Så får du som chef använda medarbetardata
Sammansmältningen av privatliv och arbetsliv väcker frågan om vilka möjligheter arbetsgivare och du som chef har att använda digitala spår som genereras på en arbetsenhet.
Sammansmältningen av privatliv och arbetsliv väcker frågan om vilka möjligheter arbetsgivare och du som chef har att använda digitala spår som genereras på en arbetsenhet.
Du och dina medarbetare lämnar digitala spår när ni använder datorn, mobilen eller andra redskap i arbetet. Det finns några saker som du som chef och arbetsgivare behöver förhålla dig till i det här sammanhanget.
Det handlar bland annat om den datainsamling som sker är förenlig med GDPR, arbetsrätten och med den svenska arbetsmarknadsmodellen.
Generellt ska en intresseavvägning göras mellan arbetstagarens integritetsintresse i förhållande till arbetsgivarens kontrollintresse.
Intresseavvägning ska göras mellan integritet och kontroll
En viktig utgångspunkt i sammanhanget är att medarbetaren inte kan samtycka till några personuppgiftsbehandlingar alls, genom att exempelvis skriva på en policy. Det beror på att medarbetaren befinner sig i ett ojämnt styrkeförhållande gentemot arbetsgivaren, vilket försvårar ett samtycke utifrån jämlika positioner. Att spara data om medarbeten kan alltså innebära brott mot GDPR, även om arbetstagaren har samtyckt.
Victor Bernhardtz, utredare på Unionen, ger dig några hypotetiska situationer som beskriver det du som arbetsgivare och chef bör tänka på:
Det kan vara motiverat att undersöka webbplatsbesök en anställd har gjort, om det finns en säkerhetsaspekt. Minst ingripande metod ska alltid väljas. Det innebär att du kontrollerar loggar innan du kontrollerar faktiska besök.
Du får inte samla in data i realtid om vilka webbplatser anställda besöker. Det finns dock undantag från huvudregeln om det finns misstankar om att den anställde har begått ett allvarligt brott som riskerar att drabba arbetsgivaren, eller vid allvarlig misstanke om illojalitet.
Nej, du får inte realtidsövervaka dina medarbetare, med undantaget om det är mer extrema säkerhetssituationer, som när en journalist eller försvarsmakten ska gå in i farliga situationer. Det säger Integritetsskyddsmyndigheten såväl som European Data Protection Board. Tvång om att ha löpande övervakning av kamera eller någon form av övervakande datorprogram bryter troligen mot GDPR (se faktaruta nedan).
Generellt gäller att du som chef riskerar att göra dig skyldig till dataintrång om du tar dig in i din medarbetares e-post och sociala medier, även du har tekniska möjligheter att göra det.
Om det däremot finns starka misstankar om illojalitet eller brottslighet som riskerar att drabba verksamheten får privat e-post sannolikt läsas, i vart fall den e-post som är skickad från och till arbetsgivarens konto.
Samma sak kan gälla korrespondens om arbetsuppgifter som arbetsgivaren informerat om på förhand att hen kan komma att läsa, under förutsättning att det finns laglig grund.
På svensk arbetsmarknad har chefen rätt att leda och fördela arbetet. Men det betyder inte att du som chef och arbetsgivare kan utöva chefskap på vilket sätt du vill. Sådant regleras bland annat i lagar som medbestämmandelagen (MBL) och arbetsmiljölagen (AML).
I MBL och AML regleras också hur viktigare förändringar i verksamheten ska genomföras. Införandet och användandet av AI-system på arbetsplatsen är en större förändring och måste alltså hanteras på samma sätt.
System för datadriven eller algoritmisk arbetsledning kan innebära att bl a data om anställda behöver samlas in, lagras och analyseras. Hur säkerställs att det är rätt sorts data som samlas in och hur garanteras medarbetarnas integritet i insamlingen av data? På vilket sätt försäkrar arbetsgivaren sig om att all data inte används i andra syften än det uttalade?
En annan dimension i frågan är att det i datadriven eller algoritmisk arbetsledning skapas digitala versioner av anställda. Även om det är tekniskt möjligt, är det långt från självklart att sådana digitala versioner är att betrakta som bra beslutsunderlag.
Sammanfattningsvis ska frågan normalt förhandlas mellan arbetsgivare och fackliga representanter, även om det kan finnas undantag. System för datadriven/algoritmisk arbetsledning är inte att betrakta som förbjudna i sig, men de kan inte heller införas hur som helst. Dessutom kan man fråga sig om det är effektivt eller inte att införa sådana system.
Om du som arbetsgivare på ett transparent sätt uppger att data samlas in om dina medarbetare för att kunna säljas vidare så finns möjlighet, men en intresseavvägning behöver göras. De personuppgifter som samlas in får heller inte behandlas i strid med det uppgivna ändamålet.
Arbetstagaren har dock möjlighet att motsätta sig att personuppgifter i form av digitala spår ska kunna säljas vidare. Den arbetsgivare som då fortsätter att dela med sig av medarbetardata bryter då troligen mot GDPR (även om alla fall prövas individuellt).
Organisationer som hanterar personuppgifter är personuppgiftsansvariga. Det är inte en viss chef på en arbetsplats eller en anställd som är personuppgiftsansvarig. En fysisk person kan dock vara personuppgiftsansvarig, till exempel när det gäller enskilda firmor.
Integritetsskyddsmyndigheten har utifrån artikel 5 i GDPR sammanställt grundläggande principer för personuppgiftsansvariga:
Personuppgiftsansvariga ska även se till att enskilda får information om varför personuppgifter samlas in och hur deras personuppgifter hanteras.