Personuppgiftslagen - Svenskt Näringsliv

Personuppgiftslagen
Så berör den dig som företag
Christina Wainikka
December 2007
1
Innehållsförteckning
Innehållsförteckning................................................................................ 1
Förord ....................................................................................................... 3
1. Introduktion.......................................................................................... 4
1.1 PERSONUPPGIFTSLAGEN ................................................................................. 4
1.2 VAD ÄR PERSONUPPGIFTER? ........................................................................... 4
1.3 BEHANDLING AV PERSONUPPGIFTER ................................................................ 4
1.4 PERSONUPPGIFTSANSVARIG - PERSONUPPGIFTSBITRÄDE................................... 5
1.5 ANSVAR ......................................................................................................... 5
1.6 ÖVERFÖRING AV PERSONUPPGIFT TILL TREDJE LAND ......................................... 5
2. Behandling av personuppgifter om anställda .................................. 7
2.1 OM ANSTÄLLDAS PERSONUPPGIFTER ............................................................... 7
2.2 VID REKRYTERING ........................................................................................... 7
2.2.1 REKRYTERINGSPROCESSEN ................................................................................ 7
2.2.2 SVAR PÅ ANNONS OCH SPONTANFÖRFRÅGNINGAR ............................................... 7
2.2.3 ANSÖKAN ........................................................................................................... 8
2.2.4 INTERVJUANTECKNINGAR .................................................................................... 9
2.2.5 REFERENSER ...................................................................................................... 9
2.2.6 KÄNSLIGA UPPGIFTER ......................................................................................... 9
2.3 UNDER PÅGÅENDE ANSTÄLLNING ................................................................... 10
2.3.1 BEHANDLING AV PERSONUPPGIFTER UNDER PÅGÅENDE ANSTÄLLNING ................ 10
2.3.2 ANSTÄLLNINGSLISTOR ....................................................................................... 10
2.3.3 UNDERLAG FÖR FULLFÖLJANDE AV SKYLDIGHETER ............................................. 11
2.3.4 KOMPETENSDATABASER.................................................................................... 11
2.3.5 BETYG OCH OMDÖMEN ...................................................................................... 12
2.3.6 ANVÄNDNING AV IT-SYSTEM .............................................................................. 13
2.3.7 LOGGNING ........................................................................................................ 13
2.3.8 KAMERAÖVERVAKNING ...................................................................................... 14
2.3.9 KÄNSLIGA UPPGIFTER ....................................................................................... 14
2.4 EFTER AVSLUTAD ANSTÄLLNING .................................................................... 15
2.4.1 BEHANDLING AV PERSONUPPGIFTER EFTER AVSLUTAD ANSTÄLLNING .................. 15
2.4.2 SKÄL TILL ATT ANSTÄLLNINGEN AVSLUTATS ........................................................ 15
2.4.3 BETYG OCH OMDÖMEN ...................................................................................... 16
Svenskt Näringsliv
2
2.4.4 RÄTTSLIGA ANSPRÅK......................................................................................... 16
3. Behandling av personuppgifter i kundrelationer ........................... 17
3.1 SKILLNAD MELLAN KUND OCH KONSUMENT. .................................................... 17
3.2 VID MARKNADSFÖRING .................................................................................. 17
3.3 UNDER PÅGÅENDE RELATION ......................................................................... 18
3.3.1 PERSONUPPGIFTER UNDER PÅGÅENDE RELATION............................................... 18
3.3.2 KUNDLISTOR ..................................................................................................... 18
3.3.3 FÖR FULLFÖLJANDE AV ÅTAGANDE..................................................................... 18
3.3.4 KUNDHANTERINGSSYSTEM - LOJALITETSPROGRAM ............................................. 19
3.4 EFTER AVSLUTAD RELATION .......................................................................... 19
3.4.1 BEHANDLING AV PERSONUPPGIFT EFTER AVSLUTAD RELATION............................ 19
4. Behandling av personuppgifter i andra affärsförhållanden .......... 21
4.1. I VILKA RELATIONER KAN PERSONUPPGIFTER KOMMA ATT BEHANDLAS? .......... 21
4.2 FÖRÄNDRADE AFFÄRSMODELLER ................................................................... 21
5. För den som vill veta mer ................................................................. 22
BÖCKER OM PERSONUPPGIFTSLAGEN .................................................................. 22
FÖRARBETEN TILL LAGEN .................................................................................... 22
HEMSIDOR MED INFORMATION .............................................................................. 22
Svenskt Näringsliv
3
Förord
Personuppgifter är något vi har omkring oss ständigt och som många hanterar varje dag. I ett
företag hanteras personuppgifter om anställda, om kunder, om affärskontakter och så vidare.
Många gånger uppkommer frågor om hur dessa personuppgifter kan, får eller ska hanteras.
Redan i samband med Personuppgiftslagens tillkomst utarbetade Svenskt Näringsliv en informationsskrift om lagen. Behovet av information om hur företagen ska göra i olika situationer
har också visat sig vara stort. Vi har därför låtit utarbeta en mer utförlig informationsskrift.
Syftet med denna skrift är att ge en enkel handledning till de personer i företagen som hanterar
personuppgifter. Den är uppbyggd kring olika situationer när företag kan komma att hantera
personuppgifter. Tanken är att den som står inför en konkret fråga ska kunna slå upp just det
avsnittet och därmed få vägledning om vad som är möjligt att göra.
Av naturliga skäl går det inte ens i en mer utförlig skrift att redogöra för allt som rör hantering
av personuppgifter. Skriften avslutas därför med hänvisningar till var det finns mer information
att hämta för den som har behov av ytterligare information. I konkreta situationer kan det också
vara lämpligt att konsultera juridisk expertis för att undvika fel.
Skriften är författad av jur dr Christina Wainikka, Wainikkas Innovationsbyrå.
Stockholm december 2007
Nicklas Skår
Svenskt Näringsliv
4
1. Introduktion
1.1 PERSONUPPGIFTSLAGEN
Personuppgiftslagen, PUL, började gälla den 24 oktober 1998 (SFS 1998:204). Lagen kom till
mot bakgrund av ett EG-direktiv (95/46/EG). När PUL infördes fick den ett stort genomslag.
Det har dock hänt mycket sedan dess och lagen har därför moderniserats. Den 1 januari 2007
började en rad förändringar gälla i PUL. Många av dessa förändringar är att ses som lättnader.
Tanken med PUL är att skydda människor mot att deras personliga integritet kränks genom
behandling av personuppgifter, det vill säga uppgifter som rör oss som individer. De förändringar som infördes 1 januari 2007 gjordes för att underlätta mycket av den vardagliga behandlingen av personuppgifter, som normalt inte innebär risker för att den personliga integriteten
kränks.
PUL innehåller numera två olika regelsystem. Det ena regelsystemet är en rad detaljerade hanteringsregler, som styr hur behandling av personuppgifter får gå till. Det finns till exempel regler om vilka grundläggande krav som ska vara uppfyllda vid behandling av personuppgifter,
regler om vad som är tillåten behandling samt regler om skyldighet att informera de registrerade. Detta regelsystem gäller för behandling av personuppgifter i strukturerat material som till
exempel dataregister, databaser samt dokumenthanteringssystem.
Det andra regelsystemet i PUL infördes bland annat eftersom hanteringsreglerna i PUL ansågs
alltför omfattande och byråkratiska i vardagliga situationer där personuppgifter visserligen behandlas, men inte är inlagda i ett register eller liknande som gör det lätt att söka fram uppgifterna. Denna typ av hantering får i princip utföras fritt, så länge inte den vars personuppgifter behandlas blir kränkt.
Det som avgör om det är det ena eller det andra regelverket som ska tillämpas, är bedömningen
av hur hanteringen av personuppgifterna går till. Detta uttrycks som att det första regelverket,
med sina detaljregler, ska tillämpas när personuppgifter behandlas som ”ingår i eller är avsedda
att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter”.
Regelverket med hanteringsreglerna ska med andra ord tillämpas när informationen är sorterad
för att man enkelt ska kunna söka fram eller sammanställa personuppgifter. Strukturen ska vara
sådan att det är påtagligt enklare att söka eller sammanställa personuppgifter. En enkel namnlista på nätet innebär normalt sett inte ett sådant strukturerat system.
1.2 VAD ÄR PERSONUPPGIFTER?
Personuppgifter handlar om sådant som rör oss som individer. Det är inte bara uppgifter såsom
namn, adress och personnummer som är personuppgifter. Som personuppgifter räknas allt som
direkt, eller indirekt, kan knytas till en levande fysisk person. Det innebär att även uppgifter
som bilars registreringsnummer och fotografier kan vara personuppgifter.
1.3 BEHANDLING AV PERSONUPPGIFTER
PUL gäller behandling av personuppgifter. Med behandling avses allt som görs med personuppgifter, oavsett om det sker i en dator eller på papper. Det finns därför många exempel på be-
Svenskt Näringsliv
5
handling av personuppgifter. Det kan vara insamling av personuppgifter, genom att exempelvis
inhämta någons adress. Det kan även vara registrering av personuppgifter, genom att lägga till
en persons telefonnummer i mobilens telefonlista. Det kan också vara lagring av personuppgifter, såsom att behålla uppgifter om kollegor.
PUL gäller således för alla typer av behandling av personuppgifter. Det är dock viktigt att
komma ihåg att alla regler i PUL inte gäller för alla typer av behandling.
1.4 PERSONUPPGIFTSANSVARIG - PERSONUPPGIFTSBITRÄDE
Vanligen är den juridiska person som behandlar personuppgifter i sin verksamhet personuppgiftsansvarig. Det innebär t.ex. att det är aktiebolaget som sådant som är personuppgiftsansvarigt för behandlingen av personuppgifter i ett kundregister och för behandlingen av de anställdas
personuppgifter. Det faktum att det är en anställd i bolaget som beslutat om behandlingen gör
inte att denne blir personuppgiftsansvarig.
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning utanför den personuppgiftsansvariges organisation är ett personuppgiftsbiträde. Ett personuppgiftsbiträde får
bara behandla personuppgifter enligt givna instruktioner. Mellan den personuppgiftsansvarige
och personuppgiftsbiträdet ska finnas ett skriftligt avtal. I avtalet ska anges att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna samt att biträdet måste
vidta lämpliga åtgärder för att skydda personuppgifterna.
Det är inte personuppgiftsbiträdet som har ansvaret gentemot de vars personuppgifter behandlas. Ansvaret ligger kvar hos den personuppgiftsansvarige. Detta ansvar går inte att överlåta.
1.5 ANSVAR
Det är styrelsen och VD som har det yttersta ansvaret för att behandlingar av personuppgifter
följer PUL.
Den som kränker den personliga integriteten kan bli skadeståndsskyldig. En registrerad person
som orsakas skada eller kränkning genom en felaktig behandling av personuppgifter har alltså
rätt till ersättning.
I lagen finns också ett straffansvar för den som uppsåtligen eller av grov oaktsamhet behandlar
personuppgifter i strid med lagens bestämmelser. Påföljden kan bli böter eller fängelse i högst
två år.
1.6 ÖVERFÖRING AV PERSONUPPGIFT TILL TREDJE LAND
PUL innehåller särskilda regler om överföring av personuppgifter till tredje land. Som tredje
land räknas länder utanför EU och EES. Grundprincipen är att det inte är tillåtet att överföra
personuppgifter till tredje land, om landet inte har tillräckligt skydd för personuppgifter.
När något läggs ut på Internet kan det bli tillgängligt från de flesta länder i världen. I PUL:s
mening är det dock inte att betrakta som överföring av personuppgifter. Det företag som däremot skickar personuppgifter om anställda eller kunder till andra länder där företaget är
verksamt, för att exempelvis göra vissa utskick, gör överföring av personuppgift.
Svenskt Näringsliv
6
När ett företag vill göra sådan överföring måste det göra en bedömning om skyddet för personuppgifter i det mottagande landet är tillräckligt (adekvat). Denna bedömning görs från fall till
fall och är bland annat beroende av vilka typer av personuppgifter det är fråga om.
I vissa fall är det tillåtet att göra överföring av personuppgifter även om skyddet för personuppgifter i det aktuella landet inte är tillräckligt. Det gäller exempelvis när en överföring av personuppgifter är nödvändigt för att fullgöra skyldigheter i ett avtal. Det kan handla om att det är
nödvändigt att överföra personuppgifter för att kunna betala ut lön till en anställd. Det är också
tillåtet om den som personuppgifterna rör har lämnat sitt samtycke, under förutsättning att samtycket föregåtts av att personen fått tillräcklig information.
Svenskt Näringsliv
7
2. Behandling av personuppgifter om anställda
2.1 OM ANSTÄLLDAS PERSONUPPGIFTER
Ett företag som har anställda kan komma att behandla de anställdas personuppgifter i en mängd
olika situationer. En del av dessa situationer är helt oproblematiska i förhållande till PUL. En
del andra situationer faller inom det område som kräver att de detaljerade hanteringsreglerna i
PUL följs. Det är alltså inte relationen som sådan mellan företaget och de anställda som avgör
hur personuppgifterna får hanteras. Det är situationen, hanteringen och personuppgifternas natur
som avgör.
De olika situationerna när ett företag ska hantera personuppgifter om anställda kan delas in i tre
kategorier. I denna skrift görs därför genomgången i tre olika delar, utifrån de tre olika situationerna. Den första är vad som gäller vid rekrytering, den andra är vad som gäller under pågående
anställning och den tredje är vad som gäller efter avslutad anställning.
Det är dock två saker som är viktiga att framhålla. Det ena är att PUL innehåller regler om informationsskyldighet. Informationsskyldigheten innebär att de vars personuppgifter kommer att
behandlas ska informeras om vilka personuppgifter som samlas in och vad dessa uppgifter ska
användas till.
Det andra har beröring på informationsskyldigheten, nämligen möjligheten att lämna samtycke.
När en anställd lämnar samtycke till en viss behandling av personuppgifter är det viktigt att han
eller hon fått sådan information att fördelarna och nackdelarna med behandlingen framgår tydligt. Samtycket måste gälla en viss behandling som rör den anställde och som utförs av arbetsgivaren för ett bestämt syfte. Samtycket kan inte vara allmänt hållet.
2.2 VID REKRYTERING
2.2.1 REKRYTERINGSPROCESSEN
När ett företag rekryterar kommer det i kontakt med många personer. Genom hela rekryteringsprocessen måste företaget behandla personuppgifter. Det handlar exempelvis om namn och
adress på de sökande.
För en del personer är rekryteringen den enda kontakt de har med företaget. En del av dessa
personer blir en del av organisationen genom att de anställs. Det ställs olika krav på behandlingen av personuppgifter för de som blir anställda och de som inte blir anställda. Det kan därför
vara bra att se på behandling av personuppgifter utifrån rekryteringsprocessens olika faser.
2.2.2 SVAR PÅ ANNONS OCH SPONTANFÖRFRÅGNINGAR
Den första fasen i rekryteringsprocessen består ofta av att en person som är intresserad av anställning hör av sig, per e-post, brev eller telefon. Denna kontakt kan ske på grund av att personen har sett en annons eller helt spontant. Det kan också vara så att någon tipsat personen om att
höra av sig till företaget för en viss typ av anställning. I det här skedet har ofta inte någon tidigare kontakt funnits mellan personen och företaget.
Svenskt Näringsliv
8
En del företag väljer att hänvisa till att personen ska göra en formell ansökan. Företaget kan då
välja att inte arkivera e-post eller brev eller att inte anteckna telefonsamtalet. I sådant fall har
inga personuppgifter behandlats.
I en del fall väljer företag att spara dessa första kontakter, med eventuella anteckningar. Det kan
handla om korta anteckningar om namn, adress och vilken anställning den sökande är intresserad av. Dessa anteckningar innehåller alltså personuppgifter och det kan vara nödvändigt att
beakta PUL:s regelverk.
För det fall att personuppgifterna antecknas på ett vanligt papper, eller i en löpande text i en fil i
ett ordbehandlingsprogram behöver inte PUL:s hanteringsregler tillämpas. Sådana anteckningar
kan göras bara för att användas som avstämning gentemot de ansökningshandlingar som sedan
kommer in.
För det fall att personuppgifterna registreras i ett mer avancerat system, för att vara sökbara, blir
PUL:s hanteringsregler fullt ut tillämpbara. Personuppgifterna får registreras och de får också
sparas, men bara så länge de är nödvändiga för ansökningsförfarandet. De ska därefter gallras.
För det fall att företaget vill behålla uppgifterna för en längre tid, för att exempelvis användas
vid en framtida rekrytering krävs att den sökande lämnar samtycke. Precis som alltid vid samtycke krävs att den sökande får information om hur uppgifterna kommer att behandlas och för
vilket syfte.
2.2.3 ANSÖKAN
De första kontakterna följs ofta upp av en formell ansökan. En ansökan om anställning innehåller ofta en mängd personuppgifter av olika slag. Det handlar om att från de enkla uppgifterna
om namn, adress och personnummer till uppgifter om utbildningar, tidigare arbeten, förtroendeuppdrag och liknande.
I en del fall hanteras alla ansökningshandlingar i pappersform. Handlingarna läggs i olika högar
och sorteras på olika sätt. En sådan hantering innebär inte att PUL:s hanteringsregler blir tilllämpbara.
I andra fall byggs register upp där de sökandes profiler matchas på olika sätt. Tanken med registret är att underlätta gallringen, och sådana register är särskilt vanliga när det är många sökanden. Den här typen av hantering kräver att PUL:s hanteringsregler tillämpas.
Enligt hanteringsreglerna i PUL får personuppgifter i ansökningar registreras och sparas så
länge det är nödvändigt för ansökningsförfarandet. När ansökningsförfarandet har avslutats ska
uppgifterna gallras bort. Det kan i vissa fall bli nödvändigt att helt ta bort det skapade registret.
Uppgifter om den eller de som anställdes förs då över till de register som används för anställda.
För det fall att företaget vill behålla uppgifterna, för att underlätta kommande rekryteringsprocesser, krävs samtycke från den sökande. För att samtycket ska vara giltigt krävs att den sökande fått information om hur uppgifterna kommer att behandlas och för vilket syfte.
I vissa fall kan det bli en tvist om anställningsförfarandet har gått rätt till. En sökande som gallrats bort och inte fått anställning kan stämma företaget. Det kan exempelvis handla om en sökande som ansett sig blivit könsdiskriminerad eller diskriminerad på grund av funktionshinder.
Om sådan diskriminering skett finns ett skadeståndsansvar. För att kunna hantera sådana stämningar får företag spara uppgifter från rekryteringsprocessen så länge en sökande som inte har
anställts kan vidta rättsliga åtgärder. Den som vill stämma ett företag på grund av påstådd
diskriminering vid en rekrytering måste dock iaktta vissa preskriptionsfrister. Krav måste framställas senast inom två år från den påtalade händelsen och talan måste väckas inom några måna-
Svenskt Näringsliv
9
der därefter. Det är således möjligt att spara handlingar om rekryteringsprocessen så länge talan
kan väckas och under den tid en rättslig prövning pågår.
2.2.4 INTERVJUANTECKNINGAR
I samband med en rekryteringsprocess genomförs nästan alltid någon form av intervju. Vid intervjun görs ofta någon form av anteckningar. Dessa anteckningar kan, beroende på intervjuarens personlighet, vara tämligen ingående och personliga.
I många fall är anteckningarna bara handskrivna lappar, som slängs så fort rekryteringsprocessen är klar. Det kan också handla om enkla anteckningar i ett ordbehandlingssystem. För det fall
att det är ett ostrukturerat material behöver inte hanteringsreglerna i PUL tillämpas. Man bör
dock vara observant på att anteckningarna skulle kunna uppfattas som kränkande. I så fall börjar
PUL:s hanteringsregler gälla istället.
För det fall att anteckningarna systematiseras och registreras för att vara sökbara, exempelvis för
att kunna para ihop ett register med ansökningar med registret med anteckningar, blir hanteringsreglerna i PUL tillämpliga. Anteckningarna får registreras och sparas så länge det är nödvändigt för ansökningsförfarandet. Precis som för ansökningarna gäller att de får sparas så länge
sökanden kan vidta rättsliga åtgärder, men därefter ska uppgifterna gallras bort. Om företaget
vill spara uppgifter för att exempelvis använda vid framtida rekrytering krävs den sökandes
samtycke. Samtycket måste föregås av att den sökanden fått information om varför uppgifterna
sparas och vad uppgifterna kan komma att användas till. Det kan finnas anledning att spara anteckningarna, precis som själva ansökan, för att kunna bemöta rättsliga anspråk.
2.2.5 REFERENSER
I samband med rekrytering inhämtas ofta referenser från olika håll. Inhämtning av referenser
kan innebära behandling av personuppgifter inte bara om den sökande utan även om den som
lämnat referensen.
För det fall att referenserna registreras och sparas, inom ramen för exempelvis en rekryteringsdatabas, krävs att PUL:s hanteringsregler beaktas. Inom ramen för vad som är nödvändigt för
ansökningsförfarandet får uppgifter från dem som lämnat referenser registreras och sparas. När
det inte längre är nödvändigt ska de gallras bort.
För det fall att företaget vill spara uppgifterna längre krävs samtycke. Om det bara är uppgifterna om den sökande som sparas krävs enbart samtycke från den sökande. Om det är uppgifter
både om den sökande och den som lämnat referensen som sparas krävs samtycke från båda.
2.2.6 KÄNSLIGA UPPGIFTER
I samband med en rekrytering kan ibland känsliga uppgifter komma fram. Det kan handla om
uppgifter kring den sökandes hälsostatus eller uppgifter kring den sökandes tidigare lagöverträdelser. Behandling av känsliga uppgifter kräver särskild nogsamhet.
Generellt kan sägas att det är viktigt vid behandling av känsliga uppgifter att dessa inte kränker
den som uppgifterna rör. Kränkande behandling är inte tillåten. Bedömningen av om en behandling är kränkande sker genom en samlad bedömning. I bedömningen görs en avvägning mellan
hur känsliga uppgifterna är, i vilket sammanhang de förekommer, vilken spridning de fått eller
riskerar att få. Det vägs också in vilket syftet är bakom behandlingen av uppgifterna och vad
Svenskt Näringsliv
10
behandlingen ska leda till. Bedömningen kan alltså ses som en avvägning i varje enskilt fall där
personens behov av en fredad privat sfär vägs mot andra motstående intressen.
Det är en typ av känsliga uppgifter som kan vara av särskild betydelse vid rekrytering. Det har
under senare år blivit allt vanligare att företag ber om att få ett registerutdrag från polisens belastningsregister. När det gäller registerutdrag kan inte företaget begära ett sådant utdrag, det
måste den det berör själv göra. När ett registerutdrag lämnas till företaget får uppgifterna i utdraget inte hanteras hur som helst. När det gäller uppgifter om brott gäller inte de förenklade
reglerna i PUL, eftersom det är frågan om känsliga uppgifter.
Huvudregeln är att det bara är myndigheter som får behandla personuppgifter om lagöverträdelser som innebär brott. Det innebär att företaget som tar emot ett registerutdrag inte får registrera
uppgifterna. Det får ta emot uppgifterna, men alltså inte registrera och spara dem digitalt. När
det gäller denna typ av uppgifter blir det inte heller tillåtet att behandla dessa uppgifter med stöd
av ett samtycke. Det är alltså inte tillåtet att registrera uppgifter om brott som en sökande begått,
inte ens om den sökande godkänner registreringen.
I vissa fall finns det dock stöd i lag för ett registerutdrag ur polisens belastningsregister. Det
finns exempelvis en särskild lag om registerkontroll av personal inom förskoleverksamhet, skola och barnomsorg (SFS 2000:873). Det är dock även i dessa situationer den sökande som ska
begära fram registerutdraget. I dessa situationer får uppgifterna registreras.
2.3 UNDER PÅGÅENDE ANSTÄLLNING
2.3.1 BEHANDLING AV PERSONUPPGIFTER UNDER PÅGÅENDE ANSTÄLLNING
När en person blir anställd av ett företag inleds en relation. I denna relation måste företag ofta
och av många olika anledningar hantera de anställdas personuppgifter för att relationen ska fungera. Det kan handla om allt från hur mycket lön en anställd ska få, till vem som kommer på
julfesten, till filmerna i övervakningskameran.
Dessa olika situationer skiljer sig väldigt mycket åt och det är också stora skillnader mellan hur
uppgifter får behandlas i de olika situationerna. Genomgången av hur personuppgifter
får/ska/bör hanteras under pågående anställning görs således utifrån några olika situationer.
2.3.2 ANSTÄLLNINGSLISTOR
För företag som har mer än ett par anställda uppkommer ofta ett behov av att ha någon form av
lista över de anställda. Det finns många olika sätt att upprätta en sådan lista.
En enkel lista, som görs i ett ordbehandlingsprogram eller rent av för hand, faller in under undantaget från hanteringsreglerna i PUL. Det är alltså de förenklade reglerna som gäller för den
typen av anställningslistor.
I en del fall kanske listan över de anställda skapas i ett ordbehandlingsprogram, men överförs
sedan till ett ärendehanteringssystem eller liknande. I de fallen blir hanteringsreglerna i PUL
fullt ut tillämpbara.
Svenskt Näringsliv
11
2.3.3 UNDERLAG FÖR FULLFÖLJANDE AV SKYLDIGHETER
Ett företag kan behöva behandla de anställdas personuppgifter för att fullfölja olika typer av
skyldigheter. En del av dessa skyldigheter uppkommer på grund av avtal, både kollektivavtal
och anställningsavtal. Andra av dessa skyldigheter uppkommer på grund av rättsliga krav enligt
lagar och förordningar.
De skyldigheter som ett företag måste fullfölja gentemot de anställda är de som har att göra med
administrationen av anställningsavtalet, inklusive kollektivavtalet. Avtalen innebär en skyldighet för den anställde att utföra visst arbete och för företaget en skyldighet att betala ut lön.
För mycket av denna administration av företagets skyldigheter behövs behandling av personuppgifter. Det handlar exempelvis om olika former av personaladministrativa system för att
betala ut löner. Lönesystemet måste också innehålla möjligheter att registrera olika typer av
frånvaro, eftersom det i olika grad påverkar företagets skyldighet att betala ut lön.
Enligt PUL är det tillåtet att behandla personuppgifter om det är nödvändigt för att anställningsavtalet eller något annat avtal mellan företaget och den anställde ska kunna uppfyllas. PUL innebär alltså att normala personaladministrativa system är tillåtna. Det är dock viktigt att komma
ihåg att detta bara gäller för den typ av behandling som följer av skyldigheten i ett avtal. Det är
inte tillåtet att med detta som ursäkt göra andra typer av personuppgiftsbehandlingar inom ramen för det personaladministrativa systemet. Det är till exempel inte tillåtet att använda det
personaladministrativa systemet för att göra tidsstudier eller kartläggningar av personalens privatliv.
De avtal som ger denna möjlighet till behandling av personuppgifter måste vara träffade mellan
företaget och den anställde. För det fall att ett företag har träffat ett avtal med ett bemanningsföretag för att få arbete utfört av en person blir situationen en annan. Den som är arbetsgivare är
bemanningsföretaget och det är bemanningsföretaget som får behandla personuppgifter för att
uppfylla sina skyldigheter gentemot den anställde. Det företag som personen utför arbetet hos
kan inte åberopa anställningsavtalet.
Det finns också ett annat utrymme för behandling av anställdas personuppgifter. Företaget får
behandla personuppgifter om det är nödvändigt och intresset av att behandla personuppgifterna
är större än den anställdes intresse av att uppgifterna inte behandlas. Detta kräver alltså en intresseavvägning och den måste göras utifrån varje enskild situation.
När det gäller behandling av personuppgifter för att fullgöra en rättslig skyldighet kan det uppkomma i en mängd situationer. Det finns flera lagar och förordningar som innebär att företag är
skyldiga att lämna ut uppgifter om de anställda till exempelvis olika myndigheter. Företag har
till exempel en skyldighet att redovisa skatter och avgifter för de olika anställda. För att kunna
fullfölja denna skyldighet måste vissa personuppgifter behandlas.
När det finns en rättslig skyldighet att lämna information om anställda finns också en rätt enligt
PUL för företaget att samla in och registrera nödvändiga personuppgifter. Det ger inte en rätt att
samla in alla typer av personuppgifter, utan bara de som berörs av den rättsliga skyldigheten att
lämna ifrån sig uppgifter om de anställda.
2.3.4 KOMPETENSDATABASER
I en del fall behöver företag använda sig av kompetensdatabaser. Det kan handla om stora organisationer som använder kompetensdatabaser för internrekrytering till olika tjänster, men också
för att kunna sätta samman olika projektgrupper. Det finns andra företag som använder kompetensdatabaser för att matcha personer med kundernas behov. Det kan vara rekryteringsföretag
Svenskt Näringsliv
12
som använder dem, men även bemanningsföretag som använder sig av kompetensdatabaser för
att matcha sina anställda med den kompetens som kunderna behöver.
För att en kompetensdatabas ska kunna fylla sitt syfte behöver den vara strukturerad och sökbar.
Det gör att de förenklade reglerna i PUL inte kan tillämpas, utan att de detaljerade hanteringsreglerna måste beaktas.
Vilka personuppgifter som brukar behövas för att bygga en kompetensdatabas är varierande. I
en del situationer anses det räcka med rena faktauppgifter om utbildning, arbetslivserfarenhet,
genomförda uppdrag, behörighet för vissa typer av arbeten och licenser/certifikat. I vissa fall
kan önskemål finnas om att även registrera olika typer av omdömen. Frågan om hur omdömen
kan behandlas är en delvis annan fråga, så den tas upp för sig nedan. I det följande diskuteras
därför bara kompetensdatabaser som innehåller rena fakta om utbildningar, genomförda uppdrag och så vidare.
När det gäller kompetensdatabaser kan de ibland innehålla uppgifter som är nödvändiga för att
företaget ska kunna sköta sina åtaganden. Det kan till exempel handla om att det finns krav i lag
eller förordningar om att personer som utför vissa typer av arbeten måste ha en viss behörighet
eller inneha en viss licens. Företag får då behandla sådana personuppgifter i kompetensdatabaser utan hinder av PUL.
För andra typer av kompetensdatabaser får företag behandla personuppgifter om den vars uppgifter behandlas har lämnat sitt samtycke. Har samtycke lämnats får i princip alla typer av faktauppgifter om en persons kompetens behandlas.
I alla situationer när samtycke krävs måste detta samtycke baseras på att personen fått tillräcklig
information. Sådan information kan exempelvis gälla hur uppgifterna kommer att behandlas,
vem som kommer att behandla dem och hur länge uppgifterna kommer att lagras.
För att samtycket ska vara giltigt krävs dock inte bara att arbetstagaren gett sitt godkännande.
Det krävs att arbetstagaren har ett fritt val att lämna samtycke, eller inte göra det. Ställs arbetstagaren inför ett ”tvång” att lämna samtycke är inte samtycket giltigt. Det kan till exempel handla om att företaget kräver att personen ska lämna samtycke utan att ta hänsyn till personens inställning. Det krävs också att arbetstagaren har möjlighet att senare ta tillbaka sitt samtycke,
utan att för den skull drabbas av några nackdelar. Företaget har också en skyldighet att ta hänsyn till etik och god sed på arbetsmarknaden när personuppgifter behandlas.
2.3.5 BETYG OCH OMDÖMEN
Företag genomför ofta olika tester eller samlar på ett strukturerat sätt in olika typer av omdömen
om de anställda. Det kan handla om personlighetstester och skapande av profiler för att se hur
grupper bäst kan sättas samman. Det kan också handla om att samla in omdömen om personer
för att ge dem bra möjligheter att utvecklas.
För att få registrera resultat av personlighetstester, profiler, betyg, omdömen och liknande krävs
att den vars personuppgifter det gäller lämnar sitt samtycke. För att samtycket ska vara giltigt
krävs att personen fått tillräcklig information om vilken behandling som kommer att ske av personuppgifterna. Samtycket kan återkallas när som helst.
Det är viktigt att den behandling som sedan görs av olika betyg, omdömen, testresultat och så
vidare verkligen motsvarar det som samtycket gäller. Finns det från företagets sida önskemål
om att göra någon annan form av behandling av personuppgifterna måste företaget be om samtycke för den behandlingen, även om det gäller betyg, omdömen, testresultat och så vidare som
företaget har registrerat och sparat sedan tidigare.
Svenskt Näringsliv
13
2.3.6 ANVÄNDNING AV IT-SYSTEM
För många företag är olika former av IT-system avgörande för hur verksamheten kan bedrivas.
Till IT-systemet hör olika datorer som företaget ställer till de anställdas förfogande som arbetsredskap. För företagen är det viktigt, bland annat från informationssäkerhetssynpunkt, att datorer och IT-system inte missbrukas. Det är för företagen också viktigt att anställda inte använder
företagens datorer och IT-system för att exempelvis begå upphovsrättsintrång.
Företag, såsom arbetsgivare, får med stöd av arbetsledningsrätten bestämma hur utrustningen
får användas. För att företagens önskemål om hur utrustningen ska användas bör regler och
riktlinjer för de anställdas användning av IT-systemen utarbetas. Dessa regler och riktlinjer ska
ha till syfte att tydligt tala om vad som gäller för användning av IT-systemen, inklusive de enskilda datorerna. Med tydligt avses att reglerna och riktlinjer inte bara ska använda allmänna
skrivningar såsom ”får inte missbrukas”.
Företag som har utarbetat tydliga regler och riktlinjer har också rätt att kontrollera att dessa
regler och riktlinjer följs. Dessa kontroller kan bestå av stickprovskontroller av användning av
e-post och Internet. För att sådana kontroller ska vara tillåtna krävs att de anställda verkligen är
informerade om vilka regler och riktlinjer som gäller. Det är också avgörande att de blivit informerade om vilka kontroller som kan utföras och att syftet med kontrollerna framgått tydligt.
När kontrollerna utförs måste de motsvara det som företaget informerat om. De måste vara av
sådan art som företaget angivit och de måste motsvara det syfte som angivits. Kontrollerna måste alltså motsvara det som uttryckligen bestämts i förväg.
Företaget har, i sin egenskap av arbetsgivare, normalt sett inte rätt att ta del av de anställdas
privata e-post eller privata filer. För det fall att företaget har en allvarlig misstanke om illojalt
eller brottsligt beteende kan dock företag har rätt att även ta del av sådant som är privat. Det kan
till exempel handla om när anställda använder företagets datorer för att sprida piratkopierad
musik eller olika typer av pornografiskt material.
2.3.7 LOGGNING
Företag registrerar logguppgifter i en mängd olika situationer. Dessa registreras ofta av tekniska
skäl, men det förekommer också att de registreras av andra skäl såsom säkerhetsskäl. Det handlar om alltifrån logguppgifter vid elektroniska inpasseringskontroller till loggfiler i program som
gör att det går att kontrollera vilka adresser på Internet en anställd har besökt.
Genom olika typer av loggning kan företag samla detaljerad information om den anställdes beteende. För många anställda upplevs detta ofta som mycket integritetskränkande. Om uppgifterna som registreras i en loggfil går att knyta till en enskild person är de personuppgifter och faller
in under PUL:s tillämpningsområde. Detta gäller även för personuppgifter i loggfiler som skapas av särskilda programvaror.
För det fall att det finns krav i lag eller förordning om att logguppgifter ska registreras och sparas är det tillåtet att behandla personuppgifter i denna form. Det kan handla om loggning som
sker för att kontrollera att de anställda har behörighet till register med känsliga uppgifter.
En del loggfiler skapas för att företaget ska kunna fullfölja sina åtaganden enligt avtal med den
anställde. Det kan exempelvis handla om loggfiler som skapas i stämpelklockor och liknande
system. När det finns en direkt koppling mellan uppgifterna på loggfilen och företagets möjligheter att fullfölja sina skyldigheter anses normalt behandlingen av personuppgifterna tillåten.
Svenskt Näringsliv
14
För att avgöra om det är en tillåten behandling av personuppgifter måste en bedömning göras
från fall till fall.
Det kan finnas anledning att logga Internetanvändningen i företaget för att på så sätt tekniskt
övervaka IT-systemet av säkerhetsskäl. Sådan loggning är normalt tillåten enligt PUL. Loggningen får dock enbart användas för detta syfte. Den får inte senare användas för andra syften,
såsom för att kontrollera hur enskilda arbetstagare använder Internet. För att utföra sådana kontroller krävs information och samtycke, såsom beskrivits ovan. I större organisationer kan hanteringen av loggfiler bli tämligen omfattande. I en del fall skapas då särskilda databaser för
loggfilerna. Det är det mest praktiska sättet att hantera den stora mängden filer. För att använda
databasen till något annat än att teknisk övervaka IT-systemet av säkerhetsskäl krävs information och samtycke.
2.3.8 KAMERAÖVERVAKNING
För många företag har kameraövervakning blivit en nödvändig del av säkerhetsarbetet. Användning av övervakningskamera regleras i lagen om allmän kameraövervakning (SFS 1998:150).
För de kameror som sitter på platser dit allmänheten har tillträde måste företaget normalt sett ha
tillstånd från länsstyrelsen för att sätta upp dem. För kameror som sitter inne på en arbetsplats
dit allmänheten inte har tillträde krävs inte tillstånd. Det är tillåtet, för företaget som arbetsgivare, att sätta upp såväl kameror som utrustning för ljudupptagning på platser i företagets lokaler
och område dit allmänheten inte har tillträde. De anställda måste dock alltid informeras om att
övervakningen sker.
Bilder från en övervakningskamera som gör det möjligt att identifiera enskilda personer är personuppgifter. Om dessa bilder lagras digitalt är det behandling av personuppgifter, som förutsätter att hanteringsreglerna i PUL tillämpas.
2.3.9 KÄNSLIGA UPPGIFTER
En del personuppgifter är att betrakta som känsliga personuppgifter i PUL:s mening. Till känsliga uppgifter hör uppgifter om brott, om etniskt ursprung, om politisk åskådning, om medlemskap i facklig organisation och uppgifter om hälsa. Generellt kan sägas att det råder ett förbud
mot att behandla känsliga personuppgifter, men att det finns undantag från detta förbud.
I vissa fall behöver ett företag behandla även känsliga uppgifter för att fullfölja sina skyldigheter
eller utöva rättigheter i enlighet med arbetsrätten. Det kan handla om att företaget måste behandla uppgifter om sjukfrånvaro för att betala rätt sjuklön. Det kan också handla om att göra en
rehabiliteringsutredning för att se om någon som varit långtidssjukskriven kan komma tillbaka i
arbete. I de här fallen är behandling av känsliga personuppgifter tillåten, eftersom det handlar
om att fullfölja skyldigheter.
När det gäller medlemskap i facklig organisation kan det även där vara så att företaget har en
skyldighet att fullfölja som kräver behandling av denna känsliga personuppgift. Det kan handla
om att företaget har åtagit sig att göra avdrag på lönen för fackavgiften. För att kunna göra det
måste uppgift om medlemskap i facklig organisation behandlas av företaget. Sådan behandling
är tillåten.
Företag kan komma att behöva behandla känsliga personuppgifter i samband med rättsliga anspråk. Det kan handla om att företaget blir stämt av någon, men lika väl att företaget stämmer
någon. Behandlingen kan avse exempelvis medlemskap i facklig organisation. Information om
Svenskt Näringsliv
15
en anställds medlemskap i facklig organisation kan behövas för att fullgöra vissa skyldigheter i
den arbetsrättsliga lagstiftningen. När behandling av känsliga personuppgifter krävs i samband
med rättsliga anspråk är behandlingen tillåten.
Behandling av känsliga personuppgifter kan också bli tillåten om den uppgifterna rör lämnar sitt
samtycke. Detta gäller dock inte personuppgifter om brott, sådana får inte behandlas av företag
– inte ens om samtycke finns. Notera dock att de specialfall som behandlas i avsnittet om rekrytering när det gäller känsliga uppgifter.
För att samtycket ska vara giltigt krävs att det är helt frivilligt. När det gäller anställda görs bedömningen om frivilligheten med beaktande av att en anställd befinner sig i ett beroendeförhållande i förhållande till sin arbetsgivare. Samtycket anses bara vara frivilligt i de situationer där
den anställde faktiskt haft ett fritt val och dessutom senare kan återkalla sitt samtycke utan att
drabbas av nackdelar.
För att samtycket ska vara giltigt krävs också att personen som personuppgiften berör fått tillräcklig information om hur den känsliga personuppgiften kan komma att behandlas, vad syftet
med behandlingen är och hur länge den känsliga personuppgiften kommer att lagras.
Slutligen krävs att samtycket är uttryckligt, det går inte att hävda att samtycket är underförstått.
För att undvika tvister om samtycke lämnats eller inte kan det vara bra om samtycket lämnas
skriftligt. Ett uttryckligt samtycke kan också göras genom att den anställde själv får fylla i uppgifterna i ett datasystem, samt då markera att samtycke lämnas.
2.4 EFTER AVSLUTAD ANSTÄLLNING
2.4.1 BEHANDLING AV PERSONUPPGIFTER EFTER AVSLUTAD ANSTÄLLNING
När en anställning avslutas upphör relationen mellan företaget och den anställde. Det gör att
företaget inte längre har samma behov av att hantera personens personuppgifter.
Mycket av den behandling som ett företag får göra av den anställdes personuppgifter grundade
sig i att företaget måste göra denna behandling för att kunna fullgöra sina skyldigheter. När
anställningen upphört finns inte detta skäl kvar. Företaget kan inte använda detta som skäl för
att motivera fortsatt behandling av personuppgifter.
Det finns dock några situationer när ett företag kan komma att behandla personuppgifter även
efter avslutad anställning. Genomgången av hur personuppgifter får/ska/bör hanteras efter avslutad anställning görs utifrån några olika situationer.
2.4.2 SKÄL TILL ATT ANSTÄLLNINGEN AVSLUTATS
När en anställning avslutas kan finnas anledning att bevara information om varför anställningen
har upphört. En anställning kan upphöra genom att den anställde säger upp sig själv eller avlider. Anställningen kan också upphöra genom att företaget tar initiativet och anställningen kan
då upphöra exempelvis genom uppsägning på grund av arbetsbrist, uppsägning på grund av
personliga skäl eller avsked.
Företaget får spara rena faktauppgifter om varför anställningen har upphört. Med detta avses
exempelvis en kort anteckning med personens namn och ”uppsägning på grund av arbetsbrist”.
Uppgifterna får sparas för administrativa ändamål, exempelvis för att arbetsgivaren ska kunna
Svenskt Näringsliv
16
fullgöra sina lagliga skyldigheter när det gäller anställdas företrädesrätt till återanställning. De
får även användas för att företag ska kunna lämna referenser till andra arbetsgivare.
2.4.3 BETYG OCH OMDÖMEN
I samband med att en anställning avslutas ges ofta någon form av betyg och tjänstgöringsintyg
till den anställde. Arbetsgivaren får spara kopior av dessa betyg, omdömen och tjänstgöringsintyg.
Vid sidan av dessa intyg får företaget inte spara omdömen och liknande om den anställde utan
att denne gett sitt uttryckliga samtycke. Samtycket är bara giltigt om företaget gett tydlig information om vilken typ av behandling som kan ske av uppgifterna, om vilket syftet är med att
spara dem samt om hur länge uppgiften kommer att sparas.
2.4.4 RÄTTSLIGA ANSPRÅK
När en anställning avslutas kan det i sig leda till olika typer av rättsliga anspråk. Företaget får
spara personuppgifter så länge dessa kan vara nödvändiga i till exempel en tvist om felaktig
uppsägning. I de fall när en anställd sagts upp på grund av arbetsbrist måste företaget spara
uppgifter som behövs för att bevaka företrädesrätt till ny anställning. Det är också tillåtet att
spara uppgifter som behövs för att avgöra om personen har tillräckliga kvalifikationer för en ny
befattning.
Svenskt Näringsliv
17
3. Behandling av personuppgifter i kundrelationer
3.1 SKILLNAD MELLAN KUND OCH KONSUMENT.
För många företag är det stor skillnad på kund och konsument. Till kunderna hör alla som köper
varor eller tjänster från företaget. Alla kunder är dock inte konsumenter. Som konsumenter definieras bara fysiska personer som köper varor och tjänster för ändamål som faller utanför näringsverksamhet.
PUL gäller bara personuppgifter. Det betyder att det är bara uppgifter om kunder som är fysiska
personer som faller in under PUL:s tillämpningsområde. Det gör att PUL gäller fullt ut i förhållande till konsumenter, eftersom dessa är fysiska personer. PUL kan gälla även i relation till
andra kunder, för det fall att företaget för register över kontaktpersoner och liknande hos sina
kunder. Kundlistor som bara omfattar uppgifter om andra företag faller normalt utanför PUL:s
tillämpningsområde.
För att göra rätt är det således viktigt att undersöka om uppgifter i exempelvis kundregister rör
fysiska personer eller juridiska personer. Det är styrande för om hanteringsreglerna i PUL ska
tillämpas eller inte.
Det som sägs i det följande gäller självklart också i fråga om uppgifter om leverantörer.
3.2 VID MARKNADSFÖRING
I samband med olika marknadsföringsinsatser görs ofta olika typer av utskick. För att kunna
göra dessa utskick behövs en mängd uppgifter, såsom adresser. För det fall att det handlar om
adresser till fysiska personer är det fråga om personuppgifter. Detta gäller både om det är en
lista över fysiska personer som innehar en viss position hos kundföretag eller om det är en lista
över konsumenter.
De nya förenklade reglerna i PUL gör att enkla kundlistor, i form av exempelvis en lista i löpande text skapad i ett ordbehandlingsprogram, inte kräver tillämpning av PUL:s hanteringsregler. Eftersom det ofta är fråga om en stor mängd uppgifter hanteras dessa dock i princip alltid i
system som medför att PUL:s hanteringsregler ska tillämpas på behandlingen.
Marknadsföring i form av exempelvis utskick kan göras både till existerande kunder och till
sådana som företag ser som presumtiva kunder. När det gäller existerande kunder har möjligheter funnits till att lämna information om behandling av personuppgifter samt inhämta samtycke
till sådan behandling. När det gäller presumtiva kunder har de inte fått möjlighet att lämna samtycke till behandling av deras personuppgifter. Det går inte heller att åberopa att behandlingen
av personuppgifter är nödvändig för att fullgöra åtaganden. Företaget har inga åtaganden i relation till dem som bara är presumtiva kunder.
För att särskilja vilken personuppgiftsbehandling som får göras bör listor för marknadsföring
vara uppdelade efter existerande kunder och presumtiva kunder. Listan med de presumtiva kunderna bör gallras efter varje utskick, beroende på om de svara på utskicket eller inte. Rent praktiskt kan de presumtiva kunderna få svara på en fråga om de är intresserade av fortsatta utskick.
Då inleds en relation, innan de har hunnit bli kunder vilka företaget har åtaganden gentemot.
Svenskt Näringsliv
18
3.3 UNDER PÅGÅENDE RELATION
3.3.1 PERSONUPPGIFTER UNDER PÅGÅENDE RELATION
Under en pågående relation med en kund kan personuppgifter komma att behandlas i en mängd
olika situationer. Det kan handla om allt från kundlistor, för att ha en överblick över företagets
kunder, till att använda register för att kunna fullfölja sin del av ett avtal.
De olika situationerna skiljer sig åt, och genomgången i det följande bygger på olika situationer.
Det är dock viktigt att hela tiden ha i åtanke att PUL bara gäller personuppgifter och alltså inte
uppgifter om kunder som är juridiska personer.
3.3.2 KUNDLISTOR
Många företag upprättar kundlistor av olika slag. Dessa kundlistor kan komma att användas för
kommunikation med kunderna, men lika väl för att göra olika former av kundanalyser.
Kundlistor som innehåller personuppgifter faller in under PUL:s tillämpningsområde. Är det
fråga om enkla kundlistor kan de förenklade reglerna i PUL vara tillämpbara. För de allra flesta
företag behöver dock kundlistorna finnas i mer avancerade system för att fylla någon som helst
funktion. Det gör att hanteringsreglerna i PUL blir tillämpbara.
Ett kundregister får innehålla namn, adress och andra uppgifter som är relevanta för kundförhållandet. För det fall att företaget vill registrera fler uppgifter än de som direkt är relevant för
kundförhållandet krävs samtycke. För det fall att personuppgifterna bara ska användas för normal kundadministration behöver inte kunderna ges information om behandlingen. För det fall att
uppgifterna ska behandlas även för andra ändamål måste kunderna informeras om dessa ändamål.
Emellanåt kan man vilja registrera andra uppgifter om en kund. Det kan gälla födelsedag eller
intressen. Sådan registrering är normalt inte tillåten utan samtycke.
Personnummer får inte utan samtycke från den det berör användas som generellt kundnummer i
olika sammanhang. I samband med kreditgivning, inklusive försäljning av varor mot faktura, får
personnummer registreras.
Personuppgifterna i ett kundregister får inte sparas längre än vad som är nödvändigt för att uppnå syftet med behandlingen. Det betyder att kundregister ständigt behöver gallras. De som inte
längre är att betrakta som kunder ska tas ur registren. I vissa fall kan det dock finnas anledning
att bevara personuppgifter en viss tid, till exempel för bokföringsändamål. Det är tillåtet att spara uppgifter av sådana skäl, om det finns krav i lag eller förordning. Men de kan inte användas
för andra ändamål.
3.3.3 FÖR FULLFÖLJANDE AV ÅTAGANDE
Kundrelationer bygger på olika typer av avtal. Avtal kännetecknas av att de är överenskommelser som skapar rättigheter och skyldigheter å ömse sidor. En del åtaganden för företag kan också
uppkomma på grund av rättsliga krav, i lagar och förordningar.
Företag får behandla personuppgifter om det är nödvändigt för att kunna fullfölja avtalet. Det
kan handla om att företaget måste behandla personuppgifter för att kunna göra leverans till rätt
adress. Det krävs inte att den det berör lämnar ett samtycke för denna behandling av personuppgifter. Behandlingen är nödvändig för fullgörande av avtalet, alltså är det tillåtet.
Svenskt Näringsliv
19
3.3.4 KUNDHANTERINGSSYSTEM - LOJALITETSPROGRAM
Många företag använder sig av olika kundhanteringssystem för att bland annat använda sig av
lojalitetsprogram. Lojalitetsprogram kan bestå av att kunderna samlar poäng vid köp, för att
sedan få olika former av rabatter. Lojalitetsprogram kan också bestå av att kunderna får inbjudningar till särskilda evenemang. Administrationen av kundhanteringssystem och lojalitetsprogram förutsätter hantering av kunduppgifter.
För att PUL ska vara tillämpligt krävs att kunduppgifterna rör fysiska personer. Det kan antingen gälla konsumenter men även fysiska personer som är anställda i kundföretag. Kunduppgifter
som bara rör juridiska personer, såsom andra företag, faller utanför PUL:s tillämpningsområde.
Kundhanteringssystem och lojalitetsprogram förutsätter i princip användning av någon form av
databas eller liknande. Det gör att de förenklade reglerna i PUL inte är möjliga att tillämpa, det
är de detaljerade hanteringsreglerna som är tillämpbara.
Lojalitetsprogram bygger oftast på att en kund anmäler sig till programmet. När sådan anmälan
har gjorts, genom en aktiv handling, får de personuppgifter som behövs för att fullfölja programmet behandlas. Behandlingen av personuppgifter får dock inte gå utöver det som krävs för
att fullfölja lojalitetsprogrammet. Vill företaget använda personuppgifterna för även andra ändamål krävs samtycke för de olika behandlingarna.
3.4 EFTER AVSLUTAD RELATION
3.4.1 BEHANDLING AV PERSONUPPGIFT EFTER AVSLUTAD RELATION
När någon slutar att vara kund hos ett företag upphör relationen mellan företaget och kunden.
Det gör att företaget inte längre har lika stort behov av att behandla personens personuppgifter.
Den behandling som företag gör av personuppgifter i kundrelationer är många gånger tillåten
eftersom den är nödvändig för att företaget ska kunna fullfölja sina skyldigheter. Upphör någon
att vara kund har inte företaget några skyldigheter längre.
Ett problem i kundrelationer är att det kan vara svårt att säga när de upphör. En kundrelation kan
fortleva även om kunden inte köper företagets varor och tjänster under en tämligen lång tid.
Bedömningen av om kundrelationen har upphört eller blir beroende av vilken typ av varor det är
fråga om. När det gäller konsumentvaror på en lättrörlig marknad torde redan korta perioder av
uteblivna köp kunna tolkas som att kundrelationen har upphört. När det gäller marknad för professionella tjänster köps dessa mer sällan, varför kundrelationen mycket väl kan anses bestå
även efter ett år utan att någon tjänst köpts.
Huvudprincipen i PUL är att sparande av personuppgifter bara får ske så länge det är nödvändigt för att nå syftet med behandlingen. Det kan finnas rättsliga krav i lagar och förordningar,
exempelvis skatteregler, som gör att personuppgifter behöver bevaras en längre tid.
Det faktum att behandlingen av personuppgifter får ske bara så länge som det är nödvändigt gör
att gallring ständigt måste ske av personuppgifter. Gallring kan ske både utifrån ett tidsperspektiv, det vill säga när en viss tid gått sedan senaste köp och från ett ändamålsperspektiv. För det
fall att företaget har ett register där det anges vad kunderna är intresserade av för erbjudanden
måste gallring ske om företaget genomför förändringar i erbjudandena. Det kan handla om att
ett företag säljer flera typer av produkter. Kunder har anmält sig till ett lojalitetsprogram riktat
Svenskt Näringsliv
20
till ett visst produktslag. Om företaget tar bort det produktslaget ska personuppgifter om kunderna som varit del av lojalitetsprogrammet gallras bort.
Generellt är viktigt att hålla i åtanke att PUL innebär att företag inte kan samla på sig personuppgifter av ett allmänt intresse, för att ”det kan vara bra att ha i framtiden”. Ser företaget ett
behov av att ha den typen av information om kunder, om kunders beteenden och så vidare måste
den informationen skapas anonymiserat – utan koppling till enskilda personer. Naturligtvis kan
behandling ske om samtycke lämnats men som understrukits ovan krävs då att samtycket är
informerat, dvs att kunden på förhand vet vilka typer av behandlingar som kommer att ske.
Svenskt Näringsliv
21
4. Behandling av personuppgifter i andra affärsförhållanden
4.1. I VILKA RELATIONER KAN PERSONUPPGIFTER KOMMA ATT BEHANDLAS?
Ett företag lever ofta i en nära relation med andra företag i värdekedjan. Det handlar exempelvis
om leverantörer, uppdragstagare, affärspartners och distributörer. I dessa relationer kan ibland
relationerna bli så nära att företagen är inne i varandras IT-system.
Många av dessa relationer är till juridiska personer, just andra företag. Eftersom PUL bara gäller
personuppgifter, behöver PUL inte beaktas i relation till andra företag. I en del fall är det viktigt
inte bara vilken juridisk person ett avtal sluts med. Ibland är uppgifter om kontaktpersoner och
liknande helt avgörande för att relationen ska fungera. Det gör att personuppgifter om dessa kan
komma att behandlas.
För denna behandling kan det bli nödvändigt att tillämpa PUL:s detaljerade hanteringsregler.
4.2 FÖRÄNDRADE AFFÄRSMODELLER
Vi har under de senaste 20 åren varit med om en fantastisk utveckling. Den syn på värdekedjan
som var rådande då har fått sig en törn. Affärsmodeller som fungerat i många år har helt plötsligt blivit omsprungna av helt andra affärsmodeller.
Många nya affärsmodeller bygger på närmare relation till kunderna. Dessa närmare relationer
kan på många sätt innebära att personuppgifter behöver hanteras på olika sätt. För att affärsmodellerna ska hålla för implementering är viktigt att PUL har tagits in som en parameter redan vid
affärsutvecklingen. Det är då större sannolikhet att implementeringen inte stöter på problem
med att affärsmodellen innebär behandling av personuppgifter i strid med PUL:s hanteringsregler.
Svenskt Näringsliv
22
5. För den som vill veta mer
BÖCKER OM PERSONUPPGIFTSLAGEN
Eftersom de nya reglerna i PUL trädde ikraft 1 januari 2007 finns det inte många böcker som tar
upp dessa nya regler. Det finns dock en lagkommentar som beaktar de nya reglerna:
Öman, Sören & Lindbom, Hans-Olof, Personuppgiftslagen – En kommentar, Norstedts
juridik, Stockholm 2007.
FÖRARBETEN TILL LAGEN
De nya reglerna i PUL föregicks av en utredning och en proposition. Både utredningen och propositionen innehåller information även om de regler som inte förändrats. Dessa förarbeten är
därför bra källor till information om PUL:
SOU 2004:6, Översyn av personuppgiftslagen.
Regeringens proposition 2005/06:173, Översyn av personuppgiftslagen.
För den som vill veta mer om PUL och förhållandena innan PUL trädde ikraft kan få information i propositionen till PUL:
Regeringens proposition 1997/98:44, Personuppgiftslag.
HEMSIDOR MED INFORMATION
www.datainspektionen.se
Datainspektionen är ansvarig myndighet för behandling av personuppgifter. På hemsidan finns
mycket informationsmaterial om PUL.
http://www.regeringen.se/content/1/c6/07/43/60/4156fb10.pdf
Information från regeringen med anledning av förändringarna i PUL.
Svenskt Näringsliv