Övervakning i arbetslivet - vad är egentligen tillåtet?

| Av Hanna Stenvall | Tipsa redaktionen

ÖVERVAKNING. Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

ÖVERVAKNING . Många svenska företag övervakar sina anställda i någon utsträckning, exempelvis för att säkerställa att personalen följer lagar och arbetsgivarens etiska regler. Det gäller dock att vara försiktig i samband med sådan övervakning. Såväl arbetsgivare som externa säkerhetsföretag som hanterar övervakning av anställda för arbetsgivarens räkning riskerar nämligen allvarliga sanktioner vid brister eller lagöverträdelser i samband med övervakning av anställda.

I Sverige har det under lång tid diskuterats en ny lag om skydd för anställdas integritet. Än så länge har någon sådan ny lagstiftning dock inte klubbats igenom i riksdagen. Istället gäller ett både omfattande och komplext regelverk angående skyddet för anställdas integritet, som består av flera olika lagar och förordningar. Framförallt är det reglerna i kameraövervakningslagen, personuppgiftslagen, PuL, och brottsbalken som aktualiseras.

Kontroll av anställdas e-post och internetanvändning är en vanlig och i dag närmast rutinmässig form av övervakning. Detta medför nästan alltid behandling av personuppgifter som kan kopplas till en individ antingen direkt, exempelvis namn och e-postadress, eller indirekt, som ip-nummer. Detta innebär i sin tur att PuL blir tillämplig.
Det är alltid arbetsgivaren som är personuppgiftsansvarig och som därmed ansvarar för att övervakningen är tillåten enligt PuL. I den mån arbetsgivaren låter ett externt säkerhetsföretag sköta övervakningen för arbetsgivarens räkning så är säkerhetsföretaget att anse som ett så kallat personuppgiftsbiträde. Det är viktigt att komma ihåg att arbetsgivaren kan delegera den faktiska behandlingen av personuppgifter till ett biträde men aldrig det formella ansvaret för behandlingen.

PuL innehåller en uttömmande uppräkning i vilka fall övervakning som medför behandling av personuppgifter är tillåten. Behandlingen kan till exempel vara tillåten med stöd av den anställdes samtycke, på grund av avtal mellan arbetsgivaren och den anställde eller för att arbetsgivaren ska kunna fullgöra en rättslig skyldighet. En behandling kan i vissa fall också vara tillåten efter en så kallad intresseavvägning mellan arbetsgivarens intresse av att utföra behandlingen och de anställdas intresse av skydd mot intrång i den personliga integriteten.

Vid en sådan intresseavvägning ska en helhetsbedömning göras, där bland annat följande omständigheter kan beaktas: att personuppgifterna behandlas för säkerhetsändamål, om det finns interna regler som begränsar tillåten övervakning, vilken typ av verksamhet som arbetsgivaren bedriver, i vilken omfattning de anställda har informerats om behandlingen, om behandlingen är i enlighet med praxis i säkerhetsbranschen, vilken typ av personuppgifter som behandlas, samt hur länge personuppgifterna sparas och om det finns rutiner för gallring.
Om övervakningen inte kan hänföras till någon situation där den är tillåten enligt PuL så är den olaglig. Viktigt att komma ihåg är att känsliga personuppgifter, alltså personuppgifter som exempelvis avslöjar politiska åsikter eller medlemskap i fackförening, aldrig får behandlas med stöd av en intresseavvägning (se 13 – 19 §§ PuL). Otillåten behandling av känsliga personuppgifter är straffbar (49 § PuL).

Anställdas samtycke till övervakningen måste vara frivilligt och kan enbart lämnas efter att de fått information om behandlingen (se 3 § PuL). Att samtycket ska vara frivilligt innebär vissa problem, då en anställd normalt sett anses vara i en beroendeställning i förhållande till sin arbetsgivare. Den anställde måste därför erbjudas rimliga alternativ till att samtycka till övervakningen och får inte utsättas för direkt eller indirekt påtryckning från arbetsgivaren. Datainspektionen har dock uttalat att innan en person anställts är beroendeställningen till arbetsgivaren inte lika stark och ett samtycke som lämnas vid anställningstillfället kan därför i normalfallet anses som frivilligt. Samtycke som lämnas under pågående anställning anses dock endast frivilligt i vissa fall och som sagt under förutsättning att rimliga alternativ erbjudits. Under 2009 föreslog regeringen att en ny lag om integritetsskydd i arbetslivet skulle införas som skulle stärka anställdas skydd för integritet i arbetslivet. Enligt förslaget ska det inte vara tillåtet att enbart med stöd av den anställdas samtycke behandla anställdas personuppgifter om ändamålet med behandlingen är att övervaka eller kontrollera anställda (se SOU 2009:44). Som påpekats i inledningen har dock detta lagförslag ännu inte antagits och det är inte heller säkert att så kommer att ske.

Vad gäller övervakning av anställdas privata e-post, mobiltelefon eller andra privata enheter som den anställde använder i sitt arbete, vilket blir alltmer populärt och kallas BYOD, bring your own device, så anses intrånget i den personliga integriteten vara så pass stort att en intresseavvägning sällan kan falla ut till arbetsgivarens fördel. Det är dessutom viktigt att arbetsgivaren, eller det säkerhetsföretag som utför övervakningen, kan göra sig skyldig till dataintrång om han eller hon ”bereder sig tillgång till” den anställdes privata enheter utan den anställdes samtycke (se 4 kap. 9 c § brottsbalken). Detsamma kan gälla utrustning som den anställde har fått tillåtelse att använda utanför arbetet och som innehåller privata datautrymmen, till exempel en e-postkatalog märkt ”privat”.

I samtliga fall kräver övervakning av anställda att arbetsgivaren innan övervakning initieras har informerat de anställda om ändamålet med övervakningen, vad som utgör tillåten användning, under vilka förutsättningar som arbetsgivaren kan komma att misstänka missbruk och vilka juridiska konsekvenser missbruk kan resultera i.
Ett första steg är alltså att upprätta en ordentlig IT-policy, vilket de flesta företagen i säkerhetsbranschen säkerligen redan har. I en sådan policy bör anställdas rätt att använda internet, e-post, företagstelefoner och liknande regleras. Ytterligare en viktig aspekt, som bör framgå av IT-policyn, är att personuppgifterna dessutom löpande måste gallras. Datainspektionen har uttalat att data som är resultat av övervakning av internet eller e-post inte får sparas under en längre tid än tre månader. Om den övervakade personen sagts upp eller avskedats ska dock personuppgifterna i regel gallras omgående.

Den 1 juli i år började den nya kameraövervakningslagen att gälla och ersatte därmed den tidigare gällande lagen om allmän kameraövervakning (se Skydd & Säkerhet nr 6/2013). I och med den nya lagen har PuL helt spelat ut sin roll vad avser kameraövervakning. I praktiken har detta dock skett genom att vissa bestämmelser i PuL helt enkelt har överförts till den nya kameraövervakningslagen. Även enligt kameraövervakningslagen kan en intresseavvägning bli aktuell och Datainspektionen har också uttalat att data från kameraövervakning bör gallras dagligen eller i vart fall veckovis. Viktigt att tänka på är att den som ”tar befattning med uppgift” som inhämtats genom kameraövervakning, exempelvis ett säkerhetsföretag, har tystnadsplikt om enskilds personliga förhållanden.

Positioneringsdata som till exempel samlas in av en GPS eller en mobilapp innehåller inte alltid uppgifter som direkt kan kopplas till en viss person. Däremot kan sådana uppgifter ofta, exempelvis med hjälp av en tjänstgöringslista eller telefonnummer, indirekt kopplas till en viss individ. PuL är således tillämplig även här.

På samma sätt som vid övervakning av e-post och internetanvändning så kan anställda normalt sett inte samtycka till övervakning genom positioneringsteknik, varför arbetsgivaren måste stödja sig på en intresseavvägning. Enligt Datainspektionen är det normalt tillåtet för en arbetsgivare att med stöd av en intresseavvägning behandla personuppgifter för logistik och fördelning av resurser, upprätthållande av säkerhet, framställning av statistik, klagomålshantering och kundservice. Det är däremot normalt sett inte tillåtet att rutinmässigt kontrollera arbetad tid via positioneringsdata, såvida inte arbetsgivaren har en konkret misstanke om allvarligt missbruk av arbetsgivarens förtroende, som missbruk av tidsredovisning.

Enligt PuL är det straffbart för andra än myndigheter att behandla uppgifter om lagöverträdelser. Här är det viktigt att komma ihåg att lagöverträdelser är ett vitt begrepp, som bland annat innefattar uppgift om att viss anställd misstänks ha begått ett upphovsrättsbrott, ett dataintrång eller är misstänkt för att ha stulit egendom som tillhör arbetsgivaren.
Vid upphovsrättsbrott får visserligen personuppgifter behandlas om det finns en konkret misstanke och det är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras. Detta innebär dock inte en allmän rätt att övervaka anställda utan konkret misstanke.

Sammanfattningsvis finns en mängd olika fallgropar och risker med en alltför omfattande eller slentrianmässig övervakning av anställda. Såväl arbetsgivare som säkerhetsbolag som ger råd till arbetsgivare måste hålla de grundläggande lagliga begränsningarna och förutsättningarna i åtanke innan beslut om övervakning fattas. Det finns, tror vi, i många fall även anledning att granska och uppdatera nuvarande rutiner och policys kring dessa frågor så att de överensstämmer med gällande rätt och praxis på området.

Daniel Lundqvist och Fredrik Gustafsson december 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Anders Thornberg Sommarpratar 16 juli

Rikspolischef Anders Thornberg kommer bland annat berätta om tiden som Säpo-chef, P1 måndag 16 juli klockan 10.00.

Vi ses i höst!

Tv-klassikern blir partner med SäkerhetsBranschen

TV3:s Efterlyst gör nystart i höst och tar in SäkerhetsBranschen för att bidra med kunskap och expertis.

Polisutbildningen i Malmö till jättelokaler

9 000 kvadratmeter – inklusive skjutbanor och garage för polisfordon

IT-SÄKERHET
Lista: Så undviker du att bli ID-kapad

Svenska AI-kameror till Förenade Arabemiraten

Nyhetsbrev

Drönare ska vinna tid åt Södertörns brandförsvar

4C Strategies och Södertörns Brandförsvarsförbund har ingått ett samarbete med drönarföretaget Flypulse.

Arkiv

Över 10 000 har skrivit under

IT-SÄKERHET
Svensk säkerhets-startup tar in 58 miljoner

"Målsättningen är att vara världsledande 2021"

IT-SÄKERHET
Branschen efterlyser relevanta IT-säkerhetsutbildningar

Målkonflikt i kampen mot den organiserade brottsligheten

Riksrevisionen kliver in och gör oberoende granskning av de samarbetande myndigheterna.

7-miljonersavtal till Sectis – årets största

Heine Wang: ”Vi får en väldigt bra position”

Nokas beräknas ta 30 procent av den svenska bevakningsmarknaden, om förvärvet av Avarn går i lås. "Nu får marknaden en stor spelare till", säger koncernchefen Heine Wang, som vill börsintroducera företaget.

Stor dubbelbeställning till Saab

Nokas näst störst i Norden – går mot börsen

Nokas bekräftar att företaget är i slutförhandlingar med Sector Alarm Group för förvärv av Avarn Holding.

Efter hyllningarna: "Vår skogsbrandssäsong är för kort för egna plan"

De kom, de vattenbombade, de hyllades. Nu är piloterna och deras gula vattenbombplan hemma i Italien igen. Men det är, med största sannolikhet, inte sista gången vi ser dem här.

VALET 2018
Så många avstår från att uttrycka politiska åsikter på nätet

Unga värderar sociala medier högre som informationskälla inför det första "internetvalet".

Tar pop-up-trucken till i Almedalen

Polisen angav fel födelsedatum i pass

Branschen om Polisens lagförslag

"En välkommen present inför semestern". "Denna process kommer dock ta många år". "Borde kanske köpt aktier i branschen"

DEBATT
Inför ROT- och RUT-avdrag för trygghetsinvesteringar

Inför valet prioriterar Säkerhetsföretagen tre frågeställningar. En av dem är ROT- och RUT-avdrag: "Det är orimligt att avdrag medges för byte av köksluckor, men inte för installation av ett kvalitetssäkrat hemlarm", skriver Li Jansson, branschchef och vice VD i Säkerhetsföretagen.

Midsommar – nödsamtalens tid

Gävleborgs län värst – 73% fler nödsamtal i fjol.

IT-SÄKERHET
Hackarna checkar ut under fotbolls-VM

Tydligt mönster när IT-attackerna minskar.

Tar över centrumjättens samtliga gallerior

Oroligt i Malmö – staden öppnar stödcentrum

Nu är det klart: Tvingas i konkurs

Vesper Group och Hantera agera inleder samarbete

Confidence skriver avtal med stort bostadsföretag

Polisens Twitterkonto väcker känslor

Hennes IT-säkerhetsföretag värt två miljarder

Nokas får ny order för kontanthantering

IT-SÄKERHET
Så mycket kostar en ransomewareattack

De vinner nya marknadsandelar i Storstockholm

Securitas värvar turkisk säkerhetsjätte

Rusta testar DNA mot brott

Fjärde person anhållen för terrorbrott

Se alla Företagens egna nyheter

Sänd till en kollega

0.152