Medarbetares personuppgifter

Denna sida beskriver hur dina personuppgifter hanteras som anställd i Västra Götaland (VGR) Syftet är att informera dig om vilka personuppgifter som hanteras och vid vilka situationer samt i vilket syfte dina personuppgifter behandlas.

På den här sidan

Behandling av personuppgifter

Allmänt

Vi behöver behandla dina personuppgifter för att kunna utföra våra arbetsuppgifter. All vår behandling av dina personuppgifter utgår från ett tydligt syfte. Vi behandlar dina personuppgifter i enlighet med bestämmelserna i dataskyddsförordningen (GDPR (EU) 2016/679 och annan tillämplig lagstiftning, till exempel lagar inom arbetsrätten eller kollektivavtal.

Personuppgiftsansvarig

Styrelsen för den verksamhet där du är placerad är ansvarig för den behandling av personuppgifter som sker inom respektive verksamhet.

Vad är en personuppgift?

Personuppgifter är alla typer av uppgifter som kan identifiera en levande person. Det kan till exempel vara namn, personnummer, kontaktuppgifter, information om din hälsa, men även foton och ljudinspelningar.

Vad innebär en behandling?

En behandling av personuppgift är all typ av hantering som vi kan göra med personuppgifter, till exempel samla in, lagra, läsa, kopiera, skicka vidare, gallra och arkivera.

Utifrån vilka grunder får vi behandla dina personuppgifter?

Enligt DSF behöver vi stödja vår personuppgiftsbehandling på någon av de rättsliga grunderna som finns i GDPR

  • Samtycke
  • Avtal med registrerade
  • Rättslig förpliktelse
  • Skydda grundläggande intresse
  • Myndighetsutövning eller uppgift av allmänt intresse
  • Intresseavvägning (ovanligt)

Som myndighet använder vi främst någon av de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning, samt avtal.

Kategorier av personuppgifter som behandlas

De personuppgifter som vi främst behandlar om dig är:

  • Kontaktuppgifter: namn, privat adress, telefonnummer och mejl
  • Anställningsuppgifter, till exempel VGR-id, telefonnummer, belastningsregister, yrkeslegitimation
  • Ekonomiska uppgifter: bankuppgifter, löneuppgifter, utmätning av lön, skatt, utlägg
  • Facklig tillhörighet
  • Hälsouppgifter: sjukfrånvaro, rehabilitering
  • Friskvårdsuppgifter
  • Familjeförhållanden: anhörig, relation, barn
  • Tidsredovisning: arbetstid, frånvaro, semester
  • Passage

Allmänna handlingar

Vi är en myndighet, vilket innebär att handlingar, tex e-post som skickas till oss, blir allmänna handlingar som registreras, arkiveras och som vid en begäran om utlämnande kan komma att lämnas ut om inte uppgifterna

omfattas av sekretess. Denna behandling sker enligt krav från offentlighetslagstiftningen. DSF hindrar alltså inte att vi lämnar ut eller arkiverar handlingar som innehåller personuppgifter.

Den rättsliga grunden för denna typ av behandling är rättslig förpliktelse och allmänt intresse.

Så här behandlar vi dina personuppgifter

Övergripande i anställningen

När du är anställd eller på något sätt ingår i VGR:s personalstyrka hanterar vi dina personuppgifter. De behandlas främst i vårt HR-system Heroma och det digitala personalaktsarkivet. Här används även vårt dokumenthanteringssystem SOFIA. Personalärenden diarieförs i Public 360 enligt informationshanteringsplanen. Säkerhetskontroller görs även beroende på anställning.

Vi behandlar dina fackliga uppgifter i samband med löneförhandlingar och facklig samverkan.

I din anställning genomförs medarbetar- och lönesamtal. Vi behöver veta eventuella bisysslor eller andra uppgifter som kan påverka din anställning.

Som anställd har du även möjlighet till kompetensutveckling och i samband med detta behandlar vi dina uppgifter, till exempel i vårt utbildningssystem.

Dina uppgifter anges i Katalog i väst (KIV) för att kunna administrera anställningen i många olika tjänster och utgör ett viktigt underlag för behörighetsstyrning, olika säkerhetslösningar samt för sök- och jämförelsetjänster.

Den rättsliga grunden för behandlingen är allmänt intresse, rättslig förpliktelse och avtal.

Exempel på system där personuppgifter behandlas:

  • Heroma-Webb: uppgifter om frånvaro, övertid mm, reseräkning, läkarbesök, övriga utlägg.
  • MAPS medarbetarundersökning: uppgifter om namn, enhet.
  • KOMET: system för medarbetarsamtalshantering

namn, dokumentation från medarbetarsamtal, kompetensutvecklingsplan, uppgifter om obligatoriska utbildningar. Uppgifter hämtas från Heroma och KIV.

KIV: Dina personuppgifter, så som namn, personnummer, HSA-id, adress till arbetsplatsen, telefon till arbetsställe.

Personalakt: Personnummer, namn, lön, anställningsform, legitimation, överenskommelser, utbildningar, delegering, lönetillägg, löneväxling, kontaktuppgifter och familjeförhållanden (barn och kontaktperson i särskild händelse mm), bisyssla.

Facklig förtroendevald

Vi behandlar uppgifter om facklig förtroendevald. Kontaktuppgifter publiceras på intranätet samt kan komma att publiceras på extern webb om du deltar i rekryteringsärenden.

Uppgifter som behandlas är: namn, adress, telefon, e-post.

Den rättsliga grunden för behandlingen är rättslig förpliktelse.

Lön och ersättningar

För att betala ut rätt lön och andra ersättningar hanterar vi dina personuppgifter. Detta sker i huvudsak i våra HR- och ekonomisystem.

Vissa personuppgifter måste vi skicka till andra myndigheter, såsom

Skatteverket och Pensionsmyndigheten. Andra myndigheter kan också skicka in uppgifter om dig. Vid till exempel utmätning av lön skickar Kronofogden in uppgifter om dig.

Uppgifter som behandlas är: namn, personnummer, adress, e-post, arbetstid och lön, barn (omyndiga), facklig tillhörighet, anställning och lönehistorik, avdrag för Västtrafikkort, telefonavdrag, utmätning av lön, uppgifter om bank, skatt och andra uppgifter som påverkar lönen eller ersättningens omfattning.

Den rättsliga grunden för behandlingen är rättslig förpliktelse och avtal.

Tidredovisning

För att hantera frånvaro, såsom semester, andra ledigheter och sjukfrånvaro, arbetstider behandlar vi dina personuppgifter, för att på så sätt betala ut rätt lön och/eller ersättning. Tidsredovisningen blir ett underlag för planeringen av bemanningen. Tidredovisningen hanteras i modulen Kom och Gå som finns i IT-systemet Heroma.

Dessa uppgifter kan komma att användas vid utredning av illojalt eller brottsligt beteende.

Uppgifter som behandlas är: namn, personnummer, lön, arbetstid, anställningsform, e-post, omyndigt barn, semesterdagar, typ av frånvaro, (totalförsvarstjänst, samhällstjänst - sitter ting t ex)

Den rättsliga grunden för behandlingen är: rättslig förpliktelse, avtal och allmänt intresse.

Arbetsmiljö och hälsa

I samband med friskvårdsbidrag och andra förmåner behandlas dina kontaktuppgifter och inloggningsuppgifter i systemet E-passi.

Vi behandlar rehabiliteringsärende och sjukskrivningar som hanteras i vårt ITsystem HälsoSam och vårt HR-system.

Uppgifter som behandlas är: namn, personnummer, läkarintyg, känsliga uppgifter om till exempel hälsotillstånd, missbruk

Den rättsliga grunden för behandlingen är: rättslig förpliktelse.

Loggranskning i patientsystem

Som anställd inom hälso- och sjukvård och med behörighet i patientinformationssystem kontrolleras dina aktiviteter i dessa. Det kallas loggranskning. Loggranskning görs för att kontrollera att inga obehöriga fått tillgång till patientuppgifter samt för att motverka sådan tillgång. Det kan ske slumpmässiga loggutdrag men annars sker loggutdrag vid särskild händelse.

Särskild loggranskning kan även ske vid misstanke om brott.

Uppgifter som behandlas är: namn, VGR-id, roll i systemet, schema.

Den rättsliga grunden för behandlingen är: rättslig förpliktelse.

Behörighetshantering i IT-system och passagesystem

Som anställd har du behörigheter till olika system. I samband med behörighetssättning hanterar vi dina personuppgifter. Det rör bland annat eTjänstekort och tillgång till IT-system kopplat till din anställning.

Din tillgång till lokaler styrs av behörigheter i passagesystem. Loggar i systemet kan komma att användas vid utredning av illojalt eller brottsligt beteende.

Vid användning av e-post och internet i din tjänst hanteras dina personuppgifter. Användandet registreras i loggar som kan komma att användas vid utredning av illojalt eller brottsligt beteende.

Uppgifter som behandlas är: namn, VGR-id, roll i systemet, fotografi, personnummer, e-post, befattning, legitimation, telefonnummer.

Den rättsliga grunden för behandlingen är: allmänt intresse.

Kamerabevakning

Vi har kamerabevakning på våra sjukhus. Det kan innebära att vi hanterar dina personuppgifter i samband med bevakning. Läs mer om hur vi hanterar kamerabevakning i VGR:s verksamheter.

Tjänstebilar och ambulanser

Våra ambulanser är utrustade med GPS. Det innebär att vi behandlar dina personuppgifter, då det är kopplat till din arbetstid och arbetsuppgift. Det används i syfte för att kunna styra ambulansutryckning.

Våra ambulanser och tjänstebilar är utrustade med alkolås. Det innebär att dina personuppgifter hanteras i samband med detta.

Uppgifter som behandlas är: namn, VGR-id, lokaliseringsuppgifter.

Den rättsliga grunden för behandlingen är: allmänt intresse.

Utbildningsverksamhet – studenter

När du genomför din utbildning hos oss, till exempel när du gör praktik, behandlar vi dina uppgifter. Syftet är att du ska kunna genomföra praktik och utbildning. Det omfattar till exempel omdömen och betygssättning.

Uppgifter som behandlas är: namn, telefon, adress, personnummer, e-post, lärosäte.

Den rättsliga grunden för behandlingen är: allmänt intresse.

Personuppgiftsbehandlingar kopplat till hälso- och sjukvårdspersonal

Vid anställning av hälso- och sjukvårdspersonal behöver vi kontrollera legitimation och andra specialistbevis. Detta görs via Socialstyrelsen.

Vid anmälan till IVO, till exempel om en person utgör fara för patientsäkerheten behandlas dina personuppgifter och skickas till IVO.

Uppgifter som behandlas är: namn, personnummer, arbetsplats, specialistkompetens.

Den rättsliga grunden för behandlingen är: allmänt intresse och rättslig förpliktelse.

AI

VGR använder artificiell intelligens (AI) på ett ansvarsfullt och säkert sätt.

Microsoft 365 Copilot

VGR använder Microsoft 365 Copilot i vissa kontorsprogram. Copilot drivs av språkmodeller som Microsoft använder i sina företagslösningar, bland annat GPT-4 Turbo och GPT-5. VGR har avtal med Microsoft, vilket innebär att prompter, svar och data i Microsoft 365 inte används för att träna AI-modeller.

Personuppgifter får inte matas in eller behandlas i Copilot.

VGR:s interna AI-chatbot

VGR använder även en intern chatbot i en kontrollerad IT-miljö. Den använder språkmodellerna GPT-5.1, GPT-4o och Llama 3.3.

Personuppgifter får inte matas in eller behandlas i chatboten.

AI i andra system

VGR kan också använda AI-funktioner i vissa verksamhetssystem. Innan sådana tas i bruk görs alltid en noggrann juridisk och säkerhetsmässig bedömning, så att lösningarna följer lagstiftning och VGR: s krav.

Avslut av anställning

Om du avslutar din anställning i VGR kommer dina personuppgifter att fortsätta att behandlas för vissa nödvändiga ändamål Om du skrivit journal kommer ditt namn fortsatt behandlas i journalen. Om du varit handläggare för ett ärende eller upprättat allmänna handlingar kommer dina personuppgifter fortsatt behandlas. Handlingar i din personalakt kommer att bevaras i enlighet informationshanteringsplanen.

Din e-post, OneDrive och H: kommer att raderas. Även dina behörigheter kommer att raderas (exempel behörighet till journalsystemen, Heroma med flera). Radering sker enligt informationshanteringsplanens anvisningar.

Uppgifter som behandlas är: namn, personnummer, anledning till avgång egen begäran/pension/byte av tjänst.

Den rättsliga grunden för behandlingen är: allmänt intresse och rättslig förpliktelse.