Cecilia Magnusson Sjöberg. Swedish Law & Informatics Research Institute cecilia.magnussonsjoberg@juridicum.su.se

Transkript

1 SLIM Paper 2002:3 Integritetsskydd i arbetslivet 1 Cecilia Magnusson Sjöberg Swedish Law & Informatics Research Institute cecilia.magnussonsjoberg@juridicum.su.se 1 IT i arbetslivet Arbetslivet skiljer sig inte från övriga samhället i det att informationstekniken kommit att utgöra ett betydelsefullt verktyg integrerat i verksamheter av skilda slag. Den vardagliga användningen av IT på arbetsplatser ger upphov till allt fler konkreta frågor rörande det rättsliga skyddet för anställdas och arbetssökandes personliga integritet. Massmedia ifrågasätter återkommande gränserna för datoranvändning på jobbet; får arbetsgivaren ta del av anställdas (privata) e-post, (obehindrat) logga användningen av olika informationssystem och även i övrigt övervaka prestationer med hjälp av IT? Ett uttryck för att problemområdet även väcker rättspolitiskt intresse är Integritetsutredningens (N 1999:39) betänkande Personlig integritet i arbetslivet (SOU 2002:18). Utredningen har haft i uppdrag att se över behovet av lagstiftning eller andra åtgärder för att stärka skyddet av den enskildes personliga integritet i arbetslivet. Regeringens utredningsinitiativ bottnar i det faktum att informationstekniken förändrat såväl produktionsprocesser som arbetsmetoder. Samtidigt som IT är ett effektivt och numera nödvändigt redskap på arbetsmarknaden gör sig risker för intrång i arbetstagares (och även arbetssökandes) personliga integritet alltmer gällande. I direktiven (N 1999:9) framhålls detta bl.a. på följande sätt: 1 In: Lov & Data, nr. 71, oktober, 2002, pp. 1-5.

2 I stort sett alla, oberoende av var man arbetar, använder i dag en persondator eller annan datorutrustning i arbetet. Tekniken har också förändrat möjligheterna till kontroll. Stora mängder information om arbetet och om de enskilda arbetstagarna kan registreras och lagras elektroniskt. Verksamheter och system blir känsligare för störningar och risken för intrång och obehörigt utnyttjande av information ökar. Detta kan i sig leda till behov av ökad kontroll. I en allt hårdare konkurrens ökar vidare kraven på kostnadseffektivitet, kundanpassning och kvalitetssäkring. Även detta kan leda till ett ökat behov av mer ingående kontroll. Den kontroll som sker genom registrering i datamedier är för den enskilde ofta dold och svår att upptäcka. Med denna lägesbeskrivning som utgångspunkt satte integritetsutredningen i gång sitt utredningsarbete i december Uppdraget slutfördes våren med ett betänkande som innehåller ett förslag till en särskild Lag om skydd för personlig integritet i arbetslivet (LIA). Det huvudsakliga syftet med denna artikel är att sprida information om det svenska utredningsarbetet inom detta område. De arbetsrättsliga fördjupningar som ämnet rent principiellt motiverar liksom allmänna IT-rättsliga reflektioner med inriktning på integritetsskydd får med andra ord lämnas till ett annat publiceringstillfälle. 2 Integritetsutredningens betänkande 2.1 Allmänna utgångspunkter I sakligt hänseende kom integritetsutredningen att koncentrera sitt arbete på två frågeställningar, nämligen dels arbetstagarnas användning av informationsteknik dels personuppgifter om hälsa och droganvändning. Det förstnämna tar främst sikte på integritetsskyddsfrågor som rör arbetstagares privata elektroniska uppgifter och som kan uppkomma vid utnyttjande av e-post, Internetsurfning och även loggning. Den andra delen av utredningsarbetet var inriktad på hälsoundersökningar (av såväl medicinska skäl som säkerhetsskäl), narkotikatester, alkoholtester och dopningstester. En utredning om (p)ersonlig integritet i arbetslivet bör givetvis förhålla sig till personlig integritet som sådant. Integritetsutredningen hänvisar här till de sedan länge artikulerade svårigheterna att på ett meningsfullt sätt skapa definitioner inom detta område och man refererar vidare till redan förda diskussioner och internationella överenskommelser. 3 Relevans-, finalitets- och proportionalitetsprinciperna utmejslar sig som särskilt betydelsefulla i utredningens perspektiv. Ett mer betydelsefullt ställningstagande gör utredningen genom att explicit manifestera att dataskyddsdirektivet (95/46/EG) med dess implementering i svensk rätt genom personuppgiftslagen, PUL (1998:204), sätter ramarna för det lagförslag som läggs fram. 4 Trots detta är det inte självklart hur man skall uppfatta utredningens olika förslag till preciseringar av tillåten personuppgiftsbehandling med anknytning till arbetslivet. Det är med andra ord ingen lätt uppgift att rent konkret stärka integritetsskyddet i 2 Artikelförfattaren var sakkunnig i utredningen fr.o.m. den 27 september Se SOU 2002:18 s. 52 ff. 4 Se t.ex. punkten 22 i ingressen till dataskyddsdirektivet, artikel 7 samt SOU 2002:18 s

3 arbetslivet utan att samtidigt gå längre än de redan givna normativa ramarna på såväl nationell nivå som EG-rättsligt. Till utredningens förtjänster får anses höra den genomgång av gällande rätt som görs och som tydliggör hur det i praktiken ofta är flera och ibland motstridiga rättsregler som är tillämpliga exempelvis vad gäller insyn i system för e-posthantering. Utan att göra anspråk på någon fullständig översikt kan här nämnas att det i dylika situationer kan finns anledning att tolka och tillämpa såväl grundlagsbestämmelser inom tryckfrihetens- och yttrandefrihetens område, straffrättsliga och arbetsrättsliga stadganden och sist men inte minst, personuppgiftslagens bestämmelser. Till bilden hör även det faktum att rättspraxis inom området är sparsam. Mot bakgrund av de påtagliga svårigheterna för arbetsmarknadens parter att kunna förutse vad som är tillåtet respektive förbjudet förefaller ett förtydligande av rättsläget välkommet. Utredningen har valt att genom ett förslag om särskild lagstiftning om integritetsskydd i arbetslivet försöka åstadkomma detta. Utredningen har i sitt arbete tagit del av rättsutvecklingen i vissa andra länder. Särskilt den finska lagen om integritetsskydd i arbetslivet och den danska loven om brug av helbredoplysningar m.v. på arbejdsmarknaden 5 har varit föremål för studier och jämförelser med situationen i Sverige. 2.2 Förlag till Lag om skydd för personlig integritet i arbetslivet Det finns inte här utrymme för en fullständig genomgång av den lagstiftning som integritetsutredningen föreslår. Den följande presentationen är därför koncentrerad på lagförslagets övergripande karaktär inklusive de mest centrala bestämmelserna. Syftet med lagen om skydd för personlig integritet i arbetslivet (LIA) är att med utgångspunkt i personuppgiftslagen stärka skyddet för den personliga integriteten i arbetslivet (1 ). I fråga om tillämpningsområde tar LIA precis som PUL avstamp i uttrycket behandling av personuppgifter. Till viss del är LIA:s tillämpningsområde mer vidsträckt än PUL:s genom att omfatta såväl automatiserade som manuella behandlingsformer utan några särskilda krav på att det skall röra sig om strukturerade datasamlingar. LIA omfattar däremot inte personuppgifter som framkommer muntligt, t.ex. vid en anställningsintervju, utan att därefter dokumenteras. Här finns anledning att nämna att utredningen valt att låta LIA omfatta såväl arbetstagare (i dess konventionella civilrättsliga betydelse) som arbetssökande samt i vissa fall även tidigare arbetstagare. Lagen om skydd för personlig integritet i arbetslivet är utformad som en speciallag i förhållande till PUL och tar i förekommande fall över. På flera ställen innehåller dock LIA uttryckliga hänvisningar till tillämpliga delar av PUL. I förhållande till andra lagar och förordningar är bestämmelserna i LIA subsidiära (2 ). Privat e-post och andra privata elektroniska uppgifter En av knäckfrågorna för utredningen har utan tvekan varit frågan om arbetsgivares eventuella rätt att ta del av anställdas privata e-post och andra privata elektroniska uppgifter som kan förekomma i informationssystem på en arbetsplats. 5 Se vidare Blume, Peter och Kristiansen, Jens, Databeskyttelse på arbejdsmarknaden, Jurist- og Okonomforbundets Forlag,

4 Utredningen har tagit sin utgångspunkt i arbetsledningsrätten och arbetsgivarens rätt att leda och fördela arbetet, innefattande en rätt att bestämma hur arbetet skall organiseras och utföras (vilken maskinutrustning som skall utnyttjas) etc. Denna arbetsrättsliga grundprincip ger dock inte arbetsgivaren oinskränkta rättigheter. Kontroller får nämligen inte strida mot lag, god sed eller annars vara otillbörliga. Av detta följer att arbetsgivaren är fri att bestämma att datorutrustning ej får användas för privat bruk. Lagförslaget innehåller i denna del en bestämmelse (3 ) uppbyggd kring ett förbud med anknytande undantag: En arbetsgivare får inte avsiktligt ta del av en arbetstagares privata e-post eller andra privata elektroniska uppgifter. Första stycket gäller inte om arbetstagaren har lämnat sitt samtycke till åtgärden. Första stycket gäller inte heller om åtgärden är nödvändig för arbetsgivarens verksamhet. Vid bedömningen härav skall särskilt beaktas om det föreligger fara för informationssäkerheten eller om det finns skälig misstanke att arbetsgivaren har gjort sig skyldig till brott vid användning av arbetsgivarens elektroniska utrustning eller till sådant illojalt beteende som kan utgöra saklig grund för uppsägning eller föranleda skadeståndsskyldighet. Huvudregeln innebär alltså ett förbud mot avsiktlig läsning av privat e-post. Det faktum att förbudet är villkorat med avsiktlighet har sin förklaring i praktiska svårigheter att på förhand kunna avgöra om aktuella uppgifter är privata eller inte. Utformningen av huvudregeln utesluter inte överenskommelser mellan arbetsgivare och arbetstagare som innebär ett förbud mot privat användning av datorutrustning. I praktiken kan detta leda till en situation där arbetstagaren trots en överenskommelse med arbetsgivaren om att inte använda datorutrustning för privat bruk gör detta och denne ändå är skyddad mot avsiktlig insyn i den privata elektroniska informationen. Det faktum att arbetstagaren i en dylik situation bryter mot överenskommelsen med arbetsgivaren regleras inte av LIA utan får hanteras arbetsrättsligt. Undantagen till huvudregeln om förbud mot avsiktlig insyn är betydande. Av andra stycket i den föreslagna tredje paragrafen framgår att arbetstagare kan samtycka till insyn i privat e-post och andra privata elektroniska uppgifter. Paragrafens tredje stycke innehåller ytterligare ett undantag från förbudet. Om åtgärden (dvs. insynsaktiviteten) är nödvändig för arbetsgivarens verksamhet är den också tillåten enligt LIA. Utredningen preciserar det vaga begreppet nödvändig genom att ange att man vid bedömningen härav särskilt skall beakta om det föreligger fara för informationssäkerheten eller om det finns skälig misstanke att arbetstagaren har gjort sig skyldig till brott vid användning av arbetsgivarens elektroniska utrustning eller till sådant illojalt beteende som kan utgöra saklig grund för uppsägning eller föranleda skadeståndsskyldighet (mina kurs). Denna specificering av bedömningskriterier skall dock inte uppfattas som uttömmande utan snarare som exemplifierande och illustrerande. Vad som dessutom finns anledning att notera är att när det gäller brott så är avsikten inte att låta arbetsgivaren träda in i en polisutredande roll om det i en elektronisk konversation skulle framkomma att en arbetstagare på fritiden ägnat sig åt brottslig verksamhet. Syftet är istället att täcka in situationer där arbetsgivarens datorutrustning i sig fungerat som verktyg i den brottsliga verksamheten. En närliggande fråga rör loggning av arbetstagares aktiviteter med stöd av IT. Loggning kan ge arbetsgivaren information om såväl arbetsprestationer som 4

5 misskötsamhet, t.ex. att en arbetstagare surfar på Internet istället för att utföra sin arbetsuppgifter eller rent fysiskt befinner sig på fel plats (genom att bli lokaliserad med hjälp av GPS-teknik). Loggning av arbetstagares aktiviteter är ett uttryck för arbetsledningsrätten men kontroller får inte utövas i strid med lag, god sed eller annars vara otillbörliga. Personuppgiftslagens bestämmelser om ändamålsbestämning och informationsplikt är centrala för att trygga arbetstagarnas personliga integritet i detta sammanhang. Utredningen anser inte att det finns behov av att materiellt skärpa PUL:s bestämmelser utan anser det tillräckligt med ett påpekande (4 LIA) om att personuppgiftslagens bestämmelser är tillämpliga vid loggning i arbetslivet. 6 I praktiken aktualiserar detta förhållningssätt en intresseavvägning enligt 10 (f) PUL enligt vilken proportionalitet skall gälla vid behandling av personuppgifter som äger rum utan tidigare lämnat samtycke. Proportionalitetsprincipen förutsätter en avvägning mellan den registrerades behov av skydd mot kränkning av den personliga integriteten och den personuppgiftsansvariges berättigade intresse. Interna riktlinjer och lokala kollektivavtal torde komma att bli centrala för bedömningen av vad som ur integritetssynpunkt kan anses utgöra godtagbara loggningsaktiviteter i arbetslivet. Personuppgifter om hälsa och droganvändning Ett av skälen till att man från regeringens håll initierade integritetsutredningen var en uttalad oro på arbetsmarknaden för den personliga integriteten i samband med hälsoundersökningar och drogtester. Trenden att utnyttja personlighetstester i anställningssituationer bidrar också till bilden av att den personliga integriteten i arbetslivet naggas i kanten. Vad måste man som arbetstagare ställa upp på när det gäller kroppsliga ingrepp? Är det någon skillnad mellan att lämna ett urinprov jämfört med ett blodprov? Minskar hotet mot den personliga integriteten genom slumpmässiga urval av undersökningspersoner? Kan det verkligen bli fråga om att på frivillig grund lämna samtycke till behandling av personuppgifter från ett personlighetstest i en anställningssituation? Frågorna hopar sig och har till viss del varit föremål för tidigare utredande, t.ex. av utredningen om Medicinska undersökningar i arbetslivet (SOU 1996:63). För närvarande arbetar Kommittén om genetisk integritet (S 2001:01) med frågan om genomförande av gentester och en särskild utredare skall utvärdera lagen (1998:150) om kameraövervakning. Utredningens förslag omfattar en särskild reglering avseende behandling av personuppgifter om hälsa och droganvändning. Begreppet personuppgifter om hälsa används som ett samlingsbegrepp för samtliga personuppgifter som rör en arbetstagares hälsotillstånd, dvs. inte nödvändigtvis bara sådana som avser sjukdom och i övrigt bristande hälsa utan också personuppgifter om allmänt hälsotillstånd och graviditet. I tidshänseende omfattar begreppet såväl tidigare som framtida hälsotillstånd, t.ex. redan utnyttjade försäkringsformer och dokumenterade uppgifter om planerad graviditet. Begreppet personuppgifter om droganvändning används även detta som ett samlingsbegrepp, men för alkohol, narkotika och dopningsmedel. Allt bruk av droger, inklusive den påverkan som följer av själva användningen omfattas. LIA gör inte någon 6 Se vidare SOU 2002:18 s

6 åtskillnad mellan missbruk av sjukdomskaraktär och när så inte är fallet, inte heller när bruket är legitimt efter ordination av läkare. Integritetsutredningen föreslår att det skall vara förbjudet för arbetsgivaren att behandla personuppgifter om en arbetstagares eller en arbetssökandes droganvändning (5 ). Detta förbud gäller inte om behandlingen är nödvändig för att bedöma om arbetstagaren eller arbetssökanden är lämpad för att utföra arbetsuppgifter i arbetsgivarens verksamhet eller för att bedöma arbetstagarens rätt till förmåner om arbetstagaren har begärt detta. Av förslaget ovan följer att samtycke endast i begränsad omfattning kan bana vägen för behandling av personuppgifter om hälsa eller droganvändning. För att ytterligare stärka integritetsskyddet när det av olika skäl trots allt är legitimt att genomföra hälsoundersökningar skall de bara genomföras av personal inom hälso- och sjukvården eller under överinseende av sådan personal (6 ). På motsvarande sätt innehåller 7 ett förslag om att en arbetsgivare skall tillse att drogtester avseende en arbetstagare eller arbetssökande bara genomförs med metoder som är tillförlitliga. Denna bestämmelse kompletteras av ett krav på att arbetsgivaren skall tillse att andra prov än utandningsprov bara tas av personal inom hälso- och sjukvården eller under överinseende av sådan personal samt analyseras av ett laboratorium som är ackrediterat enligt lagen (1992:1119) om teknisk kontroll. Personlighetstester 7 har kommit att bli ett attraktivt urvalsinstrument vid olika anställningsformer. Det hör till sakens natur att ett personlighetstest omfattar behandling av personuppgifter. Det är också förklaringen till att integritetsutredningen sett dylika tester som ett regleringsobjekt i sig och därför föreslår samtycke som förutsättning för behandling denna typ av personuppgiftsbehandling (8 ). För att ytterligare stärka integritetsskyddet föreslår man att det skall ankomma på arbetsgivaren att tillse att personlighetstester genomförs på ett betryggande sätt med testinstrument som är tillförlitliga och av personer med adekvat utbildning. Övriga bestämmelser Lagförslaget innehåller en bestämmelse om att en arbetsgivare som huvudregel inte får behandla personuppgifter om lagöverträdelser, som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (9 ). Undantag får bara göras om det är nödvändigt för att bedöma en arbetssökandes eller en arbetstagares tillförlitlighet med hänsyn till säkerheten för det allmänna eller för arbetsgivarens verksamhet. Personuppgiftslagen innehåller redan en bestämmelse om förbud för andra än myndigheter att behandla sådana personuppgifter, som rent definitionsmässigt dock inte betraktas som känsliga personuppgifter. Syftet med regleringen i LIA är att förstärka integritetsskyddet främst genom en precisering av när det ur integritetssynpunkt kan anses acceptabelt med undantag. En viktig aspekt på integritetsskydd är den enskildes kontroll över egna personuppgifter. Mot denna bakgrund anger LIA att personuppgifter om hälsa eller droganvändning samt lagöverträdelser i första hand skall inhämtas från arbetstagaren eller arbetssökanden själv (10 ). Bara om det inte är möjligt och under förutsättning av samtycke är det tillåtet med andra källor för inhämtande. 7 Begereppet personlighetstest används som benämning för personlighetsformlulär som främst består av självskattningsformulär, projektiva test t.ex. Rorschach eller DMT och begåvningstest. Se vidare SOU 2002:18 s

7 Ett fullgott integritetsskydd förutsätter eftertanke såväl vid insamling, bearbetning, förvaring, spridning och gallring av personuppgifter. Med tanke på detta innehåller LIA en bestämmelse med krav på att vissa typer av person-uppgifter skall förvaras på ett betryggande sätt och åtskilda från andra person-uppgifter. Det gäller privat e-post och andra privata elektroniska uppgifter, personuppgifter om hälsa och droganvändning, personuppgifter som inhämtas genom personlighetstest samt personuppgifter om lagöverträdelser. Ytterligare ett krav som uppställs är att dessa typer av personuppgifter bara får behandlas av en begränsad krets människor. Tystnadsplikt i form av ett förbud mot obehörigt röjande eller utnyttjande av dess uppgifter föreslås också (14 ). I likhet med dataskyddsdirektivet och personuppgiftslagen omfattar LIA såväl informationsplikt som krav på rättelse (12 ). Jämfört med motsvarande bestämmelser i PUL är kraven i lagförslaget inte lika långtgående men om behandlingen sker helt eller delvis automatiserat eller i registerform skall även 30 och 31 PUL gälla. Strikt skadeståndsansvar (16 ) föreslås för sak- och personskada, ren förmögenhetsskada samt för kränkning av den personliga integriteten (ideellt intresse) som uppkommer till följd av personuppgiftsbehandling i strid med LIA. Ansvaret kan jämkas i den utsträckning det är skäligt. En straffbestämmelse (17 ) är knuten till otillåtna behandlingar av personuppgifter om hälsa eller droganvändning. Straffansvaret åvilar den fysiska person som utför behandlingen. Helt manuella behandlingar faller utanför. Överklagande (18 ) av myndighetsbeslut avseende informationsplikten och rättelse sker hos allmän domstol. Lagen (1974:371) om rättegången i arbetstvister föreslås gälla för mål om tillämpning av LIA bortsett från fall som avser straff samt överklagande av myndighetsbeslut (19 ). 3 Avslutande kommentarer Varken utredningsuppdraget i sig eller utredningens lagförslag saknar kontroversiella inslag. Sakområdet berör mänskliga fri- och rättigheter liksom grundläggande arbetsrättsliga principer om arbetsgivarens arbetsledningsrätt m.m. Den allmänna debatten i massmedia med slagkraftiga rubriker om vad chefen får läsa och inte läsa, vilka drogtester man som anställd kan vara skyldig att underkasta sig, osv. har givetvis också bidragit till att skapa förväntningar kring utredningens förslag. Intressemotsättningar är i sig naturliga men självfallet besvärliga i ett lagstiftningsperspektiv. Det är nog inte heller någon som förväntat sig samsyn från berörda parter. Från fackligt håll har man exempelvis redan under utredningsarbetet ifrågasatt LIA:s offentligrättsliga karaktär (med vissa privaträttsliga inslag). Man efterfrågar istället en arbetsrättslig lagstiftningsprodukt med sanktioner i form av ogiltighet av sådana avtal som är oförenliga med lagen samt skadestånd. 8 Utredningen delar i och för sig principiellt uppfattningen om att en lag inriktad på förhållandena inom arbetslivet bör innehålla arbetsrättliga inslag, frågan är bara hur dessa lämpligen bör utformas. En första fråga att ta ställning till i detta sammanhang är reglernas tvingande eller dispositiva karaktär. Det sistnämnda skulle här innebära ett 8 Se vidare 2002:18 s

8 överlämnande till arbetsmarknadens parter att träffa kollektivavtal som avviker från bestämmelserna. Utredningens resonemang i denna del utmynnar i slutsatsen att det både av principiella och praktiska skäl inte finns anledning att frångå den tvingande karaktär som präglar PUL. Närmare bestämt bygger detta på synen att skyddet av den personliga integriteten får anses vara en mänsklig rättighet och att det därför ankommer på staten att skapa ett tillfredsställande skydd. Med tanke på hur intimt förknippade LIA:s bestämmelser är med innehållet i PUL finns det vidare en uppenbar risk för problem vid den närmast parallella tillämpning som utredningens förslag bygger på om de båda lagarnas normativa karaktär skulle skilja sig alltför mycket åt. Detta är dock inte alls detsamma som att helt utesluta att arbetsmarknadens parter med LIA som grund träffar kollektivavtal i syfte att precisera lagen i förhållande till skilda branscher eller lokala förhållanden på olika arbetsplatser. Här skall även nämnas att lagförslaget innehåller en upplysande bestämmelse (14 ) utan materiell betydelse om arbetsgivarens skyldighet att MBL-förhandla. Röster har hörts om att utredningens betänkande skulle vara såväl arbetsgivarvänligt som tandlöst. Samtidigt har andra deltagare i den allmänna debatten varmt välkomnat lagförslagets förtydligande av rättsläget, vilket är av betydelse inte minst vid utformningen av överenskommelser om vad som skall gälla på den enskilda arbetsplatsen. Framtiden får utvisa var tyngdpunkten hamnar och utfallet av den pågående remissbehandlingen blir en första indikation. 8