200 Datum Diarienr 2009 05 13 92 2009 Bolagsverket 851 81 Sundsvall Tillsyn enligt personuppgiftslagen Beslut Datainspektionen bedömer att Bolagsverket med stöd av en intresseavvägning enligt 10 punkten f personuppgiftslagen får behandla personuppgifter som innebär individuell prestationsmätning av anställda med ändamålen att planera, organisera, leda och följa upp arbetet, att identifiera kompetensutvecklingsbehov och som ett verktyg vid individuell lönesättning. Bolagsverket får med samma stöd behandla personuppgifter i realtid i telefonisystemet med ändamålet att kontrollera åtkomst och tillgänglighet i tjänsterna. Datainspektionen vill uppmärksamma Bolagsverket på att en förutsättning för att behandlingen av personuppgifter ska vara tillåten är att tekniken inte används på ett onödigt närgånget eller omfattande sätt, att de anställda har fått tydlig information om vilka kontroller som görs, på vilket sätt de utförs och hur de ska användas och att det finns för ändamålet lämpliga gallringsrutiner Datainspektionen anser i linje med det ovanstående att övervakning i realtid är känsligare än uppföljning i efterhand. Övervakningen i realtid bör därför så långt som möjligt begränsas. Sådan övervakning bör som regel inte heller användas för att vidta åtgärder mot enskilda. Datainspektionen utgår ifrån att Bolagsverket kommer att beakta de synpunkter som lämnats ovan och kommer inte i nuläget att vidta några ytterligare åtgärder. Ärendet ska därför avslutas, men det kan komma att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynsärendet SEKO klubb Bolagsverket (SEKO) har gett in ett klagomål som rör individuell prestationsmätning av anställda samt det förhållandet att det är möjligt för handläggare att dels spela in sina egna telefonsamtal trots att funktionen inte ska vara aktiv, dels internt ringa upp en dator och under vissa förutsättningar kunna lyssna på den närmaste omgivningen kring den datorn. SEKO:s uppfattning är att mätningarna (statistiken) inte ska vara på individnivå utan att det är tillräckligt att den är på sektionsnivå samt att det inte ska vara möjligt att spela in telefonsamtal eller avlyssna en arbetsplats. Datainspektionen har inlett tillsyn mot Bolagsverket som har yttrat sig. Av yttrandet framgår bland annat följande. Från ärendesystemet sammanställs veckovis uppgifter om antalet påbörjade och avslutade ärenden som respektive handläggare har presterat under en vecka. Sammanställningen är tillgänglig för ett begränsat antal personer på Bolagsverket. Sektionscheferna får uppgifter som avser den egna sektionens personal. I telefonisystemet lagras alla uppgifter om telefonin och en gång i månaden görs en sammanställning på sektions och handläggarnivå som lämnas till respektive sektionschef. Varannan vecka sammanställs en lista över felregistreringar som handläggare har gjort under den angivna perioden. Listan lämnas till respektive sektionschef. Ändamålet med statistiken på individnivå är att följa upp verksamhetens produktion för att på så sätt säkerställa rätt bemanning samt för att kunna planera, leda och fördela arbetet. Om handläggningstiderna eller svarsfrekvenserna inte uppfyller de mål och krav som myndigheten har angett ger statistiken underlag för att kunna omfördela ärenden eller resurser samt för att identifiera de anställdas behov av kompetensutveckling. Uppgifter som registreras av Bolagsverkets anställda utgör ett viktigt underlag för åtgärder inom näringslivet. Det är därför av avgörande betydelse att de uppgifter som finns i Bolagsverkets register är korrekta samt att uppföljning av felregistreringar görs för att kunna identifiera kompetensutvecklingsbehov. Bolagsverket tillämpar individuell lönesättning och den individuella uppföljningen är ett av verktygen vid lönesättningen. Bolagsverket kontrollerar dessutom i realtid genom telefonisystemet i vilken omfattning myndigheten når upp till det interna målet för telefonförfrågningar. Om svarsfrekvensen understiger det interna målet, kan genom systemet tas fram en förteckning med uppgift om handläggarnas namn, grupp, roll, tillstånd (ledig eller upptagen), tilldelning, besvarade samtal, obesvarade samtal, medelsamtalslängd och total samtalslängd. Ändamålet med uppföljningen i realtid i telefonisystemet är att kontrollera åtkomst och tillgänglighet Sida 2 av 6
i tjänsterna samt att se till att bemanningen i callcenter motsvarar behovet så att Bolagsverket uppfyller det interna målet vad gäller telefonin. Den person som har det övergripande ansvaret för bemanningen i telefonisystemet gör uppföljningen, men det är även möjligt för respektive chef att ta del av information om den egna personalen i telefonisystemet. Skäl för beslutet En arbetsgivare kan kontrollera sina anställda på olika sätt. Om kontrollen innefattar en datoriserad behandling av personuppgifter gäller personuppgiftslagen. Datainspektionen bedömer att det, i vart fall när det gäller ärendeoch telefonisystemen rör sig om behandling av personuppgifter i strukturerat material, det vill säga att uppgifterna ingår i eller är avsedda att ingå i ett system som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (se 5 a personuppgiftslagen). Det innebär att Bolagsverket måste ta hänsyn till samtliga regler i personuppgiftslagen. Om behandlingen till någon del inte skulle vara strukturerad gäller den begränsningen att behandlingen inte får innebära en kränkning av den registrerades personliga integritet. Datainspektionen gör följande bedömning Behandling av personuppgifter för individuell prestationsmätning av anställda samt för övervakning i realtid. En arbetsgivares rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras, utöver bestämmelserna i personuppgiftslagen, genom arbetsrättsliga regelverk och eventuellt genom kollektivavtal. Det finns även arbetsmiljöaspekter som kan behöva tas hänsyn till när det gäller dessa frågor. På grund av detta anser inspektionen att det är lämpligt att den här typen av frågor i första hand löses mellan arbetsgivaren och de fackliga organisationerna. SEKO har i ärendet ifrågasatt om Bolagsverket får göra mätningar på individnivå genom telefoni och ärendesystemen samt genom att sammanställa felregistreringar. Datainspektionen bedömer att Bolagsverket med stöd av en intresseavvägning enligt 10 punkten f personuppgiftslagen får behandla personuppgifter som innebär individuell prestationsmätning med ändamålen att planera, organisera, leda och följa upp arbetet. Uppgifterna får även användas för att identifiera kompetensutvecklingsbehov och som ett verktyg vid individuell lönesättning. Bolagsverket får med samma stöd behandla personuppgifter i realtid i telefonisystemet med ändamålet att kontrollera åtkomst och tillgänglighet i tjänsterna. Sida 3 av 6
Datainspektionen vill uppmärksamma Bolagsverket på att en förutsättning för att behandlingen av personuppgifter ska vara tillåten är att övriga bestämmelser i personuppgiftslagen följs när det exempelvis gäller grundläggande krav, information och gallring. Grundläggande krav Enligt de grundläggande kraven i 9 personuppgiftslagen får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen med behandlingen bestämmer sedan hur arbetsgivaren får använda de redan insamlade uppgifterna. Arbetsgivaren får inte använda de insamlade uppgifterna för något nytt ändamål som är oförenligt med det för vilket uppgifterna samlades in. Dessutom får inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. All kontroll av anställda som utförs genom behandling av personuppgifter måste med andra ord ha ett i förväg bestämt ändamål som är sakligt grundat i verksamheten. Kontrollen får inte heller utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed på arbetsmarknaden. Att personuppgifter inte får behandlas i strid med god sed kan bland annat innebära att kontroller inte får utföras på ett sätt som innebär en mycket närgången och omfattande övervakning av arbetstagaren. SEKO har uppgett att det förekommer att sektionschefen skickar ett snabbmeddelande till en anställd som har pratat för länge i telefon och frågar om han eller hon pratar med en kund eller privat. Bolagsverket har inte särskilt kommenterat detta men har i enlighet med vad som framgår ovan redogjort för uppföljningen i realtid i telefonisystemet. Som framgår ovan får tekniken inte användas på ett onödigt närgånget eller omfattande sätt. Datainspektionen anser av det skälet att övervakning i realtid är mer känsligt än uppföljning i efterhand. Övervakningen i realtid bör därför så långt som möjligt begränsas. Sådan övervakning bör som regel inte heller användas för att vidta åtgärder mot en enskild. Information I klagomålet har gjorts gällande att de anställda inte har fått tillräcklig information om personuppgiftsbehandlingen. Sida 4 av 6
Bolagsverket har uppgett att de anställda har fått löpande information bland annat genom öppen dialog mellan chefer och medarbetare, genom introduktionsutbildning och genom arbetsplatsträffar. En förutsättning för att behandling av personuppgifter för ändamål som innebär individuell prestationsmätning ska vara tillåten är att de anställda har fått tillräcklig information enligt bestämmelserna i 23 25 personuppgiftslagen. Det måste vara tydligt för de anställda vilka kontroller som görs, på vilket sätt de utförs och hur de ska användas. Informationen ska lämnas i förväg, det vill säga senast i samband med att personuppgifterna samlas in. Det är således inte tillräckligt att lämna informationen först i samband med genomgång av statistiken eller genom annan kommunikation som rör redan utförda prestationer. Gallring När det gäller gallring har Bolagsverket uppgett att utgångspunkten är att gallring av det individuella mätningsmaterialet ska göras efter ett år, samt att det pågår ett arbete med att dokumentera rutiner för gallring och förvaring. Av 9 punkten i) personuppgiftslagen följer att uppgifter som ligger till grund för bland annat statistiken normalt ska gallras ur systemen så snart de inte längre har något betydelse för individuell prestationsmätning. Bolagsverket bör överväga om uppgifterna behöver vara tillgängliga i systemen under så lång tid som ett år. Inspelning av telefonsamtal och överhörning/avlyssning SEKO har klagat på att handläggare kan häva den av arbetsgivaren gjorda avaktiveringen av funktionen Inspelning av telefonsamtal och spela in sina egna samtal. De har också klagat på att det är möjligt att internt ringa upp en dator och lyssna på den närmaste omgivningen kring den datorn. Bolagsverket har uppgett att verket för närvarande utreder frågan om funktionen Inspelning av telefonsamtal ska vara aktiv, så att handläggare eventuellt kan spela in hotfulla samtal samt att man arbetar tillsammans med bland annat leverantören för att lösa problemet med överhörning/avlyssning. Mot bakgrund av detta finner inte Datainspektionen skäl att i dagsläget ha några synpunkter i dessa delar. Sida 5 av 6
Avslutande synpunkter Datainspektionen utgår från att Bolagsverket kommer att beakta de synpunkter som lämnats ovan, bland annat i fråga om övervakning av anställda i realtid och information till de registrerade, och kommer i nuläget inte att vidta några ytterligare åtgärder. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Britt Marie Wester, datarådet Agneta Runmarker och juristen Katarina Högquist, föredragande. Göran Gräslund Katarina Högquist Kopia till: SEKO Klubb Bolagsverket, Personuppgiftsombudet. Sida 6 av 6