KRÖNIKA – av Johan Sundberg och Johan Thörn på DLA Piper
Enligt 35 kapitlet 1 § rättegångsbalken ska rätten i en tvist efter samvetsgrann prövning av allt, som förekommit, avgöra, vad i målet som är bevisat. Bestämmelsen innebär att en part är fri att åberopa den bevisning som parten finner lämplig för att styrka sin sak. I arbetsrättsliga tvister (till exempel rörande uppsägning eller avskedande) åberopar arbetsgivaren inte sällan bevisning i form av olika slags logguppgifter. Det kan vara alltifrån uppgifter om när en viss anställd använde sin passerbricka till arbetsgivarens lokaler till dataloggar över besökta hemsidor och loggar över datafiler som laddats över från arbetsgivarens dator till externa minnesbärare (till exempel USB-minnen) i samband med misstänkt brott mot lag (2018:558) om företagshemligheter.
Vad bör en arbetsgivare tänka på rörande GDPR vid användandet av sådan typ av bevisning och vilka fallgropar kan det finnas? GDPR ska tillämpas på sådan behandling av personuppgifter som helt eller delvis görs på automatisk väg (till exempel i en dator). Vidare ska GDPR tillämpas på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med ”personuppgift” avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
I artikel 5 i GDPR framgår ett antal grundläggande principer som alltid måste vara uppfyllda vid behandling av personuppgifter. Brister det i förutsättningarna avseende någon av dessa principer är den tilltänkta behandlingen av personuppgifter olaglig och i strid med GDPR. Såvitt avser till exempel logguppgifter som nämnts ovan behöver arbetsgivaren särskilt överväga om följande grundläggande principer i artikel 5 i GDPR är uppfyllda såvitt avser behandlingen ifråga.
– Uppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
– Uppgifter får behandlas endast på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
– Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
– Uppgifter ska vara korrekta och om nödvändigt uppdaterade.
Den första principen ovan, ändamålsbegränsningsprincipen, är särskilt viktig i detta sammanhang.
För att ta ett praktiskt exempel: Arbetsgivaren samlar in logguppgifter avseende arbetstagares inpassering till kontoret av säkerhetsskäl för att kunna ha kontroll över vilka personer som vistats i arbetsgivarens lokaler och förhindra att obehöriga personer vistas i lokalen. I ett senare skede fattar arbetsgivaren misstanke om att en av de anställda har fuskat med tidsredovisningen avseende arbetade timmar. Arbetsgivaren vill då samköra logguppgifterna från inpasseringssystemet med uppgifter i den anställdes tidsredovisning för att kontrollera om den anställde verkligen har fuskat med tidsredovisningen eller inte.
I detta läge måste arbetsgivaren bland annat ta ställning till om arbetsgivaren har informerat den anställde om ändamålet ”kontroll av arbetad tid” (se vidare nedan). Skulle arbetsgivaren inte uttryckligen ha informerat om att personuppgifterna från inpasseringsloggarna ifråga kan behandlas för ”kontroll av arbetad tid” måste arbetsgivaren bedöma om detta ändamål är förenligt eller oförenligt med de ändamål för personuppgiftsbehandling som arbetsgivaren faktiskt har informerat den anställde om. Skulle arbetsgivaren bedöma att det nya ändamålet är oförenligt med de faktiskt angivna ändamålen som arbetsgivaren har informerat om skulle den tilltänkta samkörningen av uppgifterna bryta mot ändamålsbegränsningsprincipen i artikel 5 i GDPR och uppgifterna får inte användas för det nya ändamålet.
Om bedömningen däremot skulle vara att den nya behandlingen (samkörningen för kontroll av arbetad tid) är förenlig med de ändamål som arbetsgivaren faktiskt har informerat om måste arbetsgivaren lämna ny information om personuppgiftsbehandlingen till den anställde som uttryckligen beskriver det nya ändamålet ”kontroll av arbetad tid”.
I ett tillsynsbeslut från Datainspektionen rörande polismyndigheten i Örebro (dnr 1369-2012) vid tillsyn enligt den numera upphävda personuppgiftslagen (1998:204)) ansågs kontroller av inpasseringsloggar för att styrka fusk med arbetad tid inte oförenligt med det i informationstexten till anställda uppgivna ändamålet för hantering av inpasseringsloggar ”upprätthålla ett befintligt larm och inpassersystem för Polismyndigheten, Häktet och Åklagarmyndigheten”. Även om beslutet har några år på nacken gäller samma grundläggande principer idag enligt GDPR.
Utöver att bedöma om ändamålet med hanteringen av uppgifterna är förenligt med de ändamål för vilka uppgifterna ursprungligen samlades in måste arbetsgivaren också bedöma om övriga principer i artikel 5 i GDPR kan uppfyllas, bland annat får uppgifterna inte vara för omfattande i förhållande till det tilltänkta ändamålet. Klarar arbetsgivaren att uppfylla samtliga grundläggande principer måste arbetsgivaren dock fortfarande identifiera en laglig grund för personuppgiftsbehandlingen enligt artikel 6.1 i GDPR. I exemplet ovan ligger det närmast till hands att stödja personuppgiftsbehandlingen på regeln i artikel 6.1 f) i GDPR, det vill säga att arbetsgivarens intresse av att genomföra samkörningen väger tyngre än den anställdes integritetsintresse. Det kan även finnas fler steg för arbetsgivaren att uppfylla, beroende på situationen.
Enligt artikel 12 i GDPR ska information enligt artiklarna 13 och 14 i GDPR tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form med användning av ett klart och tydligt språk. Artikel 13 i GDPR reglerar den information som ska lämnas när personuppgifterna erhållits direkt från den registrerade och artikel 14 i GDPR reglerar situationen när personuppgifterna erhållits från någon annan än den registrerade (till exempel från offentliga register eller annan personuppgiftsansvarig). De informationspunkter som ska lämnas är i princip desamma i båda situationerna. Erhålls personuppgifterna från någon annan än den registrerade ska information dock även lämnas avseende de kategorier av personuppgifter behandlingen gäller och varifrån personuppgifterna kommer och i förekommande fall om de har sitt ursprung i allmänt tillgängliga källor. Den personuppgiftsansvarige (arbetsgivaren) ska bland annat informera om följande.
– Ändamålen med den behandling för vilken personuppgifterna är avsedda
– Den lagliga grunden för behandlingen enligt artikel 6 i GDPR
– De kategorier av personuppgifter som behandlingen gäller (om uppgifterna inhämtats från annan än direkt från den anställde
– Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall
– Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
Som framgått ovan avseende ändamålsbegränsningsprincipen i artikel 5 i GDPR bör arbetsgivare således lägga sig vinn om att verkligen fundera över och utforma informationstexter till anställda enligt artiklarna 12 – 14 i GDPR på ett heltäckande och transparent sätt. En dåligt utformad informationstext kan i värsta fall innebära att en tilltänkt kontroll med sammanhängande behandling av personuppgifter skulle vara otillåten enligt GDPR. Enligt den ovan angivna regeln i 35 kapitlet 1 § rättegångsbalken är arbetsgivaren naturligtvis fri att åberopa vilken bevisning som helst.
Men, enligt reglerna i GDPR kan detta innebära att arbetsgivaren måste avstå från att genomföra kontrollen ifråga och då kanske gå miste om att kunna använda viktig bevisning av betydelse för en tvist med den anställde för att inte riskera att bryta mot reglerna i GDPR. En motpart som med fog påstår att arbetsgivarens bevisning bryter mot GDPR får nog arbetsgivaren att tänka till ett varv extra – om nu inte arbetsgivaren också är beredd på och accepterar att bli föremål för de sanktioner som behandling av personuppgifter i strid med GDPR kan föra med sig.
Som bekant kan dessa sanktioner vara omfattande och kännbara. Bland annat kan enligt artikel 83 i GDPR administrativa sanktionsavgifter om upp till 4 % av koncernens omsättning eller upp till 20 miljoner euro (vilket av det som är högst) åläggas för brott mot artikel 5 i GDPR. I detta ljus kan kostnaderna för en ”förlorad” arbetsrättslig tvist te sig som små.
