Framsida » Avgöranden » Multinationellt företags arbetstagares kontaktuppgifter i intranät

Multinationellt företags arbetstagares kontaktuppgifter i intranät

Ärende:

Ett multinationellt företag som är verksamt i 150 länder, planerar föra sina arbetstagares kontaktuppgifter som finns i kontaktuppgiftsregistret till intranätet, och frågar därmed om detta förutsätter uppfyllande av kraven för överförande av personuppgifter till tredje land. Registret skulle innehålla följande uppgifter: arbetstagarens namn, kön, personnummer i företaget, arbetsuppgiftsbenämning, ställe (företag, enhet och avdelning), e-postadress, faxnummer, telefonnummer, samt den tidpunkt så personen har slutat hos företaget (i det fall att denna inte längre är i tjänst i företaget). Alla koncernens arbetstagare skulle ha tillträde till registret.

Ställningstagande:

1.10.2001 trädde lag om integritetsskydd i arbetslivet (2004/759) i kraft, enligt 3 § får arbetsgivaren behandla endast de av arbetstagarens uppgifter som är direkt nödvändiga med beaktande av arbetsförhållandet, sådana som hör till uppfyllande av arbetsparternas rättigheter och skyldigheter eller sådana fördelar som arbetsgivaren ger arbetstagaren eller sådana som kommer av arbetets speciella karaktär. Således ansåg dataombudsmannen att de ifrågavarande uppgifterna är sådana som på ovan beskrivna sätt är nödvändiga för arbetsgivaren att behandla.

Enligt personuppgiftslagens 1 § är syftet med lagen att förverkliga bl.a. skyddet av privatlivet. I personuppgiftslagens regeringsproposition (RP 96/1998 s. 32) konstateras att innehållet i och omfattningen av integritetsskyddet påverkas av bl.a. förhållandet mellan registerföraren och den registrerade i vilken roll personen i ett visst förhållande agerar och om han själv offentliggjort uppgifter eller om han gett sitt samtycke därtill. Till en persons arbetsuppgifter, som är i en arbetsgivares tjänst, hör ofta också att kunna vara tillgänglig för andra inom organisationen.

Personuppgifter kan överlämnas utanför EU och ETA området på basis av personuppgiftslagens 23 § 2 punkt bl.a. om detta är nödvändigt för uppfyllande av arbetstagarens och arbetsgivarens förpliktelser. Arbetsgivarens rätt att behandla arbetstagarens uppgifter baserar sig på parternas arbetsavtal.

Enligt dataombudsmannens uppfattning, med beaktande av det stadgade syftet i personuppgiftslagen 1 §, 23 § 2 mom. och med beaktande av lag om integritetsskydd i arbetslivet från 1.10.2001 finns inget hinder för överförande av de nämnda personuppgifterna (frånsett personuppgifterna av de arbetstagare som inte längre är i tjänst) inom koncernen. 9 § i personuppgiftslagen förpliktar registerföraren att sörja för att inte felaktiga, ofullständiga eller föråldrade personuppgifter behandlas. Enligt lagens 29 § skall registerföraren utan dröjsmål korrigera, radera eller fylla ut uppgifterna i registret om personuppgifterna med beaktande av behandlingen av uppgifterna är felaktiga, ofullständiga eller föråldrade. Eftersom personuppgifterna enligt uppgifterna som fåtts genom utredningen är ämnade för att kunna nå de anställda, så ansåg dataombudsmannen att arbetstagarnas personuppgifter skall raderas så fort dessa inte längre är i företagets tjänst.

Förrän systemet tas i bruk skall även avgöras ifall det är skäl att alla arbetstagare ges användningsrätt till systemet. Arbetsgivaren skall även vid överlåtande av varje överlåten data ta ställning till mottagarens rätt att behandla uppgifterna.

Förrän överföringen sker skall på arbetsplatsen dessutom sörjas för att förhandlingarna med personalen som förutsätts i 6 § 8 punkten i lag om samarbete inom företagen förutsatta har förts.

Tillämpat lagrum:

Personuppgiftslag: 1 §, 8 § 1 mom. 5 punkt, 9 § 23 § 2 punkten, 29 §
Speciallagstiftning: Lag om integritetsskydd inom arbetslivet, Lag om samarbete inom företagen 6 § 8 punkt.

 
Publicerad 6.2.2014