Vad du behöver tänka på när det kommer till kontroll av anställda & GDPR i arbetslivet

Den 10 mars höll Rikard Elowson Ek och Jonas Sporrstedt Lätt från MAQS Advokatbyrå ett föredrag för medlemmarna i Friends of Executive om GDPR i arbetslivet. 

De föreläste bland annat om vad man bör tänka på när det kommer till behandling av personuppgifter inom arbetslivet, bakgrundskontroller av anställda, kontroll av anställdas användning av e-post, internet och andra system och vilka ytterligare överväganden som en organisation behöver göra innan kontrollerna påbörjas.

I detta blogginlägg har vi sammanställt de viktigaste delarna som du som VD behöver ha koll på.

Behandling av personuppgifter inom arbetslivet

Arbetsgivare behandlar personuppgifter för många olika syften, till exempel vid rekrytering, utbetalning av lön, utvecklingssamtal och rehabilitering av anställda. Inte sällan omfattas känsliga personuppgifter såsom hälsouppgifter i den personuppgiftsbehandling som arbetsgivare utför. När personuppgifter behandlas i stor omfattning och/eller innefattar känsliga personuppgifter ställer detta höga krav på den personuppgiftsansvariges organisering och styrning av dataskyddsarbetet.

Utöver de traditionella processerna som är kopplade till arbetsgivare – arbetstagare/kandidater, kan arbetsgivaren också ha behov av att behandla personuppgifter för att göra bakgrundskontroller inför rekrytering eller under anställningen göra kontroller av anställdas användning av e-post, internet och andra system. Nämnda processer väcker ett antal viktiga frågeställningar som arbetsgivare måste reflektera över innan arbetet kan påbörjas; hur långt kan en arbetsgivare gå i sin strävan att hitta rätt arbetskraft och undvika felrekryteringar och vilka överväganden bör en arbetsgivare göra innan kontroll av anställdas användning av e-post, internet och andra system påbörjas?

Bakgrundskontroller av anställda

Under senare år har det blivit allt vanligare att företag, som ett sista steg i en rekryteringsprocess, gör en bakgrundskontroll av den kandidat som man står i begrepp att anställda. Bakgrundskontrollerna kan röra såväl uppgifter om brott som ekonomiska förhållanden och diverse uppgifter som finns tillgängliga på internet. Bakgrundskontrollerna kan vara mer eller mindre ingående beroende på position, bransch och typ av verksamhet som företaget bedriver. För vissa branscher och positioner finns det lagstadgade krav på att en bakgrundskontroll ska göras innan anställningen påbörjas. Så är till exempel fallet för vissa positioner inom den finansiella sektorn, inom försvaret och för verksamhet som innefattar arbete med barn och unga.

Eftersom bakgrundskontroller innefattar behandling av personuppgifter blir GDPR tillämplig vid genomförande av bakgrundskontroller. Det innebär bland annat att den som vill genomföra bakgrundskontrollen måste ha stöd i en rättslig grund i GDPR. Om det finns en rättslig förpliktelse som ålägger organisationen att genomföra bakgrundskontroller kan behandlingen baseras på att den är nödvändig för att företaget ska uppfylla den rättsliga förpliktelsen (artikel 6.1 c). För de flesta organisationer finns dock ingen sådan rättslig förpliktelse och behandlingen får i så fall baseras på en annan rättslig grund, till exempel en intresseavvägning mellan organisationens och den enskildes intressen (artikel 6.1 f) eller fullgörande av avtal med den enskilde (artikel 6.1 b).

Utöver att ha rättsligt stöd i GDPR måste organisationen också beakta de grundläggande principerna i GDPR. Bland annat måste organisationen säkerställa att syftet med insamlingen och behandlingen är klart och tydligt formulerat, att inte fler uppgifter samlas in än vad som är nödvändigt för att uppnå syftet och att de enskilda som berörs får tydlig information om behandlingen. 

Bakgrundskontroller innebär ofta att uppgifter om lagöverträdelse som innefattar brott behandlas direkt eller indirekt. Med några få undantag som anges i svensk författning eller efter särskilt tillstånd från Integritetsskyddsmyndigheten (IMY), får sådana uppgifter endast behandlas av myndigheter eller under kontroll av myndighet. Om bakgrundskontrollen innefattar denna typ av personuppgifter, till exempel utdrag från Polisens belastningsregister, bör stor försiktighet beaktas och en riskanalys genomföras innan behandlingen påbörjas. IMY har dock uttalat att ett tillvägagångssätt som enbart innebär att frågor ställs eller att ett belastningsregisterutdrag visas upp på papper inte omfattas av GDPR. Om arbetsgivaren däremot samlar in och behandlar personuppgifter, till exempel scannar in utdrag från belastningsregistret eller registrerar uppgifter om en enskild persons tidigare brottslighet blir GDPR tillämplig. GDPR kan också bli tillämplig om arbetsgivaren behandlar uppgifterna på papper, till exempel samlar in utdrag från belastningsregistret eller gör anteckningar för hand om en enskild person.

Historiskt sett har en bakgrundskontroll inneburit att personer tillfrågas som har eller har haft en arbetsrelation med kandidaten, till exempel inhämtning av information från referenser som kandidaten uppgivit. I takt med digitaliseringen finns idag helt andra möjligheter att göra bakgrundskontroller, dels via internet, dels via mer sofistikerade så kallade screeningtjänster som samlar in uppgifter från offentliga källor som görs sökbara på individnivå. Digitaliseringen skapar nya möjligheter men kan samtidigt vara problematisk ur ett integritetsperspektiv.

Leverantörer av screeningtjänster verkar ofta under ett så kallat frivilligt utgivningsbevis. Detta medför att leverantörens databas skyddas av grundlag och att GDPR i regel inte är tillämplig för de behandlingar som görs under det frivilliga utgivningsbeviset. Det är dock viktigt att framhålla att de som köper och nyttjar tjänsterna inte omfattas av leverantörens frivilliga utgivningsbevis och organisationerna som använder screeningtjänsterna måste därför följa GDPR fullt ut. Inför användning av en screeningtjänst behöver därför varje organisation göra en bedömning av integritetsaspekterna utifrån hur tjänsten är uppbyggd och hur organisationen tänkt nyttja den. Som påpekats ovan kategoriserar GDPR känsliga uppgifter och brottsuppgifter som extra skyddsvärda och det är därför särskilt angeläget att organisationen tar välgrundade beslut om tjänsten innehåller sådana typer av uppgifter. Rent summariskt kan man säga att om brottsuppgifter behandlas inom ramen för screeningtjänsten torde det alltid träffas av förbudet i GDPR (artikel 10). Att enbart läsa sådana uppgifter i screeningtjänsten torde dock inte räknas som en behandling av brottsuppgifter. Denna slutsats kan nås i ljuset av vad IMY har uttalat rörande hantering av fysiska utdrag från belastningsregistret. För att få ett säkert svar på denna fråga behöver dock saken prövas i domstol.

Kontroll av anställdas användning av e-post, internet och andra system

Arbetsgivaren ansvarar för organisationens informations- och cybersäkerhet. Vidare har arbetsgivare ett intresse av att kunna följa upp att arbetstagare följer lagstiftning som träffar den specifika verksamheten samt agerar lojalt inom ramen för anställningen.

Arbetsgivare behöver därför bestämma hur arbetstagare ska verka inom ramen för anställningen och hur denna får använda sig av organisationens IT-utrustning, formulera detta i regler och rutiner samt informera och utbilda arbetstagaren om vad som gäller. Exempelvis bör det finnas regler och rutiner som beskriver hur anställda får använda organisationens datorer, telefoner och nätverk, inklusive e-post och internet.

Så vad får en arbetsgivare göra för att kontrollera att interna regler och rutiner efterlevs?

• Eftersom arbetsgivaren äger IT-utrustningen har denna som utgångspunkt alltid rätt att kontrollera att IT-utrustning används på rätt sätt. Kontrollen får dock aldrig vara mer ingripande än nödvändigt. Kan kontrollerna utföras på ett mindre ingripande sätt bör detta sätt alltid väljas, till exempel att kontrollerna sker på gruppnivå istället för individnivå.
• Om kontroll sker på individnivå måste arbetsgivaren följa GDPR. Arbetsgivaren måste därför bland annat ha klart för sig med stöd av vilken rättslig grund behandlingen genomförs och se till att behandlingen inte är för närgången och omfattande i förhållande till syftet med den.
• En avvägning bör alltid ske mellan arbetsgivarens intresse av att kontrollera och arbetstagarens intresse av skydd för den personliga integriteten. Arbetsgivaren måste ha ett dokumenterat berättigat intresse för att få kontrollera till exempel arbetstagares e-post/dokument. De grundläggande principerna i GDPR måste också beaktas.
• Kontrollerna får inte användas för att systematiskt övervaka hur anställda utför sitt arbete eller när de tar sina raster. Om det föreligger misstanke om brott eller illojalt agerande kan sådana kontroller dock vara motiverade i det enskilda fallet.
• Arbetstagare har rätt till skydd för sin kommunikation och sitt privatliv även inom ramen för sin anställning. Arbetsgivaren har därför normalt inte rätt att ta del av innehållet i arbetstagarens privata filer eller e-postmeddelanden. Undantag kan gälla vid en misstanke om allvarligt illojalt eller brottsligt beteende.

Vilka ytterligare överväganden behöver en organisation göra innan kontrollerna påbörjas?

• Arbetsgivaren ska senast vid insamlingen av uppgifterna (det vill säga senast vid kontrollen av till exempel e-posten) informera arbetstagaren om vilka kontroller som arbetsgivaren gör på individnivå. Av informationen bör till exempel framgå hur kontrollerna går till och för vilka ändamål som kontrollerna görs samt vad syftet är med kontrollerna. Ett syfte kan till exempel vara att kontrollera att de interna reglerna rörande informations- och cybersäkerhet efterlevs och därigenom förhindra oegentligheter och missbruk av IT-utrustningen.
• Informationen som ges ska vara lättillgänglig och begriplig. Om ändamålet med kontrollen är att spåra och motverka oegentligheter eller missbruk ska arbetstagaren kunna förstå vad arbetsgivaren menar med "oegentligheter" eller "missbruk", det vill säga i vilka situationer kontrollerna kan aktualiseras. Informationen kan exempelvis inkorporeras i en IT-policy, där det klart och tydligt framgår vilka begränsningar som gäller för arbetstagarens internetanvändning samt att kontroll förekommer.
• Av informationen till arbetstagaren bör även framgå om och under vilka förutsättningar som arbetsgivaren kan komma att ta del av innehållet i privata filer eller e-post.
• IMY anser att arbetsgivare generellt bör lägga större fokus på förebyggande åtgärder än på att upptäcka missbruk i efterhand. Utöver att ta fram tydliga regler och rutiner och i förväg informera arbetstagaren om vad som gäller, kan arbetsgivaren använda tekniska lösningar, till exempel blockering av webbplatser.
• Arbetsgivaren bör också bedöma om det krävs en konsekvensbedömning avseende dataskydd (artikel 35 GDPR) innan behandlingen påbörjas. En konsekvensbedömning är en typ av riskbedömning som arbetsgivaren är skyldig att genomföra enligt GDPR om behandlingen medför en hög risk för enskildas fri- och rättigheter.