KRÖNIKA – av advokaterna Åsa Nelhans och Jenny Lundberg, Baker & McKenzie Advokatbyrå
Datainspektionen har vid några tillfällen under 2012 och 2013 tagit ställning till hur personuppgifter får behandlas inom ramen för så kallade kompetensdatabaser. Det vill säga automatiserad behandling av personuppgifter om bland annat arbetstagares genomförda utbildningar och prestationer samt omdömen från arbetsgivaren.
Sammanfattat gör Datainspektionen bedömningen att det krävs samtycke från de anställda för att behandla omdömen och värderande uppgifter om deras arbetsprestationer. Datainspektionen har dock inte gjort någon tillfredställande analys av de arbetsrättsliga rättigheter och skyldigheter en arbetsgivare har i dessa sammanhang. Vi anser därför att det finns anledning att ifrågasätta Datainspektionens bedömning, inte minst från ett praktiskt perspektiv.
En laglig personuppgiftsbehandling förutsätter bland annat att personuppgifter behandlas på ett korrekt sätt i enlighet med god sed och baserat på förutbestämda berättigade syften. Uppgifterna måste dessutom vara relevanta för syftet och inte behandlas i större utsträckning än nödvändigt.
Vidare krävs det enligt personuppgiftslagen att någon av de situationer som beskrivs i lagen för tillåten personuppgiftsbehandling föreligger. Av dessa situationer har Datainspektionen gjort bedömningen att vissa personuppgifter i en kompetensdatabas, såsom uppgifter om genomförda utbildningar, arbetslivserfarenhet och resultat från sakkunskapstester, får behandlas utan samtycke baserat på en intresseavvägning medan bland annat subjektiva- och värderande (negativa) omdömen däremot normalt kräver samtycke.
Datainspektionen räknar bland annat uppgifter om de anställdas prestationer, beteenden eller uppgifter från utvecklingssamtal (inklusive graderingar enligt förutbestämda skalor) som värderande omdömen. Visst undantag kan få göras för större bolag men Datainspektionen ger ingen vägledning av vad som anses vara ett större bolag eller när ett undantag kan vara berättigat. Inte heller ges någon förklaring till varför just större bolag kan behöva undantas.
Datainspektionen uttrycker vidare att positiva värderande omdömen om de anställda normalt får behandlas utan samtycke medan negativa omdömen kräver samtycke. Motiveringen till detta är synnerligen tunn och består endast av bedömningen att sådana uppgifter är särskilt känsliga från integritetssynpunkt och att behandlingen skall ligga i linje med god sed på arbetsmarknaden. Datainspektionen ger inte något djupare stöd till sin motivering och gör inte heller någon analys av eller intresseavvägning i förhållande till arbetsgivarens rättigheter och skyldigheter enligt arbetsrättsliga regler och principer.
Vi menar att Datainspektionen har missat väsentliga överväganden i sin analys. Till exempel har man bortsett från situationen då personuppgifter får behandlas utan samtycke för att ett avtal med den registrerade skall kunna fullgöras, eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas. Något förenklat skulle denna regel i ett anställningsförhållande kunna uttryckas som att arbetsgivaren har rätt att behandla personuppgifter utan samtycke i den mån det behövs för att administrera och upprätthålla anställningsrelationen.
Inom ramen för anställningsförhållandet har arbetsgivaren en rätt och skyldighet att leda och fördela arbetet inom organisationen. Inom detta åtagande ingår även kvalitetssäkring och kompetensutveckling.
För att åstadkomma detta på ett fullgott sätt ligger det i sakens natur att arbetsgivaren inte bara kan förlita sig på de anställdas arbetslivserfarenhet, utbildningar och sakkunskapstester. Arbetsgivaren behöver också utrymme för att göra bedömningar på en mer individuell nivå där exempelvis kommersiella och mjuka värden värderas.
Det är i dessa sammanhang absolut nödvändigt för arbetsgivaren att i viss mån även göra subjektiva bedömningar och ge värderande omdömen på de sätt som Datainspektionen beskriver. Om uppgifterna sedan inte får behandlas utan de anställdas samtycke kan arbetsgivaren i värsta fall inte fullfölja sina rättigheter och skyldigheter inom arbetsledningsrätten.
Det faktum att endast positiva omdömen om de anställda får behandlas utan samtycke innebär en oacceptabel och opraktisk obalans i arbetsgivarens utvärderingsarbete.
Oavsett borde det, med tanke på de arbetsrättsliga förhållandena som precis beskrivits, vara tillåtet att behandla omdömen och värderande uppgifter inom ramen för arbetsledningsrätten med stöd av en intresseavvägning. Datainspektionen konstaterar i sin informationsskrift om intresseavvägning i arbetslivet från 2009 att en intresseavvägning normalt medför att det är tillåtet att behandla personuppgifter för att i enlighet med god sed på arbetsmarknaden planera, organisera, leda, följa upp och kvalitetsbedöma arbetet i stort. Här ingår också att mäta individuella prestationer samt registrera uppgifter om anställda i rekryteringssystem och kompetensdatabaser (även bolag utomlands inom samma koncern).
Att Datainspektionen i senare bedömningar och riktlinjer helt bortser från detta är förvånande och tyder på att myndigheten inte har tillräcklig förståelse för vad arbetsledningsrätten i praktiken innebär.
Mot bakgrund av Datainspektionens bedömning kan vi inte se annat än att det har uppstått något som liknar en lagvalskonflikt där arbetsgivare tvingas välja mellan att följa Datainspektionens tolkning av personuppgiftslagen eller relevanta arbetsrättsliga principer. Detta sänder felaktiga signaler till både arbetsgivare och anställda. Vi ser därför gärna att Datainspektionen omvärderar sin bedömning och då tar hänsyn till de grundläggande arbetsrättsliga aspekter som förekommer inom de flesta anställningsförhållanden.
Åsa Nelhans och Jenny Lundberg arbetar på Arbetsrättsgruppen på Baker & McKenzie Advokatbyrå som regelbundet skriver om arbetsrätt i Dagens Juridik.
