Datum Diarienr 2011-11-30 695-2011 Dagab AB Box 441 401 26 Göteborg Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda Datainspektionens beslut Datainspektionen ser utifrån personuppgiftslagens bestämmelser inget principiellt hinder mot att Dagab AB (bolaget) behandlar personuppgifter för ändamål som innebär prestationsbaserad lönesättning, såväl på gruppnivå som individuellt, samt för uppföljningssamtal. En förutsättning är att bolaget beaktar Datainspektionens synpunkter i fråga om ändamål, kontroller samt information till de anställda. Datainspektionen förelägger bolaget att se till att de anställda informeras om behandlingen i enlighet med 23-25 personuppgiftslagen. Bolaget ska inkomma med en skriftlig redovisning över den kompletterade informationen till de anställda till Datainspektionen senast 1 mars 2012. Datainspektionen förutsätter att bolaget begränsar behörigheten till personuppgifter i de s.k. allmänna datorerna samt att bolaget upprättar nödvändiga biträdesavtal med sina personuppgiftsbiträden. Ärendet avslutas men kommer att följas upp. Redogörelse för tillsynsärendet Datainspektionen har mottagit ett klagomål som gör gällande att anställda vid varumottagningen i Dagab i Göteborg utsätts för en närgången och omfattande övervakning genom flera olika datoriserade system. Enligt klaganden används flera av systemen utan någon facklig förhandling, de anställda har inte informerats och realtidsövervakning förekommer. Det är enligt klaganden Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
möjligt att på ett flertal allmänna datorer se hur mycket arbetskamraterna har kört under dagen. Datainspektionen har beslutat att inleda tillsyn mot bolaget, i dess egenskap av personuppgiftsansvarig för den aktuella personuppgiftsbehandlingen. Av bolagets redogörelse framgår bland annat följande. Bolaget övervakar de anställda genom olika datoriserade system för ändamål som innebär att leda, organisera, planera och följa upp verksamheten och som ett verktyg vid individuell lönesättning. Det finns ett avtal rörande det prestationsbaserade lönesystemet med Handelsklubben som innebär att bolaget kan ta fram statistik över individuell eller en grupps prestation i form av vissa mått på produktivitet. Detta görs i fråga om två arbetsuppgifter nämligen arbetet med lyftartruck samt vid orderexpediering. Arbetsledningen har även regelbundna uppföljningssamtal där enskild medarbetare tillsammans med den ansvarige arbetsledaren bland annat går igenom produktivitet och kvalitet för nämnda arbetsuppgifter. För att ha ett underlag till att mäta produktivitet och kvalitet för arbetsuppgifterna orderplock samt nedlyft på månadsbasis kan bolaget använda de datoriserade systemen för att ta fram personuppgifter på individnivå. Bolaget tar exempelvis fram alla kundreklamationer på individnivå och detta ligger till grund för kvalitetsbedömningen i lönesystemet. Dessa används sen i de utvecklingssamtal och uppföljningssamtal som bolaget regelbundet håller med sina medarbetare. På Dagab finns datasystem där det är möjligt att övervaka medarbetare i realtid. Realtidsövervakning sker bl.a. i ett program Pick by Voice och normalt sett på gruppnivå. De ändamål som angivits för detta är att arbetsledningen ska veta hur mycket av dagens sammanlagda ordrar som hunnit bli plockade vid en viss tidpunkt för att kunna göra rätt prioriteringar och kunna sätta in sina resurser på rätt ställen. I undantagsfall kan det bli aktuellt att söka rätt på en specifik order samt vilken expeditör som hanterar den och hur långt den anställde har kommit i ordern. Den funktionen används endast då arbetsledningen måste meddela expeditören ny information om ordern t.ex. när det är tidsbrist. Sida 2 av 9
Det finns även möjlighet att ta ut tidloggar på vissa arbetsuppgifter avseende enskilda medarbetare som t.ex. tagit för långa raster trots muntliga tillsägelser vilket också har skett. Bolaget uppger att behandlingen sker med stöd av ett samtycke från de anställda. Bolaget och Axfoodkoncernen har som rutin i sin introduktion av sina nyanställda att lämna ut skriftlig information avseende företagets behandling av personuppgifter. Den anställde kvitterar att de mottagit denna information. Det finns olika behörigheter för åtkomst till personuppgifter i de olika systemen. HR-avdelningen har behörighet att se samtliga medarbetare inom sitt ansvarsområde. Den information som krävs för att räkna ut rätt lön i det prestationsbaserade lönesystemet skickas till personalavdelningen. Logistikadministratörer har tillgång till information på individnivå i de fall arbetsuppgifterna kräver det. I vissa fall sköter koncernens IT-organisation samt administrativa center (Axfood IT och Axfood SSC) systemförvaltningen och har därmed tillgång till personuppgifter t.ex. för löneutbetalning. Ingen utanför Axfood har tillgång till systemen. Det finns fyra arbets-pc som för närvarande finns placerade vid två varumottagningsavdelningar. Dessa är inte avsedda att vara allmänna datorer utan terminalerna är till för bolagets varumottagare. När de inte bemannar datorerna finns det en möjlighet för obehöriga medarbetare att vistas vid datorn. I ett av datasystemen, Huvgot, finns det möjlighet för bl.a. varumottagare att se och ta fram en rapport över antal utförda uppdrag. För att säkerställa att ingen obehörig kan göra rapporter i Huvgot uppger bolaget att rapportalternativet ska plockas bort i medarbetarnas användarbehörighet. Uppgifterna skyddas per användarbehörighet. Medarbetare inom bolaget som har dator som arbetsredskap har ett PC-konto till vilket ett personligt användarnamn och lösenord är kopplat. Det finns ingen facklig överenskommelse angående övervakning av de anställda i dagsläget. Bolaget uppger att avsikten är att snarast förhandla med facket i frågan. Dagab uppger att nödvändiga biträdesavtal som saknas ska upprättas efter kontakt med berörda funktioner inom koncernen. Det finns olika gallringsrutiner för olika uppgifter och de sparas inte längre än nödvändigt. Sida 3 av 9
Skäl för beslutet Är personuppgiftslagen tillämplig? Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det är enligt Datainspektionens bedömning frågan om en sådan automatisk behandling i det aktuella fallet som omfattas av personuppgiftslagens bestämmelser, då det i de olika lagersystemen är möjligt att få fram uppgifter om enskilda arbetstagare. Strukturerat eller ostrukturerat? Personuppgiftslagen kan sägas innehålla två skilda regelsystem. För det första innehåller lagen en rad så kallade hanteringsregler för behandling av personuppgifter i strukturerat material, såsom register, databaser och ärende- och dokumenthanteringssystem. För det andra innehåller lagen en förenklad reglering för behandling av personuppgifter i så kallat ostrukturerat material, utan koppling till en registerstruktur, såsom löpande text och ljud och bild. Det framgår av 5 a personuppgiftslagen. Sådana uppgifter får i princip behandlas fritt så länge det inte uppkommer en kränkning av registrerades personliga integritet. Datainspektionen bedömer att personuppgifterna vid aktuell behandling har struktureras för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Det rör sig därför om behandling av personuppgifter i så kallat strukturerat material. Det innebär i princip att samtliga regler i personuppgiftslagen ska beaktas. Behandling av personuppgifter för individuell prestationsmätning av anställda Enligt de grundläggande kraven i 9 personuppgiftslagen får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen med behandlingen bestämmer sedan hur arbetsgivaren får använda de redan insamlade uppgifterna. Arbetsgivaren får inte använda de insamlade personuppgifterna för något nytt ändamål som är oförenligt med det för vilket uppgifterna samlades in. Dessutom får inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. All kontroll av anställda som sker genom behandling av personuppgifter måste med andra ord ha ett i förväg bestämt ändamål som dessutom är sakligt grundat i verksamheten. Kontrollen får inte heller utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed på arbetsmarknaden. Att personuppgifter inte får behandlas i strid med god sed kan bl.a. innebära att kontroller inte får ske på ett sätt som innebär mycket närgången och omfattande övervakning av arbetstagaren. Sida 4 av 9
Under förutsättning att kraven i 9 personuppgiftslagen är uppfyllda, får behandling av personuppgifter för individuell prestationsmätning anses tillåten om den registrerade har lämnat sitt samtycke till behandlingen. Bolaget har uppgett att samtycke till aktuell personuppgiftsbehandling inhämtas vid introduktion av de nyanställda. I personuppgiftslagen definieras samtycke som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Inom arbetslivet kan det vara svårt för arbetsgivare att stödja sig på ett frivilligt samtycke från de anställda. Detta beror på att de anställda ofta befinner sig i en beroendeställning gentemot sina arbetsgivare och därför inte kan lämna sådana frivilliga samtycken som personuppgiftslagen kräver. Datainspektionen anser att behandling av personuppgifter i arbetslivet med stöd av samtycke begränsas till sådana situationer där arbetstagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Innan en person har blivit anställd är beroendeställningen till arbetsgivaren inte lika stor och ett samtycke som lämnas i samband med anställningstillfället kan därför i normalfallet anses vara frivilligt. Att samtycket ska vara en otvetydig viljeyttring innebär att det inte får råda någon tvekan om att den anställde godtar behandlingen av personuppgifter som rör honom eller henne. Bolaget har som rutin i samband med introduktion av nyanställda att lämna ut skriftlig information om bolagets personuppgiftsbehandling som den anställde sedan kvitterar. Endast mottagande av information och att den anställde kvitterar att informationen har mottagits kan inte ensamt anses utgöra ett giltigt samtycke till den aktuella behandlingen. Den anställde ska informeras om en eller flera tilltänkta behandlingar som det särskilda samtycket avser. Att samtycket ska vara särkilt innebär att ett generellt samtycke inte kan godtas. För att ett samtycke ska vara giltigt krävs också att den anställde har fått tillräcklig information om behandlingen. Den anställde ska med hjälp av information kunna ta ställning till om personuppgifterna ska få behandlas för det ändamål och på det sätt som planerats. Om de anställda erbjuds rimliga alternativ och inte utsätts för någon direkt eller indirekt påtryckning att samtycka kan det vara tillåtet för arbetsgivaren att behandla personuppgifter med stöd av samtycken. Såvitt framgår har Dagab varken erbjudit de anställda rimliga alternativ till den datoriserade övervakningen eller på något annat sätt visat att det finns ett giltigt samtycke till behandlingen. Bolaget kan därför inte stödja sin behandling på ett samtycke. Undantag från kravet på samtycke har gjorts endast för behandlingar som är nödvändiga för något av de ändamål som anges i 10 punkterna a-f person- Sida 5 av 9
uppgiftslagen. En arbetsgivares behandling av personuppgifter för individuell prestationsmätning kan bl.a. vara tillåten för att ett avtal med den registrerade ska kunna fullgöras (10 punkten a). Med stöd av denna bestämmelse har en arbetsgivare t.ex. möjlighet att behandla personuppgifter om de anställda för att uppfylla skyldigheter enligt ett ackordslöneavtal eller något annat avtalat prestationsbaserat lönesystem beroende på hur avtalet med den anställde är utformat. Arbetsgivaren kan också i vissa situationer ha rätt att behandla personuppgifter för individuell prestationsmätning med stöd av en intresseavvägning (10 punkten f). Huruvida en arbetsgivares intresse av att behandla de anställdas personuppgifter väger över de anställdas intresse av skydd för den personliga integriteten får avgöras efter en bedömning av omständigheterna i det enskilda fallet. Vid denna bedömning kan hänsyn tas till bl.a. ändamålet med behandlingen och om arbetsgivaren följer reglerna i personuppgiftslagen när det t.ex. gäller kraven på information till de anställda, väl avvägda gallringsrutiner samt skydd från obehörig åtkomst. Behandling av personuppgifter som sker för att planera, organisera, leda och följa arbetet kan vara tillåten efter en intresseavvägning enligt 10 punkten f) personuppgiftslagen. Det innebär bl.a. att behandling av personuppgifter för allmän uppföljning kan vara tillåten utan samtycke om den är nödvändig för att ett berättigat intresse hos den personuppgiftsansvarige ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. De fackliga representanternas uppfattning och innehållet i fackliga överenskommelser kan också ha betydelse för frågan om behandlingen av personuppgifter i kontrollsyfte är tillåten med stöd av en intresseavvägning enligt personuppgiftslagen. Datainspektionen ser inget principiellt hinder mot att bolaget behandlar personuppgifter för de ändamål som bolaget huvudsakligen angett, nämligen prestationsbaserad lönesättning, såväl på gruppnivå som individuellt, samt för att få underlag till de individuella uppföljningssamtal som bolaget regelbundet håller med de anställda på lagret efter en intresseavvägning. Datainspektionen ser inte heller något principiellt hinder mot att bolaget behandlar personuppgifter genom realtidsövervakning på gruppnivå för ändamål som bolaget angett, nämligen för att arbetsledningen ska kunna se hur mycket av dagens arbete som är utfört och hur mycket resurser som behövs samt i vissa undantagsfall på individnivå när det finns ny information om en pågående order. Utifrån de angivna ändamålen med behandlingen är det däremot inte motiverat att, som klaganden beskrivit, använda systemet i syfte att Sida 6 av 9
i realtid övervaka hur de anställda utför sina arbetsuppgifter och när de tar raster. Att använda systemen på det sättet kan inte anses vara förenligt med de ursprungliga ändamålen som bolaget uppgett nämligen att kontrollera utfört arbete och beräkna hur mycket resurser som behövs på framförallt gruppnivå. En sådan behandling strider därför mot de grundläggande kraven i 9 personuppgiftslagen. Enligt Datainspektionen kan det också ifrågasättas om en sådan mycket närgången övervakning av de anställda, för annat än säkerhetsskäl, är förenlig med god sed. I övrigt konstaterar Datainspektionen att en arbetsgivares rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras genom arbetsrättsliga regelverk och eventuellt i kollektivavtal. På grund av detta förefaller det lämpligt att den typen av frågor i första hand löses mellan arbetsgivaren och de fackliga organisationerna. Bolaget har uppgett att frågan ska förhandlas med facket. Information till de anställda Anställda måste av arbetsgivaren få information i enlighet med 23-25 personuppgiftslagen om den personuppgiftsbehandling som sker i samband med arbetsgivarens övervakning. När uppgifterna samlas in direkt från den registrerade ska arbetsgivaren lämna informationen i anslutning till insamlingen. Den information som arbetsgivaren är skyldig att lämna självmant ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Som exempel på all övrig information kan nämnas information om mottagare av uppgifterna och skyldighet för den enskilde att lämna uppgifter. De anställdas intresse av att få information anses vara särskilt stark när det gäller vilka kontroller de kan komma att utsättas för med de insamlade personuppgifterna. För att en övervakning av de anställda ska vara tillåten ska de anställda få tillräcklig information om på vilket sätt övervakningen sker. Av bolagets information till medarbetare framgår inte tydligt vilka kontroller de anställda kan komma att utsättas för och för vilka ändamål. Datainspektionen anser att informationen om övervakningen till de anställda varit otillräcklig. Bolaget föreläggs därför att komplettera informationen till de anställda så att det i varje fall tydligt framgår vilka kontroller de anställda kan utsättas för, för vilka ändamål kontroller sker, hur personuppgifter kommer att behandlas i systemet samt vilka som kommer ha tillgång till personuppgifterna. Sida 7 av 9
Behörighet för personal att ta del av personuppgifter Den personuppgiftsansvarige är skyldig enligt 9 e-f personuppgiftslagen att se till att de personuppgifter som bevaras är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än vad som är nödvändigt i förhållande till ändamålen med behandlingen. Detta innebär bl.a. att anställda endast ska ha tillgång till de personuppgifter som är nödvändiga för att kunna utföra sina arbetsuppgifter. Beroende på befattning och arbetsuppgifter varierar alltså behovet av information. För att begränsa den elektroniska tillgången ska bolaget ha ett system för behörighetsstyrning. Med hjälp av detta bör åtkomstmöjligheterna tekniskt begränsas så mycket som det är faktiskt och praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Därutöver ska bolaget begränsa obehörig åtkomst genom fungerande rutiner, t.ex. arbetsrutiner, rutiner för utbildning och information till anställda samt rutiner för åtkomstkontroll. Av bolagets yttrande framgår även att det finns fyra stycken s.k. allmänna datorer där obehöriga medarbetare kan ta fram rapporter angående antalet utförda uppdrag. Bolaget har angett att rapportalternativet i obehöriga medarbetares behörighet ska plockas bort så att ingen obehörig användning på dessa datorer kan ske. Biträdesavtal Bolaget har uppgett att behovet av biträdesavtal ska ses över och åtgärdas med berörda parter i koncernen. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Britt-Marie Wester samt juristen Salomeh Fanaei, föredragande. Göran Gräslund Salomeh Fanaei Sida 8 av 9
Kopia till: Klaganden Sida 9 av 9