Kompetensdatabaser och personuppgiftslagen

Checklista för arbetsgivare

Den här informationen riktar sig till dig som är arbetsgivare och är tänkt att ge vägledning när du registrerar uppgifter om personal i kompetensdatabaser. Kompetensdatabaser är en typ av register där man lagrar uppgifter om till exempel genomförda utbildningar, arbetslivserfarenhet och värderande uppgifter om den anställde. Kompetensdatabaser kan användas till exempel då befattningar ska tillsättas internt.

Vägval

Det här får du registrera

Arbetsgivare kan registrera faktauppgifter om anställda i kompetensdatabaser efter en intresseavvägning eller med stöd av samtycken från personalen, det vill säga att den enskilde ger sitt medgivande. Det kan exempelvis handla om uppgifter om genomförda utbildningar, arbetslivserfarenhet och resultat från sakkunskapstester.

Registrering av subjektiva omdömen eller andra värderande uppgifter från till exempel utvecklingssamtal, uppgifter om resultat från personlighetstester, personlighetsprofiler och liknande samt uppgifter som är känsliga i personuppgiftslagens mening får som huvudregel inte förekomma utan att anställda gett sina samtycken.

Uppgifter om personalens prestationer, beteenden eller liknande som graderas enligt fördefinierade skalor, utgör i princip värderande uppgifter. I större organisationer med många anställda kan det vara nödvändigt att registrera denna typ av uppgifter för att kunna bemanna organisationen på bästa sätt. I dessa situationer kan värderande uppgifter i fördefinierade fält, trots ovan angivna huvudregel, få registreras med stöd av en intresseavvägning.

HandslagBehandlingen måste alltid ligga i linje med god sed på arbetsmarknaden och ändamålet för databasen. En notering om att personen A har potential för högre ledaruppdrag kan vara berättigat och i enlighet med god sed, men inte en notering om att personen B misslyckats på sin senaste tjänstgöring och därför inte bör komma ifråga för nya uppdrag.

Arbetsgivare i offentlig verksamhet bör vara särskilt restriktiva med vilken information som läggs in i kompetensdatabaser eftersom uppgifter i dessa kan komma att behöva lämnas ut med stöd av offentlighetsprincipen.

Informera personalen

Personuppgifter får normalt inte registreras i kompetensdatabaser utan att den som berörs informerats. När uppgifter samlas in direkt från personalen, till exempel genom att de själva gör en bedömning av sin kompetens med hjälp av dator, lämnas informationen lämpligen i en särskild informationsruta i anslutning till en inloggningssida.

Se till att personuppgifter gallras

Arbetsgivaren måste redan från början ta ställning till hur länge personuppgifterna i kompetensdatabaser ska sparas och införa rutiner för gallring. Uppgifterna ska normalt tas bort kort tid efter det att anställningsförhållandet upphört. I offentlig verksamhet kan det finnas krav på arkivering av handlingar som ingår i kompetensdatabaser. Handlingarna måste då avskiljas från kompetensdatabasen eller avgränsas tekniskt.

Inför integritetsvänliga rutiner

Fritextfält ökar risken för att integritetskänsliga uppgifter registreras. Använd därför gärna fördefinierade uppgifter i exempelvis kryssfält eller rullistor. Om fritextfält används bör det finnas skriftliga instruktioner för vilka uppgifter som får förekomma i fälten samt rutiner för att upptäcka och ta bort uppgifter som av integritetsskäl inte ska finnas.

Tillgången till uppgifter måste begränsas med ett system för behörighetsstyrning så att endast personer som behöver åtkomst till uppgifterna i sitt arbete har det.

Fastställ personuppgiftsansvaret i större organisationer

Utred personuppgiftsansvaret då kompetensdatabaser används i koncerner och andra större organisationer. Det är den personuppgiftsansvarige som är skyldig att se till att personuppgiftslagen följs. Ansvarsfördelningen beror på vem som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. I en koncern kan ansvaret ligga hos moderbolaget ensamt, samtliga bolag gemensamt eller bolagen var för sig.

Säkerställ att lagen följs då uppgifter överförs till tredje land

Om personuppgifter förs över till tredje land (länder utanför EU/EES), till exempel då uppgifterna överförs till en koncerngemensam databas i USA, måste man följa särskilda regler.

Läs mer om personuppgiftslagens regler om tredjelandsöverföring

Se över behovet av biträdesavtal

Om ett utomstående företag behandlar personuppgifter för arbetsgivarens räkning, till exempel då uppgifter i en kompetensdatabas lagras på en server hos en systemleverantör, måste arbetsgivaren upprätta ett biträdesavtal med detta företag.

Personuppgiftslagen

Mer information

Arbetslivet

Läs mer om behandling av personuppgifter i arbetslivet.

Samtycke

Läs mer om vad personuppgiftslagen säger om samtycke.

Intresseavvägning

Läs mer om vad som menas med intresseavvägning och vilka regler som gäller kring det.

Dokument

Läs sidan i pdf-format

Informationen på denna sida finns även i pdf-format.