Framsida » Avgöranden » Om att samla in personuppgifter vid öppna ansökningar

Om att samla in personuppgifter vid öppna ansökningar

DNRO 3661/4/08 JA 3999/4/08

Riksdagens biträdande justitieombudsman hade reserverat tillfälle för dataombudsmannen att ge utlåtande i den mån det handlade om lämpligheten av insamlande av personuppgifter vid öppen ansökan.

Det var fråga om statsförvaltningens elektroniska rekryteringssystem Heli, vilken fungerar via portalen Valtiolle.fi. I Valtiolle.fi –tjänsten anmäler man öppna tjänster. De tjänster/uppgifter som finns anmälda i Heli kan sökas genom Valtiolle.fi. Även de tjänster som inte är utlysta och är tidsbundna under ett år kan sökas via Valtiolle.fi, varpå den sökande kan lämna en öppen ansökan t.ex. i den elektroniska tjänsten. Enligt Valtiolle.fi tjänstens bestämmelser är tjänsten till för att försnabba rekrytering och det är meningen att vara ett förenklande medel och arbetsekonomiskt för arbetssökanden att lämna t.ex. öppna ansökningar till statens korta tidsbundna uppgifter.

För att bläddra igenom de öppna tjänsterna krävs inte att arbetssökande registrerar sig. Att använda Valtiolle.fi –tjänsten alltså att söka en specifik tjänst/uppgift samt lämnande av öppna ansökningar i systemet kräver att man registrerar sig genom s.k. stark identifiering antingen med bank uppgifter eller certifikatkort (elektroniskt identitetskort). I anvisningarna för Valtiolle.fi –tjänsten skrivs att stark identifiering krävs för att säkra de sökandes datasäkerhet. Statsförvaltningen kräver stark identifiering som verkställs genom arbetssökandes elektroniska signering och skyddar på samma gång personliga uppgifter. Undertecknade skriftliga ansökningar och bilagor behöver inte längre skickas om det inte specifikt begärs om dessa. I anvisningarna är även beskrivet hur nätbankskoderna eller det elektroniska identitetskortet kan skaffas.

De kärande hade vidare framfört sin oro över datasäkerheten i de öppna ansökningsblanketterna, samt ändamålsenligheten och lagenigheten av att samla in personuppgifter.

Dataombudsmannen framförde ställningstagande på följande sätt:

Ombudsmannen granskade Valtiolle.fi –tjänstens lagenlighet med hjälp av personuppgiftslagen (523/1999) som hör till dennas befogenhet samt med hjälp av lagen om integritetsskydd i arbetslivet (459/2004) för att granska lagenigheten i behandlingen av personuppgifter.

Begreppet personuppgifter och s.k. stark identifiering

Enligt personuppgiftslagens 3 § 1 mom. 1 p. är personuppgifter alla slags anteckningar som beskriver en fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller till hans familj eller någon som lever i gemensamt hushåll med honom.

Såvida är behandling av elektroniska identifieringsuppgifter i enlighet med personuppgiftslagen personuppgifter, om det är möjligt att känna igen en fysisk person på basis av uppgifterna som behandlas.

I personuppgiftslagen särskiljs inte mellan s.k. stark och annan identifiering. Däremot förutsätter 9 § att man inte i registret märker in felaktiga personuppgifter. För den s.k. starka identifieringen konstaterar ombudsmannen att en arbetsgivare i enlighet med principen om samtycke i personuppgiftslagens 8 § 1 mom. 1 p. och på basis av ett skäligt samband i 5 p. får behandla en arbetstagares personuppgifter. Till detta hör att arbetsgivaren på ett pålitligt sätt skall kunna identifiera en arbetssökande med hjälp av personuppgifter.

I lagen om arbetstagarens integritetsskydd stiftas om principen för direkt relevans: Arbetsgivaren får behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som har att göra med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet eller med de förmåner arbetsgivaren erbjuder arbetstagarna eller med arbetsuppgifternas särskilda natur. Avvikelser från relevanskravet kan inte göras med arbetstagarens samtycke.
Med beaktande av författningarna bör frågan lyftas fram; är det i fråga om öppna ansökningar, som fylls i på en tom blankett i tjänsten och vilken inte ens med säkerhet förs fram till Statskontoret, överhuvudtaget nödvändigt att identifieras, alltså att behandla personuppgifter i enlighet med personuppgiftslagens 8 §. Dataombudsmannen har t.ex. i tidigare ställningstaganden konstaterat att nödvändighetsprincipen inte förutsätter att en arbetsgivare t.ex. samlar in personbeteckningen.

Då det är fråga om stark identifiering är det ändå nödvändigt att sätta vikt på skyddet av personuppgifterna och värnande om enhetligheten samt förverkligandet av datasäkerheten, på det sätt som 32 § i personuppgiftslagen stiftar om skyldigheten till skydd av personuppgifterna.

Registerförare

Enligt personuppgiftslagens 3 § 1 mom. 4 p. är en registerförare en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. Enligt personuppgiftslagens 8 § 7 p. kan man även på basis av givande av uppdrag utlokalisera behandlingen av personuppgifter till tredje part.

Enligt personuppgiftslagens 6 § skall behandlingen vara sakligt grundad för registerförarens verksamhets del. Ändamålet med personuppgifternas behandling; varifrån man sedvanligt samlar in uppgifterna och vart de vanligen överlämnas, skall definieras förrän uppgifterna samlas in eller förrän de bildar ett personregister. Ändamålet med behandlingen av personuppgifterna skall definieras så att det av denna definition framgår hurdan uppgift registerföraren utför med syfte av behandling av personuppgifter.

På Valtiolle.fi –tjänstens hemsida finns ett i enlighet med personuppgiftslagen 10 § uppfört personregister, enligt vilket statskontoret / statens IT-servicecentral är registerförare. Enligt uppgifterna som kommer av registerbeskrivningen är registrets ändamål att bistå arbetsgivare för skötseln av rekrytering i förvaltningsenheter samt myndighetsenheter. Statskontoret som registerförare har beviljat användarrättigheter åt förmän i både statliga förvaltningar och ämbetsverk, vilka använder tjänsten för att sköta sina uppgifter (rekrytering). Dessa registreras i programmet som användare och de identifieras i programmet med hjälp av elektroniska användarkort. I registerbeskrivningens 11 punkt framgår registerförvaltningen, de uppgifter som hör till registerföringen vilka Statskontoret svarar för och om vilka de som registerförare har beslutanderätt.

Dataombudsmannen fäste i detta sammanhang uppmärksamhet på behörighetsfrågan gällande registerföring, speciellt i beaktande av stadganden i personuppgiftslagens 8 § 1 mom. Enligt författningen får personuppgifter t.ex. behandlas om det stiftats om behandling genom lag eller om behandlingen kommer av en i lag stadgad uppgift eller skyldighet. I lagen om statskontoret (305/1991) stadgas i 1 § att ibland uppgifter som hör till statskontoret finns statens personaladministration. Noggrannare stiftas i stadsrådets förordning (1155/2002). Den ifrågavarande lagen och förordningens moment är – med beaktande av vidden och naturen på tjänsten – inexakt och diffus i ordalagen, och är så till vida inte i enligt med grundlagsutskottets ställningstaganden om behandling av personuppgifter.

Enligt dataombudsmannens uppfattning förblir även i detta sammanhang oklart hur ämbetena och förvaltningarna som använder tjänsterna skall sköta skyldigheterna som kommer av behandlingen och registerföringen av personuppgifter. Enligt hans uppfattning skall varje ämbete och förvaltnings enhet själva svara för sin rekrytering och arbetssökandenas personuppgifter och dess behandlings lagenlighet, så som det framgår i personuppgiftslagen.

Den öppna ansökningen på Valtiolle.fi kan genom beslut vara offentlig endast för ett önskat antal ämbetsverk eller förvaltningsenheter. Arbetssökanden kan även om denna så önskar välja flera förvaltningsenheter och/eller ämbetsverk. En öppen ansökan kan även sändas till varje statlig myndighet enskilt per post, e-post, fax eller genom att själv föra den eller via ett bud föra den fram till ifrågavarande myndighets kansli.

Dataombudsmannen fäste uppmärksamhet på att den registeransvariga enligt personuppgiftslagens 24 § är skyldig att informera den registrerade om behandlingen av personuppgifter. Oklart är om informationen getts på ett tillräckligt sätt, så att arbetssökandena förstår och kan begränsa den öppna ansökan så att den blir till påseende endast för ett visst önskvärt antal arbetsgivare. Enligt ombudsmannen framgår det att det finns brister i informationsflödet eftersom det är oklart vem som svarar för var de öppna ansökningarna hamnar och vem som svarar för registerföringen vid rekryteringsskede.

Nödvändighetskravet av personuppgifter i de öppna ansökningarna

Enligt anvisningarna för Valtiolle.fi – tjänsten baserar sig användande och lämnande av ansökningar till tjänsten på frivillighet och användande av tjänsten på arbetsgivarens tillstånd. Arbetssökande kan även använda sig av andra traditionella sätt att söka jobb; genom att sända ansökningar åt arbetsgivaren. Såvida verkar det som om personuppgiftslagens 8 § 1 och 5 punkters förutsättningar för behandling av personuppgifter fullbordas för användningen av tjänsten.

Enligt relevanskravet i arbetsskyddslagen får arbetsgivaren behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som har att göra med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet eller med de förmåner arbetsgivaren erbjuder arbetstagarna eller med arbetsuppgifternas särskilda natur. Avvikelser från relevanskravet kan inte göras med arbetstagarens samtycke.

Enligt registerbeskrivningen och tjänstens bestämmelser så ombeds den sökande uppge identifieringsuppgifter i den öppna ansökan så som namn, födelsedatum, adress, telefonnummer och e-post adress. Vidare frågas om sökandes utbildning, arbetserfarenhet samt en egen presentation av arbetssökande. Det föreskrivs särskilt att det är fråga om en frivillig presentation om sig själv från arbetssökandes sida där det ingår presentation, kunnande och förväntningar.

Med beaktande av relevanskravet i arbetsskyddslagens 3 § hade ombudsmannen inget att poängtera i fråga om behandlingen av personuppgifterna i den öppna ansökan.
Dataombudsmannen fäste även uppmärksamhet på arbetsskyddslagens 4 §. Arbetsgivaren skall samla in personuppgifter om en arbetstagare i första hand hos arbetstagaren själv. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren, skall arbetstagarens samtycke till detta inhämtas. Arbetstagarens samtycke behövs dock inte, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna skall kunna utföra en uppgift som i lag ålagts arbetsgivaren eller när arbetsgivaren inhämtar personkreditupplysningar eller straffregisteruppgifter för utredning av en arbetstagares tillförlitlighet.
Enligt Valtiolle.fi –tjänsten samlas alla uppgifter in genom de öppna ansökningarna till åtkomst för arbetsgivaren, så som den ovan nämnda lagen förutsätter.
I tidigare ställningstaganden utförda av dataombudsmannen hade klart orelevanta uppgifter om arbetssökanden samlats in, uppgifter angående hälsotillstånd, familjerelationer eller personliga angelägenheter. I Valtiolle.fi –tjänsten skulle beaktas alla de möjligen relevanta faktorerna som kunde följa av tjänsterna i den öppna ansökan.

Anhängiga ärenden hos dataombudsmannen angående tjänsten Valtiolle.fi

Hos dataombudsmannen hade åtminstone två anhängiga ärenden kungjorts angående den ovannämnda tjänsten.

I ärendet dnr 2379/452/2007, 16.11.2009, var det fråga om varför statens rekryteringstjänst HELI kräver att man vid arbetsansökning registrerar sig med personbeteckning. Programmet kräver identifiering med hjälp av bankuppgifter och då uppgifterna getts meddelar bankens sida att den sänder personbeteckningen och namnet till mottagande parten. Den kärande hade frågat för vilket ändamål statskontoret behöver personbeteckningen. I ärendet hade den kärande fått anvisningar om hur ’TUPAS (ett finskt identifieringssystem som genomförs m.h.a. bankuppgifter) fungerar, att banken framför personuppgifterna som den erhåller till tjänsten som kräver dessa.

I fallet drn 2099/452/2009, 6.9.2010, var det fråga om att en sökande hade sökt en öppen tjänst hos lantmäteriverket. Kärandens ärende hade till största del handlat om behandlingen av personuppgifter från lantmäteriverkets sida i rekryteringsskedet, då den ifrågavarande förvaltningsenheten hade gett rekrytering och till denna hörande intervjuer i uppdrag till en tredje part i form av ett rekryterings företag. Denna klagan visade enligt dataombudsmannen att skyldigheten till informering och behandling av personuppgifter vid de öppna ansökningarna inte hade varit tillräcklig.

Slutligen

Dataombudsmannen bad att då ärendet avgörs skall beaktan sättas på det som kommer av utlåtandet och man skall ta ställning till om Valtiolle.fi –tjänsten borde ge noggrannare anvisningar och råd till de registeransvariga angående skyldigheterna av personuppgiftslagen och lagen om integritetsskydd i arbetslivet.

I ställningstagandena och i svaren hade inte tjänstens ändamålsenlighet ifrågasatts. Speciellt då man beaktar lagen om offentlighet i myndigheters verksamhet 9 § 1 mom., 13 § 1 mom. och 18 § 1 mom. samt lagen om elektronisk behandling i myndighetsverksamhet 5 § 1 mom. och 3 mom.

Eftersom dataombudsmannen i ärendet endast tog ställning till de ärenden som hör till dennas behörighet, så hänvisade han för de ovan nämnda lagarnas del till den biträdande justitieombudsmannens avgörande drn 2051/4/05, 30.11.2006, där det varit fråga om att utträda från en religiös församling med hjälp av en anmälan via e-post.

 
Publicerad 6.2.2014