2010-12-01-forsvarsmakten
2010-12-01-forsvarsmakten
2010-12-01-forsvarsmakten
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Datum Diarienr<br />
<strong>2<strong>01</strong>0</strong>-11-26 1454-<strong>2<strong>01</strong>0</strong><br />
Försvarsmakten Högkvarteret<br />
Juridiska staben<br />
Personuppgiftsombudet N.N<br />
107 85 STOCKHOLM<br />
Samråd om behandling av personuppgifter i verksam-<br />
hetsledningssystemet PRIO.<br />
Med anledning av er begäran om samråd angående fråga om behandlingen av<br />
personuppgifter i systemet PRIO är tillåten enligt personuppgiftslagen, får<br />
Datainspektionen lämna följande vägledning.<br />
Sammanfattande bedömning<br />
Sammantaget anser Datainspektionen att behandlingen av personuppgifter i<br />
systemet PRIO inte är tillåten med stöd av en intresseavvägning enligt 10 §<br />
punkten f, personuppgiftslagen.<br />
Datainspektionen bedömer att Försvarsmakten har ett berättigat behov att<br />
systematiskt sammanställa uppgifter angående personalens utbildning,<br />
kompetens, prestationer och personliga egenskaper. För att Försvarsmakten<br />
ska kunna behandla personuppgifter på beskrivet sätt i systemet (PRIO)<br />
krävs att Försvarsmaktens behov väger tyngre än de registrerades intresse av<br />
skydd mot kränkning av den personliga integriteten. Datainspektionen upp-<br />
fattar att det här systemet innebär en mycket ingående kartläggning av de<br />
anställda. Stora delar av innehållet i databasen utgör information av integri-<br />
tetskänslig natur för de anställda. Det kan inte heller uteslutas att det blir<br />
fråga om behandling av känsliga personuppgifter enligt personuppgiftslagen.<br />
Informationen är dessutom inte skyddad av några sekretessbestämmelser,<br />
utan kan komma att lämnas ut enligt offentlighetsprincipen.<br />
Behandling av personuppgifter i systemet<br />
Av beskrivningen av de i ärendet ingivna handlingarna har vi i huvudsak upp-<br />
fattat behandlingen av personuppgifter i systemet enligt följande.<br />
Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se<br />
Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00<br />
Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Bakgrunden till den tänkta personuppgiftsbehandlingen är att Försvarsmak-<br />
ten enligt ett riksdagsbeslut ska personalförsörjas med nya personalkategorier<br />
istället för värnpliktiga. Ni anser att det är viktigt att kompetensutveckla nu-<br />
varande och tillkommande personal mot kunskaps- och kompetensområden<br />
som den förändrade Försvarsmakten och era nya uppgifter ställer krav på. Ni<br />
måste också underlätta karriärväxling ut från Försvarsmakten. För att kunna<br />
göra detta behövs ett verksamhetsledningsstöd (system PRIO). Ni har fram-<br />
hållit att det är av stor betydelse för Försvarsmakten som arbetsgivare att<br />
kunna behandla uppgifter om de anställdas kompetenser, intressen, reserva-<br />
tioner och inte minst prestationer. Allt i syfte att utveckla medarbetarna i sina<br />
yrkesroller, och för att kunna bemanna organisationen med rätt individer på<br />
rätta befattningar i rätt tid med rätta kompetenser till rätt kostnader. För-<br />
svarsmakten förfogar över ett unikt våldsmandat och det är därför av yttersta<br />
vikt att personalen har för uppgiften adekvata egenskaper i form av utbildning<br />
och kompetens, värdegrund och personliga egenskaper.<br />
Försvarsmakten bedömer, med hänsyn till ovanstående beskrivning, att be-<br />
tydelsen av att kunna behandla dessa personuppgifter i det interna verksam-<br />
hetsledningssystemet överstiger den eventuella kränkning av den personliga<br />
integriteten som möjligtvis vissa medarbetare kan uppleva av detta. Ni åbero-<br />
par 10 § punkten f, personuppgiftslagen som grund för behandlingen av per-<br />
sonuppgifter i systemet PRIO.<br />
Försvarsmakten inför för närvarande ett stort verksamhetsledningssystem<br />
kallat PRIO. Systemet ersätter ett flertal äldre system och innehåller fyra<br />
moduler, ett system för ledning och styrning av verksamheten, en ekonomi-<br />
modul, en logistikmodul och en HR-modul.<br />
HR-modulen består av en del traditionell personaladministrativ verksamhet<br />
och en del som kallas gemensam personal- och kompetenshantering. I denna<br />
senare del ingår beskrivningar av medarbetarnas utbildning, arbetsområde,<br />
kunskaper och erfarenheter inom olika områden som är av intresse för För-<br />
svarsmakten (kvalifikationsprofil). Medarbetarna ska själva skatta sina kvalifi-<br />
kationer på en skala A-D. Vidare behandlas uppgifter om medarbetarnas<br />
intressen, reservationer, potential och individuell utveckling (personprofil). I<br />
personal- och kompetensdelen ingår också det utvecklande bedömnings-<br />
systemet, UBS, där medarbetaren skattar sig själv avseende beteenden och<br />
personliga egenskaper (UBS-profil).<br />
UBS är en personalbedömningsmodell som är utformad för att användas på all<br />
tjänstgörande personal inom Försvarsmakten. UBS består av nio olika om-<br />
råden med totalt 35 olika beteenden som ska självskattas/bedömas på en nio-<br />
gradig skala. De nio områdena som bedöms är; föredöme, inspiration och<br />
Sida 2 av 7
motivation, personlig omtanke, social kompetens, fackkompetens,<br />
resultatleverans, framsyn, planera och strukturera arbetet och icke önskvärda<br />
beteenden.<br />
Det huvudsakliga syftet är att UBS ska utgöra underlag för personlig utveck-<br />
ling. Det kan även användas för att utgöra en del av helhetsbedömningen för<br />
befordran, karriärutveckling och lönesättning. UBS innefattar en s.k. 180-<br />
graders bedömning där alla arbetstagare i Försvarsmakten bedöms av såväl<br />
underlydande som överordnade.<br />
UBS är tänkt att ersätta vitsordssystemet inom Försvarsmakten. Grunden för<br />
detta system lades i ”Befordringsförfarandet inom krigsmakten” (SOU 1974).<br />
Vitsordssystemet bedömde åtta faktorer; kunnighet, arbetskapacitet, intellek-<br />
tuell rörlighet, omdömesförmåga, psykisk stabilitet, samarbets- och kontakt-<br />
förmåga, fysisk kondition och ledarskap. De sammanfattas i ”Tjänstduglighet<br />
i befattningen”.<br />
Försvarsmakten har beslutat att samtliga medarbetare, såväl civila som mili-<br />
tära, årligen ska genomföra obligatoriska utvecklingssamtal med sin närmaste<br />
chef. Till viss del kommer förberedelserna inför samtalen att genomföras i<br />
system PRIO med hjälp av självbetjäningsportalen ESS (Employee Self Ser-<br />
vice). Som avslutande del i utvecklingssamtalet använder chefen formuläret i<br />
MSS (Management Self Service) summering av utvecklingssamtal. I detta<br />
registrerar chefen vad som framkommit under utvecklingssamtalet och de<br />
överenskommelser som träffats med medarbetaren. I vägledningen för fritext-<br />
fältet anges bland annat att man ska observera att inte notera sådan informa-<br />
tion som kan vara integritetskränkande. Efter utvecklingssamtalet har med-<br />
arbetaren möjlighet att inom sju dagar lämna kommentarer eller reservatio-<br />
ner på sammanfattningen och UBS-bedömningen varefter utvecklingssamta-<br />
let avslutas. Bedömningen av underställda ersätter det gamla vitsordet och<br />
tjänstgöringsomdömet och är den viktigaste bedömningen i UBS. Det ska<br />
utgöra underlag för personlig utveckling och kan även användas för beford-<br />
ran, karriärutveckling och lönesättning.<br />
Försvarsmakten arbetar med roller och behörigheter och har en plan för hur<br />
dessa ska fördelas. De personer som har tillgång till uppgifterna i PRIO är<br />
chefen, i vissa fall chefens chef, HR-centrum, lokala HR-funktioner, interna<br />
nomineringsnämnder och eventuella arbetstagarorganisationer. Ett logghan-<br />
teringssystem, TCIM, är i första hand införskaffat för PRIO behov. Loggarna<br />
ger svar på vem, när, vad och var något gjordes samt vilken åtgärd som gjor-<br />
des, varifrån händelsen startade och var den slutade. ”Slagningar och tittande”<br />
loggas inte. I stället förutsätter man att den som fått behörighet att ta sig in i<br />
de olika delarna i systemet även har behörighet att ta del av uppgifterna. PRIO<br />
Sida 3 av 7
har ca 13 000 användare. Någon gallringsutredning har inte genomförts och<br />
kommer enligt uppgift inte att genomföras inom överskådlig tid.<br />
Av begäran om samråd framgår att systemet för närvarande bedöms som<br />
”övrig sekretess” d.v.s. det är inte placerat i s.k. informationssäkerhetsklass.<br />
Enligt uppgift kommer systemet på sikt att klassas om och placeras i en infor-<br />
mationssäkerhetsklass vilket höjer de interna säkerhetskraven på systemet.<br />
Utåt är systemet helt öppet med anledning av offentlighetsprincipen och det<br />
är inte särskilt många uppgifter eller sammanställningar i systemet som kom-<br />
mer att omfattas av sekretess i offentlighets- och sekretesslagens (2009:400)<br />
mening. Följaktligen kan i princip alla uppgifter, bedömningar och samman-<br />
ställningar om den enskilde komma att lämnas ut till den som begär att få ta<br />
del av informationen. Försvarsmakten överväger att söka lagstöd för sekretess<br />
av uppgifterna i systemet.<br />
Datainspektionens bedömning<br />
Bestämmelser att ta hänsyn till<br />
Att registrera uppgifter om anställda i ett datasystem på sätt som beskrivs<br />
innebär en behandling av personuppgifter. Arbetsgivaren måste därför följa<br />
personuppgiftslagens regler. En första förutsättning är att de grundläggande<br />
kraven i 9 § personuppgiftslagen, som ställs på all personuppgiftsbehandling,<br />
är uppfyllda. Det innebär bland annat att ändamålen med behandlingen<br />
måste vara tydligt beskrivna i förväg och sakligt grundade i verksamheten och<br />
att de personuppgifter som behandlas ska ha betydelse för arbetsförhållandet.<br />
Vidare ska uppgifterna vara adekvata och relevanta i förhållande till ända-<br />
målen med behandlingen och det är inte tillåtet att behandla fler uppgifter än<br />
nödvändigt med hänsyn till de angivna ändamålen. Behandlingen ska vara<br />
förenlig med god sed. På arbetsmarknaden innebär det bland annat att<br />
personuppgiftsbehandlingen inte får vara onödigt närgången eller omfat-<br />
tande. Det har också betydelse vad det är för verksamhet som bedrivs, om det<br />
finns eventuella överenskommelser i kollektivavtal och vad det finns för<br />
branschpraxis.<br />
I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka fall<br />
behandling av personuppgifter är tillåten. Enligt huvudregeln får personupp-<br />
gifter enbart behandlas om den registrerade har lämnat sitt samtycke till be-<br />
handlingen. Personuppgiftsbehandlingen i systemet PRIO kommer att vara<br />
obligatorisk varför denna punkt inte är aktuell här.<br />
Det finns en rad undantag från huvudregeln om samtycke. Enligt 10 § punk-<br />
ten a, personuppgiftslagen får till exempel personuppgifter behandlas om det<br />
är nödvändigt för att anställningsavtalet eller något annat avtal mellan arbets-<br />
Sida 4 av 7
givaren och arbetstagaren ska kunna uppfyllas. Med stöd av denna bestäm-<br />
melse kan uppgifter om kompetens, omdömen eller andra värderande upplys-<br />
ningar t.ex. från utvecklingssamtal med den anställde, registreras om det<br />
behövs för anställningsförhållandet. Det är av betydelse hur anställnings-<br />
avtalet är utformat i det enskilda fallet. Enligt Datainspektionens bedömning<br />
torde det sällan kunna anses vara nödvändigt för anställningsavtalet att<br />
arbetsgivaren behandlar värderande omdömen om de anställda. Om det i en<br />
lag eller annan författning finns särskilda kompetenskrav för en viss anställ-<br />
ning kan det också vara nödvändigt för en arbetsgivare att behandla uppgifter<br />
om anställda, i en kompetensdatabas. Behandlingen är då tillåten med stöd av<br />
10 § punkten b, personuppgiftslagen.<br />
Behandling av personuppgifter i en kompetensdatabas kan vara tillåten med<br />
stöd av en intresseavvägning enligt 10 § punkten f, personuppgiftslagen. En<br />
intresseavvägning kan ofta ge stöd för att i enlighet med god sed på arbets-<br />
marknaden registrera faktauppgifter om anställda i kompetensdatabaser.<br />
Exempel på sådana faktauppgifter är uppgifter om genomförda utbildningar,<br />
arbetslivserfarenhet, uppdrag, poäng från sakkunskapstester och liknande.<br />
Däremot kan en intresseavvägning normalt inte ge stöd för registrering av<br />
omdömen eller andra värderande uppgifter från exempelvis utvecklingssam-<br />
tal, eller uppgifter om resultat från personlighetstester, personlighetsprofiler<br />
och liknande. Detta gäller dock inte helt undantagslöst. I vissa fall kan arbets-<br />
givaren ha ett berättigat behov av att registrera även denna typ av uppgifter,<br />
som får anses väga tyngre än arbetstagarnas intressen av skydd för den<br />
personliga integriteten. En samlad bedömning måste göras där hänsyn tas till<br />
samtliga relevanta omständigheter. I grunden handlar det om att avgöra om<br />
behandlingen är proportionerlig i förhållande till ändamålen med behand-<br />
lingen och det integritetsintrång som behandlingen innebär.<br />
Kan behandlingen anses tillåten med stöd av en intresseavvägning?<br />
I det nu aktuella fallet är det fråga om att göra en intresseavvägning enligt 10 §<br />
punkten f, personuppgiftslagen mellan Försvarsmaktens behov av att be-<br />
handla personuppgifterna på angivet sätt och de anställdas intresse av integri-<br />
tetsskydd. I samband härmed får man göra en helhetsbedömning av samtliga<br />
omständigheter i det enskilda fallet.<br />
Har Försvarsmakten ett berättigat behov av att sammanställa personuppgifter<br />
i systemet PRIO?<br />
Försvarsmakten har framhållit att de förfogar över ett unikt våldsmandat och<br />
att det därför är av yttersta vikt att personalen har för uppgiften adekvata<br />
egenskaper i form av utbildning och kompetens, värdegrund och personliga<br />
egenskaper. Datainspektionen bedömer att Försvarsmakten har ett berättigat<br />
behov av att systematiskt sammanställa uppgifter angående personalens ut-<br />
Sida 5 av 7
ildning, kompetens, prestationer och personliga egenskaper. Det är fråga om<br />
en speciell verksamhet som ställer särskilda krav på de anställda. Detta behov<br />
får anses vara betydligt starkare beträffande militär personal än för civil perso-<br />
nal.<br />
Kan Försvarsmaktens berättigade behov anses väga tyngre än de anställdas<br />
intresse av skydd mot kränkning av den personliga integriteten?<br />
För att Försvarsmakten ska kunna behandla personuppgifter på beskrivet sätt<br />
i systemet (PRIO) krävs att Försvarsmaktens behov väger tyngre än de<br />
registrerades intresse av skydd mot kränkning av den personliga integriteten.<br />
Följande omständigheter får bland annat vägas in i bedömningen.<br />
� Försvarsmakten använder sedan gammalt ett vitsordsystem med ingå-<br />
ende bedömningar av de militära medarbetarna inom försvaret för att<br />
bedöma tjänsteduglighet. Att avge värderande omdömen om dessa<br />
medarbetare skulle möjligen kunna anses vara praxis i ”branschen”.<br />
� Det nya bedömningssystemet är utvecklat i samarbete med forskare.<br />
Det är alltid närmaste chef som gör bedömningen, både över- som<br />
underordnad bedöms och de anställda har möjlighet att komma med<br />
kommentarer om de inte delar chefens uppfattning efter utvecklings-<br />
samtalet i personalens bedömningsmodell UBS. Det finns också ruti-<br />
ner och begränsningar till skydd för kränkande skrivningar i fritext-<br />
fältet.<br />
� Åtkomsten till uppgifterna är begränsad internt genom roller och till-<br />
delade behörigheter. Enligt Datainspektionens allmänna råd om<br />
säkerhet för personuppgifter bör en behandlingshistorik (logg) nor-<br />
malt vara så detaljerad att den kan användas för att utreda felaktig<br />
eller obehörig användning av personuppgifter. I systemet PRIO loggas<br />
inte läsning (slagningar) varför det inte går att utläsa vem som har<br />
tagit del av vilken information. Vid behandling av integritetskänsliga<br />
personuppgifter såsom i detta personalsystem bör sådan loggning och<br />
kontroll ske.<br />
� Personuppgifter får enligt personuppgiftslagen inte behandlas längre<br />
än vad som är nödvändigt med hänsyn till ändamålet med behand-<br />
lingen. När det som här gäller uppgifter om anställda i personalsystem<br />
innebär detta att uppgifterna ska tas bort när anställningen avslutas.<br />
Vissa uppgifter kan av administrativa skäl behöva bevaras längre t.ex.<br />
uppgifter om själva anställningen, utbetald lön och slutbetyg. Det sak-<br />
nas en åtgärdsplan för gallring av uppgifter i systemet PRIO.<br />
Sida 6 av 7
� De anställda får tydlig information om behandlingen av personuppgif-<br />
ter i systemet både muntligen och skriftligen.<br />
� De personuppgifter som kommer att behandlas i systemet är för när-<br />
varande inte placerade i någon särskild informationssäkerhetsklass in-<br />
ternt. Utåt är systemet helt öppet med anledning av offentlighets-<br />
principen och enligt uppgift är det inte särskilt många uppgifter eller<br />
sammanställningar i systemet som kommer att omfattas av sekretess i<br />
offentlighets- och sekretesslagens (2009:400) mening.<br />
Datainspektionen uppfattar att det här systemet innebär en mycket ingående<br />
kartläggning av de anställda. Stora delar av innehållet i databasen utgör infor-<br />
mation av integritetskänslig natur för de anställda. Det kan inte heller ute-<br />
slutas att det blir fråga om behandling av känsliga personuppgifter enligt<br />
personuppgiftslagen. Informationen är dessutom inte skyddad av några sek-<br />
retessbestämmelser, utan kan komma att lämnas ut enligt offentlighets-<br />
principen.<br />
Sammantaget anser Datainspektionen att behandlingen av personuppgifter i<br />
systemet PRIO inte är tillåten med stöd av en intresseavvägning enligt 10 §<br />
punkten f, personuppgiftslagen.<br />
För det fall Försvarsmakten ser behov av att, vid utförandet av sitt speciella<br />
uppdrag, behandla personuppgifter om sina anställda på tänkt sätt anser<br />
Datainspektionen att det kan vara lämpligt med särskild lagstiftning på om-<br />
rådet för att tillgodose detta behov och samtidigt skydda de anställdas integri-<br />
tet.<br />
Detta samråd har beslutats av generaldirektören Göran Gräslund i närvaro av<br />
chefsjuristen Hans-Olof Lindblom, teamledaren Britt Marie Wester och data-<br />
rådet Agneta Runmarker, föredragande.<br />
Göran Gräslund<br />
Agneta Runmarker<br />
Sida 7 av 7
Change language