23948sdkhjf

Ny praxis ger klartecken för automatiska körjournaler med GPS

| Av Hanna Stenvall | Tipsa redaktionen

POSITIONERINGSTEKNIK. Ett nytt beslut från Datainspektionen öppnar för arbetsgivare att använda så kallade elektroniska körjournaler med positioneringsteknik, GPS, utan att behöva inhämta särskilt samtycke från föraren. Beslutet innebär en ändring mot tidigare praxis, där det ställdes krav på samtycke för att få ersätta traditionella körjournaler med automatisk rapportering baserad på positioneringsteknik. Ändringen är inte minst viktig inom säkerhetsbranschen, där redovisning av körjournaler för företagsbilar används i den dagliga verksamheten.

POSITIONERINGSTEKNIK. Ett nytt beslut från Datainspektionen öppnar för arbetsgivare att använda så kallade elektroniska körjournaler med positioneringsteknik, GPS, utan att behöva inhämta särskilt samtycke från föraren. Beslutet innebär en ändring mot tidigare praxis, där det ställdes krav på samtycke för att få ersätta traditionella körjournaler med automatisk rapportering baserad på positioneringsteknik. Ändringen är inte minst viktig inom säkerhetsbranschen, där redovisning av körjournaler för företagsbilar används i den dagliga verksamheten.

Inledningsvis kan konstateras att det saknas uttryckliga lagkrav på att en körjournal överhuvudtaget måste föras. Enligt rättspraxis är körjournaler dock ett viktigt bevismedel vid Skatteverkets bedömning av bilförmån och drivmedelsförmån. Under de senare åren har det dykt upp ett antal olika modeller för elektroniska körjournaler. En elektronisk körjournal kopplas in i arbetsgivarens bilar och registrerar automatiskt alla körningar med bilen via positioneringsteknik, både privata körningar och tjänstekörningar.
De sparade uppgifterna används för redovisning till Skatteverket om hur företagsbilarna har använts. Därutöver kan uppgifterna även användas för andra ändamål, som övervakning av bilens servicebehov, faktureringsstöd, kontroll av förarens arbetstider eller säkerhetsskäl, exempelvis om det finns anledning att misstänka att föraren utsatts för ett angrepp eller drabbats av sjukdom.

Uppgifter om körningar med en företagsbil, till exempel startpunkt, slutpunkt, avstånd och liknande, som kan kopplas till en viss förare utgör förstås personuppgifter enligt personuppgiftslagen, PuL. Till skillnad från manuella körjournaler är behandlingen av personuppgifter i elektroniska körjournaler automatisk och strukturerad. Det innebär att PuL gäller och att PuLs krav på integritetssäker behandling av personuppgifter måste följas, se 5 § PuL.
Enligt PuL får personuppgifter behandlas i elektroniska körjournaler om det finns så kallad laglig grund, det vill säga om föraren antingen lämnat sitt frivilliga samtycke till behandlingen eller om behandlingen är nödvändig utifrån vissa i PuL angivna kriterier, se 10 § PuL.
Vad gäller elektroniska körjournaler kan behandlingen av förarens personuppgifter exempelvis anses nödvändig för att arbetsgivaren ska kunna fullfölja en rättslig skyldighet, se 10 § b PuL, alltså rapportera till Skatteverket, eller om arbetsgivarens intresse av behandling av personuppgifter vid en så kallad intresseavvägning anses väga tyngre än förarens intresse av skydd av sin personliga integritet, se 10 § f PuL.

Enligt tidigare praxis från Datainspektionen krävdes dock förarens särskilda samtycke om arbetsgivaren ville ersätta en manuell körjournal med en elektronisk som tillämpade positioneringsteknik, GPS, se Datainspektionens beslut 2008-02-29 med Dnr 806-2007. Detta var problematiskt då arbetstagare ofta anses vara i en beroendeställning gentemot sin arbetsgivare. Det betyder att de normalt sett inte kan lämna sådana ”frivilliga” samtycken som PuL kräver. Arbetsgivare som önskade införa elektroniska körjournaler med GPS var därför i regel tvungna att erbjuda anställda möjligheten att även fortsättningsvis använda manuella körjournaler. Datainspektionens nya praxis innebär alltså att samtycke till behandling av personuppgifter i elektroniska körjournaler med GPS inte längre behövs, så vitt avser rapportering till Skatteverket, se beslut 2014-02-07 med Dnr 234-2013.
Datainspektionens viktigaste argument för ändringen är att det numera finns tekniska lösningar som erbjuder förstärkt skydd för förarens personliga integritet och som gör att behandlingen kan anses nödvändig enligt bland annat 10 § b och 10 § f PuL utan samtycke. Datainspektionen har i ett pressmeddelande om sitt nya beslut uppmuntrat leverantörer att redan från början bygga in ett effektivt integritetsskydd i elektroniska körjournaler, det vill säga tillämpa s.å kallad privacy by design.

Som beskrivits i en tidigare artikel (Skydd & Säkerhet 4/2013) kan privacy by design sammanfattas i fyra principer:
* minimera antalet personuppgifter som behandlas
* begränsa åtkomsten till lagrade personuppgifter
* skydda personuppgifterna från obehörig åtkomst och
* underlätta för användarna att tillvarata sina rättigheter.
För säkerhetsbranschen är principerna om privacy by design särskilt viktiga, eftersom företagen där ofta behandlar stora mängder personuppgifter.

Möjligheten att behandla personuppgifter i elektroniska körjournaler utan förarens samtycke kommer dock med vissa förbehåll. Begränsningar finns framförallt i de så kallade grundläggande reglerna om behandling av personuppgifter i 9 § PuL. Bland annat får inte fler uppgifter behandlas än vad som är nödvändigt för att redovisa användningen av företagsbilar till Skatteverket (som är ändamålet med körjournalen).
Enligt Skatteverkets rekommendationer bör en körjournal, oavsett om den är manuell eller elektronisk, innehålla uppgift om mätarställning vid årets början och slut, datum och mätarställning vid resans start och resans slut, ärenden och platser som besökts samt antal körda kilometer. Sparas andra personuppgifter än sådana som behövs enligt Skatteverkets rekommendationer är det upp till arbetsgivaren att visa att de behövs. Kan arbetsgivaren inte göra det måste förarens samtycke till behandlingen av de aktuella personuppgifterna inhämtas.

Personuppgifterna får dessutom inte användas för andra ändamål än för rapportering till Skatteverket. Om uppgifterna används för andra ändamål krävs även fortsättningsvis i regel förarens samtycke, såvida inte behandlingen anses nödvändig enligt PuL, exempelvis vid en intresseavvägning.
Enligt Datainspektionen kan bland annat följande faktorer beaktas vid en intresseavvägning: ändamålen med behandlingen, hur uppgifterna hanteras och hur resultatet används, vilken information som ges till de anställda, om behandlingen kan utföras på ett mindre integritetskänsligt sätt, vilken teknisk och administrativ säkerhet som finns för uppgifterna, förekomsten av fackliga överenskommelser och innehållet i dessa samt om behandlingen följer god sed på arbetsmarknaden. Som exempel kan nämnas att det vid en intresseavvägning undantagsvis kan vara tillåtet att använda positioneringsteknik för att kontrollera att anställda följer avtalade arbetstider. Det krävs dock en konkret misstanke om allvarligt missbruk av tidsredovisningen, se Datainspektionens beslut 2008-02-29 med Dnr 806-2007.

Personuppgifterna i den elektroniska körjournalen måste vidare gallras löpande. Datainspektionen menar att personuppgifter som används för rapportering till Skatteverket får sparas under den tid som Skatteverket kan besluta om eftertaxering, se beslut 2014-02-07 med Dnr 234-2013. I sådana fall är det dock viktigt att arbetsgivaren begränsar åtkomsten till uppgifterna så att de enbart kan användas för sådana ändamål, till exempel vid skatterevision. I övriga fall kan det, enligt Datainspektionen, vara motiverat att spara positioneringsdata i upp till tre månader för att i efterhand kunna komplettera befintliga körjournaler med uppgift om en viss resa. Om personuppgifterna utgör räkenskapsmaterial får de dock sparas under en längre tid.

Slutligen är de t viktigt att framhålla att föraren alltid måste informeras i förväg om behandlingen av hans eller hennes personuppgifter. Detta gäller alltså oavsett om behandlingen sker med eller utan förarens samtycke. Informationen ska innehålla uppgift om personuppgiftsansvariges identitet (i detta fall typiskt sett arbetsgivaren), ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna tillvarata sina rättigheter i samband med behandlingen, till exempel möjligheten till registerutdrag och rättning av personuppgifter.
Sådan information måste lämnas innan en företagsbil med elektronisk körjournal används. Informationen kan lämnas muntligen eller skriftligen. Datainspektionen har exempelvis ansett att information lämpligen kan lämnas i personalpärmar och på eventuellt intranät.

Daniel Lundqvist och Fredrik Gustafsson, maj 2014


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Inläggen nedan modereras inte i förväg och omfattas därmed inte av webbplatsens utgivningsbevis.
Startsidan just nu

Fortsatt irritation mot Securitas

Migrationsverket: "Vi hamnar kring 80 miljoner"

”Summan har ingen verklighetsförankring”

Securitas vd Joachim Källsholm menar att Migrationsverkets summa inte stämmer.

Twitter öppnar upp trollfarmsarkiv

Nu inleder Datainspektionen GDPR-granskning

Fokus på samtycke som rättslig grund.

PÅ NYTT JOBB
Hon ska hjälpa handeln mot bedrägerier

Svensk Handel rekryterar expert från Polisen.

Väktare stal för över 100 000 från kund

Nyhetsbrev

”Vi är aggressiva på marknaden”

Henie Wang om: konkurrensen med Securitas, höstens affärer och en börsintroduktion.

Arkiv

Kan du lösa FRA:s kryptotweet?

Behöver anställa tusentals

"Stor klientökning inom kriminalvården"

Ilskan mot Securitas

"En form av utpressning"

Tar klivet in på superlistan

Framgångsrika hösten fortsätter

Nytt avtal klart – nu med bygghandelsjätte

Ingen växtvärk för Tempest

Utsett till Gasellföretag – igen

Klädkedja DNA-sprejar kosmetika

Vad innebär brottsdatalagen?

Skriver avtal med stor dagligvarukedja

Värde: en halv miljon om året.

Polisen varnar för mobilskalet

"Någon kommer att bli skjuten"

10-i-topp-lista: Framtidssäkra städer

Stockholm bland världens mest framtidssäkra urbana miljöer.

PÅ NYTT JOBB
Hon får nyinrättad säkerhetstjänst

Från stad till kommun.

Tryckte sedlar i hemkopiatorn

Gick på shoppingtur i Mall of Scandinavia.

Ska leverera säker webb till Finland

Ny drönare ska hitta gruvsprickor

Vid Luleå tekniska universitet finns en drönare, utrustad med kamera och magnetometer. Betydelsen för gruvindustrin är odiskutabel.

Spionläkare avslöjad efter Salisbury

Ska skydda larmsystem mot IoT-attacker

Extronic och AddSecure i samarbete.

PÅ NYTT JOBB
Ny marknadschef på Akamai

Bedragare stal bonuspoäng på Coop

Ska samarbeta med Lidingöloppet

PÅ NYTT JOBB
Internrekryteras på Stanley Security

PÅ NYTT JOBB
Då larmoperatör – nu försäljningschef

Brandskyddet brister i Kaknästornet

Låsjätten investerar i biometri

Nytt högtflygande avtal klart

VALET 2018
Falska nyheter sprids efter valet

IT-SÄKERHET
Växer snabbast på marknaden

VALET 2018
Långsiktig risk för dagens valsedlar

PÅ NYTT JOBB
AddSecure satsar på HR – tillsätter CHRO

Se alla Företagens egna nyheter

Sänd till en kollega

0.144