Det blir allt vanligare att företag har GPS i sina bilar. Skälen kan vara att slippa skriva reserapporter för hand eller att arbetsgivaren vill veta var firmabilarna befinner sig för att dirigera rätt fordon till rätt arbetsplats. GPS är en positioneringsteknik som omfattas av personuppgiftslagen, PUL. Innan du inför tekniken måste för du förhandla med facket enligt medbestämmandelagen (MBL).
Följande artikel handlar om GPS och ger dig en orientering kring vad du som arbetsgivare behöver tänka på.
Varför börjar PUL gälla?
Det är vanligt att arbetsgivare använder olika former av positioneringsteknik för att kontrollera var fordon och anställda befinner sig. Positioneringssystem medför dock risker för intrång i den personliga integriteten. Lagen som ska se till att den personliga integriteten inte kränks är Personuppgiftslagen – PUL.
Även om de uppgifter du får via positioneringstekniken inte direkt kan knytas till en enskild person, går det ofta att med hjälp av arbetsschema (eller på annat sätt) knyta ett fordon i systemet till en viss individ. Den indirekta kopplingen betyder att PUL tillämpas.
Som arbetsgivare måste du alltså se till att du följer PUL. Tillsynsmyndigheten för PUL är Datainspektionen. Datainspektionen har tagit fram en hel del råd, rekommendationer och broschyrer gällande lagen som du hittar på: www.datainspektionen.se.
Vad betyder det för arbetsgivaren att PUL gäller?
PUL är ett skydd för den enskilda personliga integriteten (i detta fall de anställdas integritet). Som arbetsgivare måste du därför på förhand ha tänkt igenom vilka uppgifter du har behov av att kunna utläsa ur det system du inför samt hur du som arbetsgivare ska handskas med uppgifterna. Observera att du måste förhandla med det fackförbund som du har kollektivavtal med, innan du fattar beslut om att införa positioneringsteknik. Det är också bra om du har en GPS-policy där det framgår hur du arbetar med systemet och hur du säkerställer att företaget inte bryter mot PUL.
Som arbetsgivare måste du förhandla enligt MBL innan du fattar beslut om att införa positioneringsteknik i dina fordon. Om det gäller dina arbetare måste du förhandla med Byggnads och gäller det dina tjänstemän måste du förhandla med Sveriges ingenjörer, Unionen och/eller Ledarna. Du måste kalla till en MBL-förhandling enligt 11§ MBL. Notera att du inte behöver komma överens med facken vid en MBL-förhandling.
Det är du som arbetsgivare som bestämmer över beslutet att införa positioneringsteknik. Du måste förhandla och lyssna till facken innan du bestämmer – men du behöver inte göra en överenskommelse. Tänk på att inte skriva in i förhandlingsprotokollen att du och facket är överens om olika saker. Om facken och ditt företag skriver under ett förhandlingsprotokoll, där det anges att ni är överens, har ni tecknat ett lokalt kollektivavtal. Om du sedan bryter mot det lokala kollektivavtalet, det vill säga inte gör precis som det står i protokollet, kan du behöva betala skadestånd till facket för brott mot kollektivavtalet. Det lokala kollektivavtalet behöver också sägas upp för att det inte längre ska vara giltigt. Det betyder också att om du vill göra förändringar blir det extra komplicerat när du tecknat en överenskommelse med facket.
Behöver man en GPS-policy och hur ska den se ut?
Nej, man måste inte ha en GPS-policy innan man inför denna teknik. Men det kan vara bra att ha en skriftlig dokumentation som visar att du följer PUL och inte bryter mot PUL. Då kan en företagspolicy, det vill säga en GPS-policy vara ett bra dokument.
En företagspolicy är ett dokument som anger hur företaget tänker i en viss fråga. En policy antas av företagsledningen och det är ett ensidigt dokument. Det betyder att du som företagsledare kan ändra företagspolicyn när du önskar. Om du förhandlar med facken och gör en överenskommelse om GPS-policy kan du inte längre ensidigt bestämma. Om du senare vill utöka systemet eller göra andra tekniska förändringar kan du inte på egen hand göra detta. Då måste du träffa nya överenskommelser med facken, förutsatt att de går med på det. Med stöd av din arbetsledningsrätt kan du ensidigt inför GPS-teknik, bara du förhandlar först. En GPS-policy är bra för att beskriva hur systemet fungerar och hur personuppgifterna ska behandlas.
En GPS-policy kan i korthet se ut så här:
- Inledning: beskriv varför ni inför positioneringstekniken.
- Ändamål: tala om vilken information som samlas in och vad den ska användas till. Kanske finns det fler ändamål? Ange alla men beskriv i detalj vad du vill få ut.
- IT-säkerhet: den information du får in är uppgifter om individer och informationen ska skyddas på ett sådant sätt att endast behöriga personer har åtkomst till informationen. Ange vilka personer (funktioner på företaget) som är behöriga att ta del av dessa uppgifter. Ange även hur du gallrar i ditt IT-system: du får inte spara personuppgifterna längre än nödvändigt. Ange t ex att lagring sker 3 månader och att informationen därefter raderas alternativt avidentifieras. Avidentifierad information får lagras på obestämd tid. Ange också vilka på företaget som är personuppgiftsansvariga.
- Anställda: de anställda har rätt att få veta vilka uppgifter som finns registrerade och de ska kunna begära ut informationen och få ta del av den när som helst.
Vad ska arbetsgivaren göra?
Du måste tänka igenom vilket syfte du har med användningen av positioneringstekniken. All form av information du samlar in via systemet blir en behandling av personuppgifter. Ändamålet med positioneringstekniken kan se olika ut på olika företag. Vissa företag har som syfte att införa positioneringsteknik för att kunna skriva elektroniska reserapporter till Skatteverket, istället för på papper. Vissa företag vill se var fordonen befinner sig för att kunna dirigera rätt fordon till nya arbeten som inkommer, medan andra vill ha hjälp att få fram företagsstatistik. Du måste tänka över ditt/dina syften.
Du ska ange och hålla dig till dina ändamål. Om du till exempel ska använda tekniken för att samla in företagsstatisk, måste detta hädanefter vara ändamålet. Du får inte i efterhand börja använda insamlat material till att kontrollera arbetstider eller använda informationen för andra ändamål. Om du gör det bryter du mot PUL, det blir så kallad ändamålsglidning.
Du måste också ange dina ändamål så att dina behov av tekniken tydligt framgår. Behoven ska vara kopplade till ditt företags verksamhet, om inte kan Datainspektionen se det som en otillåten övervakning. Du behöver också fundera på om insamlandet av personuppgifterna behöver ske på individnivå eller om det är tillräckligt på gruppnivå.
Exempelvis: om ändamålet med behandlingen av personuppgifter är att samla in statistik är det troligt att denna statistik inte måste knytas till en viss individ. Då räcker det med avidentifierade uppgifter.
Tänk också på att när du köper ett positioneringssystem köper du ofta även en tjänst från en utomstående leverantör. Om leverantören lagrar uppgifter på sin server måste du ha ett skriftligt avtal, ett så kallat biträdesavtal, med leverantören. I avtalet ska det stå att leverantören bara får behandla personuppgifterna enligt dina instruktioner samt att leverantören måste skydda uppgifterna på lämpligt sätt.
Stämmer det att de anställda måste samtycka till behandlingen av deras personuppgifter?
Nej, det stämmer inte. Du får använda positioneringsteknik utan de anställdas samtycke. Det du måste göra är att följa PUL. Om du inte följer PUL kan du behöva betala skadestånd såväl till de anställda som till Datainspektionen. Datainspektionen har uttalat att ett samtycke från en anställd till en arbetsgivare inte är så mycket värt, juridiskt sett, eftersom arbetstagaren befinner sig i en beroendeställning gentemot arbetsgivaren. Arbetsgivaren kan införa positioneringsteknik – behandling av personuppgifter – genom en så kallad intresseavvägning. Det betyder att arbetsgivarens intresse av att utföra behandlingen väger tyngre än de anställdas intresse av skydd mot intrång i den personliga integriteten.
När man tittar på om PUL följs görs en helhetsbedömning av situationen. Man gör en intresseavvägning och här spelar ändamålet med behandlingen väldigt stor roll, men det är också viktigt hur företaget hanterar uppgifterna och hur resultatet av informationen används. Vidare tittar Datainspektionen på om de anställda har fått tydlig information och ifall den tekniska och administrativa säkerheten är godtagbar. De tittar även på om det finns mindre integritetskänsliga sätt att utföra behandlingen på, om det finns flera alternativ måste du som arbetsgivare välja det minst integritetskänsliga.
Vad ska man tänka på kring IT-säkerheten?
Det är viktigt att inte fler personer än nödvändigt har tillgång till personuppgifterna. Som arbetsgivare ska du alltså se till att bara de som måste ha direkt tillgång till uppgifterna har det. Du bör ha en särskild förteckning över vilka personer (funktioner i ditt bolag) som är behöriga att ta del av personuppgifterna i systemet. Du måste också ha ett system för att kontrollera behandlingshistorik eller loggar, det vill säga vem som har tagit del av vilka personuppgifter. Tänk också på att ha rutiner för hur och när du raderar personuppgifterna. Det kallas gallring. Om uppgifterna avidentifierats får du spara dem hur länge du vill.
Vad gäller angående information till de anställda?
När du ska förhandla med facket kan du informera dina anställda om att du avser att fatta beslut om att införa positioneringsteknik. Efter förhandlingen kan du informera dem mer i detalj. Det är tänkvärt att reflektera över att vissa personer tycker illa om integritetskänsliga uppgifter och på fackförbunden är det oerhört vanligt med frågor från anställda kring den personliga integriteten. Facken driver därför ofta dessa frågor för sina medlemmars räkning.
Dina anställda ska känna till ändamålet med behandlingen, hur länge uppgifterna kommer att sparas, om personuppgifterna kommer att lämnas ut till någon utanför företaget och vilka uppgifter som finns registrerade om dem. Dina anställda har rätt att få veta vilka uppgifter som finns registrerade om dem och de har rätt att få eventuellt felaktiga uppgifter om sig själva rättade. Det kan vara bra att ge informationen både muntligt och skriftligt. Du kan till exempel göra GPS-policyn offentlig i fikarummet eller på intranätet.
Avslutningsvis
Behöver du rådgivning inom arbetsrätt? Kontakta vår arbetsrättsjurist enligt uppgifter nedan.
Du är också välkommen att få synpunkter på en GPS-policy som du har upprättat.