentemot sina arbetsgivare och därför inte kan lämna sådana frivilliga samtycken som personuppgiftslagen kräver. Behandling av personuppgifter i arbetslivet med stöd av samtycke begränsas därför till sådana situationer där arbetstagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar. Om de anställda erbjuds rimliga alternativ och inte utsätts för någon direkt eller indirekt påtryckning att samtycka kan det vara tillåtet för arbetsgivaren att behandla personuppgifter med stöd av samtycken från de anställda.

Man kan inte samtycka generellt till behandling av personuppgifter, till exempel eventuella behandlingar i framtiden, utan att känna till vilka dessa är. Arbetsgivaren måste informera om en eller flera planerade behandlingar och samtycket avser då dessa. Det avgörande är att arbetstagaren vet vilka behandlingar han eller hon samtycker till.

Att samtycket ska vara individuellt innebär att det ska vara den registrerade som genom viljeyttringen godtar behandlingen av personuppgifter. Med det hindrar inte att en facklig organisation samlar in samtycken från varje medlem och lämnar dessa vidare till arbetsgivaren.

Ett samtycke kan återkallas
Arbetstagaren har rätt att när som helst ta tillbaka sitt samtycke. Det kan göras skriftligt eller muntligt. Det är arbetstagaren som har bevisbördan för att en återkallelse har gjorts och när det gjordes. Därefter får bara redan insamlade personuppgifter behandlas. Eftersom uppgifterna inte får uppdateras eller kompletteras utan samtycke kan de därför bli inaktuella eller ofullständiga och behöva avidentifieras eller raderas. De grundläggande kraven innebär nämligen att personuppgifter måste vara riktiga och aktuella.

Läs mer om samtycke

Personuppgifter i arbetslivet – några särskilda områden

Publicering på arbetsgivarens webbplats

När man publicerar text och bild på Internet är de nästan alltid ostrukturerade. Publiceringen är då tillåten om den inte kränker arbetstagarens personliga integritet. Ett exempel på otillåten behandling är om arbetsgivaren på Internet publicerar namn på en anställd som har skyddade personuppgifter. Om man är osäker på om publiceringen kan vara kränkande är det en god regel att inhämta ett samtycke från arbetstagaren. Observera att det måste vara ett frivilligt samtycke.

En arbetsgivare kan ofta publicera arbetsrelaterade uppgifter om de anställda på webbplatsen med stöd av den förenklade regleringen i personuppgiftslagen som handlar om ostrukturerade uppgifter. Det är normalt tillåtet att publicera anställdas namn, befattning, telefonnummer, e-postadress och liknande uppgifter som har anknytning till arbetet.

Arbetsgivaren kan normalt webbpublicera sådan arbetsrelaterad information om de anställda även om det är fråga om ett strukturerat material för vilket hanteringsreglerna gäller. Publiceringen får i dessa fall grundas på en intresseavvägning där arbetsgivaren eller tredje mans berättigade intresse av att uppgifterna publiceras vägs mot de anställdas intresse av skydd mot kränkning av den personliga integriteten.

Bilder på de anställda

Möjligheten att publicera bilder på anställda får bedömas i varje enskilt fall, oavsett om det rör sig om ostrukturerad eller strukturerad behandling. Att få sin bild publicerad på Internet kan av många upplevas som särskilt känsligt. För att undvika att kränka någon kan det därför vara lämpligt att fråga den anställde innan man publicerar bilder på denne. Vid strukturerad behandling kan man normalt sett utgå från att samtycke måste inhämtas för att bildpublicering ska vara tillåten. Men det finns undantag. Inom vissa verksamheter kan arbetsgivaren ha tungt vägande skäl för att exponera bilder på anställda med exempelvis kundorienterade arbetsuppgifter. I sådana fall kan arbetsgivarens intresse av att publicera bilder väga tyngre än de anställdas intresse av skydd och därmed ge stöd för publiceringen.

Känsliga uppgifter

Känsliga personuppgifter är som tidigare nämnts uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök. En arbetsgivare får bara behandla känsliga personuppgifter i vissa undantagsfall, men aldrig efter enbart en intresseavvägning. Här beskrivs några av undantagsfallen:

På grund av skyldighet eller rättighet inom arbetsrätten
En arbetsgivare får behandla känsliga personuppgifter om det krävs för att denne ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter gentemot sina arbetstagare och deras fackliga organisationer. Som exempel kan nämnas när uppgifter om anställdas sjukdom behandlas för att beräkna sjuklön, utreda frånvarorätt eller inleda en rehabiliteringsutredning. Ytterligare exempel är när uppgifter om fackligt medlemskap registreras på grund av att arbetsgivaren har åtagit sig att göra löneavdrag för fackföreningsavgift eller för att kunna fullgöra sin förhandlingsskyldighet enligt lagen (1976:580) om medbestämmande i arbetslivet. Om det blir aktuellt att behandla känsliga uppgifter på grund av skyldighet inom arbetsrätten ska man tänka på att behandlingen ska begränsas till enbart detta.

De känsliga personuppgifterna får bara lämnas vidare till någon annan om arbetstagaren uttryckligen har samtyckt till det eller när det finns en sådan skyldighet inom arbetsrätten. Det kan till exempel gälla uppgifter för grupplivs- och pensionsavgifter som lämnas till försäkringsbolag.

Vissa arbetsgivare anlitar fristående företag för att administrera sjuk­anmälningar och liknande. Om det handlar om ett vårdföretag, till exempel en företagshälsovård som för patientjournaler om de anställda, måste de följa patientdatalagen. Vårdgivaren måste också ta hänsyn till bestämmelser om sekretess och tystnadsplikt i offentlighets- och sekretesslagen samt patientsäkerhetslagen.

I den offentliga sektorn gäller lagen (1994:260) om offentlig anställning (LOA) och den bestämmelse om periodiska undersökningar som finns där. Bestämmelsen innebär en skyldighet för arbetstagaren att i vissa fall genomgå hälsoundersökningar. Inom den privata sektorn gäller principen om den fria antagningsrätten och arbetsgivarna har därför en stor frihet att bestämma vilka krav som ska ställas på den arbetssökande, till exempel angående medicinska kontroller. För alla arbetsgivare gäller arbetsmiljölagen (1977:1160) där arbetsgivaren har ett allmänt ansvar att se till att hälsoövervakning och medicinska kontroller som behövs genomförs. Läs mer om det i Arbetsmiljöverkets föreskrifter om medicinska kontroller i arbetslivet.

Alkoskåpet var tillåtet
I ett ärende hade ett bussbolag integrerat ett alkoskåp med ett system för inpassering. Samtliga anställda var tvungna att lämna utandningsprov i alkoskåpet vid arbetsdagens början och slut. Datainspektionen ansåg att bolaget fick behandla personuppgifter från alkoskåpet om till exempel busschaufförer med stöd av en intresseavvägning, under förutsättning att de kompletterade sin information om behandlingen. Beträffande annan personal som inte hade arbetsuppgifter av direkt betydelse för det säkra framförandet av fordon, exempelvis administrativ personal, krävdes samtycke för behandling av personuppgifter i alkoskåpet. Om någon på grund av för hög alkoholkoncentration i utandningsluften gör ett icke godkänt blåsprov kan det röra sig om en känslig personuppgift som rör hälsa, i alla fall om det indikerar ett alkoholmissbruk. I personuppgiftslagen finns ett principiellt förbud att behandla känsliga uppgifter men det finns flera undantag, som exempelvis om det är nödvändigt på grund av en arbetsrättslig skyldighet.

Arbetsgivaren får inte regelmässigt registrera uppgifter om till exempel provsvar, diagnoser och vaccinering. Om sådana uppgifter ska registreras måste det ske i överensstämmelse med personuppgiftslagen, till exempel att dessa uppgifter är nödvändiga på grund av arbetsrättsliga åligganden. Här är det särskilt viktigt att tänka på att arbetsgivaren ser till att tillgången till uppgifterna begränsas.

För att hävda rättsliga anspråk
En arbetsgivare får behandla känsliga personuppgifter när det behövs för att utreda, göra gällande eller försvara ett rättsligt anspråk. Det kan till exempel vara tillåtet att behandla känsliga personuppgifter i syfte att säkra bevisning inför en eventuell framtida arbetsrättslig tvist. Ett exempel är uppgifter om arbetsoförmåga, om det är nödvändigt för att kunna framställa ett rättsligt anspråk som grund för uppsägning. Ett annat exempel är uppgifter om medlemskap i fackförening, för att kunna veta var en talan i domstol ska väckas eller föras.

Behandling av känsliga uppgifter med stöd av ett samtycke
Känsliga personuppgifter kan få behandlas med ett klart uttalat samtycke från arbetstagaren. Även om det inte föreligger en skyldighet enligt arbetsrätten att lämna ut uppgifter så får en arbetsgivare med arbetstagarens uttryckliga samtycke lämna ut sådana känsliga uppgifter om arbetstagaren som denne samlat in med stöd av arbetsrätten.

Känsliga uppgifter

Personuppgifter som är känsliga får också behandlas om arbetstagaren själv gått ut med informationen. Det kan till exempel gälla uppgift om medlemskap i en fackförening när den anställde aktivt verkat för föreningen på arbetsplatsen. Lagen talar här om att den registrerade på ett tydligt sätt offentliggjort uppgifterna.

Brottsuppgifter

Det är förbjudet för arbetsgivare som inte är myndigheter att behandla personuppgifter om lagöverträdelser, det vill säga uppgifter om brott, domar i brottmål, häktningar och andra former av tvångsingripanden med stöd av lag. Någon dom eller liknande beträffande brottet krävs inte. Ett samtycke från arbetstagaren ger inte arbetsgivaren rätt att frångå det här förbudet. Däremot finns det undantag:

  • Det kan finnas särskilda bestämmelser i andra lagar och förordningar än personuppgiftslagen eller myndighetstillstånd i enskilda fall som tillåter behandling av brottsuppgifter.
  • Man får också behandla brottsuppgifter om det gäller en enstaka personuppgift som är nödvändig för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk i ett särskilt fall, till exempel ett skadeståndsanspråk.
  • Enstaka brottsuppgifter får också behandlas om det krävs för att kunna fullgöra en anmälningsskyldighet enligt lag, till exempel att göra en polisanmälan.

Det förekommer att arbetsgivare vid en anställningsintervju ställer frågor om brottslighet eller kräver att den arbetssökande visar upp ett intyg ur polisens belastningsregister. Personuppgiftslagen hindrar inte att arbetsgivaren agerar på det sättet. För vissa verksamheter gäller särskild lagstiftning som säger att arbetsgivare är skyldiga att begära att den som erbjuds en anställning uppvisar ett utdrag ur belastningsregistret, till exempel i skollagen (2010:800). Det är olagligt att utan lagstöd registrera eller scanna in uppgifter ur belastningsregistret. Däremot är det ok att registrera uppgift om att ett utdrag inhämtats och uppvisats om dokumentet och de aktuella personuppgifterna förstörs omgående.

Whistleblowing

Många bolag har särskilda rapporteringskanaler som de anställda kan använda för att rapportera om allvarliga oegentligheter inom bolagen, som exempelvis bokföringsbrott eller mutbrott. Sådana system kallas för whistleblowingsystem. Bolag som vill inrätta whistleblowingsystem, där uppgifter om lagöverträdelser kan förekomma, har möjlighet att göra det med stöd av Datainspektionens föreskrifter DIFS 1998:3 (omtryckt 2010:1). Bolaget måste följa bestämmelserna i personuppgiftslagen och de särskilda förutsättningarna som anges i grundläggande kraven i personuppgiftslagen, ha en laglig grund för behandlingen och lämna tillräcklig information till registrerade. Rapporteringen får endast omfatta allvarliga oegentligheter som begåtts av personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen. För mer information se Datainspektionens vägledning Ansvaret för personuppgifter som hanteras i system för whistleblowing.

Personnummer

Uppgifter om personnummer får behandlas med arbetstagarens samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen vikten av en säker identifiering eller av något annat beaktansvärt skäl. En arbetsgivare får till exempel registrera personnummer för att administrera sina anställda eller för att kunna lämna uppgifter till olika myndigheter, till exempel skatteverket. Däremot finns det sällan anledning att använda personnummer när man skriver ut tjänstgöringslistor och adressetiketter.

Som utgångspunkt är det inte motiverat att använda personnummer som användarnamn vid inloggning på exempelvis en dator. Däremot kan det vara motiverat när man behöver en säker identifiering för behörighetsadministration. Detta beror på att när man utreder felaktig eller obehörig användning av personuppgifter måste man kunna identifiera användaren. När det gäller stora organisationer med många anställda kan det vara tillåtet att använda personnummer för både behörighetsadministration och vid inloggning. Tänk på att det inte innebär en ökad IT-säkerhet att använda personnummer som användarnamn. Det krävs alltid goda rutiner och tydliga instruktioner till de anställda när det gäller hantering av lösenord. Notera också att inloggning över öppet nät till integritetskänsliga personuppgifter kräver säker autentisering i form av till exempel e-legitimation.

Kontroll och övervakning av de anställda

Arbetstagarens prestationer
En arbetsgivares rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras i huvudsak genom arbetsrättslig lagstiftning och eventuellt i kollektivavtal.

Uppgifter om betyg, omdömen eller andra värderande upplysningar, till exempel från utvecklingssamtal med arbetstagaren, får registreras om det är nödvändigt för att administrera anställningsavtalet eller för att uppfylla rättsliga skyldigheter.

Behandling av personuppgifter för ändamål som innebär individuell prestationsmätning är tillåten om den är nödvändig för att uppfylla anställningsavtalet, till exempel för att beräkna och betala ut lön. Behandling av personuppgifter som innebär individuell prestationsmätning är också tillåten för andra berättigade ändamål såsom att planera, organisera, leda och följa upp arbetet om det sker på ett sätt som inte strider mot god sed på arbetsmarknaden eller är kränkande för de anställda. Behandlingen kan i sådana fall grunda sig på en intresseavvägning.

Prestationsmätning var tillåten
Datainspektionen bedömde att arbetsgivarens registrering av anställdas effektivitet på ett bryggerilager var tillåten. Mätningarna gjordes för att betala ut avtalad premielön och för att få underlag till individuella måltalssamtal som bolaget regelbundet håller med de anställda plockarna på lagret. Utifrån de angivna ändamålen var det däremot inte motiverat att använda systemet för att i realtid övervaka hur de anställda utförde sina arbetsuppgifter och när de tog raster.

Att mäta och registrera prestationer kan också vara tillåtet om arbetstagaren har lämnat ett giltigt samtycke. I så fall måste de grundläggande kraven i personuppgiftslagen som nämnts tidigare vara uppfyllda. Det krävs också att arbetsgivaren har informerat arbetstagaren om behandlingen.

I den individuella lönesättningens natur ligger att arbetstagarens prestation har betydelse för lönen och det kan därför inte anses kränkande att arbetsgivaren vill följa upp prestationen så länge det sker på ett godtagbart sett. Det gäller också att behandlingen följer vad som kan anses vara god sed på arbetsmarknaden.

Sammanställningar av uppgifter om de anställda som lagras för att användas för ett visst syfte, till exempel fakturering eller bemanningsplanering, får normalt inte användas för något annat syfte, till exempel individuell värdering vid lönesättning.

Uppgifter om resultat från personlighetstester, profiler och liknande får som huvudregel endast behandlas med arbetstagarens samtycke. Undantag från denna regel kan finnas i lag eller annan författning. Det kan inte uteslutas att uppgifterna kan få registreras med stöd av en intresseavvägning. Det krävs i så fall att arbetsgivarens behov av att behandla uppgifterna om de anställda på ett tydligt sätt överväger de anställdas intresse av skydd mot kränkning av den personliga integriteten.

Rekryteringssystem och kompetensdatabaser
Intern och extern rekrytering av arbetstagare utförs ofta med hjälp av datoriserade rekryteringssystem. Använder man sådana system får bara uppgifter som är nödvändiga för rekryteringens ändamål behandlas, till exempel för att bedöma den arbetssökandes lämplighet och karriärmöjligheter.

Personuppgifter i en ansökan, intervjuanteckningar och uppgifter från referenser får registreras och sparas så länge de är nödvändiga för ansökningsförfarandet. Därefter ska uppgifterna gallras. Arbetsgivaren får dock spara uppgifterna så länge sökande som inte har anställts kan vidta rättsliga åtgärder, till exempel om man inte fått jobbet och vill överklaga. Om uppgifterna ska sparas under en längre tid för framtida rekrytering krävs den sökandes samtycke.

Kompetensdatabasen var inte tillåten
I ett ärende bedömde Datainspektionen att en offentlig arbetsgivares registrering av bland annat omdöme, kompetenser, utbildning, prestationer och personliga egenskaper om de anställda i en kompetensdatabas inte var tillåten med stöd av en intresseavvägning. Anledningen var framförallt att systemet innebar en mycket ingående kartläggning av de anställda. Stora delar av databasen ansågs bestå av information av integritetskänslig natur utan möjlighet att sekretessbelägga uppgifterna.

Datainspektionen anser att en arbetstagare normalt kan lämna ett giltigt samtycke till att hans/hennes personuppgifter behandlas i en kompetensdatabas. Arbetsgivaren kan även efter en intresseavvägning och i enlighet med god sed på arbetsmarknaden ofta registrera faktauppgifter om anställda i kompetensdatabaser. Det kan till exempel avse uppgifter om genomförda utbildningar, arbetslivserfarenhet, uppdrag, poäng från sakkunskapstester och liknande. Vill man registrera andra uppgifter, till exempel värderande omdömen, krävs normalt ett samtycke från arbetstagaren.

Regler för användningen av IT-systemet
Datorer som arbetsgivaren ställer till de anställdas förfogande är arbetsredskap. Med stöd av arbetsledningsrätten har arbetsgivaren rätt att bestämma hur utrustningen på arbetsplatsen får användas. Arbetsgivaren ansvarar för organisationens informationssäkerhet och för att inga otillåtna behandlingar av personuppgifter utförs. Denne bör därför utarbeta regler och riktlinjer för användningen av datorer och datanät.

Arbetsgivaren har rätt att kontrollera om reglerna följs. Sådan kontroll av de anställda måste ha ett i förväg bestämt ändamål som är sakligt grundat i verksamheten. De anställda måste vara informerade om vilka regler som gäller, vilka kontroller som kan komma att utföras samt syftet med dessa. De anställdas intresse att få information kan förväntas vara särskilt starkt när det gäller vilka kontroller som de kan komma att utsättas för med hjälp av de insamlade uppgifterna. Information ska normalt lämnas självmant av arbetsgivaren innan uppgifterna samlas in men behöver inte lämnas vid varje enskilt kontrolltillfälle. Om arbetsgivarens ändamål exempelvis är att spåra och motverka oegentligheter och sabotage måste tydlig information lämnas till de registrerade, så att det klart framgår vad detta innebär och vilka kontroller som kan bli aktuella. Det kan inte förutsättas att den anställde känner till vad arbetsgivaren menar med "oegentligheter" och "missbruk".

Arbetsgivaren har normalt sett inte rätt att läsa eller på annat sätt ta del av arbetstagarens privata e-post eller privata filer. Undantag kan gälla vid en allvarlig misstanke om illojalt eller brottsligt beteende eller en allvarlig misstanke om att den anställde använder IT-utrustningen i strid med arbetsgivarens regler och riktlinjer.

Loggning av webbtrafik

Loggning
Logguppgifter registreras ofta av tekniska skäl men förekommer även i en mängd andra situationer, till exempel vid elektroniska inpasseringskontroller, i telefonväxlar och butikskassor. Om uppgifter som registreras i en loggfil går att knyta till en enskild person är de personuppgifter. Genom loggfiler går det till exempel att kontrollera arbetstagarens användning av e-post och vilka webbplatser denne har besökt.

Loggning uppfattas ofta som mycket integritetskänsligt och bör därför inte utformas eller utnyttjas så att den medför risk för intrång i de anställdas integritet. Ibland är det kanske tillräckligt att övervaka ett systems tekniska funktion eller kontrollera dess användning utan att den enskilde användaren registreras. Loggning av användarnas aktiviteter har också en förebyggande funktion om de anställda informeras om att loggningen finns och att den kontrolleras.

Om arbetsgivaren vill logga till exempel internetanvändningen för att tekniskt övervaka systemet av säkerhetsskäl, får loggen inte senare användas för andra syften som är oförenliga med det ursprungliga syftet (finalitetsprincipen), till exempel kontroll av arbetstagarens prestationer. Om kontroller utförs för andra syften än det ursprungligen bestämda krävs som huvudregel information och samtycke.

Kameraövervakning
Bedömningen av om kameraövervakning i det enskilda fallet är tillåten innefattar en proportionalitetsbedömning. Vid bedömningen ska avgöras om kameraövervakningen och den till övervakningen kopplade personuppgiftsbehandlingen är proportionerlig i förhållande till sitt ändamål och till de övervakades intresse av en fredad och privat sfär och det intrång i denna sfär som övervakningen innebär. För att kunna bedöma proportionaliteten av en viss åtgärd såsom hanteringen av information som inhämtats genom kameraövervakning behöver man ha kännedom om och väga in bland annat bakomliggande problem, behov, möjliga alternativa åtgärder och konsekvenserna för enskildas personliga integritet.

Kameraövervakningen användes för ett annat ändamål
Datainspektionen har i ett ärende konstaterat att en kommun utfört en otillåten behandling av personuppgifter när den, för att kontrollera hur lokalvårdare har utfört sitt arbete, använt information som samlats in vid kameraövervakning i en skola. I det aktuella fallet hade kommunen inte hållit sig till ändamålen. Övervakningskameror sattes upp för brottsförebyggande ändamål. Det inspelade materialet hade dock på grund av missnöje med städningen använts för att kontrollera hur lokalvårdare utfört sitt arbete. Att kontrollera enskildas arbetsinsatser är normalt sett inte ett sådant berättigat ändamål som kan motivera en så ingripande åtgärd som kameraövervakning.

Det som kan vara av betydelse för bedömningen av om kameraövervakning är tillåten eller inte är bland annat:

  • syftet med kameraövervakningen
  • behovet av kameraövervakningen
  • vilken plats som ska övervakas
  • vilken information som man ger till den registrerade om att platsen är kameraövervakad
  • hur känsliga uppgifterna som kan komma att registreras är
  • hur länge det inspelade materialet sparas och vem eller vilka som har tillgång till det.

Det är normalt sett tillåtet att använda kameraövervakning på platser där det kan finnas ett särskilt behov av kameraövervakning för att förebygga brott, till exempel om det är en plats som är utsatt för en större risk för stöld och rån än normalt, som ett kassahanteringsrum eller varuintag. Det är i normalfallet inte tillåtet att använda kameror som inte syns. Personalen ska få veta om att de är övervakade.

Kameraövervakningen var kränkande
Datainspektionen har i ett ärende bedömt att användning av dold kameraövervakning för att ta reda på vem som tillgripit varor på en arbetsplats var kränkande och därmed otillåten enligt personuppgiftslagen. Ärendet rörde kameraövervakning av bistro och förstaklassvagn ombord på ett tåg under depåstopp. Bedömningen gjordes bland annat mot bakgrund av vad lagstiftaren uttalat angående dold respektive hemlig kameraövervakning.

Läs mer om kameraövervakning på arbetsplatser

Positioneringsteknik (GPS)
Att kontrollera var fordon och anställda befinner sig genom olika former av positioneringssystem har blivit allt vanligare. Positioneringssystem möjliggör en närgången övervakning av enskilda individer och medför risker för otillbörliga integritetsintrång.

Arbetsgivare som vill använda positioneringssystem måste normalt stödja sig på en intresseavvägning. Ändamål som är godtagbara är säkerhet, logistik, fördelning av resurser och underlag för fakturering. Behandlingen måste vara sakligt motiverad i verksamheten och får inte utföras på ett alltför närgånget eller omfattande sätt. Datainspektionen har ansett att det normalt är otillåtet att med stöd av en intresseavvägning använda positioneringssystem för att rutinmässigt kontrollera hur länge den anställde arbetar. Detta kan dock vara tillåtet vid misstankar om att den anställde allvarligt missbrukar arbetsgivarens förtroende, till exempel vid missbruk av tidredovisningen..

Läs mer om positioneringsteknik i arbetslivet

Elektronisk körjournal
Arbetsgivare som vill använda positioneringssystem för elektronisk körjournal, i syfte att underlätta efterlevnaden av Skatteverkets krav på redovisning av anställdas körda mil i tjänsten, kan stödja sig på en intresseavvägning. Det krävs dock att arbetsgivaren ser till att enbart behandla de uppgifter från positioneringssystemet som behövs för att uppfylla redovisningsskyldigheten gentemot Skatteverket. Det kan ske genom att arbetsgivaren endast sparar sådana uppgifter som de skulle ha registrerat om de istället använt en manuell körjournal. Övriga uppgifter ska i princip gallras omedelbart, i den mån uppgifterna inte behövs för att uppfylla andra berättigade ändamål. Datainspektionen har dock ansett att det bör vara rimligt att spara detaljerade uppgifter om fordonens position i upp till tre månader för att i efterhand kunna komplettera befintliga körjournaler med exempelvis uppgift om syftet med en viss resa.

Biometri
Biometriska uppgifter är mycket speciella till sin natur eftersom de rör individens beteendemässiga och fysiologiska egenskaper och möjliggör en unik identifiering av varje person, exempelvis genom fingeravtryck, irismönster och handgeometri. När man använder biometriska uppgifter ger det upphov till integritetsrisker som kan vara svåra att överblicka i dagsläget.

För att arbetsgivaren ska få behandla biometriska uppgifter med stöd av en intresseavvägning krävs tungt vägande skäl. Rent allmänt vägs åtgärder som betingas av säkerhetsskäl tyngre än åtgärder som betingas av företagsekonomiska effektivitetsskäl. Vid intresseavvägningen är det också av betydelse:

  • vilken slags verksamhet som bedrivs
  • vilken typ av biometriska uppgifter som registreras och hur omfattande registreringen är
  • hur länge uppgifterna sparas
  • om det är möjligt att återskapa exempelvis ett fingeravtryck utifrån de uppgifterna som registreras
  • om det finns risk för att uppgifterna på något sätt skulle kunna missbrukas eller användas för andra ändamål än det avsedda
  • om uppgifterna ska sparas lokalt eller centralt
  • vilka tekniska och organisatoriska åtgärder som omgärdar de uppgifter som behandlas.

För att arbetsgivaren ska få använda biometri för närvaro- och tidsrapportering krävs normalt att arbetstagarna samtycker till behandlingen. För att samtycket ska vara giltigt måste arbetstagaren ha ett verkligt fritt val och senare kunna ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Det innebär bland annat att arbetstagaren, liksom när det gäller positioneringsteknik, måste erbjudas en alternativ metod, exempelvis att logga in genom användarnamn och lösenord, samt att han eller hon inte utsätts för någon direkt eller indirekt påtryckning att välja det alternativ som innebär behandling av biometriska uppgifter.

Tredjelandsöverföring

EU:s dataskyddsdirektiv, som ligger till grund för den svenska personuppgiftslagen, kräver att alla medlemsstater har regler som ger ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU/EES har man ansett att överföring till sådana länder bör begränsas. Det finns dock flera undantag.

Personuppgifter får föras över till tredje land i någon av följande situationer:

  • Om det finns en adekvat skyddsnivå i mottagarlandet (till exempel i enlighet med beslut av EU-kommissionen som finns uppräknade i en bilaga till personuppgiftsförordningen. I förordningen anges också uttryckligen att överföring är tillåten i dessa fall).
  • När den registrerade gett sitt samtycke till överföringen.
  • I vissa särskilda situationer, till exempel om överföringen är nödvändig för att ett avtal med den registrerade och arbetsgivaren ska kunna fullgöras.
  • Om det i annat fall är tillåtet enligt föreskrifter eller särskilda beslut av regeringen eller Datainspektionen därför att det finns tillräckliga garantier för att de registrerades rättigheter ändå skyddas. Sådana garantier kan finnas genom:
    Standardavtalsklausuler som EU-kommissionen godkänt.
    Bindande företagsinterna regler (så kallade Binding Corporate Rules – BCR).

Om arbetsgivaren anlitar ett personuppgiftsbiträde utanför EU/EES som behandlar personuppgifter för arbetsgivarens räkning, till exempel genom att de lagras på en server hos biträdet, måste arbetsgivaren se till att reglerna om överföring av personuppgifter till tredjeland är uppfyllda. Det kan till exempel ske genom att man ingår ett avtal med standardavtalsklausuler som EU-kommissionen godkänt.

Läs mer om tredjelandsöverföring

Säkerhet för personuppgifter

Det är arbetsgivaren som ansvarar för att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för behandlingen av personuppgifter. Utgångspunkten är att det bara är befattningshavare som har behov av personuppgifterna som ska ha tillgång till dem. Säkerhetsåtgärderna skall ställas i relation till de tekniska möjligheter som finns, kostnaderna för åtgärderna, de risker som finns samt de behandlade uppgifternas känslighet. Till tekniska åtgärder räknas till exempel inloggning, behörighetsspärrar och krypteringsfunktioner medan organisatoriska åtgärder handlar om det administrativa säkerhetsarbetet som till exempel rutiner, instruktioner och policier.

Personuppgifter som rör ett anställningsförhållande kan vara integritetskänsliga och ska därför skyddas från insyn av obehöriga. Utgångspunkten är att ju känsligare personuppgifter desto högre krav ställs på säkerhetsåtgärderna. Datainspektionen har utfärdat allmänna råd om säkerhet för personuppgifter. Dessa beskriver närmare vilka krav personuppgiftslagen ställer på säkerhet vid behandlingen av personuppgifter.

Läs mer om säkerhet för personuppgifter

Anmälan om behandling av personuppgifter

Normalt sett behöver man inte anmäla en behandling av personuppgifter till Datainspektionen. Det beror på att det har gjorts ett stort antal undantag från den anmälningsskyldighet som personuppgiftslagen innehåller. Dessa undantag finns i personuppgiftsförordningen (1998:1191) och i Datainspektionens föreskrifter DIFS 1998:2 (omtryckt 2001:1). Till exempel gäller i många fall undantag för behandling av personuppgifter avseende anställning.

Personuppgiftsombud på arbetsplatsen

Normalt sett finns det ingen skyldighet att utse ett personuppgiftsombud enligt personuppgiftslagen. Det finns dock flera fördelar med att utse ett personuppgiftsombud exempelvis behöver den som har anmält ett personuppgiftsombud inte anmäla sina behandlingar till Datainspektionen. Personuppgiftsombudet ska hjälpa den personuppgiftsansvarige att uppfylla lagens krav och bidra till att skapa ordning och reda. Det kan i vissa fall finnas en skyldighet att utse personuppgiftsombud i registerförfattningar.

Läs mer om personuppgiftsombud

Samråd

Personuppgiftsombud som är tveksamma till hur personuppgiftslagen ska tolkas i olika frågor inom arbetslivet kan skriva till Datainspektionen för att få råd. En sådan förfrågan kallas för samråd och svaret från Datainspektionen kallas för samrådsyttrande.

Läs samrådsyttranden från Datainspektionen

Datainspektionens tillsyn inom arbetslivet

Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen och kan genom tillsyn kontrollera om en behandling av personuppgifter är laglig, det vill säga att bestämmelser i personuppgiftslagen följs. Tillsynen kan inledas till exempel genom ett klagomål från en arbetstagare eller en facklig organisation, genom uppgifter i media, genom en anmälan om behandling eller genom uppgifter från ett personuppgiftsombud. Datainspektionen har ingen ombudsmannaroll utan prövar självständigt om tillsyn ska inledas och på vilket sätt den ska bedrivas. Tillsynsverksamheten är inriktad på integritetskänsliga behandlingar, nya företeelser och behandlingar där risk för missbruk är särskilt stor.

Tillsynen utförs till exempel genom inspektioner på företag, organisationer och myndigheter. Datainspektionen kan begära in en skriftlig redogörelse från den personuppgiftsansvarige eller utföra tillsyn genom anmälda och oanmälda inspektioner. Datainspektionen har rätt att få tillgång till de personuppgifter som behandlas och tillträde till lokaler med anknytning till behandlingen. Upplysningar om och dokumentation av behandlingen, liksom om säkerhetsåtgärder, ska lämnas på begäran. Om den personuppgiftsansvarige inte tillmötesgår denna begäran kan Datainspektionen besluta om vite.

I första hand ska Datainspektionen åstadkomma rättelse genom påpekanden och förelägganden. Går det inte att få rättelse på annat sätt kan inspektionen vid vite förbjuda fortsatt behandling. Även när arbetsgivaren inte frivilligt följer ett beslut om säkerhetsåtgärder kan vite föreläggas.

I vissa fall är det som nämnts straffbart för en arbetsgivare att behandla personuppgifter i strid med personuppgiftslagen. Om Datainspektionen i sin utredning av ett ärende konstaterar att en behandling av personuppgifter är straffbar kan myndigheten besluta att polisanmäla behandlingen.

Enligt personuppgiftslagen finns det möjlighet för en arbetstagare att få skadestånd för den skada som en behandling orsakat. Datainspektionen kan dock inte hjälpa till med detta utan arbetstagaren måste själv framföra sina krav och vid behov väcka talan om skadestånd hos en allmän domstol. Justitiekanslern har möjlighet att på frivillig väg reglera vissa skadeståndsanspråk som riktas mot staten.

Illustrationer: Oscar Alarik

Personuppgiftslagen

Mer information

Kameraövervakning

Informationen till arbetsgivare som överväger att kameraövervaka utrymmen på arbetsplatsen dit allmänheten inte har tillträde.

Positioneringsteknik

Läs mer om vad som gäller när man använder positioneringsteknik i arbetslivet.

Kompetensdatabaser

Läs mer om vilka personuppgifter arbetsgivaren får registrera i så kallade kompetensdatabaser.

Samrådsyttranden

Läs några av de samrådsyttranden som Datainspektionen skrivit i ärenden som rör arbetslivet.

Nyheter

Dokument

Läs sidan i pdf-format

Informationen på denna sida finns även i pdf-format.

Beställ som broschyr

Broschyren Personuppgifter i arbetslivetInformationen på den här sidan finns också i form av en broschyr som du kan beställa från vår beställningstjänst.