Behandling av personuppgifter för kontroll av anställda - Rapport ...
Behandling av personuppgifter för kontroll av anställda - Rapport ...
Behandling av personuppgifter för kontroll av anställda - Rapport ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Datainspektionens allmänna synpunkter<br />
En annan del i integritetsskyddet <strong>för</strong> den anställde vid behandling <strong>av</strong> hans eller<br />
hennes <strong>personuppgifter</strong> är kr<strong>av</strong>et på säkerhet till skydd <strong>för</strong> <strong>personuppgifter</strong>na.<br />
Av kr<strong>av</strong>en på en tillfredställande säkerhet följer bl.a. att tillgången till <strong>personuppgifter</strong><br />
om <strong>anställda</strong> normalt ska begränsas till sådana personer som behöver<br />
uppgifterna i sitt arbete.<br />
Dessutom innebär de grundläggande kr<strong>av</strong>en i PuL att arbetsgivaren ska se till<br />
att <strong>personuppgifter</strong> inte behandlas <strong>för</strong> något ändamål som är o<strong>för</strong>enligt med<br />
det <strong>för</strong> vilket uppgifterna samlades in. Att låta integritetskänsliga uppgifter om<br />
enskilda <strong>anställda</strong> vara allmänt tillgängliga på <strong>för</strong>etaget, t.ex. genom pappersutskrifter,<br />
strider där<strong>för</strong> även mot de grundläggande kr<strong>av</strong>en i PuL.<br />
Om någon utan<strong>för</strong> den egna organisationen anlitas <strong>för</strong> att ut<strong>för</strong>a <strong>kontroll</strong>en<br />
kan denne vara att betrakta som ett personuppgiftsbiträde, dvs. någon som<br />
behandlar <strong>personuppgifter</strong> <strong>för</strong> arbetsgivarens räkning. Detta kan t.ex. vara<br />
fallet om IT-driften läggs ut på ett utomstående <strong>för</strong>etag. Arbetsgivaren är i<br />
sådant fall skyldig att se till att det upprättas ett skriftligt <strong>av</strong>tal som reglerar<br />
personuppgiftsbiträdets behandling <strong>av</strong> <strong>personuppgifter</strong> <strong>för</strong> arbetsgivarens räkning,<br />
bl.a. när det gäller de säkerhetsåtgärder som måste iakttas. I <strong>av</strong>talet ska<br />
särskilt <strong>för</strong>eskrivas att personuppgiftsbiträdet får behandla <strong>personuppgifter</strong>na<br />
bara i enlighet med instruktioner från arbetsgivaren och att personuppgiftsbiträdet<br />
är skyldig att vidta de säkerhetsåtgärder som krävs.<br />
Datainspektionens rekommendationer m.m.<br />
Arbetsgivaren bör se till att nå ut i organisationen med tydlig information<br />
om och under vilka <strong>för</strong>utsättningar som <strong>personuppgifter</strong> ska behandlas <strong>för</strong><br />
<strong>kontroll</strong>ändamål. Det är angeläget att informera såväl arbetstagaren som<br />
riskerar att utsättas <strong>för</strong> <strong>kontroll</strong>en som de <strong>anställda</strong> eller andra som ut<strong>för</strong><br />
<strong>kontroll</strong>erna. Ett exempel kan vara att lämna tydliga och klara instruktioner<br />
till <strong>anställda</strong> inom IT-administrationen om i vilka fall internet- och e-postanvändningen<br />
kan <strong>kontroll</strong>eras och hur det ska gå till.<br />
Det är viktigt att komma ihåg att arbetsgivaren är ansvarig <strong>för</strong> den behandling<br />
<strong>av</strong> <strong>personuppgifter</strong> som <strong>anställda</strong> och personuppgiftsbiträden ut<strong>för</strong>.<br />
21
Change language