Positioneringsteknik i arbetslivet

Transkript

1 Positioneringsteknik i arbetslivet Anförande vid MobiOnes seminarium om positioneringsteknik den 22 mars 2014 Oskar Öhrström, Datainspektionen

2 Upplägg Kort om övervakning ur ett personuppgiftsperspektiv Positioneringssystem (GPS) och personuppgiftslagen (PuL) Utrymme för frågor

3 Ny teknik nya möjligheter Kameraövervakning, drog- och alkoholtester, prestationsmätningar, kontroll av e -post och Internetanvändning, biometri, bakgrundskontroller, personlighetstester, rekryteringssystem och kompetensdatabaser, whistleblowing, svarta listor, kontroll av passageloggar, registerkontroller, insamling av myndighetsbeslut och domar, kontroll av bisysslor, inspelning av telefonsamtal och medhörning, ISA, elektroniska stämpelklockor, telematiksystem, Data Loss Prevention Tools (DLP), GPS-övervakning...m.m. Var och en av dessa åtgärder kan vara befogade - men de sammantagna effekterna vägs inte in.

4 Hur mycket övervakning är lagom? Maximalism Arbetsgivaren har en oinskränkt rätt att kontrollera arbetstagaren Arbetstagaren är ett nödvändigt ont Förtroende är bra - kontroll är bättre Full kontroll Diktatur Minimalism Arbetstagaren har en oinskränkt rätt att motsätta sig arbetsgivarens kontroll Arbetsgivaren är ett nödvändigt ont Frihet - men helst inget ansvar Ingen kontroll Anarki

5 Att jobba i upplevelsebranschen Vinster i form av ökad effektivitet och sänkta kostnader går att mäta med någon grad av precision. Men hur mäter man mjuka värden som personlig integritet? och hur väger man dessa delvis motstående intressen mot varandra?

6 PuL: Bygger på ett EG-direktiv (Dataskyddsdirektivet) Viker för annan lagstiftning Tar sikte på behandling av personuppgifter.

7 Hur kommer PuL in i bilden? Positioneringsteknik + tjänstgöringslistor (eller annan direkt eller indirekt koppling) = Personuppgiftslagen gäller!

8 Arbetsgivaren bär ansvaret Det är arbetsgivaren (företaget, organisationen eller myndigheten) som väljer att införa positioneringssystem i sin verksamhet som ansvarar för att följa PuL. Arbetsgivaren kan inte förlita sig på att leverantören tillhandahåller ett system som i alla delar lever upp till lagens krav, utan måste självständigt se till att PuL följs.

9 Samtycken i regel inte en framkomlig väg I arbetslivet föreligger i regel inte sådana jämlika styrkeförhållanden att PuL:s krav på frivilliga samtycken är uppfyllt. Pul ställer också krav på individuella samtycken. Det är alltså inte möjligt för en arbetstagarorganisation att samtycka för sina medlemmars räkning. Istället: intresseavvägning.

10 Utgångspunkter Personuppgiftslagen innebär ofta inte något absolut hinder mot behandling av personuppgifter i arbetslivet. Däremot sätter lagen gränser för behandlingen: ü ü ü Krav på proportionalitet, saklighet och förenlighet med god sed Krav på ändamålsstyrd behandling Krav på säkerhetsåtgärder och information m.m.

11 DI har generellt en tillåtande syn på GPS Exempel på godtagbara ändamål: Säkerhet Logistik och fördelning av resurser Klagomålshantering och kundservice Datainspektionens synpunkter rör oftast själva hanteringen av uppgifterna (som med vissa justeringar kan göra behandlingen tillåten).

12 Vanliga brister 1) Diffusa ändamålsbeskrivningar vilket skapar otydlighet och möjliggör ändamålsglidningar 2) Undermålig eller obefintlig information vilket medför okunskap, oro och spekulationer (dessutom olagligt) 3) För långa lagringstider vilket drivs av önskemål/kanvara-bra-att-ha-tänk eller tekniska lagringsmöjligheter snarare än faktiskt konstaterade behov 4) Avsaknad av biträdesavtal vilket ökar riskerna för otillbörliga integritetsintrång.

13 Ändamålen måste tydliggöras Ø Ø Ø Ändamålen måste bestämmas innan GPS-systemet tas i drift Systemet får därefter inte användas för andra ändamål Ändamålen måste vara tydliga och förutsägbara och sakligt motiverade i verksamheten Ø Ø Det är inte tillåtet att strössla med personuppgifter Ändamålen styr hur länge uppgifterna får sparas

14 Långtgående informationsskyldighet Informationen ska lämnas innan systemet tas i drift Arbetsgivaren har bevisbördan Informationen ska vara tydlig och utförlig och bland annat innehålla uppgift om: Vilka slags uppgifter som behandlas Ändamålen med behandlingen Hur länge uppgifterna sparas Vilka som kan ta del av uppgifterna inom organisationen Om uppgifterna lämnas till någon utomstående Att de registrerade har rätt att begära registerutdrag och få rättelse

15 GPS för kontroll av arbetstider förbud mot slentrianmässig övervakning. ü Kontroller får dock ske undantagsvis vid konkret misstanke om allvarligt missbruk av arbetsgivarens förtroende ü Förutsätter tydlig information i förväg.

16 GPS för elektronisk körjournalshantering Positioneringssystemen samlar in för mycket och för detaljerad information som dessutom sparas under mycket lång tid. Det möjliggör en onödigt närgången och omfattande insyn i enskildas privata förhållanden under arbetstid.

17 Elektronisk körjournalshantering forts. Datainspektionen har en restriktiv syn på användningen av GPS för elektronisk körjournalshantering eftersom systemen möjliggör en omotiverat närgången övervakning av enskilda. Tidigare: samtyckeskrav Nu: tillåtet med stöd av en intresseavvägning om systemen utformas utifrån principerna om inbyggd integritet (privacy by design).

18 Avslutande reflektioner PuL ofta inget hinder mot GPS, men den begränsar arbetsgivarens handlingsutrymme Lagen är allmänt hållen (otydlig) och därmed svår att tillämpa Många frågor överlåts åt rättstillämpningen att lösa Arbetsrätt och PuL två sidor av samma mynt Läs mer:

19