Vanliga frågor om arbetslivet
- Handbok i dataskydd i arbetslivet (Dataombudsmannens byrå 2020, pdf)
- Integritetsskydd i arbetslivet (arbets- och näringsministeriets pdf-broschyr)
- Lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (arbets- och näringsministeriets pdf-broschyr)
- Lag om integritetsskydd i arbetslivet
- Vanliga frågor om coronaviruset och dataskydd
En arbetsgivare får behandla enbart personuppgifter som direkt är nödvändiga med hänsyn till arbetstagarens anställning. Dessa uppgifter ska anknyta till tillgodoseendet av parternas rättigheter, fullgörandet av deras skyldigheter eller till förmåner som arbetsgivaren erbjuder eller till den särskilda karaktären på arbetsuppgifterna.
Inte ens med ett samtycke av arbetstagaren är det möjligt att avvika från nödvändighetskravet. En arbetsgivare får med andra ord inte behandla vilka personuppgifter som helst om en arbetstagare.
E-postkorrespondens är konfidentiell. Under vissa förutsättningar får dock arbetsgivaren hämta eller öppna meddelanden, som kommit till eller sänts från arbetstagarens arbets-e-postadress.
Läs mer om när arbetgivaren har rätt att hämta eller öppna meddelanden.
En arbetsgivare får behandla uppgifter om en arbetstagares hälsotillstånd (t.ex. diagnoser), om behandlingen är nödvändig för att betala lön för sjuktid eller därmed jämförbara förmåner som anknyter till hälsotillståndet eller för att utreda om en motiverad orsak föreligger till frånvaro från arbetet. Behandling av uppgifter om hälsotillståndet är tillåten också då arbetstagaren uttryckligen vill att hans eller hennes arbetsförmåga utreds utifrån dessa.
En arbetsgivare får samla uppgifter om en arbetstagares hälsotillstånd av honom eller henne själv, eller från andra källor med ett skriftligt samtycke av arbetstagaren. Om en arbetstagare överlämnar ett läkarintyg eller -utlåtande över sin arbetsförmåga till arbetsgivaren, får arbetsgivaren överlåta det till företagshälsovården, förutom om arbetstagaren inte gjort en invändning mot utlämnandet.
Arbetsgivaren ska förvara handlingar som innehåller uppgifter om en arbetstagares hälsotillstånd åtskilda från övriga personuppgifter om arbetstagaren. Anteckningar om hälsotillståndet får inte heller lagras i arbetsgivarens övriga personregister, såsom i samband med löneförvaltningsregister.
Arbetsgivare och eventuella personer som behandlar uppgifter om hälsotillstånd för arbetsgivarens räkning är bundna av tystnadsplikt, och de får inte avslöja uppgifter om en arbetstagares hälsotillstånd till utomstående.
Arbetsgivaren har lednings- och övervakningsrätt vad gäller arbetet (s.k. direktionsrätt). Med stöd av denna rätt kan arbetsgivaren fastställa en enskild arbetstagares arbetsuppgifter, ge arbetsrelaterade förordnanden och övervaka arbetsprestationen. Detta ger dock inte arbetsgivaren rätt att övervaka arbetstagaren på så sätt att arbetsgivaren skulle samla in eller skulle titta på de identifieringsuppgifter som samlas utifrån arbetstagarens surfning på internet.
Arbetstagaren kan inte heller på giltigt sätt ge samtycke till att arbetsgivaren får övervaka hans eller hennes surfning på Internet. Rätten till konfidentiell kommunikation gäller också surfning på internet och identifieringsuppgifter som samlas om surfningen.
Arbetsgivaren kan dock fatta beslut om reglerna för användning av informationsnät, såsom om det överhuvudtaget är tillåtet att surfa på internet på arbetsplatsen och om ja, på hurudana webbplatser. Arbetsgivaren har också rätt att hindra tillträde till vissa sidor.
Positionering av arbetstagare är teknisk övervakning, vars ibruktagande ska gås igenom inom ramen för samarbetsförfarandet på arbetsplatsen. Positionering är möjlig om arbetsgivaren har en behörig grund och ett behörigt behov till detta. Grunder som berättigar till positionering kan vara till exempel att trygga arbetstagarnas säkerhet och allokering av resurser (såsom fordon) till rätt plats.
Enligt dataombudsmannens syn får positioneringsuppgifter i princip inte användas för övervakning av arbetsrättsliga plikter, såsom i uppföljningen av arbetstiden. Det kan dock vara möjligt att använda positionering för övervakning och uppföljning av arbetstiden, om arbetstagaren helt eller för det mesta arbetar annanstans än i arbetsgivarens lokaler, och metoder som i lägre grad kränker integritetsskyddet inte är tillgängliga för övervakningen av arbetstiden.
Om avsikten är att använda positioneringssystemet för övervakning och uppföljning av arbetstiden, ska arbetsgivaren i förskott fastställa det som ett användningssyfte för positionering. Om en sådan definition inte gjorts i förskott och ärendet inte varit föremål för samarbetsförfarande på arbetsplatsen, får positioneringsuppgifter inte användas för att övervaka efterlevnaden av villkoren för arbets- eller anställningsförhållandet. Positionering med en mobiltelefon förutsätter ett samtycke i enlighet med lagen om tjänster inom elektronisk kommunikation.
Sjukfrånvarouppgifter om en arbetstagare eller klagomål på honom eller henne utgör personuppgifter om arbetstagaren. Det är möjligt att framläggande av sådana uppgifter strider mot arbetsgivarens tystnadsplikt och kränker arbetstagarens integritetsskydd.
I praktiken kan det på arbetsplatsen vara nödvändigt att allmänt ge information om till exempel klagomål som statistisk information. Arbetsgivaren ska fastställa vem som på grund av sina arbetsuppgifter har rätt att behandla personuppgifter om arbetstagare. Om en person som är berättigad till behandling av personuppgifter i samband med behandlingen fått information om en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, får han eller hon inte till utomstående avslöja de uppgifter som han eller hon fått.
Uppgifterna kan publiceras på arbetsgivarens webbplats utan samtycke av arbetstagaren, om publiceringen är behörigt motiverad och nödvändig för arbetsgivarens verksamhet. Det kan vara möjligt att publicera uppgifter till exempel då arbetstagarens skyldigheter omfattar att vara identifierbar och nåbar utifrån yrkesbeteckningen, arbetskontaktuppgifter och bild.
Arbetsgivaren ska noggrant pröva om det är nödvändigt att publicera dessa och vid behov motivera publiceringen såväl till arbetstagarna som till dataombudsmannen. Trots att ett samtycke till publicering inte är nödvändigt, har arbetstagarna rätt att veta för vilket syfte deras uppgifter finns på internet. Publiceringen ska gås igenom inom ramen för samarbetsförfarandet på arbetsplatsen.
Medlemskap i fackförbund ingår i särskilda kategorier av personuppgifter vars behandling regleras av artikel 9 i EU:s allmänna dataskyddsförordning. Uppgifter om medlemskap i fackförbund kan behandlas när detta är nödvändigt för att den personuppgiftsansvarige eller registrerade ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrätten samt sociala tryggheten och tjänster.
Ett samfund i anslutning till fackförbundsverksamhet får behandla uppgifter om medlemskap i fackförbund vid sin verksamhet med lämpliga skyddsåtgärder. 6 § 3 punkten i dataskyddslagen möjliggör behandling av uppgifter om medlemskap i fackförbund till exempel i arbetskonfliktsituationer. Ett fackförbund får endast behandla de egna fackföreningsmedlemmarnas uppgifter.
Behandling av uppgifter är tillåtet när det gäller nuvarande eller före detta medlemmar i dessa samfund eller personer som regelbundet kommunicerar med samfunden om frågor relaterade till samfundens syften. En annan förutsättning är att personuppgifterna inte lämnas ut utanför samfundet utan den registrerades samtycke eller behandlingen gäller personuppgifter som den registrerade har på ett tydligt sätt offentliggjort.
Förtroendemännens rätt att ta del av information avtalas i branschspecifika kollektivavtal. Arbetsgivaren ska ge förtroendemannen nödvändig information för att sköta uppgiften. Grunderna för att till exempel lämna ut uppgifter om arbetstagarnas anställningsförhållande och lön till förtroendemän omfattar:
- Arbetstagaren har givit sitt samtycke för att lämna ut personuppgifter som gäller honom eller henne.
- Utlämnande av personuppgifter grundar sig på en bestämmelse i en lag eller är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
- Utlämnande av uppgifter sker på sättet som har fastställts i kollektivavtal som har ingåtts lagenligt.
- Utlämnande av uppgifter kan också bli aktuellt utifrån arbetsgivarens bedömning om det är nödvändigt för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Förtroendemännen ska behandla personuppgifter i enlighet med dataskyddsförordningen. Rådande praxis inom förtroendemanverksamheten innan dataskyddsförordningen trädde i kraft har fortsatt huvudsakligen med samma innehåll.
Dataombudsmannen har inte behörighet att tolka kollektivavtal och har inte föregripande behörighet att ge tillstånd eller utfärda förbud att lämna ut uppgifter.