Kontroll och övervakning av anställda
En arbetsgivares rätt att kontrollera sina anställda regleras i första hand genom arbetsrätten, till exempel i arbetsrättslig lagstiftning och kollektivavtal. Om kontrollen innebär att arbetsgivaren behandlar personuppgifter om anställda måste arbetsgivaren följa dataskyddsförordningen (GDPR).
Det gäller till exempel kontroller av anställda som görs med hjälp av uppgifter som samlas in genom olika it-system. En särskild risk är att modern teknik ofta möjliggör en omfattande insamling av personuppgifter utan att den enskilda är medveten om detta.
Vad krävs när personuppgifter behandlas?
För att behandlingen av personuppgifter ska vara laglig krävs det bland annat att arbetsgivaren:
- följer grundläggande principer,
- har stöd i en rättslig grund,
- och har lämnat tillräcklig information till de anställda senast i samband med att uppgifterna ifråga samlades in.
Arbetsgivarens behov av att behandla personuppgifter för ett kontrolländamål ska vara sakligt motiverat i den specifika verksamheten. Behandlingen får inte vara för omfattande eller närgången i förhållande till ändamålet.
Arbetsgivaren ska kunna visa att ändamålet med behandlingen inte kan uppnås på ett tillfredställande sätt genom andra, mindre integritetskränkande, metoder. Det är som regel inte tillåtet att använda ett it-system för att i realtid eller på annat sätt regelmässigt övervaka hur de anställda utför sina arbetsuppgifter eller när de tar raster.
Rättslig grund
Rättsliga grunder som kan ge stöd för att behandla personuppgifter för kontroll av anställda är en intresseavvägning eller ett allmänt intresse (myndigheter). Vid bedömningen av arbetsgivarens berättigade intresse väger säkerhetsskäl tyngre än effektivitetsskäl. Bestämmelser i ett kollektivavtal kan ge stöd för behandlingen. IMY anser inte att en arbetsgivare kan använda samtycke som rättslig grund för att behandla uppgifter för kontroll av anställda.
Information till anställda
Anställda har rätt att i förväg få tydlig information om vilka kontroller som kan göras av dem med hjälp av de uppgifter som arbetsgivaren samlar in om dem, till exempel i samband med att de använder arbetsplatsens it-utrustning. Informationen ska som regel lämnas senast när uppgifterna samlas in, men behöver därefter inte lämnas vid varje kontrolltillfälle.
Konsekvensbedömning
Arbetsgivaren ska överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas.
Uppföljning av prestationer
En arbetsgivare kan ha behov av att följa upp sina anställdas prestationer på olika sätt. Om uppföljningen görs genom att arbetsgivaren behandlar uppgifter om anställda, till exempel med hjälp av uppgifter i ett verksamhetssystem, ska arbetsgivaren följa dataskyddsförordningen (GDPR).
Arbetsgivaren ska först ta ställning till om ändamålet motiverar att uppföljningen görs på individnivå, eller om det kan vara tillräckligt att göra den på gruppnivå.
Uppgifter om anställda som samlas in för ett bestämt ändamål, till exempel för fakturering eller bemanningsplanering, får inte användas för andra oförenliga ändamål. Om arbetsgivaren vill använda ett verksamhetssystem för att följa upp anställdas prestationer ska det syftet ha varit bestämt från början och de anställda ska ha fått tillräcklig information.
Behandling av uppgifter för att mäta anställdas prestationer är tillåten om det är nödvändigt för att uppfylla anställningsavtalet, till exempel för att beräkna och betala ut lön vid avtalad resultatbaserad lön. Behandling för att mäta prestationer kan vara tillåten även för andra berättigade ändamål, till exempel för att planera, organisera, leda och följa upp arbetet. Det förutsätter att behandlingen genomförs på ett sätt som inte är oskäligt eller kränkande för de anställda. De rättsliga grunder som oftast är aktuella att tillämpa är en intresseavvägning eller ett allmänt intresse (myndigheter).
All behandling av uppgifter om anställda ska vara sakligt förankrad i den specifika verksamheten. Den ska också vara proportionerlig och inte för omfattande i förhållande till ändamålet. Behandlingen ska till exempel inte genomföras på ett sådant sätt att de anställda har befogad anledning att uppleva sig stå under mer eller mindre konstant bevakning.
Regler för användningen av it-system
Arbetsgivaren ansvarar för organisationens informationssäkerhet och för att inga otillåtna behandlingar av personuppgifter utförs. Arbetsgivaren behöver därför bestämma hur de anställda får använda sig av organisationens it-utrustning, formulera detta i regler och rutiner och informera de anställda om vad som gäller. Det handlar alltså om användningen av arbetsplatsens datorer, telefoner och datanät, inklusive e-post och internet.
En arbetsgivare kan ha ett berättigat behov av att följa upp att regler och rutiner följs. Det innebär att arbetsgivaren under vissa omständigheter kan få kontrollera användningen av it-utrustningen. Kontrollen får aldrig vara mer ingripande än nödvändigt. Loggning uppfattas ofta som mycket integritetskänsligt och får inte utformas eller användas på ett sätt som innebär ett otillbörligt intrång i de anställdas integritet.
Arbetsgivaren behöver till att börja med ta ställning till om kontrollen behöver utföras på individnivå. I så fall måste arbetsgivaren följa dataskyddsförordningen (GDPR). Arbetsgivaren måste då bland annat ha klart för sig med stöd av vilken rättslig grund behandlingen genomförs och se till att behandlingen inte är för närgången och omfattande i förhållande till ändamålet.
Anställda har rätt till skydd för sin kommunikation och sitt privatliv. En arbetsgivare har därför normalt inte rätt att ta del av innehållet i arbetstagarens privata filer eller e-postmeddelanden. Undantag kan gälla vid en allvarlig misstanke om illojalt eller brottsligt beteende.
Personuppgifter i anställdas datorer
Information till anställda
När arbetsgivare samlar in uppgifter om anställda i samband med att de använder it-utrustning ska de anställda senast vid insamlingen ha fått information om vilka kontroller som arbetsgivaren gör på individnivå och för vilka ändamål som kontrollerna görs. Informationen ska vara lättillgänglig och begriplig. Om ändamålet med kontrollen är att spåra och motverka oegentligheter eller missbruk ska den anställda kunna förstå vad arbetsgivaren menar med "oegentligheter" eller "missbruk". Av informationen till anställda bör framgå om och under vilka förutsättningar som arbetsgivaren kan komma att ta del av innehållet i privata filer eller mejl.
En arbetsgivare bör generellt lägga större fokus på förebyggande åtgärder än på att upptäcka missbruk i efterhand. Utöver att ta fram tydliga riktlinjer och i förväg informera anställda om vad som gäller, kan arbetsgivaren använda tekniska lösningar, till exempel blockering av webbplatser.
Konsekvensbedömning kan krävas
Arbetsgivaren måste överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas. Ett exempel på en behandling som kräver konsekvensbedömning är när en arbetsgivare systematiskt övervakar hur anställda använder internet och e-post.
Kamerabevakning på arbetsplatsen
Att bli kamerabevakad innebär ett integritetsintrång. På en arbetsplats vistas många dagligen och under en stor del av dagen. Anställda har generellt ett starkt intresse av att slippa bli kamerabevakade när de utför sitt dagliga arbete.
Det krävs därför starka skäl för att det ska vara tillåtet för en arbetsgivare att kamerabevaka anställda på arbetsplatsen. Om en arbetsgivare har problem med att obehöriga vistas på arbetsplatsen ska arbetsgivaren i första hand försöka lösa problemet genom mindre integritetskränkande åtgärder, till exempel genom att installera bättre lås eller grindar. Om kamerabevakning bedöms nödvändig behöver arbetsgivaren begränsa bevakningen så att den inte är onödigt omfattande.
Det är tillåtet att exempelvis kamerabevaka ett kontor på nätterna, när ingen av de anställda är på plats, i syfte att förhindra inbrott. Om arbetsgivaren har problem med inbrott utanför arbetstid, finns det däremot knappast skäl att kamerabevaka dygnet runt.
Krävs tillstånd för att kamerabevaka?
Normalt krävs det inte tillstånd för att kamerabevaka på en arbetsplats. Om en offentlig arbetsgivare, eller en annan arbetsgivare som utför en uppgift av allmänt intresse, vill kamerabevaka en plats dit allmänheten har tillträde, krävs däremot tillstånd.
Även om det inte krävs tillstånd, betyder det inte att det är fritt fram att kamerabevaka. En arbetsgivare ansvarar för att följa dataskyddsförordningen och kamerabevakningslagen.
Rättslig grund för bevakningen
Rättsliga grunder som kan ge stöd för att kamerabevaka anställda på en arbetsplats är intresseavvägning eller allmänt intresse (främst myndigheter). Arbetsgivaren kan normalt inte stödja kamerabevakning på samtycke.
Att tänka på vid bedömningen
Exempel på omständigheter som arbetsgivaren behöver väga in vid bedömningen av om kamerabevakningen är tillåten:
- syftet med kamerabevakningen
- behovet av kamerabevakningen
- möjliga alternativa åtgärder
- hur länge bevakningen pågår
- hur stort område som bevakas
- hur integritetskänslig platsen är
- hur länge det inspelade materialet sparas och
- vem eller vilka som har tillgång till det.
Det är inte tillåtet för arbetsgivare att använda kamerabevakning för att regelmässigt kontrollera hur de anställda arbetar. IMY anser att det som regel inte heller är tillåtet att kamerabevaka platser som används för ombyten eller rekreation, till exempel i omklädningsrum eller lunchrum, eller att använda ljudupptagning vid kamerabevakning på arbetsplatsen.
Exempel på när det kan vara tillåtet att kamerabevaka är realtidsövervakning av en särskilt riskfylld tillverkningsprocess inom industrin i syfte att förhindra olyckor.
Den som ska kamerabevaka måste informera om bevakningen.
Arbetsgivare som vill använda kamerabevakning på arbetsplatsen måste överväga om det krävs en konsekvensbedömning innan bevakningen påbörjas.
Det kan också finnas en skyldighet att förhandla med facket enligt medbestämmandelagen.
Material från kamerabevakning omfattas av tystnadsplikt. Det innebär till exempel att bilder på personer från kamerabevakningen inte får lämnas ut till andra arbetsgivare eller publiceras på internet.
Positioneringsteknik (GPS)
Att kontrollera var fordon eller annan arbetsutrustning, och därigenom anställda, befinner sig genom positioneringssystem har blivit allt vanligare, särskilt i verksamheter som omfattar transporter. Positioneringssystem möjliggör en närgången övervakning av anställda och medför risker för otillbörliga integritetsintrång.
Rättslig grund
Privata arbetsgivare som vill använda positioneringssystem som kan knytas till enskilda anställda måste normalt kunna stödja sig på en intresseavvägning. Offentliga arbetsgivare, och andra arbetsgivare som utför en uppgift av allmänt intresse, som vill använda sig av positioneringsteknik ska istället kunna visa att behandlingen behövs för den uppgiften, till exempel om behandlingen behövs för uppgiften att bedriva kollektivtrafik.
En arbetsgivare som vill använda elektronisk körjournal för att uppfylla Skatteverkets krav på redovisning, kan stödja sig på den rättsliga grunden rättslig förpliktelse. Det krävs i så fall att arbetsgivaren bara behandlar sådana uppgifter som Skatteverket kräver.
Berättigat ändamål för behandlingen
Exempel på ändamål som kan vara berättigade är:
- säkerhet,
- logistik,
- fördelning av resurser,
- framställning av statistik,
- klagomålshantering,
- kundservice och underlag för fakturering.
Personuppgiftsbehandlingen ska vara sakligt motiverad i den enskilda verksamheten och får inte utföras på ett alltför närgånget eller omfattande sätt.
IMY anser att det normalt inte är tillåtet att använda positioneringssystem för att kontrollera hur länge den anställda arbetar eller tar raster. Undantag kan gälla vid en konkret misstanke om att den anställda allvarligt missbrukar arbetsgivarens förtroende. Den anställda ska ha fått information om att arbetsgivaren kan använda systemet för sådana kontroller.
Om ett arbetsfordon får användas privat bör arbetstagaren om möjligheten finns tillfälligt kunna stänga av spårningen av fordonets position i vissa fall, till exempel i samband med ett läkarbesök. Det är normalt inte tillåtet att övervaka arbetstagarnas fordonspositioner utanför arbetstid.
Konsekvensbedömning
Arbetsgivaren behöver överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas.