PDF Information om personuppgiftslagens tillämpning i Riksbanken

Information om
personuppgiftslagens
tillämpning i
Riksbanken
AUGUSTI 2002
1.Inledning
I det följande lämnas information om personuppgiftslagen och dess tillämpning som berör alla
anställda i Riksbanken.
2. Den nya personuppgiftslagen
I oktober 1998 ersattes datalagen av personuppgiftslagen (1998:204) (PuL). Vissa övergångsregler
gällde fram till den 1 oktober 2001. Efter detta datum skall all hantering av personuppgifter i
Riksbanken anpassas till bestämmelserna i PuL. Syftet med lagen är att skydda personer mot att
deras personliga integritet kränks genom behandling av personuppgifter. Den ställer inte något krav
på licenser eller tillstånd från Datainspektionen utan den personuppgiftsansvarige, som i Riksbanken
är direktionen, ansvarar självständigt för att Riksbankens behandlingar av personuppgifter
överensstämmer med lagen. Den personuppgiftsansvarige skall således själv tolka och följa dessa
regler.
3. Definition av personuppgifter
PuL tillämpas på all helt eller delvis automatiserad behandling av personuppgifter. Med
personuppgifter menas all slags information som direkt eller indirekt kan hänföras till en fysisk
person som är i livet. Även bild- och ljuduppgifter omfattas. Likaså krypterade uppgifter och olika
slag av elektroniska identiteter om de indirekt kan hänföras till fysiska personer.
4. Behandling av personuppgifter och kraven för dessa
Med behandling avses t.ex. insamling, registrering, organisering, lagring, bearbetning, inhämtande,
användande, sammanställning och förstöring av uppgifter.
Vid behandling av personuppgifter i Riksbanken skall de grundläggande kraven i lagen följas, såsom
t.ex. att behandlingen måste vara laglig och i enlighet med god sed. Personuppgifterna skall vidare
vara relevanta, riktiga och aktuella. Det är viktigt att det finns särskilda, uttryckligt angivna och
berättigade ändamål för behandlingen. Behandling får inte ske för ändamål som är oförenligt med
det ursprungliga ändamålet.
Behandlingen måste vara tillåten. Det innebär bl.a. att den person som uppgifterna avser antingen
har lämnat sitt samtycke eller att behandlingen är nödvändig på grund av följande skäl.
Behandlingen behövs för att ett avtal med den registrerade skall kunna fullföljas (t.ex.
anställningsavtal), för att Riksbanken skall kunna fullgöra en rättslig skyldighet (t.ex. registrering i
diarium), för att Riksbanken skall kunna utföra en arbetsuppgift i samband med sin
myndighetsutövning (t.ex. insamling av statistik) eller en arbetsuppgift av allmänt intresse.
Behandlingen är också tillåten om det efter en intresseavvägning kan konstateras att behandlingen
är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige
väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Det är endast när behandlingen inte är tillåten på grund av ovannämnda skäl som samtycke behöver
inhämtas
5. Registrering av personnummer
För att registrera personnummer krävs samtycke från den berörde eller att det får anses klart
motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något
annat beaktansvärt skäl.
2
6. Information till den registrerade
Enligt PuL krävs också information till den registrerade, men information om sådant som den
registrerade redan känner till behöver inte lämnas. Information behöver inte heller lämnas om det
finns bestämmelser om registrerandet eller utlämnandet i lag eller annan författning. När uppgifter
samlas in direkt från den registrerade skall information lämnas i samband med insamlingen, t.ex. på
blanketten bör då informeras om ändamålet, vem som är mottagare av uppgifterna och att den
registrerade har rätt till rättelse. När uppgifterna inte samlas in direkt från den registrerade skall
information lämnas när uppgifterna registreras om registreringen inte är författningsreglerad eller
det skulle innebära en oproportionerlig insats.
Information skall också på begäran lämnas till den registrerade. Denna information som skall lämnas
efter ansökan är mycket omfattande och skall innehålla såväl alla de upplysningar som är att anse
som personuppgifter beträffande den registrerade, information om varifrån uppgifterna har hämtats
och ändamålen med behandlingen samt vilka mottagare som uppgifterna har lämnats till.
7. Personuppgiftslagen och Internet
När personuppgifter publiceras öppet på en webbplats på Internet, såsom på Riksbankens hemsida,
blir de tillgängliga över hela världen, även i länder som saknar integritetsskydd för personuppgifter.
Enligt PuL är det bara tillåtet att överföra personuppgifter till länder som har ett tillräckligt skydd för
informationen. Det är dock tillåtet att publicera uppgifter om den registrerade på Internet om denne
har givit sitt samtycke till det. Harmlös information får emellertid publiceras på Internet utan den
registrerades samtycke eftersom sådana uppgifter inte behöver skydd.
8. IT-säkerhet
Personuppgiftslagen kräver att den personuppgiftsansvarige vidtar lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som behandlas. I Riksbanken finns
riktlinjer för informationsskydd och Martin Bergling har utsetts som ansvarig för informationsskydd
inom banken.
9. Anställdas personuppgifter i Riksbanken
Anställdas personuppgifter får behandlas av Riksbanken som arbetsgivare om det är nödvändigt för
att anställningsavtalet eller något annat avtal mellan Riksbanken och den anställde skall kunna
uppfyllas. Personuppgifter som behövs för att administrera ett anställningsavtal kan t.ex. vara
personaladministrativa system, in- och utpasseringssystem, flextidsystem, behörighetskontrollsystem
eller företagshälsovård.
Riksbanken får också behandla anställdas personuppgifter om det är nödvändigt för att fullgöra en
rättslig skyldighet. En arbetsgivare är exempelvis genom ett flertal lagar skyldiga att lämna ut
uppgifter om anställda till bl.a. statliga och kommunala myndigheter för att t.ex. redovisa skatter
och erlägga pensionsavgifter.
Dessutom får Riksbanken behandla personuppgifter om den anställde om det är nödvändigt och
intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte
behandlas. Känsliga uppgifter om den anställde som t.ex. sjukdom och fackligt medlemskap får dock
endast behandlas av Riksbanken om det krävs för att fullgöra skyldigheter eller utöva rättigheter
inom arbetsrätten.
3
Vad gäller personnummer får Riksbanken registrera sådana för att administrera sina
anställningsförhållanden eller för att fullgöra uppgiftsskyldighet till olika myndigheter, t.ex.
skattemyndigheten.
Beträffande publicering av personuppgifter på Riksbankens hemsida kan exempelvis namn,
befattning, e-postadress och liknande arbetsplatsrelaterade uppgifter publiceras utan den anställdes
samtycke. Däremot skall den anställde tillfrågas innan t.ex. hemadress, hemtelefonnummer och
foton läggs ut på hemsidan.
För personuppgifter hos offentliga arbetsgivare, såsom Riksbanken, gäller den s.k.
offentlighetsprincipen. På grund av offentlighetsprincipen skall personuppgifter i Riksbankens
personregister lämnas ut till allmänheten i samma omfattning som traditionella handlingar. Det
innebär att många uppgifter om Riksbankens anställda kan bli tillgängliga för vem som helst, såvida
det inte finns någon sekretessbestämmelse som skyddar uppgifterna.
10. Riksbankens personuppgiftsombud
Den personuppgiftsansvarige är skyldig att anmäla behandling av personuppgifter till
Datainspektionen. Anmälningsskyldighet gäller dock inte om det finns ett personuppgiftsombud som
för en förteckning över de behandlingar som skall omfattas av anmälningsskyldigheten. För att
undvika denna anmälningsskyldighet samt för att säkerställa att personuppgifter hanteras på ett
korrekt sätt inom banken utsåg Riksbankens direktion den 20 september 2001 två
personuppgiftsombud i Riksbanken, Åsa Sydén, jurist på direktionsavdelningen och Martin Bergling,
ansvarig för informationsskydd på säkerhetsfunktionen på administrativa avdelningen.
Personuppgiftsombuden skall hjälpa direktionen att uppfylla lagens krav och bidra till att skapa
ordning och reda. Exempel på uppgifter för dessa ombud är att föra förteckning över behandlingar
av personuppgifter, samråda med Datainspektionen, påpeka brister för direktionen, hjälpa
registrerade att få rättelse vid felaktiga personuppgifter, se till att det finns administrativa och
tekniska åtgärder för IT-säkerhet, utarbeta rutiner för kontroll och granskning, ge råd och
information till berörd personal samt fortlöpande kontrollera förhållanden avseende behandling av
personuppgifter.
11. Förteckning av Riksbankens IT-register och andra
behandlingar av personuppgifter
Förutom den förteckning av personuppgiftsbehandlingar som PuL föreskriver finns det också en
förteckningsskyldighet för myndigheter i 15 kap. 11 § sekretesslagen (1980:100), vilken innebär att
myndigheten skall föra en förteckning över register eller andra anteckningar som förs med hjälp av
automatiserad databehandling. Datainspektionen har uttalat att det kan vara praktiskt att på något
för organisationen lämpligt sätt samordna dessa förteckningar. Det är också detta helhetsbegrepp
som Riksbanken valt och som innebär att den förteckning som finns i Riksbanken uppfyller kraven
enligt både PuL och sekretesslagen.
12. Inventering av personuppgifter
Personuppgiftsombuden har tillsammans med en utsedd rapporteringsansvarig för varje avdelning
kartlagt alla behandlingar av personuppgifter i Riksbanken samt övriga IT-register. En gemensam
förteckning för hela Riksbanken har upprättats. Förteckningen är uppdelad avdelningsvis. Den
rapporteringsansvarige på varje avdelning har till uppgift att löpande följa avdelningens ITutveckling och anmäla till personuppgiftsombuden när nya IT-register eller andra behandlingar av
personuppgifter tillkommer eller försvinner och om ändamålen för behandlingen ändras. För att
4
underlätta deras arbete är det upp till varje riksbanksanställd att ta den kontakt som behövs med
den rapporteringsansvarige på sin avdelning vid förändringar av de IT-register och andra
behandlingar av personuppgifter som han eller hon ansvarar för.
5