Behandling av anställdas personuppgifter
Behandling av anställdas personuppgifter
GDPR-nätverkets Arbetsutskott Behandling av anställdas personuppgifter 2019-07-05
INNEHÅLL
2. BEHANDLING AV PERSONUPPGIFTER I ARBETSLIVET 5
3. PRIVAT BEHANDLING PÅ ARBETSGIVARENS UTRUSTNING 6
8
17
Efter anställningens upphörande
28
GDPR-nätverket startades 2016 inför ikraftträdandet av dataskyddsförordningen1 och har fokus mot offentlig sektor. Pensionsmyndigheten sammanhåller nätverket. Arbetet inom nätverket bedrivs i form av arbetsutskott och arbetsgrupper inom olika ämnen. Nätverket har lite större nätverksträffar några gånger per år.
Arbetsutskottet Behandling av anställdas personuppgifter (utskottet) har tagit sig an uppgiften att med beaktande av den nya dataskyddsförordningen beskriva användning av personuppgifter inom arbetslivet. Utgångspunkten är behandling av anställdas personuppgifter inom myndighetssfären, bl.a. förvaltningsmyndigheter och kommunala bolag. Särskild uppmärksamhet har riktats mot rättslig grund för de olika typer och behov av behandling av personuppgifter som förekommer på en arbetsplats. Även anställdas rättigheter vid arbetsgivares behandling av personuppgifter har varit föremål för arbetsutskottets arbete.
Detta dokument består i huvudsak av en matris som redogör för typ av behandling inom arbetslivet, rättslig grund för behandlingen, liksom för behandling av känsliga personuppgifter, rättigheter kopplade till typen av behandling och bevarandetid för uppgifterna.
Det är utskottets förhoppning att detta dokument och matris kan skapa viss klarhet i den tämligen komplexa hantering av personuppgifter som förekommer i arbetslivet och utgöra ett stöd för chefer, personalhandläggare och medarbetare på arbetsplatsen för att tillförsäkra anställda en lagenlig behandling. För innehållet i dokumentet ansvarar utskottets representanter och inga andra.
Utskottet avslutar sitt arbete genom detta dokument. Eftersom utskottet genom denna redovisning upplöses, saknar den praktiska möjligheter att uppdatera dokumentet.
Utskottet har tagit fasta på olika faser i behandlingen av personuppgifter i arbetslivet. Behandling av anställdas personuppgifter kan kategoriseras på följande sätt:
• Rekryteringen
• Under anställningen
• Efter anställningens upphörande
Dataskyddsförordningen innebär en ny ordning för persondataskyddet i Sverige och andra medlemsländer inom EU. Ett flertal förändringar har införts som påtagligt ändrar förutsättningarna för att behandla personuppgifter om anställda. Som exempel kan nämnas ett uttryckligt förbud för myndigheter att, när de ”fullgör sina uppgifter”, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den personuppgiftsansvariges berättigade intressen och den registrerades rättigheter och intressen
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
(art. 6.1 andra stycket). Ett annat ord för den rättsliga grunden är ”intresseavvägning” (art. 6.1 f).
Den närmare innebörden av ordalydelsen ”fullgör sina uppgifter” i förbudet är inte helt klar. För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser regeringen att en annan rättslig grund som aktualiseras inom offentlig verksamhet, ”uppgifter av allmänt intresse” (art. 6.1 e), måste ges en vidare betydelse än den har idag på grund av förbudet.2 Den rättsliga grunden ”uppgifter av allmänt intresse” ska enligt regeringen bl.a. kunna användas för behandling av personuppgifter ”som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion”.3 Utskottet har identifierat ett flertal behandlingar av anställdas personuppgifter hos myndigheter som stödjer sig på denna rättsliga grund.
För övrigt noterar utskottet att myndighetsbegreppet i dataskyddsförordningen inte omfattar kommunala bolag. Sådana bolag, liksom privata bolag och föreningar, omfattas inte av förbudet att använda den rättsliga grunden ”intresseavvägning” för behandling av anställdas personuppgifter.4
En annan konsekvens av den nya regleringen som utskottet haft att beakta är ett undantag som försvann när personuppgiftslagen (PUL) upphörde. Undantaget avsåg behandling av ostrukturerade personuppgifter, dvs. uppgifter som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller annan sammanställning av just personuppgifter. Som exempel kan nämnas behandling av anställdas personuppgifter i ordbehandlingsprogram eller e-post. Vid sådan behandling behövde inte PUL:s bestämmelser iakttas.
Konsekvensen av att PUL upphört är att ostrukturerade personuppgifter omfattas av dataskyddsförordningen och att den personuppgiftsansvarige ska göra en laglighetsprövning även av sådana behandlingar. Problemet är att det på grund av lättnaden i PUL saknas domstolspraxis på ett tämligen vitt område för behandling av personuppgifter som innefattar även anställdas personuppgifter.
I utskottet har följande representanter och organisationer medverkat:
• Xxxxxxx Xxxxxx, Inera AB (sammankallande)
• Xxxx Xxxx, Bosch-Siemens
• Xxxxxxx Xxxxxxxx, Sentensia
• Xxxxxx Xxxxxxxx, Socialstyrelsen
• Xxxxx Xxxxxx, Konkurrensverket
• Xxxxx Xxxxxxx, Första AP-fonden
• Xxxxxxxx Xxxxxxxxx Tillväxtverket
• Xxxx Xxxxxxxx, Folkhälsomyndigheten
• Xxxx Xxxxxxx, Folkhälsomyndigheten
• Xxxxxx Xxxxxxx, Lantmäteriet
• Xxxxxx Xxxxxxxxx, Lantmäteriet
2 Prop. 2017/18:105 s. 56.
3 Prop. 2017/18:105 s. 60.
4 Ib. s. 139
2. BEHANDLING AV PERSONUPPGIFTER I ARBETSLIVET
I arbetslivet används personuppgifter i många olika sammanhang, allt från löneregister och adresslistor till behörighetssystem, kompetensdatabaser och publicering av bilder på internet. Någon specialförfattning som specifikt reglerar behandling av personuppgifter inom arbetslivet finns inte.
Anställdas integritet i arbetslivet regleras och preciseras i stället på flera sätt: genom arbetsrättslig lagstiftning, Arbetsmiljöverkets föreskrifter och allmänna råd, domstolsavgöranden (praxis) samt i riktlinjer och överenskommelser som skapas på arbetsmarknaden och anses uttrycka god sed i arbetslivet.
All behandling av personuppgifter kräver en rättslig grund i dataskyddsförordningen (art. 6.1). Om ingen av grunderna är tillämpliga är behandlingen inte laglig och får därmed inte utföras. Detta gäller, som nämnts, all behandling av personuppgifter, även sådan ostrukturerad behandling som tidigare enligt PUL var undantagen dataskyddsbestämmelserna (se föregående avsnitt). Dessutom måste behandlingen även vara nödvändig i förhållande till den rättsliga grunden och vara förenlig med dataskyddsförordningens grundläggande dataskyddsprinciper (art. 5). Principerna innebär bl.a. att personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt.
Av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) framgår att för vissa rättsliga grunder (”rättslig förpliktelse”,
”arbetsuppgifter av allmänt intresse” och ”myndighetsutövning”) krävs dessutom att grunden är fastställd i författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser (2 kap. 1 och 2 §§). Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal. En viktig nyhet i dataskyddsförordningen är vidare att det uttryckligen anges att den som är personuppgiftsansvarig ska kunna ”visa” att man följer bestämmelserna i dataskyddsförordningen, s.k. ansvarsskyldighet (art. 24.1). Den personuppgiftsansvarige måste därför ha dokumenterade rutiner för att se till att regelverket följs.
Dataskyddsförordningens övergripande syfte är att värna enskildas fri- och rättigheter vid behandling av deras personuppgifter, såsom rätten till privatliv, familjeliv och privat kommunikation. Även anställdas fri- och rättigheter ska respekteras av en arbetsgivare. Ibland kan en anställd uppleva behandling av personuppgifter som ett integritetsintrång, t.ex. om informationen som behandlas är mycket detaljerad. Det är viktigt att finna en rimlig balans mellan en arbetsgivares behov av att behandla personuppgifter och den enskildes anspråk på personlig integritet.
När en arbetsgivare gör en sådan bedömning bör man också tänka på att en anställd i allmänhet befinner sig i en beroendeställning i förhållande till arbetsgivaren. En anställds samtycke till en viss behandling kan därför inte alltid ges samma betydelse som i andra sammanhang. Samtycke som rättslig grund för behandling av anställdas personuppgifter ska därför undvikas av arbetsgivare i så stor utsträckning som möjligt eftersom det inte är säkert att samtycke är frivilligt – frivillighet är ett grundkrav för ett lagligt samtycke. Samma
överväganden bör göras vid rekrytering för att kunna spara uppgifterna en längre tid för att kunna bemöta anklagelser om diskriminering från en sökande som nekats en utlyst tjänst. En annan rättslig grund än samtycke bör således åberopas i den information som ska lämnas till sökande vid rekrytering.
Dataskyddsförordningen ställer inte något krav på tillstånd från Datainspektionen för att få behandla personuppgifter. I stället ansvarar den personuppgiftsansvarige, dvs. arbetsgivaren, för att behandling av personuppgifter utförs på ett lagligt sätt. Det är alltså arbetsgivaren som självständigt har ansvaret och som beslutar om hur behandling av anställdas personuppgifter får utföras. Detta gäller även om någon annan (ett personuppgiftsbiträde) har fått till uppgift att utföra själva registreringen, t.ex. en leverantör av IT-system. Datainspektionen är tillsynsmyndighet och övervakar tillämpningen av bestämmelserna.
3. PRIVAT BEHANDLING PÅ ARBETSGIVARENS UTRUSTNING
Utrymmet för en anställd att behandla personuppgifter inom ramen för sitt privat- och familjeliv på arbetsgivarens utrustning (datorer, telefoner m.m.) är av förklarliga skäl begränsat. Arbetsgivaren är ju personuppgiftsansvarig och kan svårligen åberopa någon som helst rättslig grund för dylik behandling av personuppgifter på arbetsgivarens utrustning.
Undantaget i dataskyddsförordningen för behandling av personuppgifter som utgör ett led i en verksamhet av rent privat natur väger inte tungt när den anställde använder arbetsgivarens e- postklienter, e-postadress och anvisade system och lagringsytor.
Mot detta ska vägas den anställdes behov av att kommunicera med sin omvärld och bedriva arbete på distans eller på resande fot utan onödigt krångel. Arbetsgivare får begränsa användningen av privat elektronisk kommunikation på jobbet, men kan inte helt förbjuda privata kontakter. Det följer av en dom från Europadomstolen (Barbulescu mot Rumänien).5 Som anställd behöver man kunna kommunicera med närstående även på arbetstid, utan att arbetsgivaren ska ha rätt att ta del av kommunikationen. Det är alltså enligt domstolen inte tillåtet att helt förbjuda privata sociala kontakter på jobbet.
Normalt ska anställdas användning av utrustning och program regleras av arbetsgivaren i en policy som förankrats med fackliga organisationer på arbetsplatsen. En sådan policy kräver insatser från flera verksamheter, bl.a. jurister, säkerhetsansvariga, personalavdelningen, ledningen samt stöd av dataskyddsombudet.
Det är lämpligt att arbetsgivaren uttalar sig i en sådan policy om anställdas behandling av personuppgifter i privatlivet. Man bör då särskilja mellan å ena sidan arbetsgivarens anvisade IT-stöd och programvaror för kommunikation och handläggning av arbetsrelaterade personuppgifter, och å andra sidan nätbaserade tjänster. I det senare fallet finns utrymme för arbetsgivare att tillåta privat personuppgiftsbehandling i webbaserade tjänster i t.ex. arbetsgivarens mobil som tilldelats den anställde, såsom Gmail eller Dropbox, såvida inte säkerhetsrelaterade aspekter lägger några hinder för det. Skälet är att sådan privat personuppgiftsbehandling ju tydligt kan separeras från sådan behandling av personuppgifter som den anställde utför inom ramen för sina arbetsuppgifter. I det förstnämnda fallet kan arbetsgivaren ge uttryck för ett förbud mot privat personuppgiftsbehandlingen, t.ex. ett förbud att använda arbetsgivarens e-post för privat kommunikation. Även anslutning av privat
5 Bărbulescu v. Romania [GC], no. 61496/08, ECHR 2017.
mobiltelefon till arbetsgivarens trådlösa nät kräver ett ställningstagande av arbetsgivaren eftersom förfarandet kan vara förenat med både säkerhetsrisker och behandling av personuppgifter.
Eftersom en arbetsgivare av integritetsskäl har begränsade möjligheter att kontrollera den anställdes behandling av personuppgifter, bör arbetsgivare överväga att överlåta på den anställde att ansvara för radering av personuppgifter som är privata på arbetsgivarens utrustning och program. Ett typexempel är privata mejl som når den anställde på arbetsgivarens e-postadress. Det är här fråga om en slags egenkontroll som ska komma till uttryck i en policy, och vid underlåtenhet kan läggas till grund för arbetsrättsliga åtgärder mot den anställde.
Utgångspunkten är att allmänna handlingar ska bevaras som en del av det nationella kulturarvet. Det innebär dock att det med tiden blir stora mängder allmänna handlingar och uppgifter. Myndigheterna ska därför återkommande genomföra gallringsutredningar för att ta ställning till vad som ska bevaras eller gallras. Förutsättningarna för gallring regleras i arkivlagen (1990:782).
För att få gallra allmänna handlingar krävs, när det gäller statliga myndigheter, ett beslut från Riksarkivet. Beslut om gallring fastställs, efter framställning från respektive myndighet som myndighetsspecifika gallringsbeslut (RA-MS). Myndigheterna kan också med stöd av Riksarkivets generella föreskrifter (RA-FS) fatta tillämpningsbeslut om gallring. Kommuner och landsting fattar beslut om gallring med stöd av arkivlagen. Det kan också finnas särskilda bestämmelser om bevarande och gallring i specifika registerförfattningar.6
6 Senaste version av Riksarkivets generella föreskrifter finns på Riksarkivets webbplats, Offentlig förvaltning, Föreskrifter och vägledningar xxxxx://xxxxxxxxxxx.xx/xxxxxxxxxxxx-xxx-xxxxxx.
Rekrytering
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Intresseanmälan (arbete, praktik) | Myndigheter kan stödja sig på den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e). Kommunala bolag kan också stödja sig på den rättsliga grunden uppgifter av allmänt intresse | Känsliga uppgifter behandlas med stöd av art. 6.1 e (uppgifter av allmänt intresse) | Uppgifter av allmänt intresse: Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering | Beror på arbetsmarknaden för specifik befattning. Branschnormen är att bevara intresseanmälan högst i två år. Enligt Riksarkivets föreskrifter och allmänna råd RA-FS 1991:6 ska handlingar av tillfällig eller ringa betydelse hos statlig myndighet gallras. Enligt författningen finns sådana handlingar bl.a. inom personalområdet. Gallringsfristen ska fastställas i myndighetens gallringsföreskrifter | Det är ett allmänt intresse att offentliga arbetsgivare säkrar sin kompetensförsörjning. Intresseanmälan per brev kan också anses innebära konkludent samtycke till behandling av anmälan. Information enligt art. 13 ska lämnas. Förekommer känsliga personuppgifter i intresseanmälan ska ett uttryckligt samtycke inhämtas från den registrerade om fortsatt handläggning eller bevarande är aktuell. Xxxxxx returnera anmälan. Vid AG:s inhämtande av intresseanmälan via en hemsida kan informerat samtycke inhämtas på sidan. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
I övrigt gäller en bevarandetid på 2 år enligt RA-FS 2004:1 om gallring och återlämnande av handlingar vid ansökan om tjänst efter att beslut om anställning vunnit laga kraft. | Om myndighet eller kommunalt bolag tar emot intresseanmälan blir den inkommen allmän handling enligt tryckfrihetsförordningens bestämmelser. | ||||
Arbetsansökan, CV, lämplighetstester m.m. | Avtal (”…åtgärder på begäran av den registrerade innan ett sådant avtal ingås; art. 6.1 b) Om sökanden nekas tjänst får handlingar bevaras med stöd av den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e), se Kommentarskolumnen. Samtycke bör undvikas som rättslig grund för arbetssökande eftersom de är i en beroendeställning till den organisation som erbjuder arbete.) | Om anställningen förutsätter medicinska krav i författning, t.ex. dykeriarbete eller höghöjdsarbete, kan sådana känsliga uppgifter behandlas med stöd av art. 6.1 c (rättslig förpliktelse) alt. 6.1 b (se kolumnen Rättslig grund) samt art. 9.2 b (nödvändig för att den personuppgifts- ansvarige …ska kunna fullgöra sina skyldigheter…inom arbetsrätten…) | Information, tillgång, rättelse, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Enligt SKL:s och Riksarkivets gallringsråd för lednings- och stödprocesser i kommuner, landsting och regioner (nr 1 i serien Bevara eller gallra) rekommenderas att en arbetsansökan bevaras i två år från beslut om att neka sökanden tjänst med anledning av bestämmelserna om preskription i 23 § i lagen om förbud mot diskriminering. Samma bevarandetid råder för statliga myndigheter vid nekad tjänst, se RA-FS | I en rekryteringsprocess hanteras ett stort antal personuppgifter. Det kan vara namn, adress, foton, telefonnummer, e-postadress, IP-adresser, cookies, cv och personliga brev. Även enkla listor eller kalkylark, det som skrivs om personer i löpande text eller information som skickas i e-post omfattas av dataskyddsförordningen. Känsliga personuppgifter kan förekomma, t.ex. uppgift om etniskt ursprung, uppgift om hälsa och medlemskap i fackförening. Rättslig grund för att behandla känsliga personuppgifter enligt art. 9.2 kräver alltid att också en rättslig |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
2004:1. Ansökningshandlingar som leder till anställning bevaras under hela anställningsförhållandet | grund i art. 6.1 kan åberopas av den personuppgiftsansvarige. Vissa rättsliga grunder i art. 9.2 kräver dessutom att de fastställts i nationell rätt eller unionsrätten. Beträffande sökande som nekats tjänst kan inte den rättsliga grunden ”avtal” åberopas för att bevara ansökningshandlingar, CV m.m. Här har emellertid myndigheter berättigade skäl att med stöd av den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e) bevara handlingarna. Skälet är att myndigheten kan behöva bemöta anklagelser om diskriminering från en sökande som nekats en utlyst tjänst. Enligt 23 § lagen om förbud mot diskriminering kan en talan i domstol väckas inom två år efter det att den påtalade handlingen företogs För kommunala bolag och andra företag kan av samma skäl den rättsliga grunden intresseavvägning (art. 6.1 f) åberopas som stöd för |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
bevarande av ansökningshandlingar vid nekad tjänst. | |||||
Utdrag ur belastningsregister | Rättslig förpliktelse (art. 6.1 c) enligt bestämmelser i • skollagen (2010:800), • lagen (2005:405) om försäkringsförmedlin g, • lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn, • lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder, eller • lagen (2013:852) om registerkontroll av personer som ska arbeta med barn För verksamheter där det inte finns ett krav på att sökande ska uppvisa ett registerutdrag får den | Registerutdrag betraktas inte som särskilda kategorier av personuppgifter per definition (art. 9.1). Däremot är de ”integritetskänsliga”. | Information, tillgång, rättelse, begränsning, radering (dock ej om rättslig förpliktelse), invändning (dock ej om rättslig förpliktelse), förbud mot aut. beslut som inbegriper profilering | I de fall registerutdrag ska bevaras av arbetsgivaren enligt lag (se Kommentars- kolumnen), vilket ska ske vid anställning, ska de bevaras minst två år. Anteckning om ”uppvisat utdrag” bevaras under anställningstiden. Xxxxx tjänst har emellertid myndigheter berättigade skäl att med stöd av den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e) bevara handlingarna för att bemöta anklagelser om diskriminering från en sökande som nekats en utlyst tjänst. Enligt 23 § lagen om förbud mot diskriminering kan en talan i domstol väckas | Belastningsregistret ska innehålla uppgifter om den som t.ex. ålagts en påföljd för brott. Uppgifter i belastningsregistret skyddas av sekretess enligt 35:3 offentlighets- och sekretesslagen. Vissa begränsade delar av arbetsmarknaden omfattas av ett regelverk som ger arbetsgivare rätt att ta del av uppgifter ur belastningsregistret inför ett beslut om anställning. I vissa fall går denna reglering längre på så sätt att den ålägger arbetsgivare en skyldighet att göra en sådan kontroll. Arbetsgivare som inte omfattas av den författningsreglerade registerkontrollen kan emellertid begära att en arbetssökande eller en arbetstagare själv hämtar in ett utdrag ur belastningsregistret i syfte att visa det för arbetsgivaren inför eller under |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
rättsliga grunden Avtal under rekryteringsskedet (”…åtgärder på begäran av den registrerade innan ett sådant avtal ingås; art. 6.1 b) åberopas som stöd för att bevara en anteckning om uppvisat utdrag. Om sökanden nekas tjänst får anteckningen om uppvisat utdrag bevaras med stöd av den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e), se Arbetsansökan, CV, lämplighetstester ovan. | inom två år efter det att den påtalade handlingen företogs. Se även RA-FS 2004:1 om gallring och återlämnande av handlingar vid ansökan om tjänst efter att beslut om anställning vunnit laga kraft. Bevarandetid vid nekad tjänst, 2 år. | en anställning. Utdragen begärs i dessa fall med stöd av den rätt till insyn i belastningsregistret som tillkommer den enskilde. I dessa fall ska arbetsgivaren spara registerutdraget eller en kopia av det enligt lag vid anställning: • Registerutdrag för arbete med barn med funktionsnedsättning (LSS; 4 § lagen [2010:479] om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder) • Registerutdrag för arbete på HVB-hem (familjehem; 3 § lagen [2007:171)] om registerkontroll av personal vid vissa boenden som tar emot barn) Beträffande registerutdrag för övrigt arbete med barn/kontakt med barn och för försäkringsdistribution får arbetsgivaren (försäkringsföretaget) inte dokumentera den utförda kontrollen på annat sätt än |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
genom anteckning om att registerutdrag har visats upp. Arbetsgivaren får alltså inte behålla, ta kopia eller anteckna något om vad som står i utdraget. I övriga fall bör personuppgiftsansvarig sträva efter att iaktta principen om uppgiftsminimering av denna typ av känsliga personuppgifter. Arbetsgivare bör överväga att inte bevara utdraget utan i stället göra nödvändiga noteringar, t.ex. ”uppvisat utdrag” i rekryteringsakten och återlämna utdraget till den enskilde. Belastningsregisterkontroller har varit föremål för en statlig utredning (SOU 2019:19). | |||||
Säkerhetsprövning och -klassning | Avtal (”…åtgärder på begäran av den registrerade innan ett sådant avtal ingås; art. 6.1 b) om arbetsgivaren reglerar säkerhetsaspekter i anställningsavtalet. | Ja, eftersom säkerhetsprövningen kan röja hälsorelaterade uppgifter, t.ex. spel- eller sexmissbruk Rättslig grund enligt art. 6.1 a (avtal) samt art. 9.2 f (nödvändigt för att | Information, tillgång, rättelse, begränsning, radering (dock ej om rättslig förpliktelse), invändning (dock ej om | Om sökanden nekas tjänst – bevarande i två år från beslutet med anledning av bestämmelserna om preskription i 23 § i lagen om förbud mot diskriminering eller | Rättslig grund för att behandla känsliga personuppgifter enligt art. 9.2 kräver alltid att också en rättslig grund i art. 6.1 kan åberopas av den personuppgiftsansvarige. Vissa rättsliga grunder i art. 9.2 kräver dessutom att de fastställts i |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Rättslig förpliktelse (art. 6.1 c) om säkerhetsskyddslagen är tillämplig på myndighetens eller kommunalt bolags verksamhet. (Samtycke bör undvikas som rättslig grund för arbetssökande avseende säkerhetskontroll eftersom de är i en beroendeställning till den organisation som erbjuder arbete.) | fastställa, göra gällande eller försvara rättsliga anspråk) eller art. 6.1 c (rättslig förpliktelse) samt 9.2 b (behandlingen är nödvändig för att den personuppgiftsansvarige …ska kunna fullgöra sina skyldigheter…) enligt t.ex. säkerhetsskyddslagen. | rättslig förpliktelse), förbud mot aut. beslut som inbegriper profilering | längre för myndigheter och företag som omfattas av säkerhetsskyddslagens bestämmelser. Se även RA-FS 2004:1 om gallring och återlämnande av handlingar vid ansökan om tjänst efter att beslut om anställning vunnit laga kraft. Bevarandetid vid nekad tjänst, 2 år. Säkerhetsprövning och - klassning som leder till anställning bevaras under hela anställningsförhållandet. | nationell rätt eller unionsrätten | |
Referenter | Avtal (”…åtgärder på begäran av den registrerade innan ett sådant avtal ingås; art. 6.1 b). Om sökanden nekas tjänst får uppgifter om referenter bevaras med stöd av den rättsliga grunden uppgifter av | - | Information, tillgång, rättelse, begränsning, radering, invändning, förbud mot aut. beslut som inbegriper profilering | Om sökanden nekas tjänst – två år från beslutet med anledning av bestämmelserna om preskription i 23 § i lagen om förbud mot diskriminering. Se även RA-FS 2004:1 om gallring och återlämnande av | Referenter ska enligt art. 14 informeras senast inom en månad från det att AG tog del av personuppgiften om behandlingen av dennes personuppgifter. Det ska göras om uppgiften ska bevaras längre tid än en månad. Information kan lämnas när referenten kontaktas muntligen. Information behöver inte |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
allmänt intresse (art. 6.1 e), se Arbetsansökan, CV, lämplighetstester ovan Xxxxxxxx från referenten som rättslig grund för att behandla dennes personuppgifter är olämpligt eftersom referenten då kan återkalla samtycket. | handlingar vid ansökan om tjänst efter att beslut om anställning vunnit laga kraft. Bevarandetid vid nekad tjänst, 2 år. Referenser som leder till anställning kan bevaras under anställningstiden. | lämnas om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning. | |||
Behandling (dokumentation) av sökandes personuppgifter som samlas in från sociala medier | Myndigheter kan stödja sig på den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e). Bedömningsgrunder för statligt anställda och myndigheter under riksdagen är fastställda i lagen (1994:260) om offentlig anställning. Kommuners fria anställningsrätt är fastställd i regeringsformen; de ska dock iaktta kravet på objektivitet enligt 1 kap. 9 § regeringsformen. Kommunala bolag kan stödja sig på den rättsliga | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Information, tillgång, rättelse, radering, begränsning, invändning, förbud aut. beslut som inbegriper profilering | Om sökanden nekas tjänst – två år från beslutet med anledning av bestämmelserna om preskription i 23 § i lagen om förbud mot diskriminering. Se även RA-FS 2004:1 om gallring och återlämnande av handlingar vid ansökan om tjänst efter att beslut om anställning vunnit laga kraft. Bevarandetid vid nekad tjänst, 2 år. Uppgifter som leder till anställning kan bevaras | Enligt Artikel 29-arbetsgruppen får uppgifter i sociala medier endast behandlas i rekryteringsprocessen om sökanden har informerats om denna behandling, t.ex. via platsannonsen, se Opinion 2/2017 on data processing at work, s. 11. Kommuner har i princip fri anställningsrätt, vilket innebär att kommuner som arbetsgivare har rätt att anställa önskvärd sökande och ställa upp relevanta arbetsvillkor. Det följer av den kommunala självbestämmanderätten i regeringsformen. Kravet på förtjänst och skicklighet i LOA |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
grunden intresseavvägning (art. 6.1 f), om det är nödvändigt för rekryteringen och relaterat till den ledigförklarade befattningen. | under anställningstiden. | behöver inte beaktas av kommuner vid tjänstetillsättning och någon sådan motsvarande regel inte finns i LAS. Med bakgrund av detta kan rättsförhållandet mellan arbetsgivare och arbetstagare inom kommuner därmed sägas ha uteslutande privaträttslig karaktär. Även om rättsförhållandet kan sägas ha privaträttslig karaktär kan kommunala invånare vid anställningsbeslut begära laglighetsprövning enligt kommunallagen. Kommuner ska emellertid vid rekrytering iaktta kravet på objektivitet i RF 1:9. | |||
Bild i ansökningshandling | Se JO beslut 2018-11-19, dnr 6822-2017. JO hänvisade till principen om uppgiftsminimering och kritiserade den aktuella myndigheten för att efterfråga bild på sökande. JO anser att det framstår som närmast olämpligt att en myndighet uppmanar arbetssökande att ladda upp bilder i ansökningsformulär. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Inte en saklig grund, enligt JO. |
Under anställning
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Löneadministration | Avtal (anställningsavtalet; art. 6.1 b) | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Information, tillgång, rättelse, begränsning, förbudet mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Sparas i sju år efter det kalenderår då räkenskapsåret avslutades. | Arbetsgivaren har en rättslig skyldighet enligt bokföringslagen att bevara löneunderlag m.m. (se även Efter anställningens upphörande) |
System för rapportering av sjukfrånvaro (molntjänster, e- post; avsedda för enbart för sjukanmälan, inte för | Avtal (anställningsavtalet; art. 6.1 b) | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast | Information, tillgång, rättelse, begränsning, förbud aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet. | Notera att enligt 8 § lagen om sjuklön behöver läkarintyget för sjukfrånvaro dag 8 till 14 inte innehålla närmare uppgift om vilken sjukdom arbetstagaren lider av. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
hälsorelaterade uppgifter) | relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | Portallösningar med stark autentisering är den mest ändamålsenliga lösningen för sådana system eftersom det inte kan uteslutas att anställda registrerar uppgift om sjukdom. | ||
Alkohol- och drogtester | Rättslig förpliktelse (art. 6.1 c) om det finns en författningsenlig skyldighet att xxxxxxxxx i verksamheten (se Kommentarskolumnen ). Uppgifter av allmänt intresse (art. 6.1 e) om myndighet, vilket förutsätter stöd i anställningsavtal eller kollektivavtal, resp. intresseavvägning (art. 6.1 f) om kommunalt bolag eller annat företag. | Ja, eftersom drog- och alkoholtest kan röja hälsorelaterade uppgifter. Rättslig grund enligt art. 9.2 b om rättslig skyldighet föreligger att utföra drogtester (behandlingen är nödvändig för att den personuppgiftsansvar ige…ska kunna fullgöra sina skyldigheter…inom arbetsrätten) eller för övriga art. 9.2 f (nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk) | Information, tillgång, rättelse, begränsning, radering, invändning, förbud mot aut. beslut som inbegriper profilering | Vid rekrytering och under anställning: 2 år. Myndighetsspecifika föreskrifter från Riksarkivet finns för bevarande av drogtester, se t.ex. Riksarkivets föreskrifter (RA-MS 2010:58) om gallring hos Luftfartsverket. I övrigt gäller enligt RA-FS 2004:1 om gallring och återlämnande av handlingar vid ansökan om tjänst en bevarandetid om 2 år efter att beslut om anställning vunnit laga | I dagsläget finns det ingen explicit lagstiftning gällande drogtester i den privata och offentliga sektorn vid rekrytering. När det gäller privat sektor finns det inga begränsningar gällande drogtester, förutom att motverka diskriminering och följa god sed på arbetsmarknaden. Anställda i offentlig verksamhet är utöver bestämmelserna i lagen om anställningsskydd skyddade från kroppsliga ingrepp enligt 2 kap 6 § RF. Bestämmelsen ger inte ett oinskränkt skydd utan begränsningar finns i bland annat arbetsledningsrätten som gäller i den offentliga sektorn och den fria antagningsrätten, som gäller i den privata sektorn. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Helhetsbedömning varvid bl.a. följande ska vägas in: • vilket slag av verksamhet som bedrivs, • arbetsuppgifter • branschpraxis (Samtycke bör undvikas som rättslig grund för arbetstagare avseende drog- och alkoholtester eftersom de är i en beroendeställning till arbetsgivaren.) | Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | Drogtestning har flera syften, ett av dem är att förhindra att skador, våld och hot uppkommer i arbetsmiljön samt se till att den enskilde får hjälp med sitt missbruk. Däremot kan drogtestning ses som en kränkning av den personliga integriteten, eftersom testerna tvingar den enskilde att dela med sig av sin sjukdomshistorik. Drogtester är en form av kontrollåtgärd som arbetsgivaren, som en del av sin arbetsledningsrätt har rätt att vidta. En förutsättning är att det inte strider mot lag samt god sed på arbetsmarknaden. Samtliga kontrollåtgärder är inte tillåtna utan för att avgöra vilka kontrollåtgärder som arbetsgivaren har rätt att vidta ska hänsyn tas till arbetstagarens personliga integritet, vilket innebär att ingreppet som ett drogtest medför måste stå i skälig proportion till det intresse som arbetsgivaren vill tillfredsställa. En arbetsgivare och arbetstagare kan genom ett kollektivavtal |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
komma överens om en arbetsgivares rätt att drogtesta den anställde. En offentlig arbetsgivare kan i vissa fall tvinga en arbetstagare att underkasta sig kontrollåtgärderna, se 30 § lagen om offentlig anställning samt anställningsförordningen. En sådan skyldighet finns även enligt arbetsmiljölagen. Om en arbetstagare vägrar genomföra ett drogtest är en sådan vägran, ur arbetsgivarens synvinkel, att anses som ett avtalsbrott, vilket i sin tur kan utgöra saklig grund för uppsägning. Krav på medicinsk kontroll av vissa yrkesgrupper av skäl som främst gäller allmänhetens säkerhetsintresse finns bl.a. i livsmedelslagen (2006:804), järnvägslagen (2004:519), lagen (1990:1157) om säkerhet vid tunnelbana och spårväg, luftfartslagen (1957:297), mönstringslagen (1983:929) och strålskyddslagen (1988:220) | |||||
In- och utpasseringssystem | Avtal (anställningsavtalet; | Rättslig grund ska finnas enligt art. 9.2 | Information, tillgång, rättelse, begränsning, | Logg får bevaras högst tre månader för att | In – och utpasseringssystem får inte användas av arbetsgivaren för |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
art. 6.1 b) | b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | förbud aut. beslut som inbegriper profilering såvida inte avtal föreligger | utreda brott etc. | att kontrollera anställdas rörelsemönster eller arbetsprestation. | |
Flex- och tidapportering | Avtal (anställningsavtalet; art. 6.1 b) | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Information, tillgång, rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Se RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet. Görs avstämning av flextid en gång per år får uppgifterna gallras därefter. Om flextid rullas på nästkommande år kan bevarandetiden vara längre under anställningen. | |
Behörighetskon- | Avtal | Rättslig grund ska | Information, tillgång, | Ska bevaras 10 år |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
trollsystem | (anställningsavtalet; art. 6.1 b) Rättslig förpliktelse (art. 6.1 c) om t.ex. säkerhetsskyddslagen gäller för verksamheten | finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Övriga: Bevarandetid av loggar får bestämmas efter en behovsanalys. Inom vissa verksamheter har AG en skyldighet att spara åtkomstloggar, t.ex. ska vårdgivare spara loggar i fem år enligt HSLF-FS 2016:40. | |
Anställningstid | Avtal (anställningsavtalet; art. 6.1 b) | Inte aktuellt | Information, tillgång, rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras | I lagen om anställningsskydd anges att arbetstagare får tillgodoräkna sig anställningstid från alla anställningar oavsett när i tiden denne varit anställd. Detta innebär i praktiken att information om anställningstid behöver bevaras tills vidare; se Efter anställningens upphörande |
Bilder av anställda | Avtal | Rättslig grund ska | Avtal: Information, | Tills vidare. Tas bort | Samtycke är inte lämpligt i |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
på AG:s hemsida | (anställningsavtalet; art. 6.1 b, givet att bildpublicering är ett åtagande i tjänsten som framgår av anställningsavtalet eller policy som avtalet hänvisar till. Kommunala bolag kan stödja sig på den rättsliga grunden intresseavvägning (art. 6.1 f) om det finns berättigade skäl och är nödvändigt, t.ex. att anställd har ett utåtriktat uppdrag (säljare, kundsupport etc.). Myndigheter får inte använda den rättsliga grunden intresseavvägning. Om publicering är nödvändig för att informera om verksamheten får den rättsliga grunden uppgifter av allmänt intresse (art. 6.1 e) | finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | tillgång, rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger Intresseavvägning: Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger Uppgifter av allmänt intresse: Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | när anställningen upphör eller ej längre nödvändig. | anställningsförhållanden eftersom anställda står i beroendeställning till arbetsgivaren. Det kan därför vara svårt att visa att samtycket är frivilligt. Andra rättsliga grunder bör övervägas. Beträffande myndigheters publicering av bild på anställda upplyser Datainspektionen på sin hemsida att det finns utrymme att ha namn och bild på exempelvis generaldirektör, presskontakt och andra anställda i publika roller, beroende på vad det är för myndighet. Däremot inte publicera bilder på alla anställda, t.ex. enskilda handläggare. Att det är statlig myndigheters uppgift att tillhandahålla information om sin verksamhet framgår av 6 § myndighetsförordningen. Kommunala myndigheters informationsskyldighet framgår normalt av specialförfattningar, t.ex. hälso- och sjukvårdslagen. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
användas. | |||||
Bilder av anställd på AG:s intranät | Se ovan. | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Se ovan. | Tills vidare. Tas bort när anställningen upphör eller ej längre nödvändig med stöd av tillämpningsföreskrifte r i enlighet med Riksarkivets föreskrifter (RA-FS 1996:1) om allmänna handlingar av tillfällig eller ringa betydelse. | Samtycke är inte lämpligt i anställningsförhållanden eftersom anställda står i beroendeställning till arbetsgivaren. Det kan därför vara svårt att visa att samtycket är frivilligt. Andra rättsliga grunder bör övervägas. |
Läkarintyg vid sjukskrivning | Rättslig förpliktelse (art. 6.1 c) | Ja. Om den personuppgiftsansvar ige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd (art. 9.2 b) och 3 kap. 2 § dataskyddslagen | Information, tillgång, rättelse, begränsning, förbud aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras tio år enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter). Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds | AG har en rättslig skyldighet enligt bokföringslagen att bevara löneunderlag, t.ex. intyg som ligger till grund för sjuklön (se Efter anställningens upphörande) |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
beslut om reglemente om gallring och arkivering. | |||||
Rehabutredning | Rättslig förpliktelse (art. 6.1 c) | Ja. Om den personuppgiftsansvar ige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd (art. 9.2 b) och 3 kap. 2 § dataskyddslagen | Information, tillgång, rättelse, begränsning, förbud aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter). Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. Försäkringsrelaterade frågor talar för arkivering. | Arbetsgivaren har enligt arbetsmiljölagen ett ansvar för att en anställd som drabbats av skada eller sjukdom får del av de anpassnings- och rehabiliteringsåtgärder som behövs för att den anställde ska kunna fortsätta arbeta. Arbetsgivaren skall så tidigt som möjligt påbörja arbetet med arbetsanpassning och rehabilitering för de arbetstagare som har behov därav. |
Kontaktuppgifter till anhöriga | Vitala intressen för den registrerade (art. 6.1 d) eller intresseavvägning (art. 6.1 f). Båda rättsliga grunderna kan åberopas av | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast | Information, tillgång, rättelse, begränsning, förbud aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras tills vidare. Xxxxxxx vid anställningens upphörande med stöd av tillämpningsföreskrifte r i enlighet med |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
myndigheter och kommunala bolag. Begränsningen för myndigheter att använda intresseavvägning som rättslig grund gäller bara när de fullgör sina uppgifter, vilket inte är fallet här | relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Riksarkivets föreskrifter (RA-FS 1996:1) om allmänna handlingar av tillfällig eller ringa betydelse. | |||
Anställdas uppgifter i kommunikations- verktyg (Sharepoint, Projectplace etc.) | Avtal (anställningsavtalet; art. 6.1 b) | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Information, tillgång, rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Tills vidare. Konton och kontaktuppgifter raderas vid anställningens upphörande av den hos AG som har administratörsrättighet er med stöd av tillämpningsföreskrifte r i enlighet med Riksarkivets föreskrifter (RA-FS 1996:1) om allmänna handlingar av tillfällig eller ringa betydelse. Övriga allmänna handlingar bevaras enligt arkivlagen och tillämpliga gallringsföreskrifter för ärendetyp. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Lönebesked | Avtal (anställningsavtalet; art. 6.1 b) | Rättslig grund ska finnas enligt art. 9.2 b för behandling av känsliga personuppgifter. Enligt art. 5.1 c får emellertid endast relevanta personuppgifter behandlas för ett visst ändamål och de får inte vara för omfattande (principen om uppgiftsminimering). | Information, tillgång, rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Ska bevaras 10 år enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | AG har en rättslig skyldighet enligt bokföringslagen att bevara löneunderlag m.m. (se även Efter anställningens upphörande). Lönespecifikationer bör inte skickas via e-post eftersom de riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv). Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det inget som hindrar att lönespecifikationen skickas per e- post. |
Fackets användning av AG:s utrustning | Samtycke (medlemsansökan; art. 6.1 a) | Art. 9.2 d (facklig tillhörighet utgör känsliga personuppgifter enligt art. 9.1) | Information, tillgång, rättelse, begränsning, bortglömd, dataportabilitet, förbudet mot aut. beslut som inbegriper profilering såvida inte samtycke föreligger | Tills vidare så länge medlemskap föreligger | De fackliga organisationerna är personuppgiftsansvariga för sin behandling av personuppgifter om sina medlemmar. Använder fackliga representanter arbetsgivarens utrustning för att utföra sina fackliga sysslor ska ett personuppgiftsbiträdesavtal upprättas mellan den fackliga organisationen och AG. AG agerar i rollen som personuppgiftsbiträde. Fackliga representanter bör hellre |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
använda utrustning som tilldelats dem av den fackliga organisationen. |
Efter anställningens upphörande
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
Anställningstid | Uppgifter av allmänt intresse (art. 6.1 e) eftersom arkivering är fastställd i föreskrifter (statliga myndigheter) eller i beslut om gallring (kommuner/kommunala bolag) | Känsliga personuppgifter får behandlas om det är nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt (art. 9.2 j och arkivlagen) | Information, tillgång, rättelse, begränsning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | I lagen om anställningsskydd anges att arbetstagare får tillgodoräkna sig anställningstid från alla anställningar oavsett när i tiden denne varit anställd. Detta innebär i praktiken att information om anställningstid behöver bevaras tills vidare. |
Anställningsavtal eller motsvarande | Uppgifter av allmänt intresse (art. 6.1 e) eftersom arkivering är | Känsliga personuppgifter får behandlas om det är | Information, tillgång, rättelse, begränsning, | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
fastställd i föreskrifter (statliga myndigheter) eller i beslut om gallring (kommuner/kommunala bolag) | nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt (art. 9.2 j och arkivlagen) | förbud mot aut. beslut som inbegriper profilering | tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | ||
Uppsägningsorsak | Uppgifter av allmänt intresse (art. 6.1 e) eftersom arkivering är fastställd i föreskrifter (statliga myndigheter) eller i beslut om gallring (kommuner/kommunala bolag) | Ja, kan förekomma. Känsliga personuppgifter får behandlas om det är nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas | Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | Känsliga personuppgifter kan förekomma, t.ex. uppsägning p.g.a. hälsa. Rättslig grund för att behandla känsliga personuppgifter enligt art. 9.2 kräver alltid att också en rättslig grund i art. 6.1 kan åberopas av den personuppgiftsansvarige. Vissa rättsliga grunder i art. 9.2 kräver dessutom att de fastställts i nationell rätt eller unionsrätten. |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
nationella rätt (art. 9.2 j och arkivlagen) | |||||
Tjänstgöringsintyg | Uppgifter av allmänt intresse (art. 6.1 e) eftersom arkivering är fastställd i föreskrifter (statliga myndigheter) eller i beslut om gallring (kommuner/kommunala bolag) | Känsliga personuppgifter får behandlas om det är nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt (art. 9.2 j och arkivlagen) | Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | |
Kontrolluppgifter, löneunderlag, reseräkningar etc. | Uppgifter av allmänt intresse (art. 6.1 e) eftersom arkivering är fastställd i föreskrifter (statliga myndigheter) eller i beslut om gallring (kommuner/kommunala bolag) | Känsliga personuppgifter får behandlas om det är nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska | Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras tio år enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala |
Typ av behandling | Rättslig grund | Känsliga personuppgifter – rättslig grund | Rättigheter | Varaktighet | Kommentar |
ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt (art. 9.2 j och arkivlagen) | myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. | ||||
Löneväxling, försäkringsval, pension | Uppgifter av allmänt intresse (art. 6.1 e) eftersom arkivering är fastställd i föreskrifter (statliga myndigheter) eller i beslut om gallring (kommuner/kommunala bolag) | Känsliga personuppgifter får behandlas om det är nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt (art. 9.2 j och arkivlagen) | Information, tillgång, rättelse, radering, begränsning, invändning, förbud mot aut. beslut som inbegriper profilering såvida inte avtal föreligger | Bevaras/arkiveras enligt RA-FS 2006:5 om gallring av handlingar tillkomna inom löne- och personaladministrativ verksamhet (statliga myndigheter) Kommunala myndigheter kan använda RA-FS 2006:5 som vägledning för nämnds beslut om reglemente om gallring och arkivering. |