I undantagsfall kan det vara lagligt för arbetsgivare att kontrollera medarbetarnas datorer och mobiler, exempelvis surfhistorik. Om du gör det måste du följa GDPR och behandla personuppgifterna med hänsyn till medarbetarnas integritet.
Som arbetsgivare har du rätt att sätta regler för hur dina medarbetare ska använda arbetsplatsens utrustning. Många IT-system gör det enkelt att övervaka anställda. Men alla har rätt till ett privatliv, även på jobbet. Det är därför viktigt att du skiljer mellan att följa upp verksamheten och att övervaka anställda.
Du måste följa GDPR om en kontroll av utrustning innebär att du behandlar personuppgifter. Exempel på personuppgifter är surfhistorik, mejl eller information om vilka arbetsuppgifter en anställd har utfört.
Okej eller inte okej?
Du får inte kontrollera ”för säkerhets skull”
Du får inte kontrollera medarbetare ”för säkerhets skull”. Det innebär till exempel att det bara i undantagsfall är lagligt att kontrollera när och hur länge medarbetare tar sina raster eller följa varje klick på datorn. Du kan få göra kontroller om du misstänker brottsligt eller grovt illojalt agerande, inte annars.
Du måste informera om positioneringsteknik
Om platstjänster är aktiverade i medarbetarnas mobiler måste du informera om hur de används. Du behöver berätta vilka kontroller du gör, varför och hur du kommer att använda informationen. Du måste även berätta var uppgifterna sparas, hur länge och vem som har tillgång till dem. Kom ihåg att det inte är tillåtet att använda platstjänster för att övervaka medarbetare i hemlighet. GDPR ger dina medarbetare flera rättigheter, exempelvis rätt att få information om hur deras personuppgifter hanteras av dig som arbetsgivare.
Kom ihåg att samtycke från medarbetare inte gör en övervakning tillåten, eftersom de är i beroendeställning till dig som arbetsgivare.
Du får inte använda uppgifterna till andra saker
En vanlig fallgrop är att använda personuppgifter för andra syften än de samlades in för – så kallad ändamålsglidning. Om du exempelvis samlar in uppgifter för verksamhetsuppföljning får du inte använda de uppgifterna för att bedöma enskilda medarbetares prestationer.
IMY kan granska arbetsgivare
IMY är tillsynsmyndighet för GDPR och kan ingripa om en arbetsgivare går för långt när det gäller intrång i medarbetarnas integritet. Anställda har rätt att klaga på sin arbetsgivares personuppgiftsbehandling till IMY vilket kan leda till en tillsyn mot arbetsgivaren. IMY kan också inleda tillsyn på eget initiativ.