Övervakning i arbetslivet - vad är egentligen tillåtet?

| Av Hanna Stenvall | Tipsa redaktionen

ÖVERVAKNING. Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

ÖVERVAKNING . Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

I Sverige har det under lång tid diskuterats en ny lag om skydd för anställdas integritet. Än så länge har någon sådan ny lagstiftning dock inte klubbats igenom i riksdagen. Istället gäller ett både omfattande och komplext regelverk angående skyddet för anställdas integritet, som består av flera olika lagar och förordningar. Framförallt är det reglerna i kameraövervakningslagen, personuppgiftslagen, PuL, och brottsbalken som aktualiseras.

Kontroll av anställdas e-post och internetanvändning är en vanlig och i dag närmast rutinmässig form av övervakning. Detta medför nästan alltid behandling av personuppgifter som kan kopplas till en individ antingen direkt, exempelvis namn och e-postadress, eller indirekt, som ip-nummer. Detta innebär i sin tur att PuL blir tillämplig.
Det är alltid arbetsgivaren som är personuppgiftsansvarig och som därmed ansvarar för att övervakningen är tillåten enligt PuL. I den mån arbetsgivaren låter ett externt säkerhetsföretag sköta övervakningen för arbetsgivarens räkning så är säkerhetsföretaget att anse som ett så kallat personuppgiftsbiträde. Det är viktigt att komma ihåg att arbetsgivaren kan delegera den faktiska behandlingen av personuppgifter till ett biträde men aldrig det formella ansvaret för behandlingen.

PuL innehåller en uttömmande uppräkning i vilka fall övervakning som medför behandling av personuppgifter är tillåten. Behandlingen kan till exempel vara tillåten med stöd av den anställdes samtycke, på grund av avtal mellan arbetsgivaren och den anställde eller för att arbetsgivaren ska kunna fullgöra en rättslig skyldighet. En behandling kan i vissa fall också vara tillåten efter en så kallad intresseavvägning mellan arbetsgivarens intresse av att utföra behandlingen och de anställdas intresse av skydd mot intrång i den personliga integriteten.

Vid en sådan intresseavvägning ska en helhetsbedömning göras, där bland annat följande omständigheter kan beaktas: att personuppgifterna behandlas för säkerhetsändamål, om det finns interna regler som begränsar tillåten övervakning, vilken typ av verksamhet som arbetsgivaren bedriver, i vilken omfattning de anställda har informerats om behandlingen, om behandlingen är i enlighet med praxis i säkerhetsbranschen, vilken typ av personuppgifter som behandlas, samt hur länge personuppgifterna sparas och om det finns rutiner för gallring.
Om övervakningen inte kan hänföras till någon situation där den är tillåten enligt PuL så är den olaglig. Viktigt att komma ihåg är att känsliga personuppgifter, alltså personuppgifter som exempelvis avslöjar politiska åsikter eller medlemskap i fackförening, aldrig får behandlas med stöd av en intresseavvägning (se 13 – 19 §§ PuL). Otillåten behandling av känsliga personuppgifter är straffbar (49 § PuL).

Anställdas samtycke till övervakningen måste vara frivilligt och kan enbart lämnas efter att de fått information om behandlingen (se 3 § PuL). Att samtycket ska vara frivilligt innebär vissa problem, då en anställd normalt sett anses vara i en beroendeställning i förhållande till sin arbetsgivare. Den anställde måste därför erbjudas rimliga alternativ till att samtycka till övervakningen och får inte utsättas för direkt eller indirekt påtryckning från arbetsgivaren. Datainspektionen har dock uttalat att innan en person anställts är beroendeställningen till arbetsgivaren inte lika stark och ett samtycke som lämnas vid anställningstillfället kan därför i normalfallet anses som frivilligt. Samtycke som lämnas under pågående anställning anses dock endast frivilligt i vissa fall och som sagt under förutsättning att rimliga alternativ erbjudits. Under 2009 föreslog regeringen att en ny lag om integritetsskydd i arbetslivet skulle införas som skulle stärka anställdas skydd för integritet i arbetslivet. Enligt förslaget ska det inte vara tillåtet att enbart med stöd av den anställdas samtycke behandla anställdas personuppgifter om ändamålet med behandlingen är att övervaka eller kontrollera anställda (se SOU 2009:44). Som påpekats i inledningen har dock detta lagförslag ännu inte antagits och det är inte heller säkert att så kommer att ske.

Vad gäller övervakning av anställdas privata e-post, mobiltelefon eller andra privata enheter som den anställde använder i sitt arbete, vilket blir alltmer populärt och kallas BYOD, bring your own device, så anses intrånget i den personliga integriteten vara så pass stort att en intresseavvägning sällan kan falla ut till arbetsgivarens fördel. Det är dessutom viktigt att arbetsgivaren, eller det säkerhetsföretag som utför övervakningen, kan göra sig skyldig till dataintrång om han eller hon ”bereder sig tillgång till” den anställdes privata enheter utan den anställdes samtycke (se 4 kap. 9 c § brottsbalken). Detsamma kan gälla utrustning som den anställde har fått tillåtelse att använda utanför arbetet och som innehåller privata datautrymmen, till exempel en e-postkatalog märkt ”privat”.

I samtliga fall kräver övervakning av anställda att arbetsgivaren innan övervakning initieras har informerat de anställda om ändamålet med övervakningen, vad som utgör tillåten användning, under vilka förutsättningar som arbetsgivaren kan komma att misstänka missbruk och vilka juridiska konsekvenser missbruk kan resultera i.
Ett första steg är alltså att upprätta en ordentlig IT-policy, vilket de flesta företagen i säkerhetsbranschen säkerligen redan har. I en sådan policy bör anställdas rätt att använda internet, e-post, företagstelefoner och liknande regleras. Ytterligare en viktig aspekt, som bör framgå av IT-policyn, är att personuppgifterna dessutom löpande måste gallras. Datainspektionen har uttalat att data som är resultat av övervakning av internet eller e-post inte får sparas under en längre tid än tre månader. Om den övervakade personen sagts upp eller avskedats ska dock personuppgifterna i regel gallras omgående.

Den 1 juli i år började den nya kameraövervakningslagen att gälla och ersatte därmed den tidigare gällande lagen om allmän kameraövervakning (se Skydd & Säkerhet nr 6/2013). I och med den nya lagen har PuL helt spelat ut sin roll vad avser kameraövervakning. I praktiken har detta dock skett genom att vissa bestämmelser i PuL helt enkelt har överförts till den nya kameraövervakningslagen. Även enligt kameraövervakningslagen kan en intresseavvägning bli aktuell och Datainspektionen har också uttalat att data från kameraövervakning bör gallras dagligen eller i vart fall veckovis. Viktigt att tänka på är att den som ”tar befattning med uppgift” som inhämtats genom kameraövervakning, exempelvis ett säkerhetsföretag, har tystnadsplikt om enskilds personliga förhållanden.

Positioneringsdata som till exempel samlas in av en GPS eller en mobilapp innehåller inte alltid uppgifter som direkt kan kopplas till en viss person. Däremot kan sådana uppgifter ofta, exempelvis med hjälp av en tjänstgöringslista eller telefonnummer, indirekt kopplas till en viss individ. PuL är således tillämplig även här.

På samma sätt som vid övervakning av e-post och internetanvändning så kan anställda normalt sett inte samtycka till övervakning genom positioneringsteknik, varför arbetsgivaren måste stödja sig på en intresseavvägning. Enligt Datainspektionen är det normalt tillåtet för en arbetsgivare att med stöd av en intresseavvägning behandla personuppgifter för logistik och fördelning av resurser, upprätthållande av säkerhet, framställning av statistik, klagomålshantering och kundservice. Det är däremot normalt sett inte tillåtet att rutinmässigt kontrollera arbetad tid via positioneringsdata, såvida inte arbetsgivaren har en konkret misstanke om allvarligt missbruk av arbetsgivarens förtroende, som missbruk av tidsredovisning.

Enligt PuL är det straffbart för andra än myndigheter att behandla uppgifter om lagöverträdelser. Här är det viktigt att komma ihåg att lagöverträdelser är ett vitt begrepp, som bland annat innefattar uppgift om att viss anställd misstänks ha begått ett upphovsrättsbrott, ett dataintrång eller är misstänkt för att ha stulit egendom som tillhör arbetsgivaren.
Vid upphovsrättsbrott får visserligen personuppgifter behandlas om det finns en konkret misstanke och det är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras. Detta innebär dock inte en allmän rätt att övervaka anställda utan konkret misstanke.

Sammanfattningsvis finns en mängd olika fallgropar och risker med en alltför omfattande eller slentrianmässig övervakning av anställda. Såväl arbetsgivare som säkerhetsbolag som ger råd till arbetsgivare måste hålla de grundläggande lagliga begränsningarna och förutsättningarna i åtanke innan beslut om övervakning fattas. Det finns, tror vi, i många fall även anledning att granska och uppdatera nuvarande rutiner och policys kring dessa frågor så att de överensstämmer med gällande rätt och praxis på området.

Daniel Lundqvist och Fredrik Gustafsson december 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Great Security köper Norrköpingsbolag

Säkerhet viktigare i skolan

Stänger efter protester

Fler söker hjälp för hedersvåld

Allt fler personer söker hjälp för att de utsatts för hedervåld, enligt en undersökning från TT.

Ny fakturastorm från blufföretag

Sverige får myndighet för psykologiskt försvar

Regeringen vill inrätta en myndighet för psykologiskt försvar, förklarade statsminister Stefan Löfven i sitt tal på söndagen vid försvarskonferensen ”Folk & Försvar” i Sälen.

Nyhetsbrev

Förbjuder elefanter på cirkus

I en remiss föreslår regeringen en skärpt djurskyddslag som bland annat innebär ett förbud mot att tamdjur överges samt mot användning av utrustning som kan orsaka lidande eller skada på tävlingsdjur.

Arkiv

Ny lag ska göra vägarna säkrare

Arbetar mot brott i Skåne

Mobilbilder på dödade djur räckte inte

Mobilbilder och filmer på lodjur i olika fällor, en film där ett lodjur snaras i ett träd och en film där någon petar på ett fångat lodjur – det räckte inte som bevis för en fällande dom för grovt jaktbrott. Men tre av de åtalade i den så kallade jakthärvan har dömts till fängelse.

Malmö universitet ökar säkerheten

Så blev första helgen med ny vapenlag

Topright får flera beställningar

”VMA-systemet behöver bli enklare”

Vill ha fler kameror

Nätsajt varnar för lavinfara

På Naturvårdsverkets hemsida finns daglig uppdaterad information om lavinfaran i den svenska fjällvärlden under hela skidsäsongen.

Fler ärenden till åklagare

Antalet ärenden som polisen redovisat till åklagare ökade i fjol med 3,4 procent jämfört med 2016.

Förlängd åtalstid om misstänkt terroristbrott

Swedavia bygger ut

Saab köper Dockstavarvet

Saab köper två varv, Dockstavarvet och Muskövarvet.

Liseberg nöjt med Nokas

Ännu ett förvärv för Addsecure

Addsecure stärker sin nordiska närvaro genom att förvärva alarmkommunikationsverksamheten av finska Prevent 360.

Malmö får polisutbildning

Tryggare pakethantering hos Bussgods

5 listade mål för cyberattacker

Så vill Stockholm skydda valet

Strongpoint i ryskt storavtal

Hatbrott ökar på asylboenden

Det är polisens lönemål

Great Security till Uppsala

”Frågetecken kring nya kameralagen”

Han är säkerhetsbolagets nye vd

Svensk handel vill se större polisnärvaro i oroliga områden

Tjuvarna sågade sig in genom taket

Miljoner till säkrare cykling

Företagsstjärna utsedd i Helsingborg

Sänd till en kollega

0.256