Så får du som chef använda medarbetardata
När gränsen mellan privatliv och arbetsliv blir suddigare väcker det frågor om hur digitala spår i jobbdatorer och jobbmobiler får användas av arbetsgivare och av dig som chef.
Digitala spår lämnas i jobbenheter
Du och dina medarbetare lämnar digitala spår när ni använder jobbdatorn, jobbmobilen eller andra digitala redskap i arbetet. Det finns några saker som arbetsgivare och även du som chef behöver förhålla dig till när det handlar om hur data får samlas in och användas.
Det handlar bland annat om datainsamlingen är förenlig med dataskyddsförordningen GDPR (mer information om GDPR finns längre ner), arbetsrätten och med den svenska arbetsmarknadsmodellen.
Intresseavvägning mellan integritet och arbetsgivarens kontroll
Generellt ska en intresseavvägning göras vid insamling och användning av data om anställda. Det är en avvägning som ska göras mellan arbetstagarens integritetsintresse i förhållande till arbetsgivarens kontrollintresse.
Grundprincipen är att arbetsgivare bara samlar in den information som är nödvändig för att kunna leda och fördela arbetet och att arbetsgivaren ska samla in så lite information som möjligt om de anställda. Om en arbetsgivare väljer att samla information om sina anställda så ska det informeras om detta tydligt, lättillgänglig och transparent i förväg.
En viktig utgångspunkt är att anställda inte kan samtycka till några personuppgiftsbehandlingar alls, genom att exempelvis skriva på en policy på arbetsplatsen. Det beror på att den anställde befinner sig i ett ojämnt styrkeförhållande gentemot arbetsgivaren, vilket försvårar ett samtycke utifrån jämlika positioner. Brott mot GDPR kan äga rum även om den anställde har samtyckt.
Det ska även noteras att GDPR är en lagstiftning som reglerar lagring av enskilda individers personuppgifter. Det betyder att vad som är tillåtet eller inte i varje given situation till syvende och sist bestäms genom att en enskild persons ärende avgörs.
Några vanliga frågor för dig som chef om hur digitala spår från medarbetare får hanteras
Arbetsgivare ska alltid arbeta förebyggande snarare än kontrollerande, enligt Integritetsmyndigheten. Det innebär exempelvis att en arbetsgivare ska begränsa tillgången till otillåtna webbplatser snarare än att kontrollera webbplatsbesök i efterhand. Om det med hänsyn till det ändå anses motiverat utifrån en säkerhetsaspekt att undersöka webbplatsbesök en anställd har gjort ska minsta ingripande metod på den personliga integriteten då alltid väljas. Det innebär att det är loggar som kontrolleras först innan faktiska webbplatsbesök kontrolleras.
Att samla in data i realtid om vilka webbplatser en anställd besöker är som huvudregel inte heller tillåtet. Det finns dock undantag om det finns misstankar om att den anställde har begått ett allvarligt brott som riskerar att drabba arbetsgivaren, eller vid allvarlig misstanke om illojalitet.
Har du i din chefsroll frågor om detta bör du kontakta din arbetsgivare.
Nej, du får inte realtidsövervaka dina medarbetare, med undantaget om det är mer extrema säkerhetssituationer, som när en journalist eller Försvarsmakten ska gå in i farliga situationer. Det säger Integritetsskyddsmyndigheten såväl som European Data Protection Board. Tvång om att ha löpande övervakning av kamera eller någon form av övervakande datorprogram bryter troligen mot GDPR.
Generellt gäller att du som chef riskerar att göra dig skyldig till dataintrång om du tar dig in i din medarbetares privata e-post och sociala medier, även om du har tekniska möjligheter att göra det (till exempel för att medarbetaren har loggat in i sin privata mejl från arbetsdatorn).
Det kan vara tillåtet att gå in i medarbetarens arbetsverktyg (dator, mejl och telefon) för att ta del av sådant som är arbetsrelaterat. En förutsättning är dock att det har informerats om att så kan komma att ske, vid exempelvis längre tids frånvaro. Det är som utgångspunkt inte tillåtet att ta del av mejl, mappar och filer som är uppenbart privata, även om de finns i arbetsverktygen (tänk på att även ett mejl till en kund eller kollega kan innehålla sådant som är privat). Det är endast tillåtet om det finns starka misstankar om illojalitet eller brottslighet som riskerar att drabba verksamheten.
Har en medarbetare själv frågat om att få bli vän med dig som chef på exempelvis Facebook så väljer du såklart själv hur du vill göra. Det får anses höra till den privata sfären. Men att utan motivering kolla upp dina medarbetare i sociala medier är inte tillåtet och gränsdragningen mellan vad du får veta som privatperson och som representant för arbetsgivaren kan bli svår.
Som utgångspunkt är det svårt för en arbetsgivare att motivera den omfattande insamling av data som det innebär att kontrollera någon i sociala medier. Risken att du i din chefsroll får ta del av känsliga personuppgifter eller uppgifter om barn samt omfattande uppgifter om andra personer än medarbetaren är överväldigande.
Vid rekrytering är det alltid tillåtet att samla in personligt brev, cv och referenser. Men normalt sett är det inte motiverat att kolla någons konton på sociala medier, av samma skäl som nämns ovan. Det finns dock sociala medier som har funktioner som liknar ett cv, exempelvis Linkedin. När det gäller sådana plattformar blir det lättare att motivera att uppgifter samlas in. Inför en sådan genomgång ska den sökande informeras.
På svensk arbetsmarknad har chefen rätt att leda och fördela arbetet. Men det betyder inte att du som chef kan utöva chefskap på vilket sätt du vill, utan det regleras enligt grundläggande principer i arbetsrätten och i lagen om anställningsskydd (LAS).
I medbestämmandelagen (MBL) och arbetsmiljölagen (AML) regleras också hur viktigare förändringar i verksamheten ska genomföras. Införandet och användandet av AI-system på arbetsplatsen är en större förändring och måste alltså hanteras på samma sätt.
System för datadriven eller algoritmisk arbetsledning kan innebära att bland annat data om anställda behöver samlas in, lagras och analyseras. Hur säkerställs att det är rätt sorts data som samlas in och hur garanteras medarbetarnas integritet i insamlingen av data? På vilket sätt försäkrar arbetsgivaren sig om att de data som samlas in inte används i andra syften än det uttalade?
En annan dimension i frågan är att det i datadriven eller algoritmisk arbetsledning skapas digitala versioner av anställda. Även om det är tekniskt möjligt, är det långt från självklart att sådana digitala versioner är att betrakta som bra beslutsunderlag.
Sammanfattningsvis ska frågan normalt förhandlas mellan arbetsgivare och fackliga representanter, även om det kan finnas undantag. System för datadriven/algoritmisk arbetsledning är inte att betrakta som förbjudna i sig, men de kan inte heller införas hur som helst. Dessutom kan man fråga sig om det är effektivt eller inte att införa sådana system.
Ta kontakt med din fackliga representant för att få stöd i frågan.
GDPR - grundläggande principer
Organisationer som hanterar personuppgifter är personuppgiftsansvariga. Det är inte en viss chef på en arbetsplats eller en anställd som är personuppgiftsansvarig. En fysisk person kan dock vara personuppgiftsansvarig, till exempel när det gäller enskilda firmor.
Integritetsskyddsmyndigheten har utifrån artikel 5 i GDPR sammanställt grundläggande principer för personuppgiftsansvariga:
- bara får samla in dina personuppgifter för specifika, sär-skilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att dina personuppgifter är riktiga
- ska radera dina personuppgifter när de inte längre behövs
- ska skydda dina personuppgifter, till exempel så att inte behöriga får tillgång till dem och så att de inte förloras eller förstörs.
Personuppgiftsansvariga ska även se till att enskilda får information om varför personuppgifter samlas in och hur deras personuppgifter hanteras.
Råd och stöd för dig som chef
Här hittar du råd och stöd för dig som är chef och ledare när det kommer till ditt arbetsmiljöansvar, hur du sätter rättvisa löner, hur du håller medarbetarsamtal och mycket mer. Självklart hittar du också råd och stöd när det kommer till din egen anställning.
