Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsynsbeslut; omdömen om elever

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling vid systemtester

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Tillsyn - äldreomsorg

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Personuppgiftsbehandling för forskningsändamål

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av hotell

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Transkript:

Datum Diarienr 2013-01-14 1369-2012 Polismyndigheten i Örebro Län Box 1804 701 18 Örebro Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda Datainspektionens beslut Datainspektionen bedömer att polismyndighetens kontroll av arbetstid med hjälp av personuppgifterna i sitt in- och utpasseringssystem är tillåten under förutsättning att det finns särskild anledning att misstänka att en anställd begår oegentligheter eller missbrukar tidredovisningen. Datainspektionen har ingen möjlighet att bedöma om dessa förutsättningar varit uppfyllda i det här ärendet. Datainspektionen konstaterar att polismyndigheten i Örebro behöver se över och förtydliga ändamålsbeskrivningen för in- och utpasseringssystemet samt förtydliga den information som ska lämnas till de registrerade enligt personuppgiftslagen (23-25 ). Datainspektionen förutsätter att polismyndigheten vidtar dessa åtgärder. Tillsynsärendet avslutas. Sammanfattande redogörelse för tillsynsärendet På grund av misstanke om att en anställd allvarligt har misskött sin tidredovisning har polismyndigheten initierat en arbetsrättslig utredning och inom ramen för den kontrollerat om den rapporterade flextiden avvek från de tider som registrerats i in- och utpasseringssystemet. Ändamålet med in- och utpasseringssystemet har varit att upprätthålla säkerheten för myndighetens lokaler. Polismyndigheten menar dock att andra behandlingar kan komma att ske inom ramen för ändamålet som exempelvis att utföra kontroller vid brott mot anställningsavtal. Detta är dock, enligt polismyndigheten, inte tydligt preciserat. Vidare får de anställda ingen information om att deras uppgifter i in- och utpasseringssystemet kan komma att i undantagsfall användas i Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

samband med kontroll av redovisad arbetstid. Polismyndigheten avser att snarast se över och vid behov förtydliga den information som lämnas till de anställda. Kontroll av redovisad arbetstid som skett i det aktuella fallet anser polismyndigheten vila på arbetsrättslig grund och en intresseavvägning enligt 10 punkten f) personuppgiftslagen. Redogörelse för tillsynsärendet Datainspektionen har tagit emot ett klagomål som gör gällande att Polismyndigheten i Örebro län (polismyndigheten) har använt uppgifter ur loggar från polismyndighetens in- och utpasseringssystem i syfte att utreda misstanke om en polisinspektör fuskat med tidredovisningen. Datainspektionen har mot bakgrund av klagomålet inlett tillsyn mot polismyndigheten, som bl.a. framfört följande. De anställda anger sina arbetstider i ett separat digitalt system som kallas för Cops (centralt operativt planeringssystem). Redovisningen sker veckovis och de anställda klarmarkerar när detta är gjort. Berörd chef går därefter in och attesterar varje klarmarkerad vecka för respektive person. Misskötsel av tidredovisningen kan i vissa fall betraktas som brott mot anställningsavtalet. Vid konkreta misstankar om att en anställd allvarligt misskött tidredovisningen genom att ange felaktiga tider kan därför beslutas om inhämtande av underlag för en arbetsrättslig utredning. Logguttag ur inoch utpasseringssystemet uppges då vara en av flera informationskällor vid bedömningen av om den anställde har misskött sina åtaganden på ett sådant sätt att denne kan anses ha brutit mot anställningsavtalet. I det aktuella fallet uppmärksammade berörd chef att de tider som registrerats och klarmarkerats i Cops inte verkade stämma med de tider man har uppfattat att den anställde varit i och utanför polismyndighetens lokaler. Mot bakgrund av att man ansåg att avvikelserna varit så stora ansågs det finnas skäl för en arbetsrättslig utredning och inom ramen för den kontrollera om den rapporterade flextiden avvek från de tider som registrerats i in- och utpasseringssystemet. Polismyndigheten har till personuppgiftsombudet anmält att ändamålet för behandlingen av personuppgifter i in- och utpasseringssystemet är att upprätthålla ett befintligt larm och inpassersystem för Polismyndigheten, Häktet och Åklagarmyndigheten. Ändamålet med systemet är inte enbart avgränsat till att upprätthålla säkerheten för myndighetens lokaler, utan syftet är även att vid behov kunna kontrollera vilka som vid ett givet tillfälle vistas/vistats i myndighetens lokaler till exempel i händelse av brand eller Sida 2 av 5

annan akut situation, vid brott begångna i lokaler dit endast ett fåtal har tillträde eller vid misstankar om brott mot gällande anställningsavtal. Det är polismyndighetens uppfattning att behandlingen av personuppgifter i in- och utpasseringssystemet skett även med syfte att i efterhand kunna kontrollera vem som passerat in på viss angiven plats och tid till exempel i samband med kontroll av anställdas tidredovisning. Myndigheten noterar dock att det i den aktuella anmälan inte tydligt preciserats att de insamlade personuppgifterna i vissa undantagsfall kan komma att användas för kontroll av anställdas tidredovisning. Polismyndigheten kommer med anledning av vad som framkommit i ärendet att snarast se över och förtydliga ändamålen. Polismyndigheten inhämtar inte något uttryckligt samtycke till behandlingen av personuppgifter för varje enskilt IT-system. Kontroll av redovisad arbetstid genom uttag av loggar från inpasseringssystemet som skett i det aktuella fallet får anses vila på arbetsrättslig grund och en intresseavvägning enligt 10 punkten f) personuppgiftslagen. Intresset av att kontrollera och följa upp konkreta misstankar om att den anställde allvarligt misskött sin tidredovisning anser polismyndigheten väger tyngre än den anställdes intresse av integritetsskydd. Anställda får till viss del information om personuppgiftsbehandling och loggning i samband med nyanställning, inloggning till datorer och internutbildning. Med hänsyn till ändamålens utformning är det dock tveksamt om de anställda tillräckligt tydligt har uppmärksammats på att de insamlade uppgifterna i in- och utpasseringssystemet i undantagsfall också kan komma att användas i samband med kontroll av redovisad arbetstid. Polismyndigheten avser att snarast se över och vid behov förtydliga den information som lämnas till de anställda. Skäl för beslutet Ändamålet med behandlingen Polismyndigheten behandlar personuppgifter från sitt in- och utpasseringssystem för att upprätthålla säkerhet i sina lokaler men också för kontroll av redovisad arbetstid. Ändamålsbeskrivningen för systemet har dock haft en övergripande utformning. Att personuppgifter samlas in i in- och utpasseringssystemet för kontroll av redovisad arbetstid har, som polismyndigheten själv uppgett, inte angivits uttryckligen. Mot den bakgrunden kan den aktuella behandlingen dvs. kontroll av arbetad tid inte anses omfattas av det ändamål för vilket uppgifterna i in- och utpasseringssystemet samlas in. Som polismyndigheten framfört behöver ändamålsbeskrivningen ses över och förtydligas. Frågan är då om polismyndigheten har levt upp till finalitetsprincipen dvs. det grundläggande kravet i personuppgiftslagen om att personuppgifter inte får behandlas för Sida 3 av 5

något ändamål som är oförenligt med det för vilket uppgifterna samlades in (se 9 punkten d) personuppgiftslagen). I en sådan bedömning får man hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man i en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Datainspektionen anser att en anställd hypotetiskt sett måste kunna räkna med att in och utpasseringssystem i vissa fall kan komma att användas för kontroll av arbetstid. Ändamålet kontroll av arbetstid kan därför typiskt sett inte anses som ett oförenligt ändamål för in- och utpasseringssystem. Att som polismyndigheten använda sitt in- och utpasseringssystem för kontroll av arbetstid lever alltså upp till finalitetsprincipen. För att polismyndighetens behandling ska vara laglig fordras dock att behandlingen också är tillåten enligt övriga bestämmelser i personuppgiftslagen. Tillåten behandling Det saknas samtycke till den aktuella personuppgiftsbehandlingen. Nästa steg i bedömningen blir därför att pröva om den behandling som polismyndigheten utför är tillåten enligt någon annan grund i 10 personuppgiftslagen. Den grund som polismyndigheten hänvisat till i det nu aktuella fallet är en intresseavvägning enligt 10 punkten f) personuppgiftslagen. Arbetsgivarens rätt att leda och fördela arbetet är en grundläggande princip inom arbetsrätten. Med den rätten följer också en rätt att följa upp hur arbetet utförs eller om givna instruktioner och regler följs. Kontroll av anställda kan således vara tillåten med stöd av en intresseavvägning, om det behövs och om arbetsgivarens intresse av kontrollen väger tyngre än den anställdes intresse av att slippa den. Kontrollen måste även vara förenlig med god sed. Eftersom in- och utpasseringssystemet i det här fallet inte har haft kontroll av arbetad tid som ett angivet syfte, är huvudregeln att arbetsgivaren inte har rätt att rutinmässigt och återkommande använda systemet för att kontrollera de anställdas arbetstider. Om det däremot finns särskild anledning att misstänka att en anställd begår oegentligheter eller missbrukar tidredovisningen, är det rimligt att arbetsgivaren har möjlighet att utreda detta. I ett sådant fall bedömer Datainspektionen att arbetsgivaren kan stödja sig på en intresseavvägning enligt 10 punkten f) personuppgiftslagen för att utreda omständigheterna med hjälp av ett in- och utpasseringssystem. Datainspektionen bedömer således att det i särskilda fall kan vara befogat att använda in- och utpasseringssystem för att kontrollera anställdas arbetstider. Sida 4 av 5

Det krävs i så fall en konkret misstanke om missbruk av arbetstidredovisningen. Om dessa förutsättningar för tillåten behandling varit uppfyllda har Datainspektionen ingen möjlighet att bedöma. Om det i det aktuella klagomålet funnits grund för misstanke om missbruk av tidredovisningen är en fråga som ligger utanför ramen för Datainspektionens prövning i tillsynsärendet mot polismyndigheten. Datainspektionen tar således inte ställning i den frågan. Den frågan hör hemma i en arbetsrättslig hantering. Informationen Polismyndigheten har uppgivit att informationen till de anställda är bristfällig och att myndigheten har för avsikt att se över och förtydliga informationen. Enligt 23 25 personuppgiftslagen ska polismyndigheten informera de anställda om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Datainspektionen förutsätter att polismyndigheten kommer att lämna den information till de registrerade som följer av 23 25 personuppgiftslagen. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Britt-Marie Wester samt juristen Salomeh Fanaei, föredragande. Göran Gräslund Salomeh Fanaei Kopia till: Personuppgiftsombudet N.N. Ombudet N.N. Sida 5 av 5