23948sdkhjf

Övervakning i arbetslivet - vad är egentligen tillåtet?

| Av Hanna Stenvall | Tipsa redaktionen

ÖVERVAKNING. Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

ÖVERVAKNING . Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

I Sverige har det under lång tid diskuterats en ny lag om skydd för anställdas integritet. Än så länge har någon sådan ny lagstiftning dock inte klubbats igenom i riksdagen. Istället gäller ett både omfattande och komplext regelverk angående skyddet för anställdas integritet, som består av flera olika lagar och förordningar. Framförallt är det reglerna i kameraövervakningslagen, personuppgiftslagen, PuL, och brottsbalken som aktualiseras.

Kontroll av anställdas e-post och internetanvändning är en vanlig och i dag närmast rutinmässig form av övervakning. Detta medför nästan alltid behandling av personuppgifter som kan kopplas till en individ antingen direkt, exempelvis namn och e-postadress, eller indirekt, som ip-nummer. Detta innebär i sin tur att PuL blir tillämplig.
Det är alltid arbetsgivaren som är personuppgiftsansvarig och som därmed ansvarar för att övervakningen är tillåten enligt PuL. I den mån arbetsgivaren låter ett externt säkerhetsföretag sköta övervakningen för arbetsgivarens räkning så är säkerhetsföretaget att anse som ett så kallat personuppgiftsbiträde. Det är viktigt att komma ihåg att arbetsgivaren kan delegera den faktiska behandlingen av personuppgifter till ett biträde men aldrig det formella ansvaret för behandlingen.

PuL innehåller en uttömmande uppräkning i vilka fall övervakning som medför behandling av personuppgifter är tillåten. Behandlingen kan till exempel vara tillåten med stöd av den anställdes samtycke, på grund av avtal mellan arbetsgivaren och den anställde eller för att arbetsgivaren ska kunna fullgöra en rättslig skyldighet. En behandling kan i vissa fall också vara tillåten efter en så kallad intresseavvägning mellan arbetsgivarens intresse av att utföra behandlingen och de anställdas intresse av skydd mot intrång i den personliga integriteten.

Vid en sådan intresseavvägning ska en helhetsbedömning göras, där bland annat följande omständigheter kan beaktas: att personuppgifterna behandlas för säkerhetsändamål, om det finns interna regler som begränsar tillåten övervakning, vilken typ av verksamhet som arbetsgivaren bedriver, i vilken omfattning de anställda har informerats om behandlingen, om behandlingen är i enlighet med praxis i säkerhetsbranschen, vilken typ av personuppgifter som behandlas, samt hur länge personuppgifterna sparas och om det finns rutiner för gallring.
Om övervakningen inte kan hänföras till någon situation där den är tillåten enligt PuL så är den olaglig. Viktigt att komma ihåg är att känsliga personuppgifter, alltså personuppgifter som exempelvis avslöjar politiska åsikter eller medlemskap i fackförening, aldrig får behandlas med stöd av en intresseavvägning (se 13 – 19 §§ PuL). Otillåten behandling av känsliga personuppgifter är straffbar (49 § PuL).

Anställdas samtycke till övervakningen måste vara frivilligt och kan enbart lämnas efter att de fått information om behandlingen (se 3 § PuL). Att samtycket ska vara frivilligt innebär vissa problem, då en anställd normalt sett anses vara i en beroendeställning i förhållande till sin arbetsgivare. Den anställde måste därför erbjudas rimliga alternativ till att samtycka till övervakningen och får inte utsättas för direkt eller indirekt påtryckning från arbetsgivaren. Datainspektionen har dock uttalat att innan en person anställts är beroendeställningen till arbetsgivaren inte lika stark och ett samtycke som lämnas vid anställningstillfället kan därför i normalfallet anses som frivilligt. Samtycke som lämnas under pågående anställning anses dock endast frivilligt i vissa fall och som sagt under förutsättning att rimliga alternativ erbjudits. Under 2009 föreslog regeringen att en ny lag om integritetsskydd i arbetslivet skulle införas som skulle stärka anställdas skydd för integritet i arbetslivet. Enligt förslaget ska det inte vara tillåtet att enbart med stöd av den anställdas samtycke behandla anställdas personuppgifter om ändamålet med behandlingen är att övervaka eller kontrollera anställda (se SOU 2009:44). Som påpekats i inledningen har dock detta lagförslag ännu inte antagits och det är inte heller säkert att så kommer att ske.

Vad gäller övervakning av anställdas privata e-post, mobiltelefon eller andra privata enheter som den anställde använder i sitt arbete, vilket blir alltmer populärt och kallas BYOD, bring your own device, så anses intrånget i den personliga integriteten vara så pass stort att en intresseavvägning sällan kan falla ut till arbetsgivarens fördel. Det är dessutom viktigt att arbetsgivaren, eller det säkerhetsföretag som utför övervakningen, kan göra sig skyldig till dataintrång om han eller hon ”bereder sig tillgång till” den anställdes privata enheter utan den anställdes samtycke (se 4 kap. 9 c § brottsbalken). Detsamma kan gälla utrustning som den anställde har fått tillåtelse att använda utanför arbetet och som innehåller privata datautrymmen, till exempel en e-postkatalog märkt ”privat”.

I samtliga fall kräver övervakning av anställda att arbetsgivaren innan övervakning initieras har informerat de anställda om ändamålet med övervakningen, vad som utgör tillåten användning, under vilka förutsättningar som arbetsgivaren kan komma att misstänka missbruk och vilka juridiska konsekvenser missbruk kan resultera i.
Ett första steg är alltså att upprätta en ordentlig IT-policy, vilket de flesta företagen i säkerhetsbranschen säkerligen redan har. I en sådan policy bör anställdas rätt att använda internet, e-post, företagstelefoner och liknande regleras. Ytterligare en viktig aspekt, som bör framgå av IT-policyn, är att personuppgifterna dessutom löpande måste gallras. Datainspektionen har uttalat att data som är resultat av övervakning av internet eller e-post inte får sparas under en längre tid än tre månader. Om den övervakade personen sagts upp eller avskedats ska dock personuppgifterna i regel gallras omgående.

Den 1 juli i år började den nya kameraövervakningslagen att gälla och ersatte därmed den tidigare gällande lagen om allmän kameraövervakning (se Skydd & Säkerhet nr 6/2013). I och med den nya lagen har PuL helt spelat ut sin roll vad avser kameraövervakning. I praktiken har detta dock skett genom att vissa bestämmelser i PuL helt enkelt har överförts till den nya kameraövervakningslagen. Även enligt kameraövervakningslagen kan en intresseavvägning bli aktuell och Datainspektionen har också uttalat att data från kameraövervakning bör gallras dagligen eller i vart fall veckovis. Viktigt att tänka på är att den som ”tar befattning med uppgift” som inhämtats genom kameraövervakning, exempelvis ett säkerhetsföretag, har tystnadsplikt om enskilds personliga förhållanden.

Positioneringsdata som till exempel samlas in av en GPS eller en mobilapp innehåller inte alltid uppgifter som direkt kan kopplas till en viss person. Däremot kan sådana uppgifter ofta, exempelvis med hjälp av en tjänstgöringslista eller telefonnummer, indirekt kopplas till en viss individ. PuL är således tillämplig även här.

På samma sätt som vid övervakning av e-post och internetanvändning så kan anställda normalt sett inte samtycka till övervakning genom positioneringsteknik, varför arbetsgivaren måste stödja sig på en intresseavvägning. Enligt Datainspektionen är det normalt tillåtet för en arbetsgivare att med stöd av en intresseavvägning behandla personuppgifter för logistik och fördelning av resurser, upprätthållande av säkerhet, framställning av statistik, klagomålshantering och kundservice. Det är däremot normalt sett inte tillåtet att rutinmässigt kontrollera arbetad tid via positioneringsdata, såvida inte arbetsgivaren har en konkret misstanke om allvarligt missbruk av arbetsgivarens förtroende, som missbruk av tidsredovisning.

Enligt PuL är det straffbart för andra än myndigheter att behandla uppgifter om lagöverträdelser. Här är det viktigt att komma ihåg att lagöverträdelser är ett vitt begrepp, som bland annat innefattar uppgift om att viss anställd misstänks ha begått ett upphovsrättsbrott, ett dataintrång eller är misstänkt för att ha stulit egendom som tillhör arbetsgivaren.
Vid upphovsrättsbrott får visserligen personuppgifter behandlas om det finns en konkret misstanke och det är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras. Detta innebär dock inte en allmän rätt att övervaka anställda utan konkret misstanke.

Sammanfattningsvis finns en mängd olika fallgropar och risker med en alltför omfattande eller slentrianmässig övervakning av anställda. Såväl arbetsgivare som säkerhetsbolag som ger råd till arbetsgivare måste hålla de grundläggande lagliga begränsningarna och förutsättningarna i åtanke innan beslut om övervakning fattas. Det finns, tror vi, i många fall även anledning att granska och uppdatera nuvarande rutiner och policys kring dessa frågor så att de överensstämmer med gällande rätt och praxis på området.

Daniel Lundqvist och Fredrik Gustafsson december 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Inläggen nedan modereras inte i förväg och omfattas därmed inte av webbplatsens utgivningsbevis.
Startsidan just nu

Fortsatt irritation mot Securitas

Migrationsverket: "Vi hamnar kring 80 miljoner"

”Summan har ingen verklighetsförankring”

Securitas vd Joachim Källsholm menar att Migrationsverkets summa inte stämmer.

Twitter öppnar upp trollfarmsarkiv

Nu inleder Datainspektionen GDPR-granskning

Fokus på samtycke som rättslig grund.

PÅ NYTT JOBB
Hon ska hjälpa handeln mot bedrägerier

Svensk Handel rekryterar expert från Polisen.

Väktare stal för över 100 000 från kund

Nyhetsbrev

”Vi är aggressiva på marknaden”

Henie Wang om: konkurrensen med Securitas, höstens affärer och en börsintroduktion.

Arkiv

Kan du lösa FRA:s kryptotweet?

Behöver anställa tusentals

"Stor klientökning inom kriminalvården"

Ilskan mot Securitas

"En form av utpressning"

Tar klivet in på superlistan

Framgångsrika hösten fortsätter

Nytt avtal klart – nu med bygghandelsjätte

Ingen växtvärk för Tempest

Utsett till Gasellföretag – igen

Klädkedja DNA-sprejar kosmetika

Vad innebär brottsdatalagen?

Skriver avtal med stor dagligvarukedja

Värde: en halv miljon om året.

Polisen varnar för mobilskalet

"Någon kommer att bli skjuten"

10-i-topp-lista: Framtidssäkra städer

Stockholm bland världens mest framtidssäkra urbana miljöer.

PÅ NYTT JOBB
Hon får nyinrättad säkerhetstjänst

Från stad till kommun.

Tryckte sedlar i hemkopiatorn

Gick på shoppingtur i Mall of Scandinavia.

Ska leverera säker webb till Finland

Ny drönare ska hitta gruvsprickor

Vid Luleå tekniska universitet finns en drönare, utrustad med kamera och magnetometer. Betydelsen för gruvindustrin är odiskutabel.

Spionläkare avslöjad efter Salisbury

Ska skydda larmsystem mot IoT-attacker

Extronic och AddSecure i samarbete.

PÅ NYTT JOBB
Ny marknadschef på Akamai

Bedragare stal bonuspoäng på Coop

Ska samarbeta med Lidingöloppet

PÅ NYTT JOBB
Internrekryteras på Stanley Security

PÅ NYTT JOBB
Då larmoperatör – nu försäljningschef

Brandskyddet brister i Kaknästornet

Låsjätten investerar i biometri

Nytt högtflygande avtal klart

VALET 2018
Falska nyheter sprids efter valet

IT-SÄKERHET
Växer snabbast på marknaden

VALET 2018
Långsiktig risk för dagens valsedlar

PÅ NYTT JOBB
AddSecure satsar på HR – tillsätter CHRO

Se alla Företagens egna nyheter

Sänd till en kollega

0.167