GDPR-säkra ert nästa hållbarhetsprojekt

Anställdas personuppgifter GDPR

Integritetsskyddsmyndigheten (IMY) inleder nu en tillsyn av ett bussbolag efter klagomål från fackförbundet. Bussbolaget har övervakat busschaufförernas körbeteende i syfte att uppnå ett mer miljömedvetet körbeteende. Kartläggningen som innebär en personuppgiftsbehandling och därför behöver ske i enlighet med GDPR.

Ibland kan ett företags hållbarhetsarbete stöta på bromsklossar från oväntat håll. Integritetsskyddsmyndigheten (IMY) har valt att inleda en tillsyn av ett bussbolag som övervakat busschaufförers körbeteende efter ett klagomål från fackförbundet. Bland annat ska hastighet, energiförbrukning och inbromsningar ha kartlagts med syfte att uppnå ett körbeteende som är både miljövänligt och trafiksäkert.

Kartläggning av körstil innebär behandling av personuppgifter

Vad som tåls att tänkas på, är att denna kartläggning i praktiken innebär en personuppgiftsbehandling, vilket gör att EU:s allmänna dataskyddsförordning (GDPR) blir tillämpligt. Med detta följer ett batteri av skyldigheter som arbetsgivaren behöver uppfylla. Arbetsgivaren behöver bl.a. redogöra för hur personuppgiftsbehandlingen går till, ändamålet med behandlingen, ange rättslig grund och hantera lagringstider samt uppfylla informationsplikten.

I det aktuella fallet har IMY inlett tillsynen med att skicka en frågelista på 13 punkter som arbetsgivaren har att svara på. För en arbetsgivare som inte redan har tagit höjd för personuppgiftsbehandlingen redan innan den påbörjades, kan det vara ytterst svårt att läka bristerna i efterhand när tillsynsmyndigheten står med en fot innanför dörren.

Viktigt att uppgifter inte används till andra syften än det ursprungliga ändamålet

En arbetsgivare kan visserligen ha berättigade syften för att mäta arbetstagares prestationer. Att planera, organisera, leda, följande upp och kvalitetsbedöma arbetstagares arbete, såväl som att mäta individuella prestationer, hör till kategorin av personuppgiftsbehandlingar som normalt är tillåtna för privata arbetsgivare i enlighet med god sed på arbetsmarknaden.

Det är dock i regel otillåtet att använda sammanställningar av sådana uppgifter för något helt annat syfte än det ursprungliga ändamålet. Det är därför tänkbart att uppgifter som samlas in om körbeteende med syftet att kartlägga verksamhetens energiförbrukning, inte får användas för lönesättning eller underlag för uppsägning.

Ibland finns det tydligt stöd i kollektivavtal för en viss personuppgiftsbehandling, antingen genom en skyldighet eller rättighet som tillkommer arbetsgivaren. Även om den aktuella personuppgiftsbehandlingen i sig har stöd i kollektivavtal, behöver arbetsgivaren fortfarande uppfylla informationsplikten enligt GDPR gentemot sina anställda.

Syftet med dessa regler är att skapa förutsebarhet för arbetstagarna. Kartläggning av arbetsprestation ska aldrig komma som en överraskning för arbetstagaren. Därför är det viktigt att alla arbetsgivare upprättar en integritetspolicy för anställda. Detta är en policy som ofta hamnar i skymundan. Företag uppfyller i regel kravet på att ha en offentlig integritetspolicy för kunder på sin hemsida, men hur företag behandlar sina anställdas personuppgifter internt är lika viktigt ut GDPR:s perspektiv.

Vårt medskick är att se till att GDPR-säkra ert nästa hållbarhetsprojekt, för att se till att personuppgifter som behandlas inom ramen för projekten är rättvisa och förutsebara för era anställda. 

Ansvarig för aktuellt specialistområde

Artiklar

GDPR: Uppdatering av standardklausuler

Enligt GDPR kan – något förenklat – standardavtalsklausuler användas som stödför att överföra personuppgifter mellan EU/EES och ett tredjeland. Klausulerna behöver dock i regel kompletteras med andra tekniska

Läs mer »