Samkörning av personalregister med FN:s terrorlista

Arbetslivet

Fråga:

Ni undrar om det är förenligt med personuppgiftslagen att samköra (matcha) företagets personalregister mot FN:s så kallade terrorlista för att säkerställa att företaget inte anställer eller har anställd eller uppdragstagare på listan.

Svar:

Datainspektionen anser att det inte är tillåtet att samköra ett företags personalregister mot FN:s terrorlista.

För personalregister gäller normalt "de gamla vanliga" reglerna i personuppgiftslagen (hanteringsmodellen) eftersom det är fråga om ett klassiskt register. Personuppgifter i ett personalregister har vanligen strukturerats för att göra det enklare att söka efter eller sammanställa personuppgifter. Datainspektionen utgår därför i sitt svar från att undantagsregeln i 5a § personuppgiftslagen inte är tillämplig på behandlingen.

Flera av de grundläggande kraven i 9 § personuppgiftslagen torde inte vara uppfyllda vid den av er beskrivna personuppgiftsbehandlingen. Observera särskilt kraven på förenlighet med god sed, att personuppgifter endast får samlas in för berättigade ändamål och den s.k. finalitetsprincipen i punkten d) – personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Syftet med personalregister är i första hand att administrera anställningsförhållanden, till exempel att betala ut lön.

En samkörning av ett personalregister mot FN:s terrorlista skulle även strida mot förbudet i 21 § personuppgiftslagen för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott. Inget av de av Datainspektionen meddelade undantagen från förbudet i DIFS1998:3 är tillämpligt här.

För bedömningen gör det här ingen skillnad om företaget har inhämtat samtycke till samkörningen från de registrerade arbetstagarna. Ett samtycke ska vara en individuell, frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Den vars uppgifter ska behandlas måste ha ett verkligt fritt val och ska kunna ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Såvitt gäller arbetstagare kan det i en sådan här situation knappast sägas vara fråga om ett verkligt frivilligt samtycke på grund av den beroendeställning som en anställd befinner sig i, i förhållande till arbetsgivaren. Situationen kan vara densamma ifråga om en arbetssökande eller en uppdragstagare.

Det har inte någon avgörande betydelse för tillåtligheten enligt personuppgiftslagen till samkörningen om en person befinns förtecknad på FN:s så kallade terrorlista på grund av handling i land utanför personuppgiftslagens tillämpningsområde. Det avgörande för om personuppgiftslagen är tillämplig på behandlingen är om den som vill behandla personuppgifterna för det angivna ändamålet, den personuppgiftsansvarige, är etablerad i Sverige eller om den utrustning som används för behandlingen av personuppgifterna finns i Sverige.

Ni undrar även om det har någon avgörande betydelse för tillåtligheten enligt personuppgiftslagen om istället för samkörning gör en rent manuell kontroll. Ni kan göra en manuell kontroll mot listan men det torde vara otillåtet att därefter databehandla uppgifterna.

Att titta på den allmänt tillgängliga terrorlistan på nätet och leta efter enskilda namn torde vara tillåtet. (Låt vara att det knappast är praktiskt möjligt med hänsyn till listans omfattning.) Men om det skulle finnas en uppgift på listan om till exempel en anställd är det däremot inte tillåtet att lägga in denna i personalregistret eftersom det är fråga om en uppgift om brott (21§ personuppgiftslagen). Att behandla uppgiften på annat sätt i detta sammanhang skulle förmodligen också leda till en otillåten personuppgiftsbehandling enligt personuppgiftslagen. Detta är beroende av hur uppgiften används. Om den skulle behandlas automatiserat men inte strukturerat är behandlingen troligen ändå inte tillåten enligt 5 a § andra stycket eftersom den torde vara att betrakta som kränkande för den enskildes personliga integritet.

(November 2007)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.