Vanliga frågor om arbetslivet
- Handbok i dataskydd i arbetslivet (Dataombudsmannens byrå 2020, pdf)
- Integritetsskydd i arbetslivet (arbets- och näringsministeriets pdf-broschyr)
- Lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (arbets- och näringsministeriets pdf-broschyr)
- Lag om integritetsskydd i arbetslivet
- Vanliga frågor om coronaviruset och dataskydd
Arbetsgivaren får behandla endast sådana personuppgifter som är direkt nödvändiga med tanke på arbetstagarens anställningsförhållande och som hänför sig till skötseln av parternas rättigheter och skyldigheter eller förmåner som arbetsgivaren erbjuder eller som beror på arbetsuppgifternas särdrag. Arbetsgivaren får alltså inte behandla vilka som helst personuppgifter som gäller arbetstagaren.
Bestämmelser om detta så kallade relevanskrav finns i 3 § i lagen om integritetsskydd i arbetslivet. Avvikelser från relevanskravet kan inte göras ens med arbetstagarens samtycke.
Relevanskravet gäller också jobbsökningssituationer. Arbetsgivarens rätt att samla in personuppgifter om den arbetssökande beror på den arbetsuppgift som personen har ansökt om. Nödvändiga uppgifter i en jobbsökningssituation är närmast sådana uppgifter som påvisar den sökandes kompetens och lämplighet för uppgiften i fråga.
Relevanskravet gäller också uppgifter som arbetsgivaren samlat in genom testning eller genom att bedöma arbetssökanden eller arbetstagaren. Person- och lämplighetstest som arbetsgivaren låter utföra ska vara nödvändiga med tanke på anställningsförhållandet. Även behandlingen av exempelvis uppgifter från narkotikatest och arbetstagarens hälsouppgifter ska uppfylla relevanskravet.
Arbetsgivaren ska samla in personuppgifter om arbetstagare och arbetssökande i första hand av arbetstagaren och arbetssökanden själv. Om arbetsgivaren samlar in personuppgifter på något annat sätt än från arbetstagaren själv, ska man i regel begära arbetstagarens samtycke till att uppgifterna samlas in. Samtycke behövs dock inte när en myndighet lämnar ut uppgifter till en arbetsgivare för utförande av en lagstadgad uppgift eller om det i lag föreskrivs särskilt om insamling eller erhållande av uppgifter.
Om arbetsgivaren till exempel vill fråga den arbetssökandes tidigare arbetsgivare om hur arbetstagaren klarar sig i arbetet, ska arbetsgivaren begära den arbetssökandes samtycke till detta.
Arbetsgivaren har lednings- och övervakningsrätt vad gäller arbetet (s.k. direktionsrätt). Med stöd av denna rätt kan arbetsgivaren fastställa en enskild arbetstagares arbetsuppgifter, ge arbetsrelaterade förordnanden och övervaka arbetsprestationen. Detta ger dock inte arbetsgivaren rätt att övervaka arbetstagaren på så sätt att arbetsgivaren skulle samla in eller skulle titta på de identifieringsuppgifter som samlas utifrån arbetstagarens surfning på internet.
Arbetstagaren kan inte heller på giltigt sätt ge samtycke till att arbetsgivaren får övervaka hans eller hennes surfning på Internet. Rätten till konfidentiell kommunikation gäller också surfning på internet och identifieringsuppgifter som samlas om surfningen.
Arbetsgivaren kan dock fatta beslut om reglerna för användning av informationsnät, såsom om det överhuvudtaget är tillåtet att surfa på internet på arbetsplatsen och om ja, på hurudana webbplatser. Arbetsgivaren har också rätt att hindra tillträde till vissa sidor.
Positionering av arbetstagare är teknisk övervakning, vars ibruktagande ska gås igenom inom ramen för samarbetsförfarandet på arbetsplatsen. Positionering är möjlig om arbetsgivaren har en behörig grund och ett behörigt behov till detta. Grunder som berättigar till positionering kan vara till exempel att trygga arbetstagarnas säkerhet och allokering av resurser (såsom fordon) till rätt plats.
Enligt dataombudsmannens syn får positioneringsuppgifter i princip inte användas för övervakning av arbetsrättsliga plikter, såsom i uppföljningen av arbetstiden. Det kan dock vara möjligt att använda positionering för övervakning och uppföljning av arbetstiden, om arbetstagaren helt eller för det mesta arbetar annanstans än i arbetsgivarens lokaler, och metoder som i lägre grad kränker integritetsskyddet inte är tillgängliga för övervakningen av arbetstiden.
Om avsikten är att använda positioneringssystemet för övervakning och uppföljning av arbetstiden, ska arbetsgivaren i förskott fastställa det som ett användningssyfte för positionering. Om en sådan definition inte gjorts i förskott och ärendet inte varit föremål för samarbetsförfarande på arbetsplatsen, får positioneringsuppgifter inte användas för att övervaka efterlevnaden av villkoren för arbets- eller anställningsförhållandet. Positionering med en mobiltelefon förutsätter ett samtycke i enlighet med lagen om tjänster inom elektronisk kommunikation.
Sjukfrånvarouppgifter om en arbetstagare eller klagomål på honom eller henne utgör personuppgifter om arbetstagaren. Det är möjligt att framläggande av sådana uppgifter strider mot arbetsgivarens tystnadsplikt och kränker arbetstagarens integritetsskydd.
I praktiken kan det på arbetsplatsen vara nödvändigt att allmänt ge information om till exempel klagomål som statistisk information. Arbetsgivaren ska fastställa vem som på grund av sina arbetsuppgifter har rätt att behandla personuppgifter om arbetstagare. Om en person som är berättigad till behandling av personuppgifter i samband med behandlingen fått information om en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, får han eller hon inte till utomstående avslöja de uppgifter som han eller hon fått.
Uppgifterna kan publiceras på arbetsgivarens webbplats utan samtycke av arbetstagaren, om publiceringen är behörigt motiverad och nödvändig för arbetsgivarens verksamhet. Det kan vara möjligt att publicera uppgifter till exempel då arbetstagarens skyldigheter omfattar att vara identifierbar och nåbar utifrån yrkesbeteckningen, arbetskontaktuppgifter och bild.
Arbetsgivaren ska noggrant pröva om det är nödvändigt att publicera dessa och vid behov motivera publiceringen såväl till arbetstagarna som till dataombudsmannen. Trots att ett samtycke till publicering inte är nödvändigt, har arbetstagarna rätt att veta för vilket syfte deras uppgifter finns på internet. Publiceringen ska gås igenom inom ramen för samarbetsförfarandet på arbetsplatsen.
Medlemskap i fackförbund ingår i särskilda kategorier av personuppgifter vars behandling regleras av artikel 9 i EU:s allmänna dataskyddsförordning. Uppgifter om medlemskap i fackförbund kan behandlas när detta är nödvändigt för att den personuppgiftsansvarige eller registrerade ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrätten samt sociala tryggheten och tjänster.
Ett samfund i anslutning till fackförbundsverksamhet får behandla uppgifter om medlemskap i fackförbund vid sin verksamhet med lämpliga skyddsåtgärder. 6 § 3 punkten i dataskyddslagen möjliggör behandling av uppgifter om medlemskap i fackförbund till exempel i arbetskonfliktsituationer. Ett fackförbund får endast behandla de egna fackföreningsmedlemmarnas uppgifter.
Behandling av uppgifter är tillåtet när det gäller nuvarande eller före detta medlemmar i dessa samfund eller personer som regelbundet kommunicerar med samfunden om frågor relaterade till samfundens syften. En annan förutsättning är att personuppgifterna inte lämnas ut utanför samfundet utan den registrerades samtycke eller behandlingen gäller personuppgifter som den registrerade har på ett tydligt sätt offentliggjort.
Förtroendemännens rätt att ta del av information avtalas i branschspecifika kollektivavtal. Arbetsgivaren ska ge förtroendemannen nödvändig information för att sköta uppgiften. Grunderna för att till exempel lämna ut uppgifter om arbetstagarnas anställningsförhållande och lön till förtroendemän omfattar:
- Arbetstagaren har givit sitt samtycke för att lämna ut personuppgifter som gäller honom eller henne.
- Utlämnande av personuppgifter grundar sig på en bestämmelse i en lag eller är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
- Utlämnande av uppgifter sker på sättet som har fastställts i kollektivavtal som har ingåtts lagenligt.
- Utlämnande av uppgifter kan också bli aktuellt utifrån arbetsgivarens bedömning om det är nödvändigt för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Förtroendemännen ska behandla personuppgifter i enlighet med dataskyddsförordningen. Rådande praxis inom förtroendemanverksamheten innan dataskyddsförordningen trädde i kraft har fortsatt huvudsakligen med samma innehåll.
Dataombudsmannen har inte behörighet att tolka kollektivavtal och har inte föregripande behörighet att ge tillstånd eller utfärda förbud att lämna ut uppgifter.
I dataskyddsfrågor bör arbetstagare först kontakta den dataskyddsansvariga i den egna organisationen, om organisationen har en dataskyddsansvarig. Den dataskyddsansvarigas uppgift är att ge råd och information om dataskyddsfrågor till den personuppgiftsansvariga och till arbetstagare som behandlar personuppgifter. Man kan också kontakta sin egen chef om man upptäcker brister i dataskyddet på arbetsplatsen.
Dataombudsmannens byrå och arbetarskyddsmyndigheterna övervakar tillsammans inom ramen av sina behörigheter att lagen om integritetsskydd i arbetslivet iakttas.
Arbetarskyddsmyndigheterna har till uppgift att övervaka regionalt att bestämmelserna om arbetarskydd iakttas. Utöver övervakningen ger arbetarskyddsmyndigheterna anvisningar och råd i frågor som handlar om arbetshälsa och arbetssäkerhet samt anställningsavtalsvillkor.
Dataombudsmannens byrå har till uppgift att övervaka efterlevnaden av dataskyddslagstiftningen och andra lagar som gäller behandling av personuppgifter.
I vissa situationer kan det även vara bra att tala med arbetsplatsens arbetarskyddsfullmäktige. Arbetarskyddsfullmäktige har till uppgift att representera de anställda på arbetsplatsen i alla frågor om påverkar deras arbetssäkerhet och arbetshälsa.
Arbetsgivaren ska ta hänsyn till att arbetsgivaren i första hand ska samla in arbetstagarens personuppgifter hos arbetstagaren själv. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren, ska arbetsgivaren be om arbetstagarens samtycke till detta.
Dessutom ska arbetsgivaren även i detta sammanhang beakta relevanskravet, alltså att en arbetsgivare får endast behandla personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som har att göra med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet eller med de förmåner arbetsgivaren erbjuder arbetstagarna eller med arbetsuppgifternas särskilda natur.
Arbetsgivaren kan alltså fråga arbetstagarens tidigare arbetsgivare om hur arbetstagaren klarade sina tidigare arbetsuppgifter om arbetsgivaren bedömer att relevanskravet uppfylls, om arbetsgivaren inte får de uppgifter hen behöver av arbetstagaren och arbetsgivaren har fått arbetstagarens samtycke till att be om uppgifter.
Med samtycke avses alla former av frivilliga, specifika, informerade och otvetydiga viljeyttringar, med vilka en registrerad godkänner behandling av personuppgifter om honom eller henne. Arbetsgivaren ska kunna bevisa att samtycke har getts.
Vid lagring av kreditupplysningar ska man på samma sätt som vid lagring av andra personuppgifter beakta principen om lagringsminimering: uppgifterna ska lagras enbart så länge som det är nödvändigt för ändamålet för behandlingen.
Arbetsgivaren ska alltså identifiera det ändamål för vilket kreditupplysningen behandlas och bedöma när ändamålet för behandlingen av kreditupplysningen har uppnåtts. När uppgifterna inte längre behövs för detta ändamål ska uppgifterna raderas.
För kreditupplysningar är långa lagringstider inte heller motiverade i och med att uppgifter som erhållits från kreditupplysningen alltid beskriver situationen vid kreditupplysningstidpunkten. Kreditupplysningar kan ändras snabbt.