Datum Dnr 2008-02-29 806-2007 Kidde Sweden AB Box 90 120 120 21 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda Datainspektionens beslut Datainspektionen ser utifrån personuppgiftslagens bestämmelser inga principiella hinder mot att Kidde Sweden AB (bolaget) använder positioneringsteknik för nedan angivna ändamål, under förutsättning att bolaget beaktar Datainspektionens synpunkter i fråga om information till de anställda, gallring av uppgifter i systemet och IT-säkerhet: Lokalisering av närmaste resurs Arbetsplanering/effektivisering Fakturering Datainspektionen bedömer däremot att det strider mot de grundläggande kraven i 9 personuppgiftslagen och är otillåtet efter en intresseavvägning enligt 10 punkten f) samma lag, att använda positioneringsteknik för nedan angivna ändamål: Kontroll av arbetad tid enligt anställningsavtal Ersätta bilbok för att för Skatteverket bevisa att servicebilarna används enligt gällande föreskrifter Undantagsvis kan det vara tillåtet för bolaget att använda positioneringsteknik i syfte att kontrollera att anställda följer avtalade arbetstider. Men i så fall krävs en konkret misstanke om allvarligt missbruk av tidsredovisningen. Datainspektionen påpekar vidare att bolaget är skyldigt att se till att det finns ett skriftligt avtal (biträdesavtal) mellan bolaget och företaget Cybit. Bolaget måste också informera de anställda som finns registrerade i Fleetstar Online om att personuppgifter inte enbart behandlas av bolaget, utan även av företaget Cybit. De registrerade ska också informeras om sin rätt att begära registerutdrag och vid behov begära rättelse av uppgifter i systemet. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (8) Datainspektionen påpekar dessutom att det inte är tillåtet att spara uppgifterna i Fleetstar Online under så lång tid som fem år. Bolaget måste därför se över gallringsrutinerna i systemet, så att uppgifterna inte lagras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bolaget måste också se till att det finns en behandlingshistorik, med vars hjälp det ska gå att utreda felaktig eller obehörig användning av personuppgifterna i systemet. Bolaget måste slutligen se till att det finns rutiner för hur man följer upp behandlingshistoriken, exempelvis genom stickprovskontroller. Datainspektionen utgår från att bolaget kommer att beakta de påpekanden som lämnats ovan, om man avser att använda positioneringsteknik i sin verksamhet. Med dessa påpekanden avslutas ärendet. Datainspektionen kan komma att följa upp ärendet. Redogörelse för tillsynsärendet Datainspektionen har genom två stycken klagomål uppmärksammats på att bolaget utrustat sina servicebilar med GPS-teknik, som möjliggör en övervakning av deras anställda servicetekniker. I klagomålen anges bland annat att anställda känner sig bevakade och att de är rädda för vad bolaget kan komma att använda de insamlade uppgifterna till. Enligt klagandena har bolaget lämnat undermålig information till de anställda i samband med införandet av GPS-tekniken. Klagandena ifrågasätter också behovet av positioneringsteknik för de ändamål som uppgetts. De skäl som redovisats till stöd för införandet av GPS-teknik är inte heller av sådan tyngd att de väger över de anställdas behov av skydd för den personliga integriteten. Klagandena anger också att den lokala fackföreningen motsatt sig behandlingen. Datainspektionen har med anledning av vad som anges i klagomålen beslutat att inleda tillsyn mot bolaget. Bolaget har inkommit med yttrande, av vilket framgår i huvudsak följande: Bilarna som GPS-utrustningen är placerad i är företagsbilar som inte får användas privat. GPS-tekniken är ett utmärkt sätt för bolaget att kontrollera att fordonen inte används privat och gör det också möjligt för bolaget att vid behov bevisa detta för Skatteverket. Genom att utrusta fordonen med GPS-teknik slipper de anställda att föra körjournaler och bolaget undviker den manuellt klumpiga hantering som det innebär att kontrollera journalerna. GPSutrustningen är också det enda effektiva sättet för bolaget att kontrollera att de anställda följer avtalade arbetstider. GPS-systemet används också för att mäta individuella prestationer. Med hjälp av tekniken går det till exempel att se om servicepersonalen utför sina servicearbeten på ett välplanerat sätt, vilket gör det möjligt för bolaget att sätta in enskilda stödåtgärder när det är befogat. Med hjälp av GPS-teknik är det också enkelt att lokalisera den servicetekniker som är närmast kunden, något som är till stor hjälp när kunder är i behov av omedelbar assistans. GPS-utrustningen används också som underlag för att fakturera kunder.
3 (8) Bolaget har inte inhämtat samtycke till behandlingen från de registrerade. Men bolaget anser att behandlingen är tillåten dels för att uppfylla krav från skatteverket, dels för att kontrollera arbetad tid enligt anställningsavtal, dels med stöd av en intresseavvägning. Bolaget har informerat de anställda om behandlingen dels i samband med lokala fackliga förhandlingar på de platser där systemet har införts, dels regionalt vid ett obligatoriskt månadsmöte innan systemet infördes i bolagets verksamhet. Bolaget har också vidtagit säkerhetsåtgärder för att skydda de personuppgifter som samlas in. Tillgången till det datasystem som används för övervakningen är till exempel begränsad till bolagets IT-chef och de lokala arbetsledarna respektive regioncheferna. Arbetsledarna och regioncheferna har enbart tillgång till uppgifter om den egna personalen och inte till uppgifter om sådan personal som arbetar i andra regioner. Åtkomsten till datasystemet begränsas med användar-id och lösenord. Enligt bolaget bevaras uppgifterna i systemet i fem år. Denna lagringstid anser bolaget är motiverad eftersom bolaget måste kunna styrka för Skatteverket att bilarna inte används privat. Skäl för beslutet Allmänt Ni använder ett GPS-system med beteckningen Fleetstar Online. Systemet tillhandahålls av företaget Cybit och möjliggör positionering av era servicefordon genom GPS-mottagare som är placerade i fordonen. Informationen som inhämtas med GPS-mottagarna skickas veckovis eller på er begäran via GSM-nät till Cybits svenska servrar. Från de svenska servrarna skickas informationen vidare till Cybits engelska servrar, där informationen bearbetas och läggs ut på Cybits webbplats. Ni kan logga in på webbplatsen med användarnamn och personliga lösenord och följa de egna fordonen i realtid eller ta del av olika historiska data om era fordon. Med hjälp av systemet går det bland annat att ta fram arbetsrapporter som visar hur fordonen använts under dagen, till exempel vilka adresser som besökts, när de besökts och hur länge fordonen vistats vid olika adresser. Det är också möjligt att kontrollera hur fordonen använts under helger, till exempel vilka adresser som besökts och tidpunkten för besöken. Ni har redovisat fem stycken ändamål med behandlingen av personuppgifter i Fleetstar Online: 1. ersätta bilbok för att för Skatteverket bevisa att servicebilarna används enligt gällande föreskrifter 2. kontroll av arbetad tid enligt anställningsavtal 3. lokalisering av närmaste resurs 4. arbetsplanering/effektivisering 5. fakturering Är personuppgiftslagen tillämplig? Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad (5 personuppgiftslagen). Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 personuppgiftslagen). Eftersom ni kan identifiera enskilda
arbetstagare med hjälp av Fleetstar Online omfattas denna behandling av personuppgiftslagen. 4 (8) Strukturerad eller ostrukturerad behandling? Den 1 januari 2007 trädde ändringar i personuppgiftslagen i kraft som innebär en förenklad reglering för behandling av personuppgifter i ostrukturerat material utan koppling till en registerstruktur, till exempel behandling av uppgifter i löpande text i ett dokument. Sådana uppgifter får i princip behandlas fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet. Men Datainspektionen bedömer att personuppgifterna i Fleetstar Online har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Det rör sig därför om behandling av personuppgifter i så kallat strukturerat material. Det innebär i princip att ni måste beakta alla regler i personuppgiftslagen (5 a personuppgiftslagen). Personuppgiftsansvar och personuppgiftsbiträden I 3 personuppgiftslagen definieras vem som är personuppgiftsansvarig för en viss behandling. Av paragrafen framgår att den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter är personuppgiftsansvarig. Vidare framgår att den som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde. Den aktuella informationen i Fleetstar Online lagras och bearbetas på företaget Cybits servrar. Detta innebär att personuppgifter inte enbart behandlas av er, utan också av företaget Cybit. Såvitt har framkommit i ärendet är ni ansvarig för behandlingen och Cybit utför behandlingen enligt era instruktioner. Vi anser därför att ni är personuppgiftsansvarig för den personuppgiftsbehandling som sker i systemet och att Cybit är personuppgiftsbiträde. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska det enligt 30 personuppgiftslagen finnas ett skriftligt avtal, ett så kallat biträdesavtal. I det avtalet ska det särskilt föreskrivas att biträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Skyldigheten att upprätta biträdesavtal syftar till att ge garantier för att säkerheten för personuppgifter inte påverkas negativt när den personuppgiftsansvarige väljer att anlita ett personuppgiftsbiträde istället för att själv utföra personuppgiftsbehandlingen. Det framgår inte om ni i förevarande fall upprättat något biträdesavtal med Cybit. För att garantera säkerheten för uppgifterna om de anställda måste ni upprätta sådana avtal.
Är behandlingen av personuppgifter i Fleetstar Online tillåten? 5 (8) Datainspektionen ser utifrån personuppgiftslagens bestämmelser inte något principiellt hinder mot att en arbetsgivare använder positioneringsteknik för att effektivisera sin verksamhet. Men användningen av tekniken får inte strida mot de grundläggande kraven i 9 personuppgiftslagen. Det innebär bland annat att användningen måste vara sakligt grundad i företagets verksamhet. Det är inte heller tillåtet att behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Behandlingen får inte heller utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed på arbetsmarknaden. Att personuppgifter inte får behandlas i strid med god sed innebär bland annat att behandlingen inte får ske på ett sätt som innebär mycket närgången och omfattande övervakning av arbetstagaren. Arbetsgivaren är också skyldig att iaktta bestämmelserna i 10 personuppgiftslagen. Paragrafen innehåller en uttömmande uppräkning av i vilka fall det överhuvudtaget är tillåtet att behandla personuppgifter. Utgångspunkten är att personuppgifter får behandlas om den registrerade har lämnat sitt samtycke till behandlingen. Behandlingen kan även vara tillåten med stöd av till exempel en intresseavvägning, om behandlingen är nödvändig och intresset av att behandla uppgifterna är större än den anställdes intresse av att uppgifterna inte behandlas. Hur en sådan intresseavvägning utfaller beror på omständigheterna i det enskilda fallet. Vid denna bedömning bör man bland annat ta hänsyn till ändamålen med behandlingen och om arbetsgivaren följer reglerna i personuppgiftslagen, exempelvis i fråga om kravet på information, väl avvägda gallringsrutiner samt skydd mot obehörig åtkomst. Innehållet i fackliga överenskommelser kan också ha betydelse för om behandling av personuppgifter i kontrollsyfte är tillåten med stöd av en intresseavvägning enligt personuppgiftslagen. När det gäller den behandling av personuppgifter som granskats inom ramen för detta ärende gör Datainspektionen följande bedömning: Användningen av positioneringsteknik i arbetslivet kan vara tillåten med stöd av en intresseavvägning, så länge användningen av denna teknik har ett ändamål som ligger i linje med företagets verksamhet. Ändamål som typiskt sett är godtagbara kan vara säkerhet, logistik, fördelning av resurser och underlag för fakturering. Vi bedömer att er användning av Fleetstar Online i syfte att i realtid lokalisera närmaste resurs är tillåten med stöd av en intresseavvägning. Vi gör samma bedömning när det gäller användningen av systemet för arbetsplanering/effektivisering samt fakturering. Denna bedömning bygger på att ni beaktar våra synpunkter i fråga om information till de anställda, gallring av uppgifter i systemet och IT-säkerhet. Att använda tekniken i syfte att övervaka de anställdas arbetstider ligger utanför det område som man, typiskt sett, använder positioneringstekniken till. Ett sådant ändamål måste vara förenligt med vad som är god sed på
6 (8) arbetsmarknaden. Arbetsgivarens rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras genom arbetsrättsliga regelverk och eventuella tvister inom det här området bör i första hand lösas av parterna på arbetsmarknaden. Vid en bedömning om brukandet av den här tekniken i syfte att övervaka anställda är förenlig med personuppgiftslagen, bör man dels jämföra om de metoder som idag används på arbetsplatsen för detta ändamål är lika ingripande, dels bedöma om det finns andra alternativ som innebär ett mindre intrång i den personliga integriteten och dels pröva om arbetsgivaren har sådana problem att en skärpt övervakning är sakligt motiverad. Man måste också beakta om det utifrån det aktuella ändamålet är relevant att använda positioneringsteknik. Vi bedömer att er användning av Fleetstar Online i syfte att övervaka de anställdas arbetstider innebär en mer omfattande övervakning än vad som är nödvändigt för att tillgodose det avsedda syftet. Behovet kan tillgodoses på ett mindre integritetskränkande sätt, exempelvis genom tidrapportering. Behandlingen för detta ändamål strider därför mot de grundläggande kraven i 9 personuppgiftslagen och är inte tillåten med stöd av en intresseavvägning. Undantagsvis kan det däremot vara befogat att använda systemet för att kontrollera anställdas arbetstider. Det krävs i så fall en konkret misstanke om allvarligt missbruk av arbetstidsredovisningen. Att använda tekniken i syfte att bevisa för Skatteverket att servicebilarna inte används privat ligger även det utanför det område som man, typiskt sett, använder positioneringstekniken till. Vi bedömer att övervakningen även för detta ändamål innebär en mer omfattande övervakning än vad som är motiverat utifrån det avsedda ändamålet och att den därför är otillåten med stöd av en intresseavvägning. För att tekniken ska få användas för detta ändamål, krävs samtycken från berörda arbetstagare. Information till de registrerade Arbetsgivaren måste informera i enlighet med 23-25 personuppgiftslagen om den personuppgiftsbehandling som sker i samband med övervakning av den anställde. Den anställdes intresse att få information kan förväntas vara särskilt starkt när det gäller vilka kontroller som han eller hon kan komma att utsättas för med hjälp av de insamlade uppgifterna. Information ska normalt lämnas självmant av arbetsgivaren innan uppgifterna samlas in, men behöver inte lämnas vid varje enskilt kontrolltillfälle. Informationen ska omfatta följande uppgifter: - uppgift om vem som är personuppgiftsansvarig, - uppgift om ändamålen med behandlingen, - all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information (registerutdrag) och få rättelse. Ni har angett att ni lämnat information till de anställda om behandlingen av personuppgifter i Fleetstar Online dels i samband med lokala fackliga förhandlingar på de platser där systemet införts, dels regionalt vid ett
7 (8) obligatoriskt månadsmöte innan systemet infördes i er verksamhet. Men av er redogörelse framgår inte närmare vilken information ni lämnat. Det är till exempel oklart om ni informerat de registrerade om att uppgifterna i Fleetstar Online inte enbart behandlas av er utan även av företaget Cybit. Det framgår inte heller om ni informerat de registrerade om deras rätt att begära registerutdrag och vid behov begära rättelse av uppgifter i systemet. Om ni inte redan lämnat sådan information, måste ni se till att komplettera informationen till de registrerade. Gallring av personuppgifter Ett av de grundläggande kraven som ställs på behandlingen av personuppgifter är att dessa inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det innebär att det är ändamålet, det vill säga anledningen till att personuppgifterna behandlas, som avgör hur länge uppgifterna får bevaras i identifierbart skick. Ni har angett att ni sparar uppgifterna i systemet i fem år för att kunna styrka för Skatteverket att servicebilarna inte används för privat bruk. Eftersom vi anser att behandlingen av personuppgifter i systemet för detta ändamål är otillåten är det inte heller tillåtet att spara uppgifterna i systemet under så lång tid. Ni måste därför se över gallringsrutinerna i systemet så att uppgifterna inte lagras under längre tid än vad som är nödvändigt för de tillåtna ändamålen. IT-säkerhet Den personuppgiftsansvarige är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 ). Åtgärderna ska ställas i relation till de tekniska möjligheter som finns, kostnaderna för åtgärderna, de risker som finns samt de behandlade uppgifternas känslighet. Användning av positioneringsteknik kan upplevas som integritetskränkande och uppgifter som samlas in kan missbrukas. Datainspektionen anser därför att man måste ställa relativt höga krav på säkerheten. Åtkomsten till Fleetstar Online är åtkomstskyddad och behörighetsstyrd. Men det framgår inte om det finns rutiner för att kontrollera åtkomsten till personuppgifterna i systemet. Om det saknas sådana rutiner måste ni införa dem. Med hjälp av behandlingshistorik ska det gå att utreda felaktig eller obehörig användning. Det ska även finnas rutiner för hur man följer upp loggar, till exempel genom stickprovskontroller. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt.
8 (8) Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Britt-Marie Wester och juristen Oskar Öhrström, föredragande. Göran Gräslund Oskar Öhrström Kopia till: 1. Personuppgiftsombudet Peter Swahn, Kidde Sweden AB, Box 90 120, 120 21 Stockholm 2. Klagandena