Övervakning i arbetslivet - vad är egentligen tillåtet?

| Av Hanna Stenvall | Tipsa redaktionen

ÖVERVAKNING. Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

ÖVERVAKNING . Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

I Sverige har det under lång tid diskuterats en ny lag om skydd för anställdas integritet. Än så länge har någon sådan ny lagstiftning dock inte klubbats igenom i riksdagen. Istället gäller ett både omfattande och komplext regelverk angående skyddet för anställdas integritet, som består av flera olika lagar och förordningar. Framförallt är det reglerna i kameraövervakningslagen, personuppgiftslagen, PuL, och brottsbalken som aktualiseras.

Kontroll av anställdas e-post och internetanvändning är en vanlig och i dag närmast rutinmässig form av övervakning. Detta medför nästan alltid behandling av personuppgifter som kan kopplas till en individ antingen direkt, exempelvis namn och e-postadress, eller indirekt, som ip-nummer. Detta innebär i sin tur att PuL blir tillämplig.
Det är alltid arbetsgivaren som är personuppgiftsansvarig och som därmed ansvarar för att övervakningen är tillåten enligt PuL. I den mån arbetsgivaren låter ett externt säkerhetsföretag sköta övervakningen för arbetsgivarens räkning så är säkerhetsföretaget att anse som ett så kallat personuppgiftsbiträde. Det är viktigt att komma ihåg att arbetsgivaren kan delegera den faktiska behandlingen av personuppgifter till ett biträde men aldrig det formella ansvaret för behandlingen.

PuL innehåller en uttömmande uppräkning i vilka fall övervakning som medför behandling av personuppgifter är tillåten. Behandlingen kan till exempel vara tillåten med stöd av den anställdes samtycke, på grund av avtal mellan arbetsgivaren och den anställde eller för att arbetsgivaren ska kunna fullgöra en rättslig skyldighet. En behandling kan i vissa fall också vara tillåten efter en så kallad intresseavvägning mellan arbetsgivarens intresse av att utföra behandlingen och de anställdas intresse av skydd mot intrång i den personliga integriteten.

Vid en sådan intresseavvägning ska en helhetsbedömning göras, där bland annat följande omständigheter kan beaktas: att personuppgifterna behandlas för säkerhetsändamål, om det finns interna regler som begränsar tillåten övervakning, vilken typ av verksamhet som arbetsgivaren bedriver, i vilken omfattning de anställda har informerats om behandlingen, om behandlingen är i enlighet med praxis i säkerhetsbranschen, vilken typ av personuppgifter som behandlas, samt hur länge personuppgifterna sparas och om det finns rutiner för gallring.
Om övervakningen inte kan hänföras till någon situation där den är tillåten enligt PuL så är den olaglig. Viktigt att komma ihåg är att känsliga personuppgifter, alltså personuppgifter som exempelvis avslöjar politiska åsikter eller medlemskap i fackförening, aldrig får behandlas med stöd av en intresseavvägning (se 13 – 19 §§ PuL). Otillåten behandling av känsliga personuppgifter är straffbar (49 § PuL).

Anställdas samtycke till övervakningen måste vara frivilligt och kan enbart lämnas efter att de fått information om behandlingen (se 3 § PuL). Att samtycket ska vara frivilligt innebär vissa problem, då en anställd normalt sett anses vara i en beroendeställning i förhållande till sin arbetsgivare. Den anställde måste därför erbjudas rimliga alternativ till att samtycka till övervakningen och får inte utsättas för direkt eller indirekt påtryckning från arbetsgivaren. Datainspektionen har dock uttalat att innan en person anställts är beroendeställningen till arbetsgivaren inte lika stark och ett samtycke som lämnas vid anställningstillfället kan därför i normalfallet anses som frivilligt. Samtycke som lämnas under pågående anställning anses dock endast frivilligt i vissa fall och som sagt under förutsättning att rimliga alternativ erbjudits. Under 2009 föreslog regeringen att en ny lag om integritetsskydd i arbetslivet skulle införas som skulle stärka anställdas skydd för integritet i arbetslivet. Enligt förslaget ska det inte vara tillåtet att enbart med stöd av den anställdas samtycke behandla anställdas personuppgifter om ändamålet med behandlingen är att övervaka eller kontrollera anställda (se SOU 2009:44). Som påpekats i inledningen har dock detta lagförslag ännu inte antagits och det är inte heller säkert att så kommer att ske.

Vad gäller övervakning av anställdas privata e-post, mobiltelefon eller andra privata enheter som den anställde använder i sitt arbete, vilket blir alltmer populärt och kallas BYOD, bring your own device, så anses intrånget i den personliga integriteten vara så pass stort att en intresseavvägning sällan kan falla ut till arbetsgivarens fördel. Det är dessutom viktigt att arbetsgivaren, eller det säkerhetsföretag som utför övervakningen, kan göra sig skyldig till dataintrång om han eller hon ”bereder sig tillgång till” den anställdes privata enheter utan den anställdes samtycke (se 4 kap. 9 c § brottsbalken). Detsamma kan gälla utrustning som den anställde har fått tillåtelse att använda utanför arbetet och som innehåller privata datautrymmen, till exempel en e-postkatalog märkt ”privat”.

I samtliga fall kräver övervakning av anställda att arbetsgivaren innan övervakning initieras har informerat de anställda om ändamålet med övervakningen, vad som utgör tillåten användning, under vilka förutsättningar som arbetsgivaren kan komma att misstänka missbruk och vilka juridiska konsekvenser missbruk kan resultera i.
Ett första steg är alltså att upprätta en ordentlig IT-policy, vilket de flesta företagen i säkerhetsbranschen säkerligen redan har. I en sådan policy bör anställdas rätt att använda internet, e-post, företagstelefoner och liknande regleras. Ytterligare en viktig aspekt, som bör framgå av IT-policyn, är att personuppgifterna dessutom löpande måste gallras. Datainspektionen har uttalat att data som är resultat av övervakning av internet eller e-post inte får sparas under en längre tid än tre månader. Om den övervakade personen sagts upp eller avskedats ska dock personuppgifterna i regel gallras omgående.

Den 1 juli i år började den nya kameraövervakningslagen att gälla och ersatte därmed den tidigare gällande lagen om allmän kameraövervakning (se Skydd & Säkerhet nr 6/2013). I och med den nya lagen har PuL helt spelat ut sin roll vad avser kameraövervakning. I praktiken har detta dock skett genom att vissa bestämmelser i PuL helt enkelt har överförts till den nya kameraövervakningslagen. Även enligt kameraövervakningslagen kan en intresseavvägning bli aktuell och Datainspektionen har också uttalat att data från kameraövervakning bör gallras dagligen eller i vart fall veckovis. Viktigt att tänka på är att den som ”tar befattning med uppgift” som inhämtats genom kameraövervakning, exempelvis ett säkerhetsföretag, har tystnadsplikt om enskilds personliga förhållanden.

Positioneringsdata som till exempel samlas in av en GPS eller en mobilapp innehåller inte alltid uppgifter som direkt kan kopplas till en viss person. Däremot kan sådana uppgifter ofta, exempelvis med hjälp av en tjänstgöringslista eller telefonnummer, indirekt kopplas till en viss individ. PuL är således tillämplig även här.

På samma sätt som vid övervakning av e-post och internetanvändning så kan anställda normalt sett inte samtycka till övervakning genom positioneringsteknik, varför arbetsgivaren måste stödja sig på en intresseavvägning. Enligt Datainspektionen är det normalt tillåtet för en arbetsgivare att med stöd av en intresseavvägning behandla personuppgifter för logistik och fördelning av resurser, upprätthållande av säkerhet, framställning av statistik, klagomålshantering och kundservice. Det är däremot normalt sett inte tillåtet att rutinmässigt kontrollera arbetad tid via positioneringsdata, såvida inte arbetsgivaren har en konkret misstanke om allvarligt missbruk av arbetsgivarens förtroende, som missbruk av tidsredovisning.

Enligt PuL är det straffbart för andra än myndigheter att behandla uppgifter om lagöverträdelser. Här är det viktigt att komma ihåg att lagöverträdelser är ett vitt begrepp, som bland annat innefattar uppgift om att viss anställd misstänks ha begått ett upphovsrättsbrott, ett dataintrång eller är misstänkt för att ha stulit egendom som tillhör arbetsgivaren.
Vid upphovsrättsbrott får visserligen personuppgifter behandlas om det finns en konkret misstanke och det är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras. Detta innebär dock inte en allmän rätt att övervaka anställda utan konkret misstanke.

Sammanfattningsvis finns en mängd olika fallgropar och risker med en alltför omfattande eller slentrianmässig övervakning av anställda. Såväl arbetsgivare som säkerhetsbolag som ger råd till arbetsgivare måste hålla de grundläggande lagliga begränsningarna och förutsättningarna i åtanke innan beslut om övervakning fattas. Det finns, tror vi, i många fall även anledning att granska och uppdatera nuvarande rutiner och policys kring dessa frågor så att de överensstämmer med gällande rätt och praxis på området.

Daniel Lundqvist och Fredrik Gustafsson december 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Så nystades IT-härvan upp

Nyligen startade rättegången mot huvudmannen i det malmöbaserade kriminella gäng som misstänks ligga bakom den största IT-härvan i Sverige.

Öppet hus hos Försvarsmakten

Igår, söndag, var det försvarsfokus på Gärdet i Stockholm när Försvarsmakten ordnade en försvarsdag för allmänheten.

Finalisterna redo för Security Awards

Säkerhetsbranschens egna pris delas ut i oktober.

Han avgår som vd

Microsoft automatiserar säkerheten för Windows 10

Assa Abloy köper amerikanskt bolag

Coop i Kristianstad anställer vakter

Arkiv

50 appar sprider skadlig kod

Dataintrångsliga sprängd

Synlig polis minskar oron

Enligt Brottförebyggande rådet, Brå, oroar sig allt fler svenskar för att bli utsatta för överfall eller misshandel. I en undersökning listas de motåtgärder som svenskarna tror på.

Kameror och robotar kan vara hackade

Svenskarna gillar säkerhetskameror

Ingen går säker för skadlig kod

Massiva attacker av skadlig kod, ransomware, har blivit högsta mode bland cyberkriminella.

Militärkrubb till 19 000

Fazer är huvudleverantör av lisvmedel och måltider till Sveriges största militäröving på 20 år- Aurora 17.

Aurora 17 kommer att märkas

Nu vill säkerhetsbranschen kliva in på arenan

Ransomware- årets affärssuccé

På CPX Sweden, säkerhetsföretaget Checkpoints seminarium om cybersäkerhet som hölls i Stockholm nyligen, talade Magnus Sköld, säkerhetsingenjör, om den senaste tidens ransomware-attacker ur ett lite annorlunda perspektiv.

Svenskar slarvar trots riskmedvetenet

Cykelhjälmsanvändningen står still

Forskning kan hejda våldspiral

Kupp mot modebutiker

Nu utreds våld mot närstående

PCI-DSS skyddar väl mot datastöld

IT-och telekomföretaget Verizon publicerade på måndagen sin årliga rapport om betalkortsäkerhet, kallad Verizon 2017 Payment Security Report. Den visar att säkerhetsstandarden PCI DSS verkligen ger ett gott skydd mot stöld av kortinnehavares data ur betalsystemen.

Ny chefsekonom på Svensk Handel

Släpp reglerna – se till sammanhanget!

Statsministern polisanmäld

Krafttag mot falska nyheter

Brist på insikt om GDPR

Ljusteknikföretag till börsen

Amerikansk certifiering säkrar dataflöden

Stockholm har valt säkerhetsleverantör

Cyberkriminella utbildar on-line

Svensk styrka till Somalia

Nätskurk hittad

Securitas-vd utsedd

Sänd till en kollega

0.146