Om en arbetsgivare har en datoriserad behandling av personuppgifter gäller dataskyddslagen och dataskyddsförordningen, för denna hantering. Syftet med dataskyddslagen och dataskyddsförordningen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter, såsom utlämnade eller spridning av dessa.
Enligt ett betänkande, Registerutdrag i arbetslivet (2014:48), föreslås tydligare regler kring vad som gäller för registerutdrag i arbetslivet. Detta är hittills något som endast är reglerat utifrån dataskyddslagen och dataskyddsförordningen i vissa delar samt i av Integritetsskyddsmyndigheten meddelade föreskrifter. Någon ny lag på området har dock i skrivande stund ännu ej stiftats. Betänkandet föreslår bl. a. att arbetsgivares idag existerande rätt att begära att en arbetssökande uppvisar ett utdrag ur belastningsregistret ska förbjudas, utom i de fall som omfattas av lagen (2013:852) om registerkontroll av personer som ska arbeta med barn.
Utredningen om registerutdrag i arbetslivet föreslog i betänkandet Registerutdrag i arbetslivet (SOU 2014:48) ett skadeståndssanktionerat generellt förbud mot att arbetsgivare begär att arbetstagare ska visa eller lämna utdrag ur belastningsregistret, om inte begäran har stöd i författning. Förbudet föreslogs även gälla i förhållande till arbetssökande, praktikanter och inhyrd eller inlånad arbetskraft. Som en följd därav har det vidare kartlagts, analyserats och utretts om det finns behov av ett utökat författningsstöd för vissa aktörer att i egenskap av arbetsgivare få tillgång till uppgifter om enskilda som finns i belastningsregistret. Detta har lagts fram i SOU 2019:19 Belastningsregisterkontroll i arbetslivet - behovet av utökat författningsstöd.
Krav på samtycke
Grundregeln i dataskyddslagen och dataskyddsförordningen är att arbetstagare ska samtycka innan arbetsgivaren behandlar personuppgifter. Innan samtycke ges ska arbetstagaren få information om vilka uppgifter som ska behandlas. Samtycket ska också vara individuellt och frivilligt från arbetstagarens sida.
Det finns vissa undantag från huvudregeln. Som exempel har arbetsgivaren rätt att utan arbetstagarens samtycke administrera anställningsförhållandet genom att exempelvis beräkna lön och redovisa skatt. Vidare krävs inte samtycke om det vid en intresseavvägning bedöms som att arbetsgivarens intresse väger tyngre än arbetstagares rätt att få sin integritet skyddad.
Det är arbetsgivaren som bestämmer hur arbetsredskap såsom dator, telefon och e-post ska användas och arbetsgivaren ska även informera om han eller hon till exempel tänker kartlägga hur internet används och hur detta i så fall kommer att gå till. All kontroll ska ha ett i förväg bestämt syfte. Det är viktigt att komma ihåg att dataskyddsförordningen gäller för e-post, precis som för all annan personuppgiftsbehandling.
Ytterligare skydd
Det är inte tillräckligt att endast se till vad dataskyddslagen och dataskyddsförordningen föreskriver utan fler rättskällor bör användas som komplement till varandra. ”Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens” stadgas det till exempel i Artikel 8 i Europakonventionen.
Rättspraxis
Även Integritetsskyddsmyndighetens utredningar och Europadomstolens avgöranden är av betydelse. Bland annat är Europadomstolens dom av den 3 april 2007 nr 62617/00, Copland ./. Storbritannien av intresse eftersom den fastslår att för att kontroll ska vara tillåten krävs att det på arbetsplatsen finns regler och riktlinjer som tydligt talar om vad som gäller för användningen av e-post och internet, att kontroll eller övervakning kan komma att ske och hur kontrollen blir utförd.
Tänk på
En arbetsgivare måste tillse att de anställdas personliga integritet inte kränks.
Den 25 maj 2018 ersattes personuppgiftslagen med dataskyddsförordningen, GDPR. De flesta regler som gällde enligt personuppgiftslagen finns kvar i motsvarande bestämmelser i dataskyddsförordningen. Dock har vissa bestämmelser högre krav än tidigare, till exempel krav avseende giltigt samtycke till en personuppgiftsbehandling. Individens rättigheter har utökats och förstärkts genom förordningen, och informationssäkerheten vid behandling av personuppgifter har ökat genom nya krav och genom att hårdare sanktioner för brott mot förordningen införts. Detta är tänkt att medföra att reglerna i större utsträckning följs.
Lagrum
Europakonventionen
lagen (2013:852) om registerkontroll av personer som ska arbeta med barn
dataskyddsförordningen, 2016/679/EU (GDPR)
lag (2018:218)med kompletterande bestämmelser till EU:s dataskyddsförordning (”dataskyddslagen”)