Frågor och svar v. 23

     

den 3 juni 2015

Fråga

I vårt lönesystem har vi en hel del uppgifter om våra anställdas personnummer, hälsa och medlemskap i facket. Måste vi ha något tillstånd för denna registrering och är vi skyldiga att lämna ut sådan information?

Svar

Nej, ni behöver inget tillstånd för att behandla personnummer och liknande uppgifter. Personuppgiftslagen (Personuppgiftslag (1998:204) ställer inga krav på vare sig tillstånd eller licens. När det gäller hälsa och medlemskap i facket är huvudregeln att dessa inte får behandlas utom i undantagsfall.

Det är bland annat tillåtet att behandla personuppgifter om det är nödvändigt för att kunna fullgöra antingen ett avtal med den registrerade eller en rättslig skyldighet. Sådan registrering som ni behöver för att kunna uppfylla anställningsavtalet, till exempel för att kunna betala ut löner, hålla reda på semesterdagar, ersättning för sjuk- och föräldraledighet, etc., är alltså tillåten.

Eftersom alla arbetsgivare är skyldiga att rapportera vissa uppgifter till Skatteverket är det också tillåtet att registrera till exempel personnummer i löneregistret.

Känsliga uppgifter - till exempel sådana som rör hälsa eller avslöjar medlemskap i fackförening - får i allmänhet inte behandlas. Men det finns undantag. För en arbetsgivare kan det till exempel vara nödvändigt att behandla personuppgifter i samband med sjuklön, rehabilitering av arbetstagare, arbetsrättsliga förhandlingar och avtalsgrundande avdrag på lön för fackföreningsavgift.

Det är tillåtet att behandla personuppgifter om den enskilde har lämnat sitt samtycke till det.

Vanligtvis är det tillräckligt att ha en förteckning över de uppgifter som behandlas i samband med löneadministration. En förteckning ersätter då den anmälan till Datainspektionen som annars krävs.

Det har blivit allt vanligare att arbetsgivare använder olika former av positioneringssystem för att kontrollera var fordon och anställda befinner sig. När sådana system används behandlas i de flesta fall personuppgifter som regleras av personuppgiftslagen.

När det gäller att lämna ut information till utomstående bör arbetsgivare iaktta särskild försiktighet och med beaktande av reglerna i PuL 9 § punkt c. Den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Av 9 § punkt d framgår att uppgifterna sedan inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

Personuppgiftslagen (PuL) trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Begreppet "behandlas" är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar vilket underlättar flödet av information inom unionen.

I personuppgiftslagen finns regler för hur personuppgifter får behandlas. Lagen bygger i hög grad på samtycke och information till de registrerade. Det finns också regler om säkerhet och rättelse av felaktiga uppgifter. Företag, myndigheter, föreningar och andra kan utse personuppgiftsombud som självständigt kontrollerar att personuppgifter behandlas korrekt inom verksamheten. Ett personuppgiftsombud är en person som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen.

Personuppgiftsombudet kan jämföras med en internrevisor som påpekar fel och brister till den som är personuppgiftsansvarig. När man vill utse ett personuppgiftsombud anmäler man det till Datainspektionen. Mer än 7 100 verksamheter har anmält drygt 4 400 personer som ombud – ett ombud kan representera flera personuppgiftsansvariga.

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/arbetslivet/