Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Att övervaka sina anställda – Arbetsrätten ur ett GDPR-perspektiv”

Krönikor
Publicerad: 2020-02-17 14:05

KRÖNIKA – av Caroline Bogemyr och Erik Löfwall, Advokatfirman Hammarskiöld.

I takt med en allt snabbare teknologisk utveckling förändras den moderna arbetsplatsen. Avancerade IT-lösningar gör det lättare att skydda system från skadliga angrepp och hindra att data förstörs, försvinner eller hamnar i orätta händer. Ny teknologi gör det också lättare för arbetsgivaren att leda och fördela arbetet. Men med denna teknologiska framfart ökar också arbetsgivarens möjligheter att övervaka sina anställda både på och utanför arbetsplatsen. Detta innebär stora utmaningar i fråga om skyddet för de anställdas personliga integritet. Hur ska man som arbetsgivare navigera mellan sina egna intressen och skyddet av den personliga integriteten? Detta är en viktig fråga för arbetsgivaren att ställa sig, särskilt då integritetsfrågor i och med GDPR:s intåg fått alltmer uppmärksamhet. Genom denna krönika ämnar vi sprida lite ljus över hur man som arbetsgivare, mot bakgrund av GDPR och i en arbetsrättslig kontext, bör resonera när man överväger åtgärder som i realiteten innebär att de anställda övervakas.

Ny teknik – nya möjligheter

Dagens teknologi erbjuder ett stort antal övervakningsåtgärder som är mer eller mindre ingripande. Exempel på sådana åtgärder är:

– Övervakning av e-post och internet-användning
– Loggningsåtgärder såsom inpasseringssystem och inloggning i IT-system
– Positioneringssystem och Geolokalisering
– Kameraövervakning
– Filtrering, Spårning och Blockering
– Övervakning av de anställda – Vad säger GDPR?

För att behandla personuppgifter krävs att det finns en rättslig grund för behandlingen. Det som normalt ligger närmast till hands i fråga om övervakningsåtgärder är att arbetsgivaren förlitar sig på en intresseavvägning där arbetsgivaren har ett berättigat intresse som väger tyngre än den anställdes intresse av skydd för sin personliga integritet.

Utöver att det ska finnas en rättslig grund för behandlingen krävs att den sker för särskilda uttryckligt angivna ändamål och att personuppgifterna inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Vidare får inte fler personuppgifter behandlas än vad som krävs för att uppnå ändamålet med behandlingen och personuppgifterna får inte heller lagras längre än vad som krävs för att uppnå detta ändamål.

Hur ska arbetsgivaren tänka vid intresseavvägningen?

Den anställde har ett tungt vägande intresse av skydd för sin personliga integritet och sitt privatliv. Arbetsgivaren kan å sin sida ha legitima intressen att övervaka och förbättra produktiviteten i arbetet, skydda system och lokaler från obehörig åtkomst och förhindra att data (inklusive personuppgifter som behandlas inom ramen för verksamheten) försvinner, förstörs eller hamnar i orätta händer. Beroende på hur verksamheten ser ut kan arbetsgivaren också ha ett legitimt intresse att vidta övervakningsåtgärder enligt avtal med kunder och underleverantörer.

Det går inte att säga med säkerhet hur en sådan intresseavvägning skulle falla ut i praktiken och det är upp till arbetsgivaren att se till att övervakningsåtgärderna har stöd i GDPR. Man kan dock tänka sig följande allmänna utgångspunkter:

Övervakningen måste stå i rimlig proportion till de risker som den avser att motverka.

Teknologin som används får inte inkräkta mer än nödvändigt på den personliga integriteten.

Arbetsgivaren bör se till att det finns lämpliga åtgärder på plats för att säkerställa en rimlig balans mellan arbetsgivarens legitima intresse och den anställdes intresse av skydd för sin personliga integritet. Det bör övervägas om övervakningen kan begränsas geografiskt (övervakning sker bara på vissa specifika platser), materiellt (t.ex. så att personligt material och korrespondens inte övervakas) och tidsmässigt (t.ex. genom stickprover snarare än konstant övervakning).

Arbetsgivaren bör i första hand vidta övervakningsåtgärder som syftar till att förhindra snarare än att upptäcka ”missbruk” såsom exempelvis användning av e-post och internet i strid mot arbetsgivarens riktlinjer och policys.

GDPR i en arbetsrättslig kontext?

Det ska påpekas att dataskyddsfrågor i arbetslivet inte kan betraktas separat från arbetsrätten i övrigt. När en intresseavvägning görs i en arbetsrättslig kontext måste även god sed på arbetsmarknaden beaktas. Personuppgiftsbehandling får därmed inte ske på ett sätt eller för syften som strider mot vad som får anses vara god sed på arbetsmarknaden.

Några praktiska exempel – positioneringssystem, genomgång av e-post och övervakning av internet-användning

Arbetsgivaren bör normalt kunna använda sig av positioneringssystem för säkerhets-, logistik-, resursfördelnings- och faktureringsändamål om det är sakligt motiverat i verksamheten. Åtgärder bör dock vidtas för att ingreppet i den anställdes personliga integritet ska bli så litet som möjligt. Den anställde bör exempelvis tillåtas att under särskilda omständigheter tillfälligt stänga av positioneringssystemet, exempelvis i samband med läkarbesök.

Som utgångspunkt har arbetsgivaren inte rätt att ta del av innehållet i de anställdas e-postmeddelanden. Endast om arbetsgivaren har starka misstankar om illojalt eller brottsligt beteende eller allvarliga misstankar om användning i strid med arbetsgivarens riktlinjer kan en sådan genomgång vara motiverad. Det är därför inte tillräckligt att i anställningsavtalet eller i en IT-policy generellt ange att arbetstagaren får använda sitt e-postkonto privat men att arbetsgivaren då ska ha rätt att gå igenom all e-post.

Som framgått bör arbetsgivaren i första hand välja åtgärder som syftar till att förhindra snarare än att upptäcka internet-användning i strid mot arbetsgivarens riktlinjer och policys. Arbetsgivaren bör därför först fråga sig om andra mindre ingripande åtgärder, såsom blockering av vissa typer av webbsidor eller automatiska varningsmeddelanden, skulle kunna vara ett alternativ. Om inte bör i vart fall mer övergripande åtgärder, som kontroll av vilka webbsidor som används mest frekvent eller hur mycket tid de anställda spenderar på internet, väljas framför en mer ingående analys av de besökta webbsidornas innehåll.

Övervakningsåtgärden har stöd i GDPR och god sed på arbetsmarknaden – allt är frid och fröjd. Eller?

Att övervakning sker med stöd i GDPR och i enlighet med god sed på arbetsmarknaden innebär inte att saken för den skull är klar. De anställda måste också informeras om övervakningen och vad den innebär. Klara och tydliga rutiner bör utformas för när och hur övervakning får ske. Det kan också finnas skäl att överväga om en arbetsgrupp bör tillsättas där arbetsgivaren tillsammans med en eller flera anställda kan diskutera och utvärdera rutinerna för övervakning.

Det får heller inte glömmas bort att de personuppgifter som arbetsgivaren samlat in genom övervakningsåtgärden inte senare får användas för andra ändamål som inte är förenliga med åtgärdens ursprungssyfte. Om arbetsgivaren exempelvis inför ett loggsystem i IT-säkerhetssyfte får loggarna inte senare användas för att mäta de anställdas prestationer.

Några ord på vägen

Det kan konstateras att skyddet för de anställdas personliga integritet är en ständigt aktuell och samtidigt komplex fråga som kommit att kompliceras ytterligare genom teknisk innovation och GDPR:s intåg. Det är inte helt lätt för en arbetsgivare att navigera mellan sina egna och de anställdas intressen. Hur gör man för att inte gå fel? Här finns inte något facit och vi gör inte heller anspråk på att lämna ett sådant. Istället nöjer vi oss med att skicka med några nyckelord som hjälp på vägen:
Proportionalitet, Minimering, Information och att Förhindra snarare än att Upptäcka! Kanske inte någon garanti för att alltid hamna rätt men stora steg i rätt riktning.


Dela sidan:
Skriv ut:

Dagens Juridik
red@dagensjuridik.se