Information om personuppgiftslagens tillämpning i Riksbanken AUGUSTI 2002 1.Inledning I det följande lämnas information om personuppgiftslagen och dess tillämpning som berör alla anställda i Riksbanken. 2. Den nya personuppgiftslagen I oktober 1998 ersattes datalagen av personuppgiftslagen (1998:204) (PuL). Vissa övergångsregler gällde fram till den 1 oktober 2001. Efter detta datum skall all hantering av personuppgifter i Riksbanken anpassas till bestämmelserna i PuL. Syftet med lagen är att skydda personer mot att deras personliga integritet kränks genom behandling av personuppgifter. Den ställer inte något krav på licenser eller tillstånd från Datainspektionen utan den personuppgiftsansvarige, som i Riksbanken är direktionen, ansvarar självständigt för att Riksbankens behandlingar av personuppgifter överensstämmer med lagen. Den personuppgiftsansvarige skall således själv tolka och följa dessa regler. 3. Definition av personuppgifter PuL tillämpas på all helt eller delvis automatiserad behandling av personuppgifter. Med personuppgifter menas all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även bild- och ljuduppgifter omfattas. Likaså krypterade uppgifter och olika slag av elektroniska identiteter om de indirekt kan hänföras till fysiska personer. 4. Behandling av personuppgifter och kraven för dessa Med behandling avses t.ex. insamling, registrering, organisering, lagring, bearbetning, inhämtande, användande, sammanställning och förstöring av uppgifter. Vid behandling av personuppgifter i Riksbanken skall de grundläggande kraven i lagen följas, såsom t.ex. att behandlingen måste vara laglig och i enlighet med god sed. Personuppgifterna skall vidare vara relevanta, riktiga och aktuella. Det är viktigt att det finns särskilda, uttryckligt angivna och berättigade ändamål för behandlingen. Behandling får inte ske för ändamål som är oförenligt med det ursprungliga ändamålet. Behandlingen måste vara tillåten. Det innebär bl.a. att den person som uppgifterna avser antingen har lämnat sitt samtycke eller att behandlingen är nödvändig på grund av följande skäl. Behandlingen behövs för att ett avtal med den registrerade skall kunna fullföljas (t.ex. anställningsavtal), för att Riksbanken skall kunna fullgöra en rättslig skyldighet (t.ex. registrering i diarium), för att Riksbanken skall kunna utföra en arbetsuppgift i samband med sin myndighetsutövning (t.ex. insamling av statistik) eller en arbetsuppgift av allmänt intresse. Behandlingen är också tillåten om det efter en intresseavvägning kan konstateras att behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Det är endast när behandlingen inte är tillåten på grund av ovannämnda skäl som samtycke behöver inhämtas 5. Registrering av personnummer För att registrera personnummer krävs samtycke från den berörde eller att det får anses klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. 2 6. Information till den registrerade Enligt PuL krävs också information till den registrerade, men information om sådant som den registrerade redan känner till behöver inte lämnas. Information behöver inte heller lämnas om det finns bestämmelser om registrerandet eller utlämnandet i lag eller annan författning. När uppgifter samlas in direkt från den registrerade skall information lämnas i samband med insamlingen, t.ex. på blanketten bör då informeras om ändamålet, vem som är mottagare av uppgifterna och att den registrerade har rätt till rättelse. När uppgifterna inte samlas in direkt från den registrerade skall information lämnas när uppgifterna registreras om registreringen inte är författningsreglerad eller det skulle innebära en oproportionerlig insats. Information skall också på begäran lämnas till den registrerade. Denna information som skall lämnas efter ansökan är mycket omfattande och skall innehålla såväl alla de upplysningar som är att anse som personuppgifter beträffande den registrerade, information om varifrån uppgifterna har hämtats och ändamålen med behandlingen samt vilka mottagare som uppgifterna har lämnats till. 7. Personuppgiftslagen och Internet När personuppgifter publiceras öppet på en webbplats på Internet, såsom på Riksbankens hemsida, blir de tillgängliga över hela världen, även i länder som saknar integritetsskydd för personuppgifter. Enligt PuL är det bara tillåtet att överföra personuppgifter till länder som har ett tillräckligt skydd för informationen. Det är dock tillåtet att publicera uppgifter om den registrerade på Internet om denne har givit sitt samtycke till det. Harmlös information får emellertid publiceras på Internet utan den registrerades samtycke eftersom sådana uppgifter inte behöver skydd. 8. IT-säkerhet Personuppgiftslagen kräver att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. I Riksbanken finns riktlinjer för informationsskydd och Martin Bergling har utsetts som ansvarig för informationsskydd inom banken. 9. Anställdas personuppgifter i Riksbanken Anställdas personuppgifter får behandlas av Riksbanken som arbetsgivare om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan Riksbanken och den anställde skall kunna uppfyllas. Personuppgifter som behövs för att administrera ett anställningsavtal kan t.ex. vara personaladministrativa system, in- och utpasseringssystem, flextidsystem, behörighetskontrollsystem eller företagshälsovård. Riksbanken får också behandla anställdas personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet. En arbetsgivare är exempelvis genom ett flertal lagar skyldiga att lämna ut uppgifter om anställda till bl.a. statliga och kommunala myndigheter för att t.ex. redovisa skatter och erlägga pensionsavgifter. Dessutom får Riksbanken behandla personuppgifter om den anställde om det är nödvändigt och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Känsliga uppgifter om den anställde som t.ex. sjukdom och fackligt medlemskap får dock endast behandlas av Riksbanken om det krävs för att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten. 3 Vad gäller personnummer får Riksbanken registrera sådana för att administrera sina anställningsförhållanden eller för att fullgöra uppgiftsskyldighet till olika myndigheter, t.ex. skattemyndigheten. Beträffande publicering av personuppgifter på Riksbankens hemsida kan exempelvis namn, befattning, e-postadress och liknande arbetsplatsrelaterade uppgifter publiceras utan den anställdes samtycke. Däremot skall den anställde tillfrågas innan t.ex. hemadress, hemtelefonnummer och foton läggs ut på hemsidan. För personuppgifter hos offentliga arbetsgivare, såsom Riksbanken, gäller den s.k. offentlighetsprincipen. På grund av offentlighetsprincipen skall personuppgifter i Riksbankens personregister lämnas ut till allmänheten i samma omfattning som traditionella handlingar. Det innebär att många uppgifter om Riksbankens anställda kan bli tillgängliga för vem som helst, såvida det inte finns någon sekretessbestämmelse som skyddar uppgifterna. 10. Riksbankens personuppgiftsombud Den personuppgiftsansvarige är skyldig att anmäla behandling av personuppgifter till Datainspektionen. Anmälningsskyldighet gäller dock inte om det finns ett personuppgiftsombud som för en förteckning över de behandlingar som skall omfattas av anmälningsskyldigheten. För att undvika denna anmälningsskyldighet samt för att säkerställa att personuppgifter hanteras på ett korrekt sätt inom banken utsåg Riksbankens direktion den 20 september 2001 två personuppgiftsombud i Riksbanken, Åsa Sydén, jurist på direktionsavdelningen och Martin Bergling, ansvarig för informationsskydd på säkerhetsfunktionen på administrativa avdelningen. Personuppgiftsombuden skall hjälpa direktionen att uppfylla lagens krav och bidra till att skapa ordning och reda. Exempel på uppgifter för dessa ombud är att föra förteckning över behandlingar av personuppgifter, samråda med Datainspektionen, påpeka brister för direktionen, hjälpa registrerade att få rättelse vid felaktiga personuppgifter, se till att det finns administrativa och tekniska åtgärder för IT-säkerhet, utarbeta rutiner för kontroll och granskning, ge råd och information till berörd personal samt fortlöpande kontrollera förhållanden avseende behandling av personuppgifter. 11. Förteckning av Riksbankens IT-register och andra behandlingar av personuppgifter Förutom den förteckning av personuppgiftsbehandlingar som PuL föreskriver finns det också en förteckningsskyldighet för myndigheter i 15 kap. 11 § sekretesslagen (1980:100), vilken innebär att myndigheten skall föra en förteckning över register eller andra anteckningar som förs med hjälp av automatiserad databehandling. Datainspektionen har uttalat att det kan vara praktiskt att på något för organisationen lämpligt sätt samordna dessa förteckningar. Det är också detta helhetsbegrepp som Riksbanken valt och som innebär att den förteckning som finns i Riksbanken uppfyller kraven enligt både PuL och sekretesslagen. 12. Inventering av personuppgifter Personuppgiftsombuden har tillsammans med en utsedd rapporteringsansvarig för varje avdelning kartlagt alla behandlingar av personuppgifter i Riksbanken samt övriga IT-register. En gemensam förteckning för hela Riksbanken har upprättats. Förteckningen är uppdelad avdelningsvis. Den rapporteringsansvarige på varje avdelning har till uppgift att löpande följa avdelningens ITutveckling och anmäla till personuppgiftsombuden när nya IT-register eller andra behandlingar av personuppgifter tillkommer eller försvinner och om ändamålen för behandlingen ändras. För att 4 underlätta deras arbete är det upp till varje riksbanksanställd att ta den kontakt som behövs med den rapporteringsansvarige på sin avdelning vid förändringar av de IT-register och andra behandlingar av personuppgifter som han eller hon ansvarar för. 5