Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Sv translation
languagesv


Scroll Page Tree

Info
titleOm denna sida

Denna sida beskriver hur personlig information behandlas i Simployer enligt gällande regler och lagkrav. Anmälan och tillståndskrav försvinner i sin nuvarande form med GDPR.

Section
Column
width70%

Infotjenester AS har använt advokatfirmaet advokatfirman Grette DA för att utröna om uppgiftsplikt och anmälningsskyldighet uppstår och om arbetstagare måste ge samtycke när arbetsgivaren använder Simployers personalsystem.

Allmänt

Som en huvudregel gäller att all behandling av känsliga personuppgifter är föremål för tillstånd medan all annan behandling (av "icke känsliga" personuppgifter) är föremål för anmälan. Från denna huvudregel finns det ett antal undantag, till exempel, för de flesta uppgifter i ett register över anställda. Det innebär att behandling av informationen i ett anställningsregister måste överensstämma med lagens krav, men normalt behöver man inte ansöka om tillstånd eller anmäla till Datainspektionen i förväg.

Personalregister

Syftet med ett personalregister är personalhantering. Exempel på vad som ingår i personalhantering kan vara administration av löner, utveckling, utbildning, karriärplanering och hantering av disciplinära frågor. Största delen av personalregistren är undantagna från licens- och rapporteringsskyldigheter. Personregister med endast icke-känslig information, med tillägg av viss känslig information (listad nedan), är inte föremål för en licensskyldighet om:

  • den anställde har gett sitt samtycke eller behandlingen är lagstadgad,
  • Informationen är nödvändig för att hantera anställning, och
  • Processen ingår i personaladministrationen.

Känsliga personuppgifter som kan inkluderas utan anmälningsplikt är följande:

  • facklig information
  • obligatorisk frånvaroinformation och information som krävs för att vara registrerad (bör begränsas till frånvaro datum, typ av frånvaro och varaktighet, med tillägg av viss information som krävs för registrering enligt 5-1 i arbetsmiljölagen)
  • Information som behövs för att underlätta arbetsplatsen på grund av hälsoförhållandena.

Anställdas samtycke

TBD! ANPASSA TILL Svensk/EU-lagstiftning!För Simployer strategisk HR/Netcompetence finns möjligheten att inhämta ett samtycke från slutanvändaren vid inloggning. Anledningen till att vi erbjuder lösningen för delar av produktsviten är att man inom utbildningsaktiviteter oftare riktar sig mot personer tillhör en annan organisation än den egna. exempel kan vara konsulter, personer under utbildning, kunder, eller kunders kunder.

Funktionen aktiveras för valda grupper av användare, av systemets administratör. När funktionen är aktiverad innebär detta att användaren måste lämna sitt samtyckte enligt en särskild villkorstext (som kan uppdateras/ändras av kunden). Samtycket kan även återkallas av användaren om grunden för behandlingen av personuppgifterna ändras. Utan ett giltigt samtyckte kommer användaren inte att beredas åtkomst till tjänsten.

Texten nedan refererar till norsk lagstiftning. En version som avser svensk lagstiftning är under omarbetning.

Det grundläggande villkoret för behandling av personuppgifter finns i personuppgiftslagen (PUL.) § 11, som åter hänvisar till avsnitt 8 och 9, som reglerar icke-känslig och känslig personuppgifter.

Termen "känslig personlig information" är en vanlig term för särskilt känsliga personuppgifter som har ett särskilt skydd. I PUL. § 2, nr. 8 c) "hälsoinformation" definieras som känslig personlig information. Information om sjukfrånvaro och andra hälsoförhållanden kommer alltså att vara känslig personlig information. Data som begränsas till att informera om kortare frånvaro (t.ex. frånvaro på grund av förkylning etc) kan antas vara icke-känslig information. Men information om t.ex. långvarig sjukskrivning är förmodligen känslig personligt identifierbar information. Skillnaden mellan känslig och icke-känslig personuppgifter relaterad till sjukfrånvaro har bekräftats av datatillsynen av telefonrådgivare Christine Ask Ottesen per telefon.

Det är således inte möjligt att ge ett tydligt, generellt svar på i vilken utsträckning gränsen mellan känsliga och icke känsliga personuppgifter går så långt som frånvaroinformation berörs. Vår rekommendation är därför att arbetsgivarna behandlar all personlig information i enlighet med de villkor som gäller för känslig personlig information, jfr. pol. § 9

Pol. avsnitt 9 föreskriver att behandling av känsliga personuppgifter kräver att en av villkoren i avsnitt 8 är uppfylld. Avsnitt 8 anger att villkoren för bearbetning är den (1) den registrerade har samtyckt till, (2) den bearbetningen anges enligt lag eller (3) att behandlingen är föremål för ett av sex olika alternativa villkor som anges i led a) till H). Enligt vår mening är punkterna a) och f) det mest relevanta i det här fallet. Pol § 8 a) föreskriver att behandlingen kan ske utan samtycke om det är nödvändigt att "uppfylla avtal med den registrerade" och i 8 § f anges att det inte finns något behov av att få samtycke om behandlingen är nödvändig för "förädlaren eller tredje part till vilken informationen överlämnas kan ha ett berättigat intresse och datainformationen inte överstiger detta intresse. "

För det andra måste åtminstone ett av de alternativa ytterligare villkoren i § 9 a) -h) vara uppfyllda. Den relevanta rättsliga grunden för vår bedömning är avsnitt 9 f, där det anges att lagring kan ske om det är "nödvändigt för databehandlingsansvarig att utföra sina arbetsuppgifter eller rättigheter". En arbetsgivare har ett antal olika juridiska skyldigheter för sina anställda, såsom skyldighet att betala sjukpenning, systematisk uppföljning av HMS och andra arbetsrättsliga skyldigheter. Gemensamt för dessa skyldigheter är att de härrör från ett anställningsavtal som ålägger arbetsgivare att till exempel betala sjukpenning. Arbetsgivarens registrering av frånvaro och om frånvaro beror på egen sjukdom eller frånvaro beror på barns sjukdom, är nödvändig för att uppfylla anställningsavtalet och skydda anställdas intressen.

Enligt vår mening pol. § 8 a) och f) och 9 § f) är tillräcklig rättslig grund för arbetsgivarens lagring av sjukdata utan medarbetarens samtycke. Arbetsgivaren behöver därför inte erhålla samtycke från arbetstagaren för att sådan sjukdomsinformation ska registreras.

Transparens - Insyn i data

Simployer möjliggör registrering av olika roller i en hierarki, och alla anställda tilldelas en omedelbar överordnad, som i sin tur tilldelas deras närmaste överordnade. I det följande kommer vi att diskutera frågan om att arbetsgivarna är skyldiga att införa restriktioner för hur långt hierarkin kan vara ett sådant tillvägagångssätt, till exempel om personaldata för personalen endast kan vara tillgänglig för den överordnade överordnade och därigenom inte tillgänglig för direktören huvud. Personuppgiftslagen eller arbetsmiljölagen reglerar inte uttryckligen i vilken utsträckning organisationens personuppgifter kan vara tillgängliga. Enligt vår uppfattning beror dock den legitima tillgången till informationen på det officiella behovet av sådan åtkomst. Åtkomst får inte vara öppen för alla arbetsgivares chefer, utan endast de som kommer att använda informationen i utförandet av sina uppgifter. Detta kommer oftast att omfatta medarbetarens omedelbara överordnade samt personalavdelningen och löneavdelningen.

Hur långt upp i hierarkin kommer det att finnas ett formellt behov av tillgång till medarbetarens sjukdata kan således variera. Det innebär att det är upp till arbetsgivaren att bestämma frågan, och arbetsgivaren måste själv rita gränsen för vem som har ett formellt behov av tillgång till anställdas data. För att underlätta en sådan avgränsning måste Simployer göra det möjligt för varje företag att blockera åtkomst för personer som inte har ett anständigt relevant och giltigt behov av insyn.

Fysisk lagring av data

Det finns inga specifika regler för hur data som kan spåras till personer lagras, förutom att det ska lagras på ett säkert sätt där tillgång och tillgänglighet är begränsade. Datainspektionen och den norska motsvarigheten Datatilsynet har lagt fram allmänna riktlinjer för hur tillämplig lagstiftning ska tolkas se:

Simployer1 lagrar alltid kunddata i kundspecifika, separata databaser. Data från olika kunder blandas aldrig i vanliga databaser. Uppgifterna i kunddatabasen är kundens egendom och skyddas från databehandling.

1 Med Simployer menas tjänster från Infotjenester Gruppen som består av Infotjenester ASCapitech ASTholin & Larsson AB och Netcompetence Sweden AB.

Column
width30%
Panel

På denna sidan

Table of Contents