Personuppgiftslagen Så berör den dig som företag Christina Wainikka December 2007 1 Innehållsförteckning Innehållsförteckning................................................................................ 1 Förord ....................................................................................................... 3 1. Introduktion .......................................................................................... 4 1.1 PERSONUPPGIFTSLAGEN ................................................................................. 4 1.2 VAD ÄR PERSONUPPGIFTER? ........................................................................... 4 1.3 BEHANDLING AV PERSONUPPGIFTER ................................................................. 4 1.4 PERSONUPPGIFTSANSVARIG - PERSONUPPGIFTSBITRÄDE ................................... 5 1.5 ANSVAR ......................................................................................................... 5 1.6 ÖVERFÖRING AV PERSONUPPGIFT TILL TREDJE LAND ......................................... 5 2. Behandling av personuppgifter om anställda .................................. 7 2.1 OM ANSTÄLLDAS PERSONUPPGIFTER ................................................................ 7 2.2 VID REKRYTERING ........................................................................................... 7 2.2.1 REKRYTERINGSPROCESSEN............................................................................... 7 2.2.2 SVAR PÅ ANNONS OCH SPONTANFÖRFRÅGNINGAR............................................... 7 2.2.3 ANSÖKAN ......................................................................................................... 8 2.2.4 INTERVJUANTECKNINGAR................................................................................... 9 2.2.5 REFERENSER .................................................................................................... 9 2.2.6 KÄNSLIGA UPPGIFTER ........................................................................................ 9 2.3 UNDER PÅGÅENDE ANSTÄLLNING ................................................................... 10 2.3.1 BEHANDLING AV PERSONUPPGIFTER UNDER PÅGÅENDE ANSTÄLLNING ................ 10 2.3.2 ANSTÄLLNINGSLISTOR ..................................................................................... 10 2.3.3 UNDERLAG FÖR FULLFÖLJANDE AV SKYLDIGHETER ............................................ 11 2.3.4 KOMPETENSDATABASER .................................................................................. 11 2.3.5 BETYG OCH OMDÖMEN .................................................................................... 12 2.3.6 ANVÄNDNING AV IT-SYSTEM............................................................................. 13 2.3.7 LOGGNING ...................................................................................................... 13 2.3.8 KAMERAÖVERVAKNING .................................................................................... 14 2.3.9 KÄNSLIGA UPPGIFTER ...................................................................................... 14 2.4 EFTER AVSLUTAD ANSTÄLLNING ..................................................................... 15 2.4.1 BEHANDLING AV PERSONUPPGIFTER EFTER AVSLUTAD ANSTÄLLNING ................. 15 2.4.2 SKÄL TILL ATT ANSTÄLLNINGEN AVSLUTATS ....................................................... 15 2.4.3 BETYG OCH OMDÖMEN .................................................................................... 16 Svenskt Näringsliv 2 2.4.4 RÄTTSLIGA ANSPRÅK ....................................................................................... 16 3. Behandling av personuppgifter i kundrelationer ........................... 17 3.1 SKILLNAD MELLAN KUND OCH KONSUMENT. .................................................... 17 3.2 VID MARKNADSFÖRING .................................................................................. 17 3.3 UNDER PÅGÅENDE RELATION ......................................................................... 18 3.3.1 PERSONUPPGIFTER UNDER PÅGÅENDE RELATION.............................................. 18 3.3.2 KUNDLISTOR ................................................................................................... 18 3.3.3 FÖR FULLFÖLJANDE AV ÅTAGANDE ................................................................... 18 3.3.4 KUNDHANTERINGSSYSTEM - LOJALITETSPROGRAM ............................................ 19 3.4 EFTER AVSLUTAD RELATION ........................................................................... 19 3.4.1 BEHANDLING AV PERSONUPPGIFT EFTER AVSLUTAD RELATION ........................... 19 4. Behandling av personuppgifter i andra affärsförhållanden .......... 21 4.1. I VILKA RELATIONER KAN PERSONUPPGIFTER KOMMA ATT BEHANDLAS?........... 21 4.2 FÖRÄNDRADE AFFÄRSMODELLER ................................................................... 21 5. För den som vill veta mer ................................................................. 22 BÖCKER OM PERSONUPPGIFTSLAGEN ................................................................... 22 FÖRARBETEN TILL LAGEN .................................................................................... 22 HEMSIDOR MED INFORMATION............................................................................... 22 Svenskt Näringsliv 3 Förord Personuppgifter är något vi har omkring oss ständigt och som många hanterar varje dag. I ett företag hanteras personuppgifter om anställda, om kunder, om affärskontakter och så vidare. Många gånger uppkommer frågor om hur dessa personuppgifter kan, får eller ska hanteras. Redan i samband med Personuppgiftslagens tillkomst utarbetade Svenskt Näringsliv en informationsskrift om lagen. Behovet av information om hur företagen ska göra i olika situationer har också visat sig vara stort. Vi har därför låtit utarbeta en mer utförlig informationsskrift. Syftet med denna skrift är att ge en enkel handledning till de personer i företagen som hanterar personuppgifter. Den är uppbyggd kring olika situationer när företag kan komma att hantera personuppgifter. Tanken är att den som står inför en konkret fråga ska kunna slå upp just det avsnittet och därmed få vägledning om vad som är möjligt att göra. Av naturliga skäl går det inte ens i en mer utförlig skrift att redogöra för allt som rör hantering av personuppgifter. Skriften avslutas därför med hänvisningar till var det finns mer information att hämta för den som har behov av ytterligare information. I konkreta situationer kan det också vara lämpligt att konsultera juridisk expertis för att undvika fel. Skriften är författad av jur dr Christina Wainikka, Wainikkas Innovationsbyrå. Stockholm december 2007 Nicklas Skår Svenskt Näringsliv 4 1. Introduktion 1.1 PERSONUPPGIFTSLAGEN Personuppgiftslagen, PUL, började gälla den 24 oktober 1998 (SFS 1998:204). Lagen kom till mot bakgrund av ett EG-direktiv (95/46/EG). När PUL infördes fick den ett stort genomslag. Det har dock hänt mycket sedan dess och lagen har därför moderniserats. Den 1 januari 2007 började en rad förändringar gälla i PUL. Många av dessa förändringar är att ses som lättnader. Tanken med PUL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter, det vill säga uppgifter som rör oss som individer. De förändringar som infördes 1 januari 2007 gjordes för att underlätta mycket av den vardagliga behandlingen av personuppgifter, som normalt inte innebär risker för att den personliga integriteten kränks. PUL innehåller numera två olika regelsystem. Det ena regelsystemet är en rad detaljerade hanteringsregler, som styr hur behandling av personuppgifter får gå till. Det finns till exempel regler om vilka grundläggande krav som ska vara uppfyllda vid behandling av personuppgifter, regler om vad som är tillåten behandling samt regler om skyldighet att informera de registrerade. Detta regelsystem gäller för behandling av personuppgifter i strukturerat material som till exempel dataregister, databaser samt dokumenthanteringssystem. Det andra regelsystemet i PUL infördes bland annat eftersom hanteringsreglerna i PUL ansågs alltför omfattande och byråkratiska i vardagliga situationer där personuppgifter visserligen behandlas, men inte är inlagda i ett register eller liknande som gör det lätt att söka fram uppgifterna. Denna typ av hantering får i princip utföras fritt, så länge inte den vars personuppgifter behandlas blir kränkt. Det som avgör om det är det ena eller det andra regelverket som ska tillämpas, är bedömningen av hur hanteringen av personuppgifterna går till. Detta uttrycks som att det första regelverket, med sina detaljregler, ska tillämpas när personuppgifter behandlas som ”ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter”. Regelverket med hanteringsreglerna ska med andra ord tillämpas när informationen är sorterad för att man enkelt ska kunna söka fram eller sammanställa personuppgifter. Strukturen ska vara sådan att det är påtagligt enklare att söka eller sammanställa personuppgifter. En enkel namnlista på nätet innebär normalt sett inte ett sådant strukturerat system. 1.2 VAD ÄR PERSONUPPGIFTER? Personuppgifter handlar om sådant som rör oss som individer. Det är inte bara uppgifter såsom namn, adress och personnummer som är personuppgifter. Som personuppgifter räknas allt som direkt, eller indirekt, kan knytas till en levande fysisk person. Det innebär att även uppgifter som bilars registreringsnummer och fotografier kan vara personuppgifter. 1.3 BEHANDLING AV PERSONUPPGIFTER PUL gäller behandling av personuppgifter. Med behandling avses allt som görs med personuppgifter, oavsett om det sker i en dator eller på papper. Det finns därför många exempel på be- Svenskt Näringsliv 5 handling av personuppgifter. Det kan vara insamling av personuppgifter, genom att exempelvis inhämta någons adress. Det kan även vara registrering av personuppgifter, genom att lägga till en persons telefonnummer i mobilens telefonlista. Det kan också vara lagring av personuppgifter, såsom att behålla uppgifter om kollegor. PUL gäller således för alla typer av behandling av personuppgifter. Det är dock viktigt att komma ihåg att alla regler i PUL inte gäller för alla typer av behandling. 1.4 PERSONUPPGIFTSANSVARIG - PERSONUPPGIFTSBITRÄDE Vanligen är den juridiska person som behandlar personuppgifter i sin verksamhet personuppgiftsansvarig. Det innebär t.ex. att det är aktiebolaget som sådant som är personuppgiftsansvarigt för behandlingen av personuppgifter i ett kundregister och för behandlingen av de anställdas personuppgifter. Det faktum att det är en anställd i bolaget som beslutat om behandlingen gör inte att denne blir personuppgiftsansvarig. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning utanför den personuppgiftsansvariges organisation är ett personuppgiftsbiträde. Ett personuppgiftsbiträde får bara behandla personuppgifter enligt givna instruktioner. Mellan den personuppgiftsansvarige och personuppgiftsbiträdet ska finnas ett skriftligt avtal. I avtalet ska anges att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna samt att biträdet måste vidta lämpliga åtgärder för att skydda personuppgifterna. Det är inte personuppgiftsbiträdet som har ansvaret gentemot de vars personuppgifter behandlas. Ansvaret ligger kvar hos den personuppgiftsansvarige. Detta ansvar går inte att överlåta. 1.5 ANSVAR Det är styrelsen och VD som har det yttersta ansvaret för att behandlingar av personuppgifter följer PUL. Den som kränker den personliga integriteten kan bli skadeståndsskyldig. En registrerad person som orsakas skada eller kränkning genom en felaktig behandling av personuppgifter har alltså rätt till ersättning. I lagen finns också ett straffansvar för den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med lagens bestämmelser. Påföljden kan bli böter eller fängelse i högst två år. 1.6 ÖVERFÖRING AV PERSONUPPGIFT TILL TREDJE LAND PUL innehåller särskilda regler om överföring av personuppgifter till tredje land. Som tredje land räknas länder utanför EU och EES. Grundprincipen är att det inte är tillåtet att överföra personuppgifter till tredje land, om landet inte har tillräckligt skydd för personuppgifter. När något läggs ut på Internet kan det bli tillgängligt från de flesta länder i världen. I PUL:s mening är det dock inte att betrakta som överföring av personuppgifter. Det företag som däremot skickar personuppgifter om anställda eller kunder till andra länder där företaget är verksamt, för att exempelvis göra vissa utskick, gör överföring av personuppgift. Svenskt Näringsliv 6 När ett företag vill göra sådan överföring måste det göra en bedömning om skyddet för personuppgifter i det mottagande landet är tillräckligt (adekvat). Denna bedömning görs från fall till fall och är bland annat beroende av vilka typer av personuppgifter det är fråga om. I vissa fall är det tillåtet att göra överföring av personuppgifter även om skyddet för personuppgifter i det aktuella landet inte är tillräckligt. Det gäller exempelvis när en överföring av personuppgifter är nödvändigt för att fullgöra skyldigheter i ett avtal. Det kan handla om att det är nödvändigt att överföra personuppgifter för att kunna betala ut lön till en anställd. Det är också tillåtet om den som personuppgifterna rör har lämnat sitt samtycke, under förutsättning att samtycket föregåtts av att personen fått tillräcklig information. Svenskt Näringsliv 7 2. Behandling av personuppgifter om anställda 2.1 OM ANSTÄLLDAS PERSONUPPGIFTER Ett företag som har anställda kan komma att behandla de anställdas personuppgifter i en mängd olika situationer. En del av dessa situationer är helt oproblematiska i förhållande till PUL. En del andra situationer faller inom det område som kräver att de detaljerade hanteringsreglerna i PUL följs. Det är alltså inte relationen som sådan mellan företaget och de anställda som avgör hur personuppgifterna får hanteras. Det är situationen, hanteringen och personuppgifternas natur som avgör. De olika situationerna när ett företag ska hantera personuppgifter om anställda kan delas in i tre kategorier. I denna skrift görs därför genomgången i tre olika delar, utifrån de tre olika situationerna. Den första är vad som gäller vid rekrytering, den andra är vad som gäller under pågående anställning och den tredje är vad som gäller efter avslutad anställning. Det är dock två saker som är viktiga att framhålla. Det ena är att PUL innehåller regler om informationsskyldighet. Informationsskyldigheten innebär att de vars personuppgifter kommer att behandlas ska informeras om vilka personuppgifter som samlas in och vad dessa uppgifter ska användas till. Det andra har beröring på informationsskyldigheten, nämligen möjligheten att lämna samtycke. När en anställd lämnar samtycke till en viss behandling av personuppgifter är det viktigt att han eller hon fått sådan information att fördelarna och nackdelarna med behandlingen framgår tydligt. Samtycket måste gälla en viss behandling som rör den anställde och som utförs av arbetsgivaren för ett bestämt syfte. Samtycket kan inte vara allmänt hållet. 2.2 VID REKRYTERING 2.2.1 REKRYTERINGSPROCESSEN När ett företag rekryterar kommer det i kontakt med många personer. Genom hela rekryteringsprocessen måste företaget behandla personuppgifter. Det handlar exempelvis om namn och adress på de sökande. För en del personer är rekryteringen den enda kontakt de har med företaget. En del av dessa personer blir en del av organisationen genom att de anställs. Det ställs olika krav på behandlingen av personuppgifter för de som blir anställda och de som inte blir anställda. Det kan därför vara bra att se på behandling av personuppgifter utifrån rekryteringsprocessens olika faser. 2.2.2 SVAR PÅ ANNONS OCH SPONTANFÖRFRÅGNINGAR Den första fasen i rekryteringsprocessen består ofta av att en person som är intresserad av anställning hör av sig, per e-post, brev eller telefon. Denna kontakt kan ske på grund av att personen har sett en annons eller helt spontant. Det kan också vara så att någon tipsat personen om att höra av sig till företaget för en viss typ av anställning. I det här skedet har ofta inte någon tidigare kontakt funnits mellan personen och företaget. Svenskt Näringsliv 8 En del företag väljer att hänvisa till att personen ska göra en formell ansökan. Företaget kan då välja att inte arkivera e-post eller brev eller att inte anteckna telefonsamtalet. I sådant fall har inga personuppgifter behandlats. I en del fall väljer företag att spara dessa första kontakter, med eventuella anteckningar. Det kan handla om korta anteckningar om namn, adress och vilken anställning den sökande är intresserad av. Dessa anteckningar innehåller alltså personuppgifter och det kan vara nödvändigt att beakta PUL:s regelverk. För det fall att personuppgifterna antecknas på ett vanligt papper, eller i en löpande text i en fil i ett ordbehandlingsprogram behöver inte PUL:s hanteringsregler tillämpas. Sådana anteckningar kan göras bara för att användas som avstämning gentemot de ansökningshandlingar som sedan kommer in. För det fall att personuppgifterna registreras i ett mer avancerat system, för att vara sökbara, blir PUL:s hanteringsregler fullt ut tillämpbara. Personuppgifterna får registreras och de får också sparas, men bara så länge de är nödvändiga för ansökningsförfarandet. De ska därefter gallras. För det fall att företaget vill behålla uppgifterna för en längre tid, för att exempelvis användas vid en framtida rekrytering krävs att den sökande lämnar samtycke. Precis som alltid vid samtycke krävs att den sökande får information om hur uppgifterna kommer att behandlas och för vilket syfte. 2.2.3 ANSÖKAN De första kontakterna följs ofta upp av en formell ansökan. En ansökan om anställning innehåller ofta en mängd personuppgifter av olika slag. Det handlar om att från de enkla uppgifterna om namn, adress och personnummer till uppgifter om utbildningar, tidigare arbeten, förtroendeuppdrag och liknande. I en del fall hanteras alla ansökningshandlingar i pappersform. Handlingarna läggs i olika högar och sorteras på olika sätt. En sådan hantering innebär inte att PUL:s hanteringsregler blir tilllämpbara. I andra fall byggs register upp där de sökandes profiler matchas på olika sätt. Tanken med registret är att underlätta gallringen, och sådana register är särskilt vanliga när det är många sökanden. Den här typen av hantering kräver att PUL:s hanteringsregler tillämpas. Enligt hanteringsreglerna i PUL får personuppgifter i ansökningar registreras och sparas så länge det är nödvändigt för ansökningsförfarandet. När ansökningsförfarandet har avslutats ska uppgifterna gallras bort. Det kan i vissa fall bli nödvändigt att helt ta bort det skapade registret. Uppgifter om den eller de som anställdes förs då över till de register som används för anställda. För det fall att företaget vill behålla uppgifterna, för att underlätta kommande rekryteringsprocesser, krävs samtycke från den sökande. För att samtycket ska vara giltigt krävs att den sökande fått information om hur uppgifterna kommer att behandlas och för vilket syfte. I vissa fall kan det bli en tvist om anställningsförfarandet har gått rätt till. En sökande som gallrats bort och inte fått anställning kan stämma företaget. Det kan exempelvis handla om en sökande som ansett sig blivit könsdiskriminerad eller diskriminerad på grund av funktionshinder. Om sådan diskriminering skett finns ett skadeståndsansvar. För att kunna hantera sådana stämningar får företag spara uppgifter från rekryteringsprocessen så länge en sökande som inte har anställts kan vidta rättsliga åtgärder. Den som vill stämma ett företag på grund av påstådd diskriminering vid en rekrytering måste dock iaktta vissa preskriptionsfrister. Krav måste framställas senast inom två år från den påtalade händelsen och talan måste väckas inom några måna- Svenskt Näringsliv 9 der därefter. Det är således möjligt att spara handlingar om rekryteringsprocessen så länge talan kan väckas och under den tid en rättslig prövning pågår. 2.2.4 INTERVJUANTECKNINGAR I samband med en rekryteringsprocess genomförs nästan alltid någon form av intervju. Vid intervjun görs ofta någon form av anteckningar. Dessa anteckningar kan, beroende på intervjuarens personlighet, vara tämligen ingående och personliga. I många fall är anteckningarna bara handskrivna lappar, som slängs så fort rekryteringsprocessen är klar. Det kan också handla om enkla anteckningar i ett ordbehandlingssystem. För det fall att det är ett ostrukturerat material behöver inte hanteringsreglerna i PUL tillämpas. Man bör dock vara observant på att anteckningarna skulle kunna uppfattas som kränkande. I så fall börjar PUL:s hanteringsregler gälla istället. För det fall att anteckningarna systematiseras och registreras för att vara sökbara, exempelvis för att kunna para ihop ett register med ansökningar med registret med anteckningar, blir hanteringsreglerna i PUL tillämpliga. Anteckningarna får registreras och sparas så länge det är nödvändigt för ansökningsförfarandet. Precis som för ansökningarna gäller att de får sparas så länge sökanden kan vidta rättsliga åtgärder, men därefter ska uppgifterna gallras bort. Om företaget vill spara uppgifter för att exempelvis använda vid framtida rekrytering krävs den sökandes samtycke. Samtycket måste föregås av att den sökanden fått information om varför uppgifterna sparas och vad uppgifterna kan komma att användas till. Det kan finnas anledning att spara anteckningarna, precis som själva ansökan, för att kunna bemöta rättsliga anspråk. 2.2.5 REFERENSER I samband med rekrytering inhämtas ofta referenser från olika håll. Inhämtning av referenser kan innebära behandling av personuppgifter inte bara om den sökande utan även om den som lämnat referensen. För det fall att referenserna registreras och sparas, inom ramen för exempelvis en rekryteringsdatabas, krävs att PUL:s hanteringsregler beaktas. Inom ramen för vad som är nödvändigt för ansökningsförfarandet får uppgifter från dem som lämnat referenser registreras och sparas. När det inte längre är nödvändigt ska de gallras bort. För det fall att företaget vill spara uppgifterna längre krävs samtycke. Om det bara är uppgifterna om den sökande som sparas krävs enbart samtycke från den sökande. Om det är uppgifter både om den sökande och den som lämnat referensen som sparas krävs samtycke från båda. 2.2.6 KÄNSLIGA UPPGIFTER I samband med en rekrytering kan ibland känsliga uppgifter komma fram. Det kan handla om uppgifter kring den sökandes hälsostatus eller uppgifter kring den sökandes tidigare lagöverträdelser. Behandling av känsliga uppgifter kräver särskild nogsamhet. Generellt kan sägas att det är viktigt vid behandling av känsliga uppgifter att dessa inte kränker den som uppgifterna rör. Kränkande behandling är inte tillåten. Bedömningen av om en behandling är kränkande sker genom en samlad bedömning. I bedömningen görs en avvägning mellan hur känsliga uppgifterna är, i vilket sammanhang de förekommer, vilken spridning de fått eller riskerar att få. Det vägs också in vilket syftet är bakom behandlingen av uppgifterna och vad Svenskt Näringsliv 10 behandlingen ska leda till. Bedömningen kan alltså ses som en avvägning i varje enskilt fall där personens behov av en fredad privat sfär vägs mot andra motstående intressen. Det är en typ av känsliga uppgifter som kan vara av särskild betydelse vid rekrytering. Det har under senare år blivit allt vanligare att företag ber om att få ett registerutdrag från polisens belastningsregister. När det gäller registerutdrag kan inte företaget begära ett sådant utdrag, det måste den det berör själv göra. När ett registerutdrag lämnas till företaget får uppgifterna i utdraget inte hanteras hur som helst. När det gäller uppgifter om brott gäller inte de förenklade reglerna i PUL, eftersom det är frågan om känsliga uppgifter. Huvudregeln är att det bara är myndigheter som får behandla personuppgifter om lagöverträdelser som innebär brott. Det innebär att företaget som tar emot ett registerutdrag inte får registrera uppgifterna. Det får ta emot uppgifterna, men alltså inte registrera och spara dem digitalt. När det gäller denna typ av uppgifter blir det inte heller tillåtet att behandla dessa uppgifter med stöd av ett samtycke. Det är alltså inte tillåtet att registrera uppgifter om brott som en sökande begått, inte ens om den sökande godkänner registreringen. I vissa fall finns det dock stöd i lag för ett registerutdrag ur polisens belastningsregister. Det finns exempelvis en särskild lag om registerkontroll av personal inom förskoleverksamhet, skola och barnomsorg (SFS 2000:873). Det är dock även i dessa situationer den sökande som ska begära fram registerutdraget. I dessa situationer får uppgifterna registreras. 2.3 UNDER PÅGÅENDE ANSTÄLLNING 2.3.1 BEHANDLING AV PERSONUPPGIFTER UNDER PÅGÅENDE ANSTÄLLNING När en person blir anställd av ett företag inleds en relation. I denna relation måste företag ofta och av många olika anledningar hantera de anställdas personuppgifter för att relationen ska fungera. Det kan handla om allt från hur mycket lön en anställd ska få, till vem som kommer på julfesten, till filmerna i övervakningskameran. Dessa olika situationer skiljer sig väldigt mycket åt och det är också stora skillnader mellan hur uppgifter får behandlas i de olika situationerna. Genomgången av hur personuppgifter får/ska/bör hanteras under pågående anställning görs således utifrån några olika situationer. 2.3.2 ANSTÄLLNINGSLISTOR För företag som har mer än ett par anställda uppkommer ofta ett behov av att ha någon form av lista över de anställda. Det finns många olika sätt att upprätta en sådan lista. En enkel lista, som görs i ett ordbehandlingsprogram eller rent av för hand, faller in under undantaget från hanteringsreglerna i PUL. Det är alltså de förenklade reglerna som gäller för den typen av anställningslistor. I en del fall kanske listan över de anställda skapas i ett ordbehandlingsprogram, men överförs sedan till ett ärendehanteringssystem eller liknande. I de fallen blir hanteringsreglerna i PUL fullt ut tillämpbara. Svenskt Näringsliv 11 2.3.3 UNDERLAG FÖR FULLFÖLJANDE AV SKYLDIGHETER Ett företag kan behöva behandla de anställdas personuppgifter för att fullfölja olika typer av skyldigheter. En del av dessa skyldigheter uppkommer på grund av avtal, både kollektivavtal och anställningsavtal. Andra av dessa skyldigheter uppkommer på grund av rättsliga krav enligt lagar och förordningar. De skyldigheter som ett företag måste fullfölja gentemot de anställda är de som har att göra med administrationen av anställningsavtalet, inklusive kollektivavtalet. Avtalen innebär en skyldighet för den anställde att utföra visst arbete och för företaget en skyldighet att betala ut lön. För mycket av denna administration av företagets skyldigheter behövs behandling av personuppgifter. Det handlar exempelvis om olika former av personaladministrativa system för att betala ut löner. Lönesystemet måste också innehålla möjligheter att registrera olika typer av frånvaro, eftersom det i olika grad påverkar företagets skyldighet att betala ut lön. Enligt PUL är det tillåtet att behandla personuppgifter om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan företaget och den anställde ska kunna uppfyllas. PUL innebär alltså att normala personaladministrativa system är tillåtna. Det är dock viktigt att komma ihåg att detta bara gäller för den typ av behandling som följer av skyldigheten i ett avtal. Det är inte tillåtet att med detta som ursäkt göra andra typer av personuppgiftsbehandlingar inom ramen för det personaladministrativa systemet. Det är till exempel inte tillåtet att använda det personaladministrativa systemet för att göra tidsstudier eller kartläggningar av personalens privatliv. De avtal som ger denna möjlighet till behandling av personuppgifter måste vara träffade mellan företaget och den anställde. För det fall att ett företag har träffat ett avtal med ett bemanningsföretag för att få arbete utfört av en person blir situationen en annan. Den som är arbetsgivare är bemanningsföretaget och det är bemanningsföretaget som får behandla personuppgifter för att uppfylla sina skyldigheter gentemot den anställde. Det företag som personen utför arbetet hos kan inte åberopa anställningsavtalet. Det finns också ett annat utrymme för behandling av anställdas personuppgifter. Företaget får behandla personuppgifter om det är nödvändigt och intresset av att behandla personuppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Detta kräver alltså en intresseavvägning och den måste göras utifrån varje enskild situation. När det gäller behandling av personuppgifter för att fullgöra en rättslig skyldighet kan det uppkomma i en mängd situationer. Det finns flera lagar och förordningar som innebär att företag är skyldiga att lämna ut uppgifter om de anställda till exempelvis olika myndigheter. Företag har till exempel en skyldighet att redovisa skatter och avgifter för de olika anställda. För att kunna fullfölja denna skyldighet måste vissa personuppgifter behandlas. När det finns en rättslig skyldighet att lämna information om anställda finns också en rätt enligt PUL för företaget att samla in och registrera nödvändiga personuppgifter. Det ger inte en rätt att samla in alla typer av personuppgifter, utan bara de som berörs av den rättsliga skyldigheten att lämna ifrån sig uppgifter om de anställda. 2.3.4 KOMPETENSDATABASER I en del fall behöver företag använda sig av kompetensdatabaser. Det kan handla om stora organisationer som använder kompetensdatabaser för internrekrytering till olika tjänster, men också för att kunna sätta samman olika projektgrupper. Det finns andra företag som använder kompetensdatabaser för att matcha personer med kundernas behov. Det kan vara rekryteringsföretag Svenskt Näringsliv 12 som använder dem, men även bemanningsföretag som använder sig av kompetensdatabaser för att matcha sina anställda med den kompetens som kunderna behöver. För att en kompetensdatabas ska kunna fylla sitt syfte behöver den vara strukturerad och sökbar. Det gör att de förenklade reglerna i PUL inte kan tillämpas, utan att de detaljerade hanteringsreglerna måste beaktas. Vilka personuppgifter som brukar behövas för att bygga en kompetensdatabas är varierande. I en del situationer anses det räcka med rena faktauppgifter om utbildning, arbetslivserfarenhet, genomförda uppdrag, behörighet för vissa typer av arbeten och licenser/certifikat. I vissa fall kan önskemål finnas om att även registrera olika typer av omdömen. Frågan om hur omdömen kan behandlas är en delvis annan fråga, så den tas upp för sig nedan. I det följande diskuteras därför bara kompetensdatabaser som innehåller rena fakta om utbildningar, genomförda uppdrag och så vidare. När det gäller kompetensdatabaser kan de ibland innehålla uppgifter som är nödvändiga för att företaget ska kunna sköta sina åtaganden. Det kan till exempel handla om att det finns krav i lag eller förordningar om att personer som utför vissa typer av arbeten måste ha en viss behörighet eller inneha en viss licens. Företag får då behandla sådana personuppgifter i kompetensdatabaser utan hinder av PUL. För andra typer av kompetensdatabaser får företag behandla personuppgifter om den vars uppgifter behandlas har lämnat sitt samtycke. Har samtycke lämnats får i princip alla typer av faktauppgifter om en persons kompetens behandlas. I alla situationer när samtycke krävs måste detta samtycke baseras på att personen fått tillräcklig information. Sådan information kan exempelvis gälla hur uppgifterna kommer att behandlas, vem som kommer att behandla dem och hur länge uppgifterna kommer att lagras. För att samtycket ska vara giltigt krävs dock inte bara att arbetstagaren gett sitt godkännande. Det krävs att arbetstagaren har ett fritt val att lämna samtycke, eller inte göra det. Ställs arbetstagaren inför ett ”tvång” att lämna samtycke är inte samtycket giltigt. Det kan till exempel handla om att företaget kräver att personen ska lämna samtycke utan att ta hänsyn till personens inställning. Det krävs också att arbetstagaren har möjlighet att senare ta tillbaka sitt samtycke, utan att för den skull drabbas av några nackdelar. Företaget har också en skyldighet att ta hänsyn till etik och god sed på arbetsmarknaden när personuppgifter behandlas. 2.3.5 BETYG OCH OMDÖMEN Företag genomför ofta olika tester eller samlar på ett strukturerat sätt in olika typer av omdömen om de anställda. Det kan handla om personlighetstester och skapande av profiler för att se hur grupper bäst kan sättas samman. Det kan också handla om att samla in omdömen om personer för att ge dem bra möjligheter att utvecklas. För att få registrera resultat av personlighetstester, profiler, betyg, omdömen och liknande krävs att den vars personuppgifter det gäller lämnar sitt samtycke. För att samtycket ska vara giltigt krävs att personen fått tillräcklig information om vilken behandling som kommer att ske av personuppgifterna. Samtycket kan återkallas när som helst. Det är viktigt att den behandling som sedan görs av olika betyg, omdömen, testresultat och så vidare verkligen motsvarar det som samtycket gäller. Finns det från företagets sida önskemål om att göra någon annan form av behandling av personuppgifterna måste företaget be om samtycke för den behandlingen, även om det gäller betyg, omdömen, testresultat och så vidare som företaget har registrerat och sparat sedan tidigare. Svenskt Näringsliv 13 2.3.6 ANVÄNDNING AV IT-SYSTEM För många företag är olika former av IT-system avgörande för hur verksamheten kan bedrivas. Till IT-systemet hör olika datorer som företaget ställer till de anställdas förfogande som arbetsredskap. För företagen är det viktigt, bland annat från informationssäkerhetssynpunkt, att datorer och IT-system inte missbrukas. Det är för företagen också viktigt att anställda inte använder företagens datorer och IT-system för att exempelvis begå upphovsrättsintrång. Företag, såsom arbetsgivare, får med stöd av arbetsledningsrätten bestämma hur utrustningen får användas. För att företagens önskemål om hur utrustningen ska användas bör regler och riktlinjer för de anställdas användning av IT-systemen utarbetas. Dessa regler och riktlinjer ska ha till syfte att tydligt tala om vad som gäller för användning av IT-systemen, inklusive de enskilda datorerna. Med tydligt avses att reglerna och riktlinjer inte bara ska använda allmänna skrivningar såsom ”får inte missbrukas”. Företag som har utarbetat tydliga regler och riktlinjer har också rätt att kontrollera att dessa regler och riktlinjer följs. Dessa kontroller kan bestå av stickprovskontroller av användning av e-post och Internet. För att sådana kontroller ska vara tillåtna krävs att de anställda verkligen är informerade om vilka regler och riktlinjer som gäller. Det är också avgörande att de blivit informerade om vilka kontroller som kan utföras och att syftet med kontrollerna framgått tydligt. När kontrollerna utförs måste de motsvara det som företaget informerat om. De måste vara av sådan art som företaget angivit och de måste motsvara det syfte som angivits. Kontrollerna måste alltså motsvara det som uttryckligen bestämts i förväg. Företaget har, i sin egenskap av arbetsgivare, normalt sett inte rätt att ta del av de anställdas privata e-post eller privata filer. För det fall att företaget har en allvarlig misstanke om illojalt eller brottsligt beteende kan dock företag har rätt att även ta del av sådant som är privat. Det kan till exempel handla om när anställda använder företagets datorer för att sprida piratkopierad musik eller olika typer av pornografiskt material. 2.3.7 LOGGNING Företag registrerar logguppgifter i en mängd olika situationer. Dessa registreras ofta av tekniska skäl, men det förekommer också att de registreras av andra skäl såsom säkerhetsskäl. Det handlar om alltifrån logguppgifter vid elektroniska inpasseringskontroller till loggfiler i program som gör att det går att kontrollera vilka adresser på Internet en anställd har besökt. Genom olika typer av loggning kan företag samla detaljerad information om den anställdes beteende. För många anställda upplevs detta ofta som mycket integritetskränkande. Om uppgifterna som registreras i en loggfil går att knyta till en enskild person är de personuppgifter och faller in under PUL:s tillämpningsområde. Detta gäller även för personuppgifter i loggfiler som skapas av särskilda programvaror. För det fall att det finns krav i lag eller förordning om att logguppgifter ska registreras och sparas är det tillåtet att behandla personuppgifter i denna form. Det kan handla om loggning som sker för att kontrollera att de anställda har behörighet till register med känsliga uppgifter. En del loggfiler skapas för att företaget ska kunna fullfölja sina åtaganden enligt avtal med den anställde. Det kan exempelvis handla om loggfiler som skapas i stämpelklockor och liknande system. När det finns en direkt koppling mellan uppgifterna på loggfilen och företagets möjligheter att fullfölja sina skyldigheter anses normalt behandlingen av personuppgifterna tillåten. Svenskt Näringsliv 14 För att avgöra om det är en tillåten behandling av personuppgifter måste en bedömning göras från fall till fall. Det kan finnas anledning att logga Internetanvändningen i företaget för att på så sätt tekniskt övervaka IT-systemet av säkerhetsskäl. Sådan loggning är normalt tillåten enligt PUL. Loggningen får dock enbart användas för detta syfte. Den får inte senare användas för andra syften, såsom för att kontrollera hur enskilda arbetstagare använder Internet. För att utföra sådana kontroller krävs information och samtycke, såsom beskrivits ovan. I större organisationer kan hanteringen av loggfiler bli tämligen omfattande. I en del fall skapas då särskilda databaser för loggfilerna. Det är det mest praktiska sättet att hantera den stora mängden filer. För att använda databasen till något annat än att teknisk övervaka IT-systemet av säkerhetsskäl krävs information och samtycke. 2.3.8 KAMERAÖVERVAKNING För många företag har kameraövervakning blivit en nödvändig del av säkerhetsarbetet. Användning av övervakningskamera regleras i lagen om allmän kameraövervakning (SFS 1998:150). För de kameror som sitter på platser dit allmänheten har tillträde måste företaget normalt sett ha tillstånd från länsstyrelsen för att sätta upp dem. För kameror som sitter inne på en arbetsplats dit allmänheten inte har tillträde krävs inte tillstånd. Det är tillåtet, för företaget som arbetsgivare, att sätta upp såväl kameror som utrustning för ljudupptagning på platser i företagets lokaler och område dit allmänheten inte har tillträde. De anställda måste dock alltid informeras om att övervakningen sker. Bilder från en övervakningskamera som gör det möjligt att identifiera enskilda personer är personuppgifter. Om dessa bilder lagras digitalt är det behandling av personuppgifter, som förutsätter att hanteringsreglerna i PUL tillämpas. 2.3.9 KÄNSLIGA UPPGIFTER En del personuppgifter är att betrakta som känsliga personuppgifter i PUL:s mening. Till känsliga uppgifter hör uppgifter om brott, om etniskt ursprung, om politisk åskådning, om medlemskap i facklig organisation och uppgifter om hälsa. Generellt kan sägas att det råder ett förbud mot att behandla känsliga personuppgifter, men att det finns undantag från detta förbud. I vissa fall behöver ett företag behandla även känsliga uppgifter för att fullfölja sina skyldigheter eller utöva rättigheter i enlighet med arbetsrätten. Det kan handla om att företaget måste behandla uppgifter om sjukfrånvaro för att betala rätt sjuklön. Det kan också handla om att göra en rehabiliteringsutredning för att se om någon som varit långtidssjukskriven kan komma tillbaka i arbete. I de här fallen är behandling av känsliga personuppgifter tillåten, eftersom det handlar om att fullfölja skyldigheter. När det gäller medlemskap i facklig organisation kan det även där vara så att företaget har en skyldighet att fullfölja som kräver behandling av denna känsliga personuppgift. Det kan handla om att företaget har åtagit sig att göra avdrag på lönen för fackavgiften. För att kunna göra det måste uppgift om medlemskap i facklig organisation behandlas av företaget. Sådan behandling är tillåten. Företag kan komma att behöva behandla känsliga personuppgifter i samband med rättsliga anspråk. Det kan handla om att företaget blir stämt av någon, men lika väl att företaget stämmer någon. Behandlingen kan avse exempelvis medlemskap i facklig organisation. Information om Svenskt Näringsliv 15 en anställds medlemskap i facklig organisation kan behövas för att fullgöra vissa skyldigheter i den arbetsrättsliga lagstiftningen. När behandling av känsliga personuppgifter krävs i samband med rättsliga anspråk är behandlingen tillåten. Behandling av känsliga personuppgifter kan också bli tillåten om den uppgifterna rör lämnar sitt samtycke. Detta gäller dock inte personuppgifter om brott, sådana får inte behandlas av företag – inte ens om samtycke finns. Notera dock att de specialfall som behandlas i avsnittet om rekrytering när det gäller känsliga uppgifter. För att samtycket ska vara giltigt krävs att det är helt frivilligt. När det gäller anställda görs bedömningen om frivilligheten med beaktande av att en anställd befinner sig i ett beroendeförhållande i förhållande till sin arbetsgivare. Samtycket anses bara vara frivilligt i de situationer där den anställde faktiskt haft ett fritt val och dessutom senare kan återkalla sitt samtycke utan att drabbas av nackdelar. För att samtycket ska vara giltigt krävs också att personen som personuppgiften berör fått tillräcklig information om hur den känsliga personuppgiften kan komma att behandlas, vad syftet med behandlingen är och hur länge den känsliga personuppgiften kommer att lagras. Slutligen krävs att samtycket är uttryckligt, det går inte att hävda att samtycket är underförstått. För att undvika tvister om samtycke lämnats eller inte kan det vara bra om samtycket lämnas skriftligt. Ett uttryckligt samtycke kan också göras genom att den anställde själv får fylla i uppgifterna i ett datasystem, samt då markera att samtycke lämnas. 2.4 EFTER AVSLUTAD ANSTÄLLNING 2.4.1 BEHANDLING AV PERSONUPPGIFTER EFTER AVSLUTAD ANSTÄLLNING När en anställning avslutas upphör relationen mellan företaget och den anställde. Det gör att företaget inte längre har samma behov av att hantera personens personuppgifter. Mycket av den behandling som ett företag får göra av den anställdes personuppgifter grundade sig i att företaget måste göra denna behandling för att kunna fullgöra sina skyldigheter. När anställningen upphört finns inte detta skäl kvar. Företaget kan inte använda detta som skäl för att motivera fortsatt behandling av personuppgifter. Det finns dock några situationer när ett företag kan komma att behandla personuppgifter även efter avslutad anställning. Genomgången av hur personuppgifter får/ska/bör hanteras efter avslutad anställning görs utifrån några olika situationer. 2.4.2 SKÄL TILL ATT ANSTÄLLNINGEN AVSLUTATS När en anställning avslutas kan finnas anledning att bevara information om varför anställningen har upphört. En anställning kan upphöra genom att den anställde säger upp sig själv eller avlider. Anställningen kan också upphöra genom att företaget tar initiativet och anställningen kan då upphöra exempelvis genom uppsägning på grund av arbetsbrist, uppsägning på grund av personliga skäl eller avsked. Företaget får spara rena faktauppgifter om varför anställningen har upphört. Med detta avses exempelvis en kort anteckning med personens namn och ”uppsägning på grund av arbetsbrist”. Uppgifterna får sparas för administrativa ändamål, exempelvis för att arbetsgivaren ska kunna Svenskt Näringsliv 16 fullgöra sina lagliga skyldigheter när det gäller anställdas företrädesrätt till återanställning. De får även användas för att företag ska kunna lämna referenser till andra arbetsgivare. 2.4.3 BETYG OCH OMDÖMEN I samband med att en anställning avslutas ges ofta någon form av betyg och tjänstgöringsintyg till den anställde. Arbetsgivaren får spara kopior av dessa betyg, omdömen och tjänstgöringsintyg. Vid sidan av dessa intyg får företaget inte spara omdömen och liknande om den anställde utan att denne gett sitt uttryckliga samtycke. Samtycket är bara giltigt om företaget gett tydlig information om vilken typ av behandling som kan ske av uppgifterna, om vilket syftet är med att spara dem samt om hur länge uppgiften kommer att sparas. 2.4.4 RÄTTSLIGA ANSPRÅK När en anställning avslutas kan det i sig leda till olika typer av rättsliga anspråk. Företaget får spara personuppgifter så länge dessa kan vara nödvändiga i till exempel en tvist om felaktig uppsägning. I de fall när en anställd sagts upp på grund av arbetsbrist måste företaget spara uppgifter som behövs för att bevaka företrädesrätt till ny anställning. Det är också tillåtet att spara uppgifter som behövs för att avgöra om personen har tillräckliga kvalifikationer för en ny befattning. Svenskt Näringsliv 17 3. Behandling av personuppgifter i kundrelationer 3.1 SKILLNAD MELLAN KUND OCH KONSUMENT. För många företag är det stor skillnad på kund och konsument. Till kunderna hör alla som köper varor eller tjänster från företaget. Alla kunder är dock inte konsumenter. Som konsumenter definieras bara fysiska personer som köper varor och tjänster för ändamål som faller utanför näringsverksamhet. PUL gäller bara personuppgifter. Det betyder att det är bara uppgifter om kunder som är fysiska personer som faller in under PUL:s tillämpningsområde. Det gör att PUL gäller fullt ut i förhållande till konsumenter, eftersom dessa är fysiska personer. PUL kan gälla även i relation till andra kunder, för det fall att företaget för register över kontaktpersoner och liknande hos sina kunder. Kundlistor som bara omfattar uppgifter om andra företag faller normalt utanför PUL:s tillämpningsområde. För att göra rätt är det således viktigt att undersöka om uppgifter i exempelvis kundregister rör fysiska personer eller juridiska personer. Det är styrande för om hanteringsreglerna i PUL ska tillämpas eller inte. Det som sägs i det följande gäller självklart också i fråga om uppgifter om leverantörer. 3.2 VID MARKNADSFÖRING I samband med olika marknadsföringsinsatser görs ofta olika typer av utskick. För att kunna göra dessa utskick behövs en mängd uppgifter, såsom adresser. För det fall att det handlar om adresser till fysiska personer är det fråga om personuppgifter. Detta gäller både om det är en lista över fysiska personer som innehar en viss position hos kundföretag eller om det är en lista över konsumenter. De nya förenklade reglerna i PUL gör att enkla kundlistor, i form av exempelvis en lista i löpande text skapad i ett ordbehandlingsprogram, inte kräver tillämpning av PUL:s hanteringsregler. Eftersom det ofta är fråga om en stor mängd uppgifter hanteras dessa dock i princip alltid i system som medför att PUL:s hanteringsregler ska tillämpas på behandlingen. Marknadsföring i form av exempelvis utskick kan göras både till existerande kunder och till sådana som företag ser som presumtiva kunder. När det gäller existerande kunder har möjligheter funnits till att lämna information om behandling av personuppgifter samt inhämta samtycke till sådan behandling. När det gäller presumtiva kunder har de inte fått möjlighet att lämna samtycke till behandling av deras personuppgifter. Det går inte heller att åberopa att behandlingen av personuppgifter är nödvändig för att fullgöra åtaganden. Företaget har inga åtaganden i relation till dem som bara är presumtiva kunder. För att särskilja vilken personuppgiftsbehandling som får göras bör listor för marknadsföring vara uppdelade efter existerande kunder och presumtiva kunder. Listan med de presumtiva kunderna bör gallras efter varje utskick, beroende på om de svara på utskicket eller inte. Rent praktiskt kan de presumtiva kunderna få svara på en fråga om de är intresserade av fortsatta utskick. Då inleds en relation, innan de har hunnit bli kunder vilka företaget har åtaganden gentemot. Svenskt Näringsliv 18 3.3 UNDER PÅGÅENDE RELATION 3.3.1 PERSONUPPGIFTER UNDER PÅGÅENDE RELATION Under en pågående relation med en kund kan personuppgifter komma att behandlas i en mängd olika situationer. Det kan handla om allt från kundlistor, för att ha en överblick över företagets kunder, till att använda register för att kunna fullfölja sin del av ett avtal. De olika situationerna skiljer sig åt, och genomgången i det följande bygger på olika situationer. Det är dock viktigt att hela tiden ha i åtanke att PUL bara gäller personuppgifter och alltså inte uppgifter om kunder som är juridiska personer. 3.3.2 KUNDLISTOR Många företag upprättar kundlistor av olika slag. Dessa kundlistor kan komma att användas för kommunikation med kunderna, men lika väl för att göra olika former av kundanalyser. Kundlistor som innehåller personuppgifter faller in under PUL:s tillämpningsområde. Är det fråga om enkla kundlistor kan de förenklade reglerna i PUL vara tillämpbara. För de allra flesta företag behöver dock kundlistorna finnas i mer avancerade system för att fylla någon som helst funktion. Det gör att hanteringsreglerna i PUL blir tillämpbara. Ett kundregister får innehålla namn, adress och andra uppgifter som är relevanta för kundförhållandet. För det fall att företaget vill registrera fler uppgifter än de som direkt är relevant för kundförhållandet krävs samtycke. För det fall att personuppgifterna bara ska användas för normal kundadministration behöver inte kunderna ges information om behandlingen. För det fall att uppgifterna ska behandlas även för andra ändamål måste kunderna informeras om dessa ändamål. Emellanåt kan man vilja registrera andra uppgifter om en kund. Det kan gälla födelsedag eller intressen. Sådan registrering är normalt inte tillåten utan samtycke. Personnummer får inte utan samtycke från den det berör användas som generellt kundnummer i olika sammanhang. I samband med kreditgivning, inklusive försäljning av varor mot faktura, får personnummer registreras. Personuppgifterna i ett kundregister får inte sparas längre än vad som är nödvändigt för att uppnå syftet med behandlingen. Det betyder att kundregister ständigt behöver gallras. De som inte längre är att betrakta som kunder ska tas ur registren. I vissa fall kan det dock finnas anledning att bevara personuppgifter en viss tid, till exempel för bokföringsändamål. Det är tillåtet att spara uppgifter av sådana skäl, om det finns krav i lag eller förordning. Men de kan inte användas för andra ändamål. 3.3.3 FÖR FULLFÖLJANDE AV ÅTAGANDE Kundrelationer bygger på olika typer av avtal. Avtal kännetecknas av att de är överenskommelser som skapar rättigheter och skyldigheter å ömse sidor. En del åtaganden för företag kan också uppkomma på grund av rättsliga krav, i lagar och förordningar. Företag får behandla personuppgifter om det är nödvändigt för att kunna fullfölja avtalet. Det kan handla om att företaget måste behandla personuppgifter för att kunna göra leverans till rätt adress. Det krävs inte att den det berör lämnar ett samtycke för denna behandling av personuppgifter. Behandlingen är nödvändig för fullgörande av avtalet, alltså är det tillåtet. Svenskt Näringsliv 19 3.3.4 KUNDHANTERINGSSYSTEM - LOJALITETSPROGRAM Många företag använder sig av olika kundhanteringssystem för att bland annat använda sig av lojalitetsprogram. Lojalitetsprogram kan bestå av att kunderna samlar poäng vid köp, för att sedan få olika former av rabatter. Lojalitetsprogram kan också bestå av att kunderna får inbjudningar till särskilda evenemang. Administrationen av kundhanteringssystem och lojalitetsprogram förutsätter hantering av kunduppgifter. För att PUL ska vara tillämpligt krävs att kunduppgifterna rör fysiska personer. Det kan antingen gälla konsumenter men även fysiska personer som är anställda i kundföretag. Kunduppgifter som bara rör juridiska personer, såsom andra företag, faller utanför PUL:s tillämpningsområde. Kundhanteringssystem och lojalitetsprogram förutsätter i princip användning av någon form av databas eller liknande. Det gör att de förenklade reglerna i PUL inte är möjliga att tillämpa, det är de detaljerade hanteringsreglerna som är tillämpbara. Lojalitetsprogram bygger oftast på att en kund anmäler sig till programmet. När sådan anmälan har gjorts, genom en aktiv handling, får de personuppgifter som behövs för att fullfölja programmet behandlas. Behandlingen av personuppgifter får dock inte gå utöver det som krävs för att fullfölja lojalitetsprogrammet. Vill företaget använda personuppgifterna för även andra ändamål krävs samtycke för de olika behandlingarna. 3.4 EFTER AVSLUTAD RELATION 3.4.1 BEHANDLING AV PERSONUPPGIFT EFTER AVSLUTAD RELATION När någon slutar att vara kund hos ett företag upphör relationen mellan företaget och kunden. Det gör att företaget inte längre har lika stort behov av att behandla personens personuppgifter. Den behandling som företag gör av personuppgifter i kundrelationer är många gånger tillåten eftersom den är nödvändig för att företaget ska kunna fullfölja sina skyldigheter. Upphör någon att vara kund har inte företaget några skyldigheter längre. Ett problem i kundrelationer är att det kan vara svårt att säga när de upphör. En kundrelation kan fortleva även om kunden inte köper företagets varor och tjänster under en tämligen lång tid. Bedömningen av om kundrelationen har upphört eller blir beroende av vilken typ av varor det är fråga om. När det gäller konsumentvaror på en lättrörlig marknad torde redan korta perioder av uteblivna köp kunna tolkas som att kundrelationen har upphört. När det gäller marknad för professionella tjänster köps dessa mer sällan, varför kundrelationen mycket väl kan anses bestå även efter ett år utan att någon tjänst köpts. Huvudprincipen i PUL är att sparande av personuppgifter bara får ske så länge det är nödvändigt för att nå syftet med behandlingen. Det kan finnas rättsliga krav i lagar och förordningar, exempelvis skatteregler, som gör att personuppgifter behöver bevaras en längre tid. Det faktum att behandlingen av personuppgifter får ske bara så länge som det är nödvändigt gör att gallring ständigt måste ske av personuppgifter. Gallring kan ske både utifrån ett tidsperspektiv, det vill säga när en viss tid gått sedan senaste köp och från ett ändamålsperspektiv. För det fall att företaget har ett register där det anges vad kunderna är intresserade av för erbjudanden måste gallring ske om företaget genomför förändringar i erbjudandena. Det kan handla om att ett företag säljer flera typer av produkter. Kunder har anmält sig till ett lojalitetsprogram riktat Svenskt Näringsliv 20 till ett visst produktslag. Om företaget tar bort det produktslaget ska personuppgifter om kunderna som varit del av lojalitetsprogrammet gallras bort. Generellt är viktigt att hålla i åtanke att PUL innebär att företag inte kan samla på sig personuppgifter av ett allmänt intresse, för att ”det kan vara bra att ha i framtiden”. Ser företaget ett behov av att ha den typen av information om kunder, om kunders beteenden och så vidare måste den informationen skapas anonymiserat – utan koppling till enskilda personer. Naturligtvis kan behandling ske om samtycke lämnats men som understrukits ovan krävs då att samtycket är informerat, dvs att kunden på förhand vet vilka typer av behandlingar som kommer att ske. Svenskt Näringsliv 21 4. Behandling av personuppgifter i andra affärsförhållanden 4.1. I VILKA RELATIONER KAN PERSONUPPGIFTER KOMMA ATT BEHANDLAS? Ett företag lever ofta i en nära relation med andra företag i värdekedjan. Det handlar exempelvis om leverantörer, uppdragstagare, affärspartners och distributörer. I dessa relationer kan ibland relationerna bli så nära att företagen är inne i varandras IT-system. Många av dessa relationer är till juridiska personer, just andra företag. Eftersom PUL bara gäller personuppgifter, behöver PUL inte beaktas i relation till andra företag. I en del fall är det viktigt inte bara vilken juridisk person ett avtal sluts med. Ibland är uppgifter om kontaktpersoner och liknande helt avgörande för att relationen ska fungera. Det gör att personuppgifter om dessa kan komma att behandlas. För denna behandling kan det bli nödvändigt att tillämpa PUL:s detaljerade hanteringsregler. 4.2 FÖRÄNDRADE AFFÄRSMODELLER Vi har under de senaste 20 åren varit med om en fantastisk utveckling. Den syn på värdekedjan som var rådande då har fått sig en törn. Affärsmodeller som fungerat i många år har helt plötsligt blivit omsprungna av helt andra affärsmodeller. Många nya affärsmodeller bygger på närmare relation till kunderna. Dessa närmare relationer kan på många sätt innebära att personuppgifter behöver hanteras på olika sätt. För att affärsmodellerna ska hålla för implementering är viktigt att PUL har tagits in som en parameter redan vid affärsutvecklingen. Det är då större sannolikhet att implementeringen inte stöter på problem med att affärsmodellen innebär behandling av personuppgifter i strid med PUL:s hanteringsregler. Svenskt Näringsliv 22 5. För den som vill veta mer BÖCKER OM PERSONUPPGIFTSLAGEN Eftersom de nya reglerna i PUL trädde ikraft 1 januari 2007 finns det inte många böcker som tar upp dessa nya regler. Det finns dock en lagkommentar som beaktar de nya reglerna: Öman, Sören & Lindbom, Hans-Olof, Personuppgiftslagen – En kommentar, Norstedts juridik, Stockholm 2007. FÖRARBETEN TILL LAGEN De nya reglerna i PUL föregicks av en utredning och en proposition. Både utredningen och propositionen innehåller information även om de regler som inte förändrats. Dessa förarbeten är därför bra källor till information om PUL: SOU 2004:6, Översyn av personuppgiftslagen. Regeringens proposition 2005/06:173, Översyn av personuppgiftslagen. För den som vill veta mer om PUL och förhållandena innan PUL trädde ikraft kan få information i propositionen till PUL: Regeringens proposition 1997/98:44, Personuppgiftslag. HEMSIDOR MED INFORMATION www.datainspektionen.se Datainspektionen är ansvarig myndighet för behandling av personuppgifter. På hemsidan finns mycket informationsmaterial om PUL. http://www.regeringen.se/content/1/c6/07/43/60/4156fb10.pdf Information från regeringen med anledning av förändringarna i PUL. Svenskt Näringsliv