Grundläggande krav på behandlingen:
Personuppgifter får behandlas om det är lagligt samt om det sker på ett korrekt sätt och enligt god sed. Enligt 9 § skall arbetsgivaren se till att personuppgifter samlas in bara för särskilda, uttryckligen angivna och berättigade ändamål. Dessa ändamål får sedan betydelse för den fortsatta behandlingen av personuppgifterna. Bl.a. får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna ursprungligen samlades in för.Detta innebär dels att arbetsgivaren uttryckligen måste ange ändamålen med åtgärden, dels att arbetsgivaren är förhindrad att använda uppgifterna för andra ändamål än de angivna. Vidare måste arbetsgivaren se till att insamlade uppgifterna inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
När en loggningsfunktion tas i bruk måste ändamålen uttryckligen anges varmed arbetsgivaren därefter är förhindrad att använda uppgifterna i loggen för andra (oförenliga) ändamål. Kravet att ändamålen skall vara särskilda innebär att de måste vara relativt detaljerade. Om ändamålet med en viss loggning har angetts vara för att kontrollera en tillämpnings tekniska funktion, innebär PuL ett förbud mot att använda uppgifterna exempelvis för att kontrollera arbetstagares prestationer. Enligt 9 § krävs också att arbetsgivaren begränsar uppgifterna vid loggning till sådana som är adekvata och relevanta i förhållande till de angivna ändamålen. Därtill måste arbetsgivaren se till att insamlade uppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med loggningen.
Tillåten behandling av personuppgifter:
PuL 10 § anger vilka uppgifter som kan samlas in och hur de i övrigt får behandlas och dessa regler gäller även vid loggning. Om en arbetsgivare inhämtar samtycke från en medarbetare gäller de regler som gäller för personuppgiftsbehandling i allmänhet vid samtycke. I de fall samtycke inte har inhämtats får loggning ske under de förutsättningar som i övrigt anges. Ett grundläggande krav är att behandlingen är nödvändig. I de fall loggning sker för teknisk kontroll behöver loggningen inte vara hänförlig till enskild individ vilket i de fallen skulle innebära att PuL inte tillämpas.
Arbetsgivare får behandla personuppgifter om medarbetare om det är nödvändigt för att fullgöra ett avtal dem emellan. Normalt utgör loggning inte någon sådan behandling som är nödvändig för fullgörelse av anställningsavtalet. Dock kan denna förutsättning föreligga i fall av ett avtal om prestationslön i någon form där vederlaget baseras på uppgifter som samlats in genom loggning.
Loggning kan utgöra en nödvändig förutsättning för arbetsgivaren för att kunna fullgöra en rättslig skyldighet. Här kan särskilt nämnas en myndighets skyldighet att registrera inkomna handlingar vilket kan medföra att det är nödvändigt att logga t.ex. inkommande e-post på visst sätt. En myndighet har enligt offentlighetsprincipen att pröva om en elektronisk handling som förvaras hos myndigheten är en allmän handling eller inte. I en sådan situation kan loggning innebära att arbetsgivaren kommer i kontakt med medarbetarens privata information i de fall arbetsgivaren har att bedöma i vad mån en handling utgör myndighetens handlingar.
I övrigt kan behandling av personuppgifter ske efter att en intresseavvägning varmed arbetsgivaren har att visa ett berättigat intresse av att behandlingen och att detta berättigade intresse väger tyngre än medarbetarens intresse av integritetsskydd. Personuppgifter får även behandlas efter en intresseavvägning där arbetsgivarens berättigade intressen av behandlingen skall väga tyngre än medarbetarens intresse av integritetsskydd. Bestämmelsen innebär att arbetsgivaren har att för varje fall av loggning göra en avvägning mot bakgrund av sina egna behov av loggningen och det befarade intrånget i medarbetarens personliga integritet som detta kan medföra. Loggning som betingas av säkerhetsskäl bör i allmänhet väga tungt.
Känsliga personuppgifter:
PuL 13 § innehåller särskilda bestämmelser om behandling av känsliga personuppgifter. Insamling av personuppgifter genom loggning kan utgöra behandling av sådana känsliga personuppgifter som avses. Uppgifter som samlas in vid loggning kan innehålla information t.ex. om e-postväxling mellan en medarbetare och ett politiskt parti eller en religiös sammanslutning och kan under vissa situationer kunna innebära att uppgiften avslöjar arbetstagarens politiska uppfattning eller religiösa övertygelse.
Information:
I PuL 23 § anges de grundläggande reglerna om skyldighet för den personuppgiftsansvarige d.v.s. arbetsgivaren att självmant informera om behandling av personuppgifter som samlas in från medarbetaren själv och i 24 § finns motsvarande regler beträffande uppgifter som samlas in från annan. Enligt bestämmelserna skall information lämnas när uppgifterna samlas in respektive registreras. De uppgifter som skall ingå i informationen finns uppräknande i 25 §. Enligt 26 § är arbetsgivaren skyldig att på ansökan av arbetstagare informera om bl.a. vilka uppgifter som behandlas, varifrån uppgifterna har hämtats och ändamålen med behandlingen.
Frågan kan ställas i vad mån uppgifter som samlas in vid loggning är insamlade från medarbetaren själv eller från annan. Vid en bedömning av frågan har det förutsatt att det rör sig om insamling som sker från medarbetaren själv. I vissa fall, som t.ex. vid loggning av inkommande e-post, är denna bedömning emellertid inte självklar. Reglerna i 23 § och 24 § är i det närmaste likalydande och det viktiga är att information lämnas.
Sanktioner:
Behandling av personuppgifter i strid med PuL:s bestämmelser kan enligt 48 § leda till skadeståndsskyldig gentemot den registrerade d.v.s. den vars personuppgifter som varit föremål för den felaktiga behandlingen. Behandlingar som inte överensstämmer med PuL:s krav kan dessutom enligt 49 § vara straffbara.
PuL och SekrL 7:16:
Loggar kan innehålla personuppgifter vilket innebära att dessa loggar då omfattas av PuL:s stadganden. De omständigheter som då skall beaktas finns kortfattat redovisat ovan. I de fall en logg omfattar personuppgifter t.ex. inpasseringsloggar och en sådan begärs utlämnad såsom varande en allmän handling skall inför ett eventuellt utlämnande en bedömning ske i enlighet med SekrL 7:16. Sekretess gäller enligt denna paragraf för personuppgifter om det kan antas att de kommer att av den som begär att få tillgång till personuppgifter kommer att behandla uppgifterna i strid mot PuL.