GDPR i arbetslivet
Övervakning och kontroll av anställda på arbetsplatser
Det är inte ovanligt med övervakning och kontroll av anställda på arbetsplatser. Till exempel när ett företag följer upp anställdas prestationer, använder positioneringsteknik eller kamerabevakning.
Krav för Övervakning och kontroll av anställda på arbetsplatser
När en sådan kontroll innebär en behandling av personuppgifter tillhörande arbetstagarna, måste arbetsgivaren följa reglerna i GDPR. Däremot regleras arbetsgivarens rätt att kontrollera sina anställda först och främst i den nationella arbetsrätten.
Får arbetsgivare genomföra övervakning och kontroll av anställda på arbetsplatser och följa upp deras arbetsprestationer?
Ja, det kan vara tillåtet att övervaka och kontrollera de anställda på arbetsplatsen och följa upp deras arbetsprestationer, men arbetsgivaren måste följa reglerna i GDPR vid behandlingen av personuppgifterna.
Is an employer allowed to monitor the employees' work performance?
Det är vanligt förekommande att arbetsgivare följer upp de anställdas arbetsprestationer och behandlar personuppgifter i samband med detta. Till exempel när det är motiverat att göra uppföljningen på individnivå, istället för gruppnivå. Däremot är det inte tillåtet att följa upp prestationer, om det inte var tanken med behandlingen från början. Dessutom måste de anställda ha blivit informerade om behandlingen. Personuppgifter ska bli behandlade för syftet de blev inhämtade för, inte andra oförenliga syften.
Arbetsgivaren kan ha ett behov av att mäta arbetsprestationer för att uppfylla anställningsavtalet. Exempelvis om en anställd säljare enbart arbetar med provisionsbaserad lön, är det nödvändigt att veta hur mycket säljaren har sålt, för att kunna beräkna och betala korrekt lön. Vid sådana fall är det rättsliga grunden för behandlingen avtal med den registrerade (det vill säga, anställningsavtalet).
Dessutom kan det vara tillåtet att mäta och följa upp arbetsprestationer för andra berättigade ändamål, under förutsättning att det sker på ett skäligt sätt som inte är kränkande för de anställda. Exempelvis för att leda, organisera, planera och följa upp de anställdas arbete. Vid sådana fall är det ofta mer lämpligt att tillämpa den rättsliga grunden berättigat intresse enligt Artikel 6(1)(f) i GDPR. Däremot måste arbetsgivaren genomföra och dokumentera en intresseavvägning, för att se ifall det finns ett berättigat intresse eller inte, innan behandlingen blir utförd.
Användning av IT-system i arbetet
Företag som behandlar personuppgifter har en skyldighet att skydda dem, genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Med andra ord, genom att ha en tillräckligt hög informationssäkerhet. Därför är det viktigt att företaget också informerar de anställda om hur de ska använda till exempel IT-system. Dessutom bör företaget upprätta rutiner och instruktioner till de anställda om hur de anställda till exempel ska använda sina mobiltelefoner och datorer.
Det är inte ovanligt att arbetsgivare förbjuder sina anställda att installera mobilapplikationer för privat bruk, som inte är nödvändiga för utförande av arbetsuppgifterna, på en arbetstelefon eller arbetsdator. Anledningen till detta är att minska risken för att obehöriga får tillgång till den arbetsrelaterade informationen på enheten.
Arbetsgivaren kan ha ett berättigat intresse av att följa upp huruvida de anställda följer instruktionerna. Företaget kanske har tillgång till loggböcker över användning av IT-utrustning samt IT-system, och kontrollerar dem regelbundet. Däremot är det viktigt att tänka på att loggföring kan vara en integritetskänslig behandling, och därför är det viktigt att det inte sker mer ingripande än nödvändigt för syftet.
Är det tillåtet för arbetsgivare att använda positioneringssystem (GPS) som indirekt spårar anställda?
Ja, det kan vara tillåtet för arbetsgivare att använda positioneringssystem (GPS) som indirekt spårar anställda. Det har blivit vanligare att företag kontrollerar vart exempelvis deras arbetsutrustning, såsom fordon, befinner sig genom positioneringssystem (GPS). Exempelvis inom verksamheter som arbetar med transporter, såsom budfirmor.
Det är dock viktigt att förstå att sådan användning av positioneringssystem även vid sådana fall kontrollerar var de anställda befinner sig. Det möjliggör därmed till en övervakning till anställda. Därför är det viktigt att minimera risken för otillbörliga intrång i de anställdas integritet.
Berättigat intresse enligt artikel 6(1)(f) i GDPR är ofta den lämpligaste rättsliga grunden att använda för arbetsgivare som inte är myndigheter, för att stödja sin behandling av personuppgifter på, när behandlingen omfattar positionering av sina anställda.
Får arbetsgivare använda kamerabevakning av anställda på arbetsplatsen?
För att ett företag ska få implementera kamerabevakning på arbetsplatsen måste det finnas starka skäl. Detta beror på att det är ett integritetsintrång som många vill slippa när de arbetar.
Företag behöver däremot inte alltid ha tillstånd för att genomföra kamerabevakning på arbetsplatsen, men det innebär inte att det alltid är tillåtet.
Till exempel kan ett företag ha skäl till att ha kamerabevakning på kontoret under nätterna efter arbetstid för att förhindra brott, såsom inbrott. Ett företag kan också ha starka skäl att kamerabevaka sitt lager, i de fall produkterna har ett högt värde.
Det är vanligt för arbetsgivare som inte är myndigheter att använda berättigat intresse som rättslig grund vid kamerabevakning av anställda.
Är det tillåtet för arbetsgivare att implementera kamerabevakning för att kontrollera hur anställda arbetar?
Nej, det är i regel inte tillåtet att som arbetsgivare implementera kamerabevakning för att kontrollera hur anställda arbetar. Det är förbjudet att använda kameror på arbetsplatsen för att övervaka arbetsprestationer och hur de anställda arbetar regelbundet. Däremot kan det vara tillåtet att kamerabevaka vid vissa riskfyllda tillverkningsprocesser eller andra specifika omständigheter, för att förhindra och förebygga olyckor, skydda personal eller egendom.
Det är viktigt att tänka på att arbetsgivaren kan behöva utföra och dokumentera en konsekvensbedömning innan kamerabevakningen påbörjas. Dessutom kan arbetsgivaren behöva begära ett förhandssamråd med den ansvarige dataskyddsmyndigheten, om det fortfarande kvarstår en hög risk för de registrerade. Vidare är det viktigt att informera de anställda om kamerabevakningen i ett integritetsmeddelande.
Företag fick en sanktionsavgift efter att ha haft kamerabevakning där de anställda bytte om
Ett företag fick en sanktionsavgift på 34 000 euro från den isländska dataskyddsmyndigheten efter att ha haft kamerabevakning på den plats som de anställda använde för att byta om till sina arbetskläder. Dessutom hade företaget inte informerat de anställda om kamerabevakningen. Den isländska dataskyddsmyndigheten beordrade också företaget att upphöra med kamerabevakningen i omklädesrummet.
Är det tillåtet att kontrollera fordon eller annan utrustning genom positioneringsteknik (GPS)?
Vissa företag, bland annat inom transportbranschen, kontrollerar ofta sina fordon och eventuell övrig utrustning genom positionssystem. Indirekt innebär detta att arbetsgivaren även kontrollerar sina anställda och var de befinner sig.
Sådan övervakning medför en risk för de anställda. Arbetsgivaren bör analysera huruvida de behöver göra en konsekvensbedömning innan de påbörjar behandlingen.
Observera att det inte är tillåtet att behandla insamlade personuppgifter hur som helst, bara för att man har en laglig grund att behandla dem. Till exempel bör ett företag inte kontrollera hur långa raster de anställda tar genom de insamlade uppgifterna, även om sådan information skulle kunna utläsas genom den insamlade datan.
När ett fordon används av arbetstagaren både privat och i arbetet
Om en anställd får använda arbetsfordonet både i sitt arbete och privat, bör arbetstagaren kunna stänga av spårningen när denne inte arbetar. Oftast är det förbjudet att övervaka de anställdas fordonsposition när de inte arbetar.
Rättslig grund vid användning av positioneringsteknik för övervakning av anställda:
Berättigat intresse är den vanligaste rättsliga grunden som företag använder när de övervakar anställda genom positioneringsteknik. Exempel på när ett företag kan ha ett berättigat intresse av att övervaka anställdas positionering är följande:
- När det sker av säkerhetsskäl.
- För fördelning av resurser.
- För hantering och administration av logistik.
Rättslig förpliktelse kan istället vara en lämplig rättslig grund att använda i vissa fall. Till exempel om arbetsgivaren behöver redovisa körjournaler från sina anställda till skattemyndigheten.
Mer om GDPR
Ansvar för arbetsgivare vid behandling av personuppgifter
Arbetsgivaren är personuppgiftsansvarig vid behandling av arbetstagarnas personuppgifter. Ofta behandlar arbetsgivaren känsliga personuppgifter tillhörande personalen, såsom uppgifter om sjukfrånvaro (vilket är uppgifter om hälsa), samt integritetskänsliga uppgifter, såsom bankuppgifter och kontonummer för löneutbetalning. Arbetstagarna är i detta fall de registrerade enligt GDPR. Detta innebär att arbetstagarna bland annat har rätt till information om behandlingen från arbetsgivaren. De har även rätt att begära att få sina rättigheter enligt GDPR tillgodosedda. Därför är det viktigt att arbetsgivaren har interna rutiner för att informera och hantera begäranden från sina egna anställda.