Integritetsskydd i arbetslivet

Betänkande av Utredningen om integritetsskydd i arbetslivet

Stockholm 2009

SOU 2009:44

SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Beställningsadress: Fritzes kundtjänst 106 47 Stockholm Orderfax: 08-690 91 91 Ordertel: 08-690 91 90

E-post: order.fritzes@nj.se Internet: www.fritzes.se

Svara på remiss. Hur och varför. Statsrådsberedningen, 2003.

– En liten broschyr som underlättar arbetet för den som ska svara på remiss. Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/remiss

Textbearbetning och layout har utförts av Regeringskansliet, FA/kommittéservice

Tryckt av Edita Sverige AB

Stockholm 2009

ISBN 978-91-38-23204-0

ISSN 0375-250X

Till statsrådet Sven Otto Littorin

Den 11 maj 2006 beslutade regeringen att tillkalla en särskild utredare med uppdrag att lämna förslag till lagreglering av skydd för den personliga integriteten i arbetslivet (dir. 2006:55). Till sär- skild utredare förordnades fr.o.m. den 1 september 2006 ordföran- den i Arbetsdomstolen Cathrine Lilja Hansson.

Som experter förordnades fr.o.m. den 1 februari 2007 överläkaren Leif Aringer, Arbetsmiljöverket, numera kanslirådet Petra Herzfeld Olsson, Arbetsmarknadsdepartementet, verksjuristen Aimée Jillger, Rikspolisstyrelsen, professorn Jonas Malmberg, Uppsala Universitet, datarådet Agneta Runmarker, Datainspektionen, rättssakkunnige Mathias Säfsten, Justitiedepartementet och juristkonsulten Sören Öman.

Från och med samma dag förordnades som ledamöter i utred- ningens referensgrupp med representanter för arbetsmarknadens parter förbundsjuristen Samuel Engblom (TCO), ombudsmannen Thomas Fredén (LO), arbetsrättsjuristen Lars Gellner (Svenskt Näringsliv), förhandlingsdirektören Anneli Hoffstedt (Arbets- givarverket), arbetsrättsjuristen Sara Kullgen (Sveriges Kommuner och Landsting) och chefsjuristen Lena Maier Söderberg (SACO).

Sara Kullgren entledigades fr.o.m. den 10 september 2007 och i hennes ställe förordnades arbetsrättsjuristen Jeanette Grenfors (Sveriges Kommuner och Landsting). Lena Maier Söderberg entle- digades fr.o.m. den 1 oktober 2007 och i hennes ställe förordnades t.f. chefsjuristen John Wahlstedt (SACO). John Wahlstedt entledi- gades fr.o.m. den 1 april 2008 och i hans ställe förordnades åter Lena Maier Söderberg. Thomas Fredén entledigades fr.o.m. den 1 augusti 2008 och i hans ställe förordnades juristen Claes-Mikael Jonsson (LO). Samuel Engblom entledigades fr.o.m. den 15 sep- tember 2008 och i hans ställe förordnades förbundsjuristen Arne de Lange (Finansförbundet).

Som sekreterare i utredningen anställdes kammarrättsassessorn Monica Sylvan fr.o.m. den 24 november 2006 och hovrättsassessorn, numera rådmannen Johan Rosén fr.o.m. den 1 december 2006. Johan Rosén entledigades fr.o.m. den 28 april 2008 och förordnades som expert fr.o.m. den 15 maj 2008.

Sören Öman entledigades som expert fr.o.m. den 6 december 2008.

Utredningen har antagit namnet Utredningen om integritets- skydd i arbetslivet (N 2006:07).

Den 28 juni 2007, den 18 juni 2008 och den 18 december 2008 be- slutade regeringen om tilläggsdirektiv till utredningen (dir. 2007:106, dir. 2008:85 och dir. 2008:152).

Betänkandet har skrivits i vi-form men det innebär inte att alla experter och ledamöter i referensgruppen står bakom samtliga för- slag i betänkandet.

Utredningen får härmed överlämna betänkandet Integritets- skydd i arbetslivet (SOU 2009:44).

Stockholm i maj 2009

Cathrine Lilja Hansson

/Monica Sylvan

Innehåll

Förkortningar.....................................................................

13

Sammanfattning ................................................................

17

Summary ..........................................................................

27

Författningsförslag .............................................................

37

1

Utredningens uppdrag och arbete ................................

45

1.1

Uppdraget.................................................................................

45

1.2

Arbetets bedrivande.................................................................

46

2

Tidigare utredningar av integritetsfrågor i arbetslivet ......

47

2.1Utredningen om medicinska undersökningar i

 

arbetslivet .................................................................................

47

2.2

Integritetsutredningen.............................................................

48

 

2.2.1

Inledning .......................................................................

48

 

2.2.2 Närmare om utredningens förslag...............................

49

 

2.2.3

Remissinstansernas synpunkter...................................

53

3

Internationella konventioner och EU.............................

55

3.1

Konventioner och annat internationellt arbete......................

55

 

3.1.1

Förenta nationerna .......................................................

55

 

3.1.2

Europarådet...................................................................

58

 

3.1.3

OECD...........................................................................

62

3.2

EU.............................................................................................

 

62

5

Innehåll SOU 2009:44

 

3.2.1 Allmänt om skyddet för den personliga

 

 

 

integriteten ....................................................................

62

 

3.2.2

Dataskyddsdirektivet m.m. ..........................................

63

 

3.2.3 Kommissionsinitiativ om skydd för arbetstagares

 

 

 

personuppgifter.............................................................

66

 

3.2.4 UNI:s Code of Practice................................................

68

4

Gällande rätt ..............................................................

69

4.1

Grundlagarna ............................................................................

69

 

Regeringsformen ......................................................................

69

 

Tryckfrihetsförordningen och

 

 

 

yttrandefrihetsgrundlagen ............................................

72

4.2

Straffrättsliga bestämmelser.....................................................

73

 

Brytande av post- eller telehemlighet......................................

73

 

Intrång i förvar .........................................................................

74

 

Olovlig avlyssning ....................................................................

74

 

Dataintrång...............................................................................

75

 

Personuppgiftslagen.................................................................

76

 

Lagen om elektronisk kommunikation...................................

76

 

Lagen om allmän kameraövervakning.....................................

76

 

Lagen om genetisk integritet m.m. .........................................

77

4.3

Arbetsrättslig reglering och praxis ..........................................

78

 

Arbetslednings- och antagningsrätten ....................................

78

 

Särskild reglering för offentliganställda ..................................

81

 

Diskrimineringslagen ...............................................................

81

 

Medbestämmandelagen............................................................

82

 

Arbetsmiljölagen ......................................................................

83

 

Registerkontroll........................................................................

84

 

In- och utpasseringskontroll samt husrannsakan...................

84

5

Personuppgiftslagen....................................................

89

5.1

Personuppgiftslagen.................................................................

89

 

5.1.1

Inledning........................................................................

89

 

5.1.2

Tillämpningsområde .....................................................

90

 

5.1.3 De allmänna grunderna för tillåtna behandlingar .....

106

 

5.1.4 Särskilt om känsliga personuppgifter.........................

122

 

5.1.5 Särskilt om personuppgifter om brott.......................

126

6

SOU 2009:44 Innehåll

 

5.1.6

Särskilt om personnummer och

 

 

 

samordningsnummer..................................................

126

 

5.1.7

Missbruksregeln..........................................................

127

 

5.1.8

Informationsskyldighet och registerutdrag ..............

130

 

5.1.9

Övriga bestämmelser..................................................

132

 

5.1.10 Tillsyn, sanktioner och rättegång ..............................

135

5.2

Begreppet loggning ................................................................

137

6

Medicinska undersökningar – gällande regler och

 

 

praxis......................................................................

 

143

6.1

Inledning.................................................................................

143

6.2

Vissa internationella bestämmelser.......................................

144

6.3

Europakonventionen .............................................................

146

6.4

Regeringsformen....................................................................

150

6.5

Arbetsrättsliga bestämmelser ................................................

151

 

6.5.1 Lagen om offentlig anställning ..................................

151

 

6.5.2

Lagen om fullmaktsanställning..................................

153

 

6.5.3

Anställningsförordningen ..........................................

154

 

6.5.4

Antagningsrätten och arbetsledningsrätten..............

154

 

6.5.5

Arbetsmiljölagen.........................................................

155

6.6

Speciallagstiftning inom vissa yrkesområden.......................

160

6.7

Lagen om genetisk integritet m.m. .......................................

161

6.8

Personuppgiftslagen...............................................................

161

6.9

Sekretess och tystnadsplikt ...................................................

161

6.10

Arbetsdomstolens rättspraxis ...............................................

163

6.11

Regleringen av medicinska undersökningar i de nordiska

 

 

länderna ..................................................................................

173

7

Regleringen i andra nordiska länder ...........................

179

7.1

Finland....................................................................................

179

7.2

Norge......................................................................................

 

183

7

Innehåll

 

SOU 2009:44

Överväganden

 

8

Allmänna utgångspunkter ..........................................

189

8.1

Begreppet personlig integritet...............................................

189

 

8.1.1 Allmänt om begreppet personlig integritet...............

189

 

8.1.2 Begreppet personlig integritet i förhållande till

 

Europakonventionen ..................................................

191

 

8.1.3 Personlig integritet i arbetslivet .................................

199

8.2Begreppet personlig integritet och ett

 

normgivningsperspektiv.........................................................

205

 

8.2.1

Personlig integritet – ett lämpligt begrepp?..............

205

 

8.2.2

Begreppets påverkan på valet av reglering .................

206

9

Ny lag

.....................................................................

211

9.1

En ny lag om integritetsskydd i arbetslivet ..........................

211

9.2

Lagens tillämpningsområde ...................................................

214

9.3

Lagens regler bör i huvudsak vara tvingande........................

219

10

Behandling av personuppgifter i arbetslivet .................

221

10.1

Inledning.................................................................................

221

10.2

Personuppgiftslagen...............................................................

221

10.3

Förstärkt skydd vid personuppgiftsbehandling ...................

231

 

10.3.1 Personuppgiftslagen ska som huvudregel gälla.........

231

 

10.3.2 Behov av lagstiftningsåtgärder ...................................

233

 

10.3.3 Missbruksregeln ska inte gälla....................................

236

 

10.3.4 Samtycke ska inte gälla ...............................................

237

 

10.3.5 Förstärkt skydd mot ändamålsglidning.....................

239

 

10.3.6 Rättelse och skadestånd..............................................

242

 

10.3.7 Kollektivavtalsreglering ..............................................

243

11

Kontroll av vissa registerutdrag...................................

247

11.1

Vissa rättsliga utgångspunkter...............................................

247

11.2

Utdrag ur belastningsregistret och misstankeregistret........

249

 

11.2.1 Inledning......................................................................

249

8

 

 

 

SOU 2009:44

Innehåll

 

11.2.2 Enskildas insynsrätt....................................................

249

 

11.2.3 Lagen om belastningsregister.....................................

253

 

11.2.4 Lagen om misstankeregister.......................................

258

 

11.2.5 Författningsreglerad skyldighet att genomföra

 

 

registerkontroll ...........................................................

260

 

11.2.6 Personuppgiftslagen ...................................................

267

 

11.2.7 Sekretesslagen .............................................................

269

 

11.2.8 Frågans tidigare behandling .......................................

270

 

11.2.9 Framställning till Justitiedepartementet ...................

271

 

11.2.10 Statistiska uppgifter..............................................

273

 

11.2.11 Överväganden och förslag –

 

 

belastningsregistret.....................................................

274

 

11.2.12 Överväganden och förslag –

 

 

misstankeregistret.......................................................

281

11.3

Utdrag ur Försäkringskassans register .................................

282

 

11.3.1 Inledning .....................................................................

282

 

11.3.2 Rättslig reglering.........................................................

283

 

11.3.3 Överväganden och förslag..........................................

286

11.4

Utdrag ur Kronofogdemyndighetens register .....................

288

 

11.4.1 Inledning .....................................................................

288

 

11.4.2 Rättslig reglering.........................................................

289

 

11.4.3 Överväganden .............................................................

291

11.5

Kreditupplysning från kreditupplysningsföretag.................

293

 

11.5.1 Inledning .....................................................................

293

 

11.5.2 Rättslig reglering.........................................................

293

 

11.5.3 Överväganden .............................................................

296

12

En reglering av medicinska undersökningar.................

297

12.1

Inledning.................................................................................

297

12.2

Sammanfattning av rättsläget ................................................

302

12.3

Några utgångspunkter ...........................................................

309

12.4

Behovet av en särskild reglering............................................

313

12.5

Endast medicinska undersökningar som utgör

 

 

kontrollåtgärder omfattas......................................................

314

12.6

Vad som bör avses med medicinska undersökningar ..........

316

 

 

9

Innehåll SOU 2009:44

12.7

Medicinsk undersökning endast för berättigat ändamål

......328

12.8

Ingreppet ska vara godtagbart ...............................................

336

12.9

Reglering i kollektivavtal .......................................................

345

13

Förbud mot integritetskränkande övervaknings- och

 

 

kontrollåtgärder i övrigt .............................................

351

13.1

En kompletterande generell bestämmelse ............................

351

13.2

Ett förbud mot integritetskränkande åtgärder .....................

352

13.3

Utformningen av bestämmelsen ...........................................

354

 

Övervaknings- och kontrollåtgärder.....................................

355

 

Påtaglig integritetspåverkan...................................................

356

 

Bara osakliga eller oproportionerliga åtgärder är

 

 

förbjudna .....................................................................

358

 

Tvingande och inte semidispositiv ........................................

359

14

Personlighetstest ......................................................

361

14.1

Internationella överenskommelser........................................

361

14.2

Regleringen i de nordiska länderna .......................................

362

14.3

Personuppgiftslagen...............................................................

362

14.4

Integritetsutredningen ...........................................................

364

14.5

Kvalitetssäkring ......................................................................

366

14.6

Överväganden.........................................................................

367

 

14.6.1 Utgångspunkter ..........................................................

367

 

14.6.2 Vilken regleringsmetod bör väljas?............................

369

14.7

Sekretess och tystnadsplikt....................................................

374

 

14.7.1 Inledning......................................................................

375

 

14.7.2 Tidigare behandling av frågan om sekretess och

 

 

tystnadsplikt................................................................

377

 

14.7.3 Överväganden..............................................................

379

15

En arbetsgivares rätt att ställa frågor...........................

385

15.1

Internationell rätt...................................................................

385

10

 

 

SOU 2009:44

Innehåll

15.2

Svensk rätt ..............................................................................

386

15.3

Regleringen i de övriga nordiska länderna............................

390

15.4

Frågans tidigare behandling...................................................

393

15.5

Överväganden ........................................................................

395

 

15.5.1 Utgångspunkter..........................................................

395

 

15.5.2 Ett krav på att frågor ska vara sakligt motiverade?... 395

 

15.5.3 Ett frågeförbud om vissa ämnen? ..............................

397

16

Övriga bestämmelser ................................................

401

16.1

Förhandlingsskyldighet .........................................................

401

16.2

Skadestånd..............................................................................

403

16.3

Rättegången............................................................................

407

 

16.3.1 Tillämpliga regler ........................................................

407

 

16.3.2 Preskription ................................................................

409

17

Konsekvenser och ikraftträdande ...............................

411

 

Ikraftträdande ........................................................................

413

18

Författningskommentar .............................................

415

18.1

Förslaget till lag (2010:00) om integritetsskydd i

 

 

arbetslivet ...............................................................................

415

18.2

Förslaget till lag om ändring i lagen (1994:260) om

 

 

offentlig anställning ...............................................................

437

18.3

Förslaget till förordning om ändring i

 

 

personuppgiftsförordningen (1998:1191)............................

437

Bilaga 1, Kommittédirektiv, Dir:2006:55 ...........................

439

Bilaga 2, Kommittédirektiv, Dir:2007:106 .........................

453

Bilaga 3, Kommittédirektiv, Dir:2008:85 ...........................

455

Bilaga 4, Kommittédirektiv, Dir: 2008:152 ........................

457

11

Förkortningar

a. a.

anfört arbete

a. bet.

anfört betänkande

AD

Arbetsdomstolen

AFS

Arbetsmiljöverkets

 

författningssamling

a. prop.

anförd proposition

arbetstvistlagen

lagen (1974:371) om rättegången i

 

arbetstvister

bet.

betänkande

bil.

bilaga

DI

Datainspektionen

DIFS

Datainspektionens författningssamling

dir.

direktiv

dnr

diarienummer

Ds

Departementsserien

EG

Europeiska

 

gemenskapen/gemenskaperna

EU

Europeiska unionen

EU-stadgan

Europeiska unionens stadga om de

 

grundläggande rättigheterna

13

Förkortningar

SOU 2009:44

Europakonventionen

Europeiska konventionen den 4

 

november 1950 angående skydd för de

 

mänskliga rättigheterna och de

 

grundläggande friheterna

FN

Förenta Nationerna

HVB

Hem för vård och boende

ILO

International Labour Organization

JT

Juridisk Tidskrift vid Stockholms

 

universitet

JO

Riksdagens ombudsmän

KFMdbL

lagen (2001:184) om behandling av

 

uppgifter i Kronofogdemyndighetens

 

verksamhet

LO

Landsorganisationen i Sverige

LOA

lagen (1994:260) om offentlig

 

anställning

medbestämmandelagen

lagen (1976:580) om medbestämmande

 

i arbetslivet

NJA

Nytt juridiskt arkiv, avdelning 1

prop.

proposition

RB

Rättegångsbalken

Regeringsrättens årsbok

SACO

Sveriges Akademikers

 

Centralorganisation

SofdL

lagen (2003:763) om behandling av

 

personuppgifter inom

 

socialförsäkringens administration

SOSFS

Socialstyrelsens författningssamling

SOU

Statens offentliga utredningar

14

SOU 2009:44 Förkortningar

SWEDAC

Styrelsen för ackreditering och teknisk

 

kontroll

TCO

Tjänstemännens centralorganisation

YGL

Yttrandefrihetsgrundlagen

15

Sammanfattning

Uppdraget

Vårt uppdrag har varit att föreslå lagstiftning till skydd för den enskildes personliga integritet i arbetslivet.

Enligt utredningsdirektiven ska vi bl.a. lämna förslag till reglering av vissa åtgärder nämligen kontroll av privat användning av e-post och Internet, liksom kontroll genom annan datoranvändning – exempelvis loggning, kontroll av arbetstagare och arbetssökande genom hälso- och drogtester samt under vilka förutsättningar en arbetsgivare ska ha rätt att begära att få se utdrag ur belastnings- registret.

Härutöver ska vi överväga och – om behov föreligger – föreslå lagstiftning som reglerar tillåtligheten för arbetsgivare att få begära att få se utdrag ur Försäkringskassans register, att få begära utdrag från Kronofogdemyndighetens utsökningsregister och att få hämta in kreditupplysningar från kreditupplysningsföretag. Vi ska också överväga om det finns anledning att ytterligare reglera förutsätt- ningarna för kameraövervakning och telefonavlyssning i arbetslivet. Slutligen ska vi överväga om det finns anledning att lagreglera användandet av personlighetstest och tillåtligheten av att ställa frågor om politisk övertygelse och facklig anslutning. Dessutom står det oss fritt att lämna förslag beträffande andra företeelser i arbetslivet som påverkar den personliga integriteten.

17

Sammanfattning

SOU 2009:44

En ny lag införs till skydd för den personliga integriteten i arbetslivet

Det råder i dag en bred enighet, såväl internationellt som nationellt, om att rätten till respekt för privatlivet och för den personliga integriteten är en mänsklig rättighet och att staten har ett ansvar för att upprätthålla ett skydd mot att denna rättighet kränks.

Det regelverk som finns till skydd för arbetstagares personliga integritet i arbetslivet är svåröverskådligt. Det består av disparata regler i olika lagstiftningar. Skyddet är endast delvis reglerat och innebörden av vissa bestämmelser får anses oklar. Skyddet skiljer sig dessutom i viss mån för arbetstagare i den privata och den offentliga sektorn. Härtill kommer att arbetssökande i huvudsak saknar möjlighet att angripa integritetskränkande kontrollåtgärder som vidtas av en arbetsgivare hos vilken de söker arbete.

Bristerna i det nuvarande regelverket medför att skyddet för den personliga integriteten i arbetslivet behöver förtydligas och stärkas genom lagstiftning. Detta anser vi bör ske genom en reglering i en egen lag. För att lagen ska bli så tydlig som möjligt för de som har att tillämpa den bör den knyta an till kända mönster på arbetsrättens område. Den reglering som vi föreslår bör vidare vara generellt tillämplig för hela arbetslivet.

Vårt lagförslag innebär i huvudsak följande. När det gäller över- vaknings- och kontrollåtgärder som innebär behandling av person- uppgifter enligt personuppgiftslagen (1998:204) ska den lagen gälla, förutom i tre avseenden där vi föreslår förändringar som vi menar ökar skyddet för arbetstagare. Det införs särskilda bestämmelser för vissa av de övervaknings- och kontrollåtgärder som utpekas i våra direktiv, nämligen såvitt avser viss registerkontroll och avseende medicinska undersökningar. Därutöver införs en generell bestämmelse som under vissa förutsättningar förbjuder övervaknings- och kontroll- åtgärder i övrigt om dessa har en påtaglig integritetspåverkan. När det gäller regleringen om medicinska undersökningar och den gene- rella regleringen är dessa bestämmelser uppbyggda som avvägnings- normer med krav på att övervaknings- och kontrollåtgärden vidtas för ett berättigat ändamål och vid en proportionalitetsbedömning framstår som ett godtagbart ingrepp. Påföljden för överträdelse av bestämmelserna i den föreslagna lagen är skadestånd.

18

SOU 2009:44

Sammanfattning

Lagens syfte och tillämpningsområde

Lagförslaget inleds med en portalparagraf där det slås fast att lagens syfte är att skydda arbetstagares personliga integritet i arbetslivet.

Den föreslagna lagen reglerar endast åtgärder som vidtas av arbetsgivare och som riktas mot arbetstagare.

Som arbetstagare anses enligt förslaget, som huvudregel, även vissa andra personkategorier, nämligen arbetssökande, de som söker eller fullgör praktik samt de som utför arbete som inhyrd och inlånad arbetskraft. När det i denna sammanfattning liksom i betänkandet i övrigt talas om arbetstagare avses därför, om inte annat framgår av sammanhanget, även arbetssökande och de övriga personkategorier som ingår i lagens skyddade personkrets.

Behandling av personuppgifter

I personuppgiftslagen finns bestämmelser som syftar till att skydda människor mot att deras personliga integritet kränks genom behand- ling av personuppgifter. Vi lämnar en relativt omfattande redo- görelse för innehållet i personuppgiftslagen. Vi hoppas att den redovisningen ska kunna ge ökad kunskap om personuppgiftslagens tillämpning inom arbetslivet. Vår genomgång av lagens bestämmelser har lett till slutsatsen att personuppgiftslagen tillhandahåller ett förhållandevis gott skydd för den personliga integriteten på arbets- livets område. Enligt vårt förslag ska därför, om inte något annat sägs, personuppgiftslagen gälla vid arbetsgivares behandling av person- uppgifter. Vi föreslår därför inga särskilda regler när det gäller en arbetsgivares kontroll t.ex. av loggar eller vid digital kameraöver- vakning, vilka alltså är personuppgiftsbehandlingar som person- uppgiftslagen är tillämplig på. Det skydd som personuppgiftslagen ger på arbetslivets område bör dock förtydligas och i någon mån också förstärkas. Vi föreslår därför genom en särskild bestämmelse i vår lag följande modifieringar av personuppgiftslagen om ändamålet med arbetsgivarens behandling av arbetstagares personuppgifter är att övervaka eller kontrollera en arbetstagare.

För det första gäller inte den s.k. missbruksregeln i 5 a § person- uppgiftslagen utan samtliga bestämmelser i personuppgiftslagen ska tillämpas.

För det andra får en arbetsgivare inte behandla en arbetstagares personuppgifter enbart med stöd av samtycke, utan någon annan

19

Sammanfattning

SOU 2009:44

behandlingsgrund måste föreligga för att behandling ska vara tillåten enligt personuppgiftslagen.

Slutligen är en arbetsgivares behandling av arbetstagares person- uppgifter tillåten enligt personuppgiftslagen bara om det i samband med att personuppgifterna samlades in angetts att ändamålet med behandlingen ska vara just att övervaka eller kontrollera arbets- tagare i något visst avseende, dvs. ett uttryckligt skydd mot ändamåls- glidning. Undantag får dock göras om det finns synnerliga skäl och om arbetsgivaren så snart det kan ske informerar berörda arbets- tagare om det nya ändamålet med behandlingen.

En reglering i kollektivavtal av frågor om behandling av person- uppgifter i arbetslivet skulle enligt vår mening kunna precisera bestämmelserna och underlätta tillämpningen. Eftersom person- uppgiftslagens bestämmelser inte kan frångås genom kollektivavtal kan emellertid gränserna för det avtalsbara området vara svåra att överblicka. För att främja tillkomsten av kollektivavtal föreslår vi därför att det även införs en bestämmelse i personuppgifts- förordningen (1998:1191). Enligt den föreslagna bestämmelsen ska Datainspektionen, efter en gemensam framställan av avtalsparterna, avge yttrande över ett utkast till kollektivavtal avseende avtalets förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är fråga om.

Förbud mot inhämtande av vissa registerutdrag

Belastningsregistret innehåller bl.a. information om den som erhållit påföljd för brott. Det övergripande syftet med belastnings- registret är att olika myndigheter, framför allt de brottsbekämpande myndigheterna, på ett enkelt sätt ska få tillgång till sådana belastnings- uppgifter som behövs i deras verksamhet. Uppgifter av detta slag sammanställda i ett register är synnerligen integritetskänsliga. För uppgifterna i registret gäller därför den strängaste formen av sekretess. Den enskilde har dock rätt till fullständig insyn i registret avseende uppgifter om sig själv.

Det är ett allmänt intresse att en person efter ett avtjänat straff ska kunna verka i samhället på samma premisser som andra. För vissa typer av anställningar har emellertid intresset att skydda andra från risker som kan anses förknippade med tidigare brottslighet ansetts utgöra skäl för att arbetsgivare ska få ta del av uppgifter ur registret. I belastningsregisterförfattningarna och i register-

20

SOU 2009:44

Sammanfattning

kontrollagar har därför efter noggranna överväganden slagits fast vilka arbetsgivare som ska ha möjlighet respektive skyldighet att genomföra registerkontroll. Samtidigt har också bestämts omfatt- ningen av de uppgifter som kontrollen ska avse.

Enligt uppgifter bl.a. från Rikspolisstyrelsen förekommer det i allt större utsträckning att arbetsgivare, med utnyttjandet av den enskildes rätt att ta del av uppgifter om sig själv i registret, begär av en arbetssökande att han eller hon ska förete ett registerutdrag. Ett sådant utdrag innehåller samtliga uppgifter om den enskilde som finns i registret. För att förhindra att den enskildes rätt att ta del av uppgifter om sig själv i registret utnyttjas på ett sätt som vare sig är avsett eller önskvärt föreslås ett förbud för arbetsgivare att utan lagstöd begära att en arbetssökande ska visa upp ett belastnings- registerutdrag. Förbudet föreslås omfatta också en begäran om utdrag ur misstankeregistret som inte har sådant stöd som nyss sagts. Detta register innehåller uppgifter om den som skäligen är misstänkt för brott.

Det har också uppmärksammats att det förekommer att en arbetsgivare begär att en arbetssökande ska visa upp ett utdrag från Försäkringskassans register som utvisar tidigare sjukfrånvaro och frånvaro för vård av barn. Sådana uppgifter lämnar Försäkrings- kassan normalt inte ut till en presumtiv arbetsgivare på grund av reglerna om socialförsäkringssekretess i sekretesslagen. I syfte att förhindra ett kringgående av den reglering som sekretesslagen innebär i form av skydd för den personliga integriteten, föreslås därför att en arbetsgivare inte utan lagstöd får begära att en arbets- tagare uppvisar ett utdrag från register som förs hos Försäkrings- kassan om utdraget innehåller uppgifter för vilka sekretess gäller gentemot arbetsgivaren.

Lagförslaget innehåller däremot inte någon särskild reglering om tillåtligheten för arbetsgivare att inhämta kreditupplysningar från kreditupplysningsföretag eller att begära av en arbetstagare att få ett utdrag från Kronofogdemyndighetens register. Det rör sig här normalt om uppgifter som är offentliga. För kreditupplysnings- verksamheten finns dessutom genom kreditupplysningslagen (1973:1173) en särskild reglering till skydd mot otillbörligt intrång i den personliga integriteten. Det har heller inte framkommit att arbetsgivare förfar på ett sådant sätt att en särskild reglering är motiverad. För det fall inhämtandet av uppgifter av nu aktuellt slag skulle ske på ett sätt att det innebär ett otillbörligt integritets- intrång, t.ex. om en arbetsgivare begär och får ta del av uppgifter

21

Sammanfattning

SOU 2009:44

för vilka det råder sekretess enlig sekretesslagen, innebär vårt lagförslag att förfarandet kan angripas med stöd av den generella bestämmelse vi föreslår om förbud mot integritetskränkande åtgärder i övrigt.

Medicinska undersökningar

En arbetsgivares kontrollåtgärd i form av en medicinsk under- sökning är särskilt känslig från integritetssynpunkt och bör därför användas med stor restriktivitet.

I dag kan iakttas en utveckling som innebär att användningen av medicinska kontroller i arbetslivet ökar, i synnerhet bruket av drog- tester. Genomgången av gällande rätt visar att det saknas en hel- täckande reglering i fråga om arbetstagares skyldighet att underkasta sig en medicinsk undersökning och att rättsläget i flera avseenden är oklart. Skyddet skiljer sig vidare åt för arbetstagare i offentlig och privat sektor och för arbetssökande saknas i stort skyddande regler.

Vi föreslår mot den bakgrunden en särskild reglering om medicinska undersökningar. Den ska enligt vårt förslag ersätta bestämmelsen om regelbundna hälsoundersökningar som i dag gäller på den offentliga sektorn enligt 30 § lagen (1994:260) om offentlig anställning.

Lagförslaget om medicinska undersökningar reglerar en arbets- givares rätt att begära en medicinsk undersökning. Med detta avses en begäran att genomgå en sådan undersökning eller att delge arbets- givaren resultatet av en sådan undersökning. Med en medicinsk undersökning menas enligt förslaget en hälsoundersökning eller ett alkohol-, narkotika- eller annat drogtest. Bestämmelsen om medi- cinska undersökningar ska dock inte vara tillämplig på alkoholtest som sker med användande av alkolås i fordon.

Lagförslaget innebär att en arbetsgivare får begära en medicinsk undersökning bara om undersökningen sker för ett berättigat ända- mål och om den framstår som ett godtagbart ingrepp i arbets- tagarens personliga integritet i förhållande till ändamålet.

I lagen anges de ändamål som kan anses berättiga en medicinsk undersökning. Detta anses till att börja med vara fallet om under- sökningen sker av säkerhetsskäl. Ändamålet ska i det fallet enligt förslaget vara att bedöma tillståndet hos en arbetstagare som har sådana arbetsuppgifter där brister i arbetstagarens hälsotillstånd

22

SOU 2009:44

Sammanfattning

eller där alkohol-, narkotika- eller annan drogpåverkan i arbetet med- för risk för människors liv, personliga säkerhet eller hälsa eller för betydande skador på miljö och egendom.

En begäran om en medicinsk undersökning anses enligt för- slaget också ske för ett berättigat ändamål om undersökningen ingår som ett led i rehabiliteringen av en arbetstagare.

Slutligen anses ändamålet med en medicinsk undersökning vara berättigat om undersökningen sker för att bedöma tillståndet hos en arbetstagare och denna kontroll är av avgörande betydelse för verksamheten på grund av dess speciella karaktär. Behovet av sådana kontroller avser i första hand drogtester. Det bör i princip vara fråga om att kontroll av aktuellt slag utgör en förutsättning för att verksamheten eller en väsentlig del av denna ska kunna bedrivas.

Bestämmelsen om för vilka ändamål en medicinsk undersökning får begäras föreslås vara semidispositiv såtillvida att det genom kollektivavtal på central nivå får bestämmas om ett annat berättigat ändamål än de som anges i lagen.

Som ytterligare förutsättning för att en arbetsgivare ska få begära en medicinsk undersökning gäller som sagt att under- sökningen ska framstå som ett godtagbart ingrepp i förhållande till ändamålet. Härvid ska omständigheterna i det enskilda fallet beaktas. Enligt förslaget gäller dock det grundläggande kravet att ett ingrepp är godtagbart bara om den medicinska undersökningen genomförs av hälso- och sjukvårdspersonal och om de prov som tas vid alkohol-, narkotika- eller annat drogtest analyseras av ett laboratorium som är ackrediterat för uppgiften enligt lagen (1992:1119) om teknisk kontroll eller av ett motsvarande laboratorium i annat EES-land. Kravet på hälso- och sjukvårdspersonal och ackrediterat laboratorium gäller dock inte provtagning av utandningsluft.

Förbud mot integritetskränkande åtgärder i övrigt

För att åstadkomma ett heltäckande skydd mot obefogade integritets- intrång föreslår vi förutom den särreglering vi ovan beskrivit även en bestämmelse om förbud mot integritetskränkande åtgärder i övrigt. Enligt den föreslagna bestämmelsen får en arbetsgivare inte genomföra en övervaknings- eller kontrollåtgärd som på ett påtagligt sätt påverkar en arbetstagares personliga integritet, om inte åtgärden vidtas för ett berättigat ändamål och framstår som ett godtagbart ingrepp i arbetstagarens personliga integritet i förhållande till det

23

Sammanfattning

SOU 2009:44

ändamål som motiverat åtgärden. Vad bestämmelsen tar sikte på är från integritetssynpunkt kvalificerade fall av övervaknings- och kontrollåtgärder. Som exempel på åtgärder som kan ha sådan påtaglig integritetspåverkan – och som alltså är förbjudna om de inte är sakligt motiverade och proportionerliga – kan nämnas att arbetsgivaren lyssnar på arbetstagarens telefonsamtal genom s.k. medhörning, att arbetsgivaren genomför utpasseringskontroll med genomsökning av t.ex. väskor, att arbetsgivaren genomsöker skåp, lådor eller andra utrymmen som en arbetstagare normalt disponerar ensam och att arbetsgivaren har analog kameraövervakning på toalett- utrymmen.

Vardagliga åtgärder för tillsyn eller uppsikt över arbetet omfattas alltså inte av den föreslagna bestämmelsen. Det gör inte heller sådana åtgärder som att arbetsgivaren t.ex. på sedvanligt sätt inhämtar referenser eller att en arbetsgivare samtalsvis ställer frågor till en arbetstagare eller arbetssökande.

En kontrollåtgärd som däremot normalt måste anses falla under bestämmelsen är en arbetsgivares användande av personlighetstest eller liknande undersökning. Såväl genomförandet av test av detta slag som testresultatet måste anses vara känsligt från integritets- synpunkt. Vi har av de skäl som vi redovisar i betänkandet inte före- slagit någon särreglering för dessa fall utan funnit det lämpligast att denna kontrollåtgärd regleras genom den generella bestämmelsen om förbud mot integritetskränkande åtgärder.

Vi har också i enlighet med våra direktiv övervägt en reglering av arbetsgivares rätt att ställa frågor om politisk övertygelse och facklig anslutning men inte funnit detta motiverat. Skulle emeller- tid arbetsgivarens frågeställande ske på ett sätt att det innebär ett sådant otillbörligt integritetsintrång som den generella förbuds- bestämmelsen tar sikte på, avses förfarandet kunna angripas med stöd av den bestämmelsen.

Förhandlingsskyldighet

Ett viktigt inslag i ett regelverk som ska skydda den personliga integriteten i samband med övervakning och kontroll i arbetslivet är att det kan garantera att vidtagna åtgärder är genomdiskuterade och transparenta. Förhandlingsskyldigheten enligt lagen (1976:580) om medbestämmande i arbetslivet är redan i dag tillämplig när en arbetsgivare överväger att besluta om övervaknings- och kontroll-

24

SOU 2009:44

Sammanfattning

åtgärder som innebär viktigare förändringar av verksamheten eller som särskilt angår arbets- eller anställningsförhållandena för en arbetstagare. För att göra klart att primär förhandlingsskyldighet gäller när en arbetsgivare avser att besluta om en övervaknings- eller kontrollåtgärd som är ägnad att på ett påtagligt sätt påverka en eller flera arbetstagares personliga integritet, införs en uttrycklig bestämmelse om att arbetsgivaren då först ska förhandla med berörd arbetstagarorganisation på det sätt som anges i 11–14 §§ med- bestämmandelagen. Det föreslås därutöver att det ska vara tillåtet att genom kollektivavtal avvika från bestämmelsen.

Övriga bestämmelser

Påföljden för överträdelser av lagens bestämmelser föreslås vara ekonomiskt och allmänt skadestånd.

Mål enligt den föreslagna lagen ska handläggas enligt lagen om rättegången i arbetstvister. Detta gäller dock inte sådana mål som rör personuppgiftsbehandling och som avser andra av lagen skyddade personkategorier än arbetstagare.

Vid talan enligt denna lag, förutom såvitt avser den föreslagna bestämmelsen om personuppgiftsbehandling, ska preskriptions- bestämmelserna i 64–66 och 68 §§ medbestämmandelagen tillämpas.

Lagens bestämmelser föreslås vara tvingande. Ett avtal som inskränker en arbetstagares skydd enligt den föreslagna lagen är således utan verkan i den delen. Två av lagens bestämmelser före- slås dock som redan framgått vara semidispositiva, nämligen bestämmelsen om för vilka ändamål en medicinsk undersökning kan begäras och bestämmelsen om förhandlingsskyldighet.

25

Summary

The remit

We have been commissioned to draw up proposals for legislation to protect the personal privacy of the individual in working life.

According to our terms of reference, we are required inter alia to propose legislation to regulate certain measures – namely monitoring of private email and internet use, and surveillance through other computer-aided means, e.g. logging, monitoring of employees and job-applicants via health and drug tests – and estab- lish the conditions under which employers would be entitled to view extracts from criminal records.

In addition, we have been instructed to consider and, if neces- sary, propose legislation governing the admissibility of employers requesting to view extracts from the National Social Insurance Agency’s records, the Swedish Enforcement Authority’s register of debt recoveries and credit ratings compiled by credit-rating agencies. We are also required to consider whether grounds exist for further regulation of camera surveillance and telephone tapping in the workplace. Finally we are instructed to consider whether there are grounds for introducing legislation governing the use of personality tests and the admissibility of asking employees or job applicants about their political convictions or trade union member- ship. We are also free to put forward proposals on other aspects of working life that could have a bearing on personal privacy.

27

Summary

SOU 2009:44

A new act on the protection of personal privacy in working life

There is a prevailing consensus, both at national and international level, that the right to respect for private life and personal privacy is a human right, and that the state has a responsibility to maintain effective protection against violations of that right.

The existing regulatory framework intended to protect the personal privacy of employees in the workplace is elaborate and difficult to overview. It comprises a disparity of regulations and legislative enactments. Protection is only partially regulated by law and the meaning of certain statutory provisions must be regarded as unclear. Moreover, protection for employees in the private sector differs to some extent from that afforded to public sector employees. In addition, job applicants have no means of taking effective action against privacy invading background checks conducted by an employer for whom they wish to work.

Given the deficiencies in the existing regulatory framework, protection of personal privacy in working life needs to be clarified and strengthened through appropriate legislation. In our view, this should be done through the introduction of a single, self-contained act. To ensure that the act is as clear as possible to those responsible for its application, it should be patterned on known labour law models. The regulations we propose should also be generally applicable to all areas of working life.

The legislation we propose mainly entails the following provi- sions:

As regards surveillance and background checks involving the processing of personal data, the provisions in the Personal Data Act should continue to apply in all but three areas, where we propose changes which in our view will serve to strengthen employee protection. We propose the introduction of special provisions governing some of the surveillance and background checks specified in our terms of reference, namely concerning certain records checks and medical tests. In addition, we propose a blanket provision – to be applicable under certain conditions – prohibiting surveillance and background checks in general where these are deemed to have a palpable effect on personal privacy. The provisions we purpose regulating medical tests and the proposed general provision are constructed as discretionary norms. As such they restrict the adoption of surveillance and background checks to

28

SOU 2009:44

Summary

purposes which are authorised and which, on the basis of a proportionality assessment, are seen to constitute an admissible intrusion. A party guilty of breaching the provisions in the propo- sed act will be liable for damages.

Purpose and scope of the proposed act

The proposed act is prefaced by a declaratory paragraph stating its purpose – to protect the personal privacy of employees in working life.

The act only concerns measures implemented by employers and directed at employees.

Under the proposal, the term employee also embraces in prin- ciple certain other categories, namely job applicants, people seeking or undertaking work experience placements and those who perform work as hired or borrowed labour. Where reference is made to employees in the present summary or in the report as a whole, the term is to be understood to apply equally to job applicants and the other categories of persons protected under the act, unless otherwise indicated.

Processing of personal data

The Personal Data Act (1998:204) contains provisions intended to protect against invasion of personal privacy through the processing of personal data. We hope that the relatively extensive account of the content of the act included in our report will afford a better understanding of its application in working life. Our review of the provisions has led us to the conclusion that the act provides relatively good protection of personal privacy in working life. We have accordingly proposed that the Personal Data Act should, unless otherwise stated, apply to the processing by employers of personal data. We do not therefore propose the adoption of sepa- rate regulations governing employer surveillance involving, for example, logs or digital camera surveillance, as these come under personal data processing as defined by the act. However, the protection in working life afforded by the act should be more clearly defined and, to some extent, strengthened. We therefore propose the inclusion in our act of a provision modifying the

29

Summary

SOU 2009:44

Personal Data Act as follows in cases where an employer’s purpose in processing an employee’s personal data is to check up on or monitor the employee.

In the first place, the misuse rule in Section 5 a of the Personal Data Act would not be applicable; instead all the provisions of the act are to be applied.

In the second place, an employer would not be permitted to process an employee’s personal data solely on the basis of consent; under the act, some other ground for action would need to exist for processing to be admissible.

Finally, processing by an employer of an employee’s personal data should only be admissible under the act if it is stated, when the data has been collected, that the purpose of the processing was to check up on or monitor employees in some specific respect. Thus the act explicitly guards against purpose drift. However, under the proposed act, exceptions may be made where exceptional grounds exist and provided the employer promptly informs employees affected by the processing about its new purpose.

Regulation in collective agreements of issues relating to the processing of personal data in working life could in our view serve to clarify the provisions of the act and facilitate their application. However, although the provisions of the act cannot be departed from by collective agreement, the limits of the area which may be covered by such an agreement can be difficult to define. We there- fore propose that a provision also be introduced into the Personal Data Ordinance (1998:1191) as a means of promoting the estab- lishment of collective agreements. Under the proposed provision, the Data Inspection Board would be required, at the joint instance of the parties to the agreement, to deliver an opinion on a draft collective agreement with respect to its compatibility with the Personal Data Act and other statutes governing the type of personal data processing in question.

Prohibition against obtaining certain data extracts

Criminal records include information on people who have had sanctions brought against them for crimes committed. The over- riding purpose of these records is to provide authorities, primarily law-enforcement agencies, with speedy, relatively trouble-free access to the information they need to carry out their work. Data

30

SOU 2009:44

Summary

of this kind compiled and stored in a register is extremely sensitive and is therefore subject to the strictest secrecy. However, individuals are entitled to full access to the records with regard to data about themselves.

It is in the public interest that a person who has served his/her sentence be able to play an active part in the community on the same premises as everyone else. With certain types of jobs, however, the need to protect others from the risks that may be associated with previous crimes committed by an employee is deemed to constitute grounds for accessing data from the records. Careful consideration has therefore been given to the incorpora- tion in statutes governing access to criminal records or register checks of provisions specifying which employers are permitted and/or required to conduct register checks. Also specified is the extent of the information that may be obtained in such checks.

According to reports by inter alia the National Police Board, employers are increasingly making use of the individual’s right to access data about him/herself to request that job applicants them- selves produce extracts from the records. Such extracts contain all the information about the individual stored in the register. To prevent employers from exploiting the individual citizen’s right to access data about him/herself in a way which is neither intended or desirable, we propose that employers be prohibited from requiring job applicants to produce criminal record extracts about themselves unless there is legal sanction for doing so. It is proposed that the prohibition also cover requests without legal sanction for extracts from the register of suspected offenders.

It has also come to our attention that employers have been known to require job applicants to produce extracts from the Swedish Social Insurance Agency showing previous periods of absence from work due to illness or to care for a sick child. The agency does not normally release this kind of information to prospective employers in accordance with the secrecy rules gover- ning social insurance set out in the Secrecy Act. In order to prevent circumvention of the rules in the Secrecy Act designed to protect personal privacy, it is proposed that employers may not without legal sanction require job applicants to produce extracts from data registers kept by the Social Insurance Agency if the extract contains information to which the employer has no right of access under the Secrecy Act.

31

Summary

SOU 2009:44

However, the proposed new act does not contain specific provisions prohibiting employers from obtaining a prospective employee’s credit rating from a credit rating agency or from requiring a job applicant to produce an extract from the Swedish Enforcement Authority’s data register. This information is normally in the public domain. Moreover, credit rating agencies and their operations are governed by the Credit Information Act (1973:1173), a special statute intended to protect people against improper invasion of personal privacy. What is more, there is no indication that employers are acting in such a way as to justify special regulation in this regard. As regards obtaining data of the kind referred to above in ways that would constitute an unwarran- table invasion of privacy – such as a request for or access to any data subject to secrecy under the Secrecy Act – our proposal provides for action to be taken under the proposed general provi- sion in our new act otherwise prohibiting encroachments on personal privacy.

Medical tests

Employer background checks in the form of medical tests are particularly sensitive from a privacy standpoint and should there- fore be conducted very restrictively.

There is an observable tendency today towards the use of back- ground medical checks in working life, particularly with regard to drug tests. A review of existing law in this area shows that there is no comprehensive regulation regarding an employee’s obligation to undergo a medical test, and the legal situation is unclear in a number of respects. Employee protection in this respect varies between private and public sectors and protective regulations for job applicants are largely absent.

We accordingly propose special legislation regulating back- ground medical checks. This would replace the provision on regular medical check-ups currently applying to employees in the public sector under Section 30 of the Public Employment Act.

The proposed act would regulate the right of an employer to request medical tests. By this is meant a request to undergo such a check or to inform an employer of its results. Medical tests are defined under our proposal as a medical examination or any form of alcohol, or narcotic or other drug test. However, this provision

32

SOU 2009:44

Summary

would not apply to alcohol tests administered in connection with alcolocks in vehicles.

The proposed act would permit an employer to request a medical test only if the test was for an authorised purpose within the meaning of the law, and if the test could be said to be an admissible invasion of an employee’s personal privacy having regard to the said purpose.

Purposes for which a medical test would be deemed appropriate are specified in the proposed act. These include in the first instance cases where tests are conducted for security reasons. An authorised purpose in such a case would, under our proposal, be the need to assess the medical condition of an employee who has duties where health problems or the influence of alcohol, drugs or medical preparations could entail a risk to human lives, personal security or health, or significantly damage the environment or property.

A request for a medical test would also be for an authorised purpose under our proposal if the test formed part of a rehabilita- tion plan for the employee.

Finally, the purpose of a medical test would be authorised if it was conducted to assess the state of health of an employee and if said test was of critical importance to the operation of the entity concerned owing to its special character. Checks of this kind are needed primarily in order to conduct drug tests. The basic principle here should be that checks of this type should be essential to or form a vital part of the operation of the entity concerned.

It is proposed that the provision specifying the purposes for which a medical test may be requested by an employer be semi- discretionary, thereby allowing for a decision to establish another authorised purpose than that specified in the act through a collec- tive agreement at national level.

A further condition under which an employer may request a medical test is, as previously mentioned, that the test must be seen to be an admissible intrusion in relation to its purpose. Here the circumstances of each case must be taken into account. However, our proposal also specifies as a basic requirement that medical tests are only admissible if performed by health and medical care personnel, and provided samples taken for alcohol and narcotic and other drug tests are analysed by a laboratory accredited for the purpose under the Technical Conformity Assessment Act (1992:1119), or by an equivalent laboratory in another EEC country. However, the requirement concerning health and medical

33

Summary

SOU 2009:44

care personnel and accredited laboratories does not apply to tests involving breath samples.

Prohibiting privacy invading measures in general

To ensure comprehensive protection against unauthorised invasions of privacy, we also propose, in addition to the special provisions outlined above, a provision prohibiting privacy invading measures in general. Under the proposed provision, an employer would be prohibited from conducting surveillance or background checks that constitute a manifest infringement on an employee’s personal privacy unless the measure was taken for an authorised purpose and was seen to be an admissible intrusion into an employee’s personal privacy having regard to the purpose justifying the measure. The proposed provision is designed to target qualified cases of surveillance or background checks from a privacy perspec- tive. Examples of measures which would constitute a clear case of privacy invasion – and which in effect are prohibited unless properly justified and proportional – include wiretapping employees’ telephone calls, subjecting employees to bag and other searches when leaving work premises, going through lockers, drawers or other spaces an employee normally has sole use of, and analogue camera surveillance in toilet areas.

Ordinary work supervision measures are not covered by the proposed provision. Nor do they concern such measures as obtaining employee references in the normal way or oral questioning of an employee or job applicant.

One measure which however must normally be deemed to fall under the scope of the proposed provision is the use by employers of personality tests or similar evaluations. Implementation of such tests as well as their results must be regarded as sensitive from a privacy standpoint. For the reasons set out in our report, we have not proposed a special, separate provision governing such cases. In our view these would be regulated most appropriately by the proposed general provision prohibiting privacy invading measures.

In accordance with our terms of reference, we also considered regulating the right of employers to question employees about their political convictions and trade union membership. However, we found no compelling justification for such a proposal. If, however, an employer’s questioning were to constitute the kind of

34

SOU 2009:44

Summary

improper infringement of personal privacy targeted by the general provision prohibiting privacy invading measures, action could be taken against such a measure under that provision.

Obligation to negotiate

An important element in a regulatory framework intended to protect personal privacy in connection with surveillance and checks in working life is that it be able to guarantee that any measures adopted are thoroughly discussed and transparent. The obligation to negotiate under the Co-Determination at Work Act (1976:580) is already applicable in many cases where an employer is conside- ring the introduction of surveillance and background checks that will involve significant changes in the entity’s operations, or will have a specific bearing on working conditions or terms of employ- ment. In order to make it clear that the primary obligation to enter into negotiations applies whenever an employer intends to decide on the introduction of a surveillance and background checks liable to constitute a manifest infringement of the personal privacy of one or more employees, we propose the introduction of an explicit provision enjoining the employer to negotiate beforehand with the relevant employees’ organisation in the manner prescribed in Sections 11–14 of the Co-Determination at Work Act. In addition, we propose that it should be permitted to depart from this provi- sion if such a departure is negotiated through a collective agree- ment.

Other provisions

It is proposed that the penalty for breaches of the terms of the act be payment for damages.

Under the proposed act, cases would be handled in accordance with the Labour Disputes (Judicial Procedure) Act, except where these involve personal data processing, and concern categories of persons, other than employees, who are protected by law.

Except as regards the proposed provision governing personal data processing, prosecution under the Labour Disputes (Judicial Procedure) Act would be subject to the provisions on statutory

35

Summary

SOU 2009:44

limitations set out in Sections 64–66 and 68 of the Co-Determina- tion at Work Act.

We propose that the provisions of the act be mandatory. Thus that part of an agreement which acts to restricts the protection afforded to an employee under the proposed act would have no legal force. As mentioned previously, however, it is proposed that two of the provisions in the act be semi-discretionary, namely the provision establishing the purposes for which a medical test may be requested, and the provision on the obligation to negotiate.

36

Författningsförslag

1Förslag till

lag (2010:00) om integritetsskydd i arbetslivet

Härigenom föreskrivs följande.

Inledande bestämmelser

Lagens ändamål

1 § Denna lag har till ändamål att skydda arbetstagares personliga integritet i arbetslivet.

Lagens tillämpningsområde

2 § Som arbetstagare anses i lagen, utom vid tillämpning av 14 §, även den som

1.söker arbete,

2.söker eller fullgör praktik, eller

3.utför arbete som inhyrd eller inlånad arbetskraft.

Den hos vilken arbetet eller praktiken söks eller utförs anses som arbetsgivare.

Lagen är tvingande

3 § Ett avtal som inskränker en arbetstagares skydd enligt denna lag är utan verkan i den delen.

Genom ett kollektivavtal får dock avvikelse göras från 14 §. På sätt som anges i 11 § får även genom kollektivavtal bestämmas om annat berättigat ändamål än som anges i 9 §.

37

Författningsförslag

SOU 2009:44

Förhållandet till personuppgiftslagen

4 § Personuppgiftslagen (1998:204) gäller vid arbetsgivares behand- ling av personuppgifter, om inte annat följer av 5 §.

Övervaknings- och kontrollåtgärder

Behandling av personuppgifter

5 § Om ändamålet med en arbetsgivares behandling av en arbets- tagares personuppgifter är att övervaka eller kontrollera,

1.gäller inte 5 a § personuppgiftslagen (1998:204), och

2.är behandlingen inte tillåten enligt personuppgiftslagen enbart med stöd av arbetstagarens samtycke.

En arbetsgivares behandling av en arbetstagares personuppgifter för att övervaka eller kontrollera arbetstagaren är tillåten enligt personuppgiftslagen bara om det i samband med att personupp- gifterna samlades in har angetts att ändamålet med behandlingen är att övervaka eller kontrollera arbetstagaren i något visst avseende.

En arbetsgivare får, trots vad som anges i andra stycket, behandla personuppgifter för att övervaka eller kontrollera även om de samlats in för annat ändamål, om det finns synnerliga skäl och om arbets- givaren så snart det kan ske informerar berörd arbetstagare om det nya ändamålet med behandlingen.

Förbud mot att begära registerutdrag

6 § En arbetsgivare får inte utan stöd i lag eller med stöd av lag meddelad författning begära att en arbetstagare uppvisar ett utdrag enligt lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister.

Vad som sägs i första stycket gäller även ett utdrag från register som förs hos Försäkringskassan enligt lagen (2003:763) om be- handling av personuppgifter inom socialförsäkringens administra- tion om utdraget innehåller uppgifter för vilka sekretess gäller gentemot arbetsgivaren.

38

SOU 2009:44

Författningsförslag

Medicinska undersökningar

7 § Med medicinsk undersökning förstås i denna lag hälsounder- sökning och alkohol-, narkotika- eller annat drogtest.

Som en medicinsk undersökning anses dock inte alkoholtest som sker med användande av alkolås i fordon.

8 § En arbetsgivare får begära att en arbetstagare ska genomgå en medicinsk undersökning eller delge arbetsgivaren resultatet av en medicinsk undersökning bara om åtgärden sker för ett berättigat ändamål och framstår som ett godtagbart ingrepp i arbetstagarens personliga integritet i förhållande till det ändamål som motiverat åtgärden.

9 § En begäran enligt 8 § får göras bara om ändamålet med åtgärden är

1.att bedöma tillståndet hos en arbetstagare som har eller avses få sådana arbetsuppgifter där brister i arbetstagarens hälsotillstånd eller där alkohol-, narkotika- eller annan drogpåverkan i arbetet medför risk för människors liv, personliga säkerhet eller hälsa eller för betydande skador på miljö och egendom,

2.att utgöra ett led i rehabilitering av en arbetstagare, eller

3.att bedöma tillståndet hos en arbetstagare och detta är av avgörande betydelse för verksamheten på grund av dess speciella karaktär.

10 § En begäran enligt 8 § kan framstå som ett godtagbart ingrepp bara om

den medicinska undersökningen genomförs av hälso- och sjukvårdspersonal, och om

prov som tas vid alkohol-, narkotika- eller annat drogtest analyseras av ett laboratorium som är ackrediterat för uppgiften enligt lagen (1992:1119) om teknisk kontroll eller av ett motsvarande laboratorium som är ackrediterat för uppgiften enligt lagstiftning i annat land inom Europeiska ekonomiska samarbetsområdet (EES).

Vad som anges i första stycket gäller dock inte provtagning av utandningsluft.

39

Författningsförslag

SOU 2009:44

11 § Genom kollektivavtal som har slutits eller godkänts av en central arbetstagarorganisation får bestämmas att en begäran enligt 8 § får göras även för något annat berättigat ändamål än som anges i 9 §.

Sådana kollektivavtal får tillämpas också på arbetstagare som inte är medlemmar i den avtalsslutande arbetstagarorganisationen, om de sysselsätts i ett sådant arbete som avses med avtalet.

12 § Om det i en annan lag eller författning som meddelats med stöd av lag finns föreskrifter om medicinska undersökningar gäller de föreskrifterna.

Förbud mot integritetskränkande övervaknings- och kontrollåtgärder i övrigt

13 § En arbetsgivare får inte genomföra en övervaknings- eller kontrollåtgärd som på ett påtagligt sätt påverkar en arbetstagares personliga integritet, om inte åtgärden vidtas för ett berättigat ändamål och framstår som ett godtagbart ingrepp i arbetstagarens personliga integritet i förhållande till det ändamål som motiverat åtgärden.

Förhandling

14 § En arbetsgivare som avser att besluta om en övervaknings- eller kontrollåtgärd som är ägnad att på ett påtagligt sätt påverka en eller flera arbetstagares personliga integritet, ska först förhandla med berörd arbetstagarorganisation på det sätt som anges i 11-14 §§ lagen (1976:580) om medbestämmande i arbetslivet.

Skadestånd m.m.

15 § En arbetsgivare som bryter mot lagen, utom såvitt avser 5 §, ska betala skadestånd för den förlust som uppkommer och för den kränkning som har inträffat.

Om det är skäligt kan skadeståndet sättas ned eller helt falla bort.

40

SOU 2009:44

Författningsförslag

16 § Vid brott mot 5 § gäller bestämmelserna i personuppgifts- lagen (1998:204) om rättelse och skadestånd.

Rättegång

17 § Mål enligt denna lag handläggs enligt lagen (1974:371) om rättegången i arbetstvister. Mål som avser sådana personkategorier som anges i 2 § 1–3 och som rör 5 § ska dock inte handläggas enligt lagen om rättegången i arbetstvister.

I sådana mål som ska handläggas enligt lagen om rättegången i arbetstvister ska som arbetstagare anses också den som söker arbete och den som söker eller fullgör praktik eller utför arbete som inhyrd eller inlånad arbetskraft. Den hos vilken praktiken eller arbetet utförs eller skulle ha utförts ska anses som arbetsgivare. Detta gäller också när reglerna om tvisteförhandling i lagen (1976:580) om medbestämmande i arbetslivet tillämpas.

Preskription

18 § Vid talan enligt denna lag, utom såvitt avser 5 §, ska preskrip- tionsbestämmelserna i 64–66 §§ och 68 § lagen (1976:580) om med- bestämmande i arbetslivet tillämpas.

Denna lag träder i kraft den 1 juli 2010.

41

Författningsförslag

SOU 2009:44

2Förslag till

lag om ändring i lagen (1994:260) om offentlig anställning

Härigenom föreskrivs i fråga om lagen (1994:260) om offentlig anställning

dels att 30 § ska upphöra att gälla, dels att 2 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §

Följande föreskrifter i lagen gäller också arbetstagare hos kommuner, landsting och kommunalförbund, nämligen

7–7 c §§ om bisysslor,

23–29 §§ om arbetskonflikter,

38 § om interimistiskt beslut,

42 § första och andra styckena om vissa undantag från lagen (1976:580) om medbestämmande i arbetslivet.

Föreskrifterna i 30 § om peri- odiska hälsoundersökningar gäller också arbetstagare hos kommuner och landsting.

Denna lag träder i kraft den 1 juli 2010.

42

SOU 2009:44

Författningsförslag

3Förslag till

förordning om ändring i personuppgiftsförordningen (1998:1191)

Härigenom föreskrivs i fråga om personuppgiftsförordningen (1998:1191) att det ska tas in en ny paragraf, 15 a §, av följande lydelse.

15 a § Datainspektionen ska på gemensam begäran av en arbets- givarorganisation eller en enskild arbetsgivare och en arbetstagar- organisation avge yttrande över utkast till kollektivavtal i de delar utkastet rör arbetsgivares behandling av personuppgifter om arbets- tagare.

Ett yttrande enligt första stycket ska avse kollektivavtalets för- enlighet med personuppgiftslagen (1998:204) och andra författningar som reglerar den behandling av personuppgifter det är fråga om.

Denna förordning träder i kraft den 1 juli 2010.

43

1Utredningens uppdrag och arbete

1.1Uppdraget

Enligt våra direktiv1 ska vi lämna förslag till en lagreglering av skyddet för den personliga integriteten i arbetslivet. Förslaget ska klargöra dels under vilka förutsättningar viss kontroll av arbets- tagare och arbetssökande får ske, dels hur den information som därigenom samlas hos arbetsgivaren får behandlas.

Vårt uppdrag har varit utformat på så sätt att vissa kontroll- åtgärder ska regleras, nämligen i fråga om kontroll genom hälso- och drogtester, kontroll av e-post, s.k. loggning (dvs. att samla in elektroniska spår av aktiviteter om arbetstagaren) samt under vilka förutsättningar en arbetsgivare ska ha rätt att begära att få se utdrag ur belastningsregistret.

Därutöver har vi haft att överväga om det beträffande vissa andra i våra direktiv uppräknade former av kontrollåtgärder före- ligger behov av en lagreglering, och i förekommande fall lämna för- slag till hur en sådan reglering bör vara utformad. Uppdraget i den här delen har rört dels frågan om det finns behov av att ytterligare reglera förutsättningarna för kameraövervakning och telefonav- lyssning i arbetslivet, dels möjligheten för arbetsgivare att begära att få se utdrag ur Försäkringskassans register, att få hämta in upp- lysningar från kreditupplysningsföretag och att få begära utdrag från Kronofogdemyndighetens utsökningsregister. Vidare har vi haft att överväga tillåtligheten av att ställa frågor om politisk över- tygelse och facklig anslutning. Vi har också haft att överväga om användandet av personlighetstest i arbetslivet bör regleras.

1 Dir. 2006:55.

45

Utredningens uppdrag och arbete

SOU 2009:44

Det har dessutom stått oss fritt att lämna förslag beträffande andra företeelser i arbetslivet som påverkar den personliga integriteten, om vi har ansett att så behövs.

I direktiven har angivits också några mer allmänna utgångs- punkter för våra överväganden. Vi har haft att i möjligaste mån likställa skyddet för arbetstagare i privat och offentlig sektor. I uppdraget har även ingått att ta ställning till hur andra grupper i arbetslivet med en liknande ställning som arbetstagare eller arbets- sökande, t.ex. inhyrd personal eller praktikanter, ska behandlas. Vidare har vi haft att överväga om parterna på arbetsmarknaden ska kunna avvika från de bestämmelser vi föreslår genom kollektivavtal.

För den närmare utformningen av uppdraget hänvisas till utred- ningens direktiv, vilka är fogade till betänkandet som bilaga 1.

1.2Arbetets bedrivande

Enligt utredningsdirektiven ska utredaren samråda med arbets- marknadens parter. Till utredningen har därför varit knuten en referensgrupp bestående av representanter utsedda av Svenskt Näringsliv, Arbetsgivarverket, Sveriges Kommuner och Landsting, Landsorganisationen i Sverige, Tjänstemännens Centralorganisation och Sveriges Akademikers Centralorganisation. Sammanträden med experter och utredningens referensgrupp har hållits vid 11 tillfällen.

Härutöver har utredaren och sekreterarna besökt tjänstemän vid dels Arbeids- og inkluderingsdepartementet och Datatilsynet i Norge, dels Arbetsministeriet och Dataombudsmannens byrå i Finland.

Vidare har sekreterarna sammanträffat med Olof Beck, chef för farmakologiska laboratoriet inom klinisk farmakologi vid Karolinska universitetslaboratoriet, Ulric Hermansson, doktor i medicinsk vetenskap, Karolinska Institutet samt deltagit i en konferens om drogtester i arbetslivet anordnad av Karolinska universitets- laboratoriet.

Under utredningstiden har utredaren och sekreterare haft möten med ordförande och sekreterare i Integritetsskyddskommittén (Ju 2004:05) och med Utredningen om sekretess i ärenden om anställning som myndighetschef (Fi 2008:05) samt med företrädare för Styrelsen för ackreditering och teknisk kontroll (SWEDAC).

Juristkonsulten Sören Öman har anlitats för att vara utredningen behjälplig med förslag och betänkandetext framför allt i fråga om avsnitt 5, 10, 13 och 16.1.

46

2Tidigare utredningar av integritetsfrågor i arbetslivet

2.1Utredningen om medicinska undersökningar i arbetslivet

I september 1994 gav regeringen en särskild utredare i uppdrag att utreda frågan om medicinska kontroller i arbetslivet.1 I uppdraget ingick att kartlägga förekomsten av olika former av medicinsk kontroll, både i samband med och under anställning, och föreslå de åtgärder som kartläggningen och utredningen i övrigt föranledde. Uppdraget redovisades i betänkandet Medicinska undersökningar i arbetslivet (SOU 1996:63).

Enligt utredningen var någon lagreglering av medicinska under- sökningar i arbetslivet då inte motiverad. Vad gällde medicinska undersökningar i samband med anställning menade utredningen att det generellt sett inte fanns något som talade för att arbetsgivarna använde medicinska undersökningar som sorteringsverktyg. Det hade heller inte framkommit att medicinska undersökningar medfört utslagning från arbetslivet. Inte heller hade utredningen funnit att medicinska undersökningar under en anställning medfört utestängning från arbetslivet.

I fråga om narkotikatester ansåg utredningen att en lagreglering inte var påkallad utan att frågan om narkotikatester kunde lösas av arbetsmarknadens parter. Utredningen uttalade dock följande. Ålagda narkotikatester i samband med anställning måste vara i samklang med samhällets värderingar och stå i överensstämmelse med god sed på arbetsmarknaden. Testerna måste utföras på ett godtagbart sätt och vara av god kvalitet. I fråga om narkotikatest under en anställning måste kvalificerade omständigheter föreligga för att ett sådant test ska stå i överensstämmelse med god sed på

1 Dir. 1994:111.

47

Tidigare utredningar av integritetsfrågor i arbetslivet

SOU 2009:44

arbetsmarknaden. På arbetsplatser där testning förekommer bör det finnas en av arbetsgivare och arbetstagare gemensamt framta- gen skriftlig narkotikapolicy med handlingsprogram.

Vad slutligen gällde gentester i arbetslivet ansåg utredningen att sådana skulle vara förbjudna. Utredningen lade emellertid inte fram något eget författningsförslag utan hänvisade till en av Social- departementet utarbetad departementspromemoria med ett förslag till lagstiftning rörande genetisk integritet (Ds 1996:13). Efter ytterligare beredning bl.a. av Kommittén om genetisk integritet2 har frågan om gentester lagreglerats genom bestämmelser i lagen (2006:351) om genetisk integritet m.m., se vidare avsnitt 4.2.

2.2Integritetsutredningen

2.2.1Inledning

Integritetsutredningen hade i uppdrag att se över behovet av lagstiftning eller andra åtgärder för att stärka skyddet av den personliga integriteten i arbetslivet.3 Översynen skulle i första hand avse dels frågor om användning av drogtester och andra medicinska kontroller, dels frågor om användning av persondatorer, e-post och Internet i arbetet. Utredningen skulle även belysa andra frågor som kom upp under arbetet och där skyddet för den personliga integri- teten kunde vara allvarligt hotad. Behovet av skydd för arbets- sökande skulle särskilt belysas.

I översynen ingick att klarlägga de behov av kontroll och över- vakning som arbetsgivarna har samtidigt som de integritetsproblem som detta leder till skulle belysas. Med detta underlag skulle utred- ningen bedöma behovet av ny eller kompletterande lagstiftning till skydd för den personliga integriteten i arbetslivet, och i det sammanhanget göra en avvägning mellan de berättigade behoven av kontroll och den enskildes integritetsskydd.

Utredningen skulle i sitt arbete beakta kollektivavtal på området och möjligheterna för parterna på arbetsmarknaden att träffa sådana avtal.

Uppdraget redovisades i betänkandet Personlig integritet i arbets- livet (SOU 2002:18).

2Genetik, integritet och etik (SOU 2004:20).

3Dir. 1999:39.

48

SOU 2009:44

Tidigare utredningar av integritetsfrågor i arbetslivet

Enligt utredningen saknades det ett godtagbart, rättsligt bindande skydd för arbetstagares personliga integritet i svensk rätt, trots att det såväl internationellt som nationellt rådde bred enighet om att respekten för enskildas privatliv och skyddet för den personliga integriteten var en mänsklig rättighet som staten har en skyldighet att garantera. En sådan garanti ansåg utredningen bara kunna ställas genom lagstiftning.

Vad gällde frågan om hur en sådan lagreglering närmare borde vara utformad ansåg utredningen att det var en klar fördel från tillämpningssynpunkt med en sammanhållen lagstiftning, dvs. att samla alla bestämmelser i en ny lag i stället för att göra spridda ändringar och tillägg i befintliga författningar. Vidare ansåg utred- ningen att det var naturligt och i praktiken ofrånkomligt att lagen, som enligt utredningen borde benämnas lagen om personlig integritet i arbetslivet, skulle ta sin utgångspunkt i personuppgifts- lagen (1998:204). Denna utgångspunkt medförde att de allmänna och grundläggande dataskyddsprinciperna om adekvans, relevans och finalitet genomsyrade hela lagförslaget.

Lagförslaget omfattade, till skillnad från personuppgiftslagen, även manuell behandling av personuppgifter så snart dessa doku- menterats på något sätt. Vidare omfattade förslaget i flera avseen- den även sättet för genomförandet av olika åtgärder som kan kränka den personliga integriteten, t.ex. att vissa personuppgifter i första hand skulle hämtas in från arbetstagaren själv och hur hälso- undersökningar, drogtester och personlighetstest skulle genomföras.

Avsikten var att lagen i förhållande till personuppgiftslagen skulle vara en speciallag, samtidigt som den skulle vara subsidiär till annan lagstiftning. Lagen föreslogs gälla för både den privata och den offentliga sektorn. Förslaget syftade också till att stärka skyddet för arbetssökande och tidigare arbetstagare.

2.2.2Närmare om utredningens förslag

Allmänna bestämmelser

I en portalparagraf uttrycktes lagens syfte, nämligen att med utgångspunkt i personuppgiftslagen stärka skyddet för den person- liga integriteten i arbetslivet.

49

Tidigare utredningar av integritetsfrågor i arbetslivet

SOU 2009:44

Lagens tillämpningsområde avgränsades till att avse arbetsgivares dokumenterade behandling av såväl befintliga som tidigare arbets- tagares och arbetssökandes personuppgifter.

Användning av informationsteknik i arbetslivet

I lagförslaget föreskrevs att det skulle vara förbjudet för en arbets- givare att ta del av en arbetstagares privata e-post och andra privata elektroniska uppgifter. Förbudet skulle emellertid bara gälla avsikt- liga intrång, dvs. arbetsgivaren skulle vara medveten om att det var fråga om privata uppgifter.

Från förbudet föreslogs två undantag. Förbudet skulle inte gälla om arbetstagaren hade samtyckt till åtgärden. Arbetsgivaren skulle därutöver få ta del av arbetstagares privata elektroniska uppgifter i de fall där det kunde anses nödvändigt för verksamheten. I lagförslaget exemplifierades två olika situationer där kontroll kunde anses berättigad, nämligen om det förelåg fara för informations- säkerheten eller om det fanns skälig misstanke om att arbetstagaren hade gjort sig skyldig till brott vid användning av arbetsgivarens elektroniska utrustning eller till sådant illojalt beteende som kan utgöra saklig grund för uppsägning eller föranleda skadestånds- skyldighet.

Personuppgifter om hälsa eller droganvändning

Beträffande personuppgifter om arbetstagares eller arbetssökandes hälsa eller droganvändning föreslog utredningen att det som huvudregel skulle vara förbjudet för arbetsgivare att behandla sådana uppgifter. Förslaget innebar också att samtycke inte kunde berättiga till en behandling av sådana uppgifter. Undantag från huvudregeln skulle dock gälla om det var nödvändigt att arbetsgiva- ren fick behandla uppgifter om en arbetstagares eller en arbets- sökandes hälsa eller droganvändning för att kunna bedöma om han eller hon var lämpad för att utföra arbetsuppgifter i arbetsgivarens verksamhet. Detsamma föreslogs gälla i de fall det var nödvändigt att behandla sådana uppgifter för att bedöma en arbetstagares rätt till förmåner som han eller hon själv hade begärt.

50

SOU 2009:44

Tidigare utredningar av integritetsfrågor i arbetslivet

Vidare innehöll lagförslaget regler som syftade till att garantera att tillåtna hälsoundersökningar och drogtester utfördes med tillförlitliga metoder, se vidare avsnitt 12.

Personlighetstest

Beträffande personlighetstest föreslogs en bestämmelse som angav att behandling av personuppgifter som hämtas in genom sådana test bara skulle få ske med arbetstagarens eller arbetssökandens samtycke. Därtill ålåg det, enligt lagförslaget, arbetsgivaren att se till att personlighetstest bara genomfördes på ett betryggande sätt med testinstrument som var tillförlitliga och av personer med adekvat utbildning.

Personuppgifter om lagöverträdelser

I fråga om personuppgifter avseende lagöverträdelser föreslogs att det skulle vara förbjudet att behandla uppgifter om arbetstagare eller arbetssökande som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden. Förbudet skulle dock inte gälla för sådan behandling som var nödvändig för att bedöma om personen i fråga var tillförlitlig med hänsyn till säkerheten för det allmänna eller för arbetsgivarens verksamhet. Om behandlingen skedde helt eller delvis automatiserat eller i registerform skulle dessutom 21 § personuppgiftslagen gälla, vilken innebär att det som huvudregel bara är myndigheter som får behandla sådana personuppgifter.

Övriga bestämmelser

Insyn, kontroll och säkerhet

I syfte att ge arbetstagare och arbetssökande kontroll över och insyn i hur arbetsgivaren behandlar personuppgifter om hälsa och droganvändning eller om lagöverträdelser m.m. föreslog utred- ningen en bestämmelse om att arbetsgivaren i första hand skulle hämta in sådana uppgifter direkt från den berörda personen. Bara om detta inte var möjligt och under förutsättning av samtycke, skulle arbetsgivaren få hämta in uppgifterna från annan källa.

51

Tidigare utredningar av integritetsfrågor i arbetslivet

SOU 2009:44

Vidare föreslogs en särskild bestämmelse om att person- uppgifter som utgjordes av en arbetstagares privata e-post eller andra privata elektroniska uppgifter samt personuppgifter om hälsa och droganvändning, personlighetstester och lagöverträdelser skulle förvaras på ett betryggande sätt och åtskilda från andra personuppgifter. Sådana uppgifter skulle dessutom bara få behandlas av en begränsad krets av personer.

När det gällde frågan om information till arbetstagare och arbetssökande och rättelse av uppgifter, föreslog utredningen särskilda bestämmelser som i praktiken innebar att det skydd som personuppgiftslagen ger skulle sträckas ut till att omfatta även upp- gifter som är föremål för rent manuell behandling.

I en särskild bestämmelse föreslogs vidare att tystnadsplikt skulle gälla i privata arbetsgivares verksamhet beträffande samtliga de personuppgifter som omfattades av förslaget.

Fackligt inflytande

Utredningen ansåg att såväl principiella som praktiska skäl talade för att lagen skulle vara tvingande på samma sätt som person- uppgiftslagen. Det ansågs dock inte finnas några hinder mot att parterna med lagen som grund skulle kunna träffa kollektivavtal med bestämmelser som preciserade lagen i olika hänseenden; tvärtom ansågs detta önskvärt.

Utredningen fann också anledning att i lagen erinra om arbets- givarens primära förhandlingsskyldighet enligt 11–14 §§ lagen (1976:580) om medbestämmande i arbetslivet.

Tillsyn och sanktioner

När det gällde frågor om tillsyn avstod utredningen från att föreslå någon särskild tillsynsbestämmelse. Värdet av en sådan bestämmelse ansågs ringa mot bakgrund av de tillsynsmöjligheter som Data- inspektionen och Arbetsmiljöverket redan har enligt personuppgifts- lagen respektive arbetsmiljölagen (1977:1160). Utredningen pekade därutöver på att reglerna om arbetsgivarens primära förhandlings- skyldighet också innebär att arbetstagarorganisationerna i praktiken har inflytande över de aktuella frågorna, trots att dessa inte har någon formell tillsynsuppgift.

52

SOU 2009:44

Tidigare utredningar av integritetsfrågor i arbetslivet

I likhet med personuppgiftslagen och vad som normalt gäller inom arbetsrätten förslogs vidare att skadestånd skulle utgöra den primära sanktionsformen.

Processuella bestämmelser

Utredningen fann det också ändamålsenligt att mål enligt lagen skulle handläggas enligt lagen (1974:371) om rättegången i arbets- tvister.

2.2.3Remissinstansernas synpunkter

Även om det fanns remissinstanser som tillstyrkte utredningen, var flertalet remissinstanser mer eller mindre kritiska till förslaget. Många remissinstanser var, från olika utgångspunkter, kritiska mot den grundläggande lagtekniska konstruktionen, dvs. att lagen tog sin utgångspunkt i personuppgiftslagen, och att lagförslaget där- igenom blev onödigt komplicerat och svårtillämpat. Flera remiss- instanser framhöll att ett grundläggande krav på en lagreglering på detta område måste vara att bestämmelserna är tydliga och enkla att tillämpa för såväl arbetsgivare som arbetstagare.

I de avsnitt där vi behandlar olika företeelser som omfattas av vårt uppdrag redovisas även andra synpunkter som framfördes under remissbehandlingen. I övrigt hänvisas till de ingivna remiss- yttrandena.4

4 Dnr N 2002/2919.

53

3Internationella konventioner och EU

I detta avsnitt beskrivs inledningsvis översiktligt svenska konven- tionsåtaganden och annat internationellt samarbete som är av betydelse för vårt uppdrag. I den mån detaljer ur konventioner eller andra internationella dokument är av relevans för någon särskild företeelse, kontrollåtgärd eller liknande, kommer det att närmare belysas i de avsnitt där vi mer ingående behandlar dessa. Därefter behandlas de regler som följer av vårt medlemskap i EU, främst det s.k. dataskyddsdirektivet.

3.1Konventioner och annat internationellt arbete

3.1.1 Förenta nationerna

Förenta nationernas allmänna förklaring om de mänskliga rättigheterna m.m.

I FN:s allmänna förklaring om de mänskliga rättigheterna från år 1948 erkänns skyddet för den personliga integriteten som en mänsklig rättighet. I förklaringen anges i artikel 12 att ingen får utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens.

I stort sett upprepas vad som redovisats ovan i artikel 17 i den konvention om medborgerliga och politiska rättigheter som FN antog år 1966.

Det kan noteras att FN:s allmänna förklaring inte är rättsligt bindande för medlemsstaterna. Däremot är konventionen rättsligt bindande som traktat.

55

Internationella konventioner och EU

SOU 2009:44

Guidelines Concerning Computerized Personal Data Files

Av intresse för vårt uppdrag är även de riktlinjer som FN:s general- församling antog år 1990 om datoriserade register med person- uppgifter. Riktlinjerna får uppfattas som anvisningar till den natio- nella lagstiftaren och anger ett antal principer som anses utgöra miniminivåer för ett godtagbart dataskydd.1 Dessa principer går i korthet ut på

att personuppgifter inte får hämtas in eller behandlas på ett olagligt eller ohederligt sätt,

att personuppgifter som behandlas i datoriserade register ska vara aktuella och relevanta,

att ändamålet med registret ska vara specificerat, legitimt och publikt, i vart fall för de som berörs, och att de registrerade uppgifterna inte får behandlas utan samtycke eller lämnas ut för något ändamål som är oförenligt med det som gäller för registret,

att var och en ska ha rätt till information om huruvida uppgifter som rör honom eller henne förekommer i registret, och, om så är fallet, även kunna ta del av dessa, samt

att vissa känsliga uppgifter inte får registreras, t.ex. uppgifter om ras eller etnisk härkomst, sexualliv, politisk eller religiös uppfatt- ning och medlemskap i föreningar, varav fackligt medlemskap nämns särskilt.

Om det är nödvändigt med hänsyn till vissa särskilt uppräknade intressen, bl.a. militär säkerhet och allmän ordning, hälsa eller moral, tillåter riktlinjerna avsteg från de redovisade principerna. Förutsättningarna för sådana undantag ska vara reglerade i lag eller på annat lämpligt sätt som är förenligt med den nationella juridiska kulturen. I en sådan reglering ska det vidare finnas särskilda skyddsmekanismer för den enskilde.

Därutöver syftar riktlinjerna till att ge vägledning i frågor om bl.a. säkerhet, tillsyn och sanktioner.

1 Riktlinjerna återges sin helhet i SOU 2004:6 s. 44 f.

56

SOU 2009:44

Internationella konventioner och EU

International Labour Organization

International Labour Organization (ILO) bildades redan år 1919 och är sedan år 1946 ett av FN:s fackorgan. ILO är en treparts- sammansatt organisation, bestående av representanter för arbets- tagare, arbetsgivare och regeringar. ILO intar en central roll när det gäller konventioner och rekommendationer på arbetslivets område. Det har dock inte inom ramen för ILO:s arbete antagits några bin- dande konventioner eller rekommendationer som mer i detalj behandlar de frågor vi har att överväga. Däremot har det inom ILO antagits två riktlinjer som behandlar drog- och alkoholtester på arbetsplatser. Dessa instrument behandlas närmare i avsnitt 6.

År 1996 antog en expertgrupp inom ILO riktlinjer angående skydd för arbetstagares personuppgifter.2 Riktlinjerna omfattar såväl manuell som automatiserad behandling av personuppgifter, och är avsedda att tillämpas på arbetstagare i såväl privat som offentlig sektor. Med begreppet arbetstagare avses även tidigare arbetstagare och arbetssökande. Det övergripande syftet med rikt- linjerna är att begränsa behandlingen av personuppgifter i allmänhet och behandlingen av känsliga uppgifter i synnerhet. Riktlinjerna innehåller rekommendationer i detta avseende som är förhållandevis detaljerade. Skyddet för den enskilde arbetstagaren ges en fram- skjuten ställning, bl.a. på så sätt att huvudregeln är att person- uppgifter i första hand ska hämtas in från arbetstagaren själv. Om uppgifter hämtas in från annan än arbetstagaren ska denne informeras och i förväg uttryckligen samtycka till förfarandet. Även om skyddet för den enskilde arbetstagarens personliga integritet tillåts väga förhållandevis tungt, stämmer riktlinjerna i det stora hela förhållandevis väl överens med andra internationella regler och principer om dataskydd, t.ex. de ovan redovisade rikt- linjer som FN antagit.

Slutligen har en expertgrupp inom ILO år 1997 antagit vissa tekniska och etiska riktlinjer för övervakningen av arbetstagares hälsa.3

Samtliga nu behandlade riktlinjer och vägledande principer är inte på något sätt rättsligt bindande. De syftar till att ge vägledning i såväl övergripande regleringsfrågor, oavsett regleringen sker i lag eller kollektivavtal, som mer praktiska frågor som berör den enskilda arbetsplatsen.

2Protection of workers´personal data: An ILO code of practice, 1996.

3Technical and ethical guidelines for workers´ health surveillance (OSH No. 72), 1997.

57

Internationella konventioner och EU

SOU 2009:44

3.1.2 Europarådet

Europakonventionen

Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) som fr.o.m. år 1995 är inkorporerad i svensk rätt som vanlig lag, ger även den ett skydd för den person- liga integriteten. I konventionen föreskrivs nämligen i artikel 8 att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Den rättigheten får inte inskränkas av offentlig myndighet annat än med stöd av lag och om det i en demokratisk stat är nödvändigt med hänsyn till vissa särskilt angivna intressen, t.ex. statens eller den allmänna säkerheten, landets ekonomi eller till förebyggande av oordning eller brott.

Primärt innebär bestämmelsen att staten ska avhålla sig från ingrepp i den skyddade rättigheten. Den innebär emellertid också i vissa fall en skyldighet för staten att vidta positiva åtgärder för att skydda den enskilde. Sådana åtgärder kan utgöras av lagstiftning, eller andra åtgärder som har till ändamål att på annat sätt tillför- säkra medborgarna skydd mot övergrepp i särskilda situationer.4

Europadomstolen har bl.a. prövat ett mål om drogtestning i sär- skilt riskfylld verksamhet – Wretlundmålet – där frågan om skyldigheten för en arbetstagare att underkasta sig drogtest tidigare hade avgjorts av Arbetsdomstolen (se vidare avsnitt 6.3). I det fallet, liksom andra fall inför domstolen som rör den personliga integriteten, tog prövningen i första hand sikte på om intrånget hade skett med stöd av lag, som med Europadomstolens termino- logi även kan innefatta regler som följer av rättspraxis eller kollektivavtal. Om så är fallet, gör domstolen en proportionalitets- bedömning, dvs. tar ställning till huruvida intrånget varit nödvän- digt för att i ett demokratiskt samhälle uppnå det som åtgärden syftat till. I sin rättspraxis har Europadomstolen framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med oundgängligt. Vad som krävs är att det finns ett angeläget samhäl- leligt behov och att inskränkningen står i rimlig proportion till detta behov. Vid bedömningen av proportionaliteten anses vidare den nationella beslutsfattaren ha en viss diskretionär prövningsrätt (margin of appreciation). Det innebär att domstolen vanligen godtar den nationella beslutsfattarens bedömning, om det förefaller finnas

4 Hans Danelius, Mänskliga rättigheter i europeisk praxis, 3 upplagan, s. 302 f.

58

SOU 2009:44

Internationella konventioner och EU

rimliga skäl för den. Omfattningen av den diskretionära prövnings- rätten kan dock variera beroende av frågans natur och de berörda intressenas vikt.5

Det är bara stater som kan vara svarande i mål inför Europa- domstolen. Europakonventionen innebär emellertid också att nationella domstolar i allmänhet tolkar nationella regler på ett sådant sätt att man undviker konflikter med konventionens bestämmelser, s.k. fördragskonform tolkning. Från såväl Högsta domstolens som Arbetsdomstolens rättspraxis finns det också exempel på avgöranden som direkt grundar sig på bestämmelser i Europakonventionen (se t.ex. NJA 2003 s. 217 och NJA 2005 s. 462 samt AD 1998 nr 17). I Ds 2007:10 föreslås att det rättsläge som råder efter Högsta domstolens sist nämnda avgörande bör kodifieras på så sätt att det av skadeståndslagen uttryckligen ska framgå att både ekonomiskt och ideellt skadestånd ska kunna utgå vid fel eller försummelse vid myndighetsutövning som innebär en överträdelse av Europakonventionen samt att skadeståndet i sådana fall ska bestämmas efter en skälighetsbedömning med ledning av Europadomstolens praxis. Frågan bereds för närvarande inom Regeringskansliet.

Även om Europakonventionen har inkorporerats i svensk rätt genom vanlig lag, har den i praktiken erhållit visst grundlagsskydd. I 2 kap. 23 § regeringsformen anges nämligen att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Europakonventionen är rättsligt bindande för de anslutna staterna. Den omständigheten att det genom Europadomstolen skapats ett förhållandevis effektivt system för kontroll gör att konventionen, vid sidan av vårt medlemskap i EU, intar en särställ- ning i fråga om internationella åtaganden eller annat mellanstatligt samarbete. I det sammanhanget finns anledning att notera att Europakonventionen även har betydelse för arbetet inom EU. Enligt artikel 6.2 i EU-fördraget ska unionen, som allmänna princi- per för gemenskapsrätten, bl.a. respektera de grundläggande rättig- heterna så som de garanteras i konventionen.

Europakonventionen behandlas även i avsnitt 8.1.2.

5 Se t.ex. Europadomstolens beslut den 29 april 2002 i mål mellan Pretty mot Storbritannien och jfr även a.a. av Danelius s. 305 f.

59

Internationella konventioner och EU

SOU 2009:44

Bioetikkonventionen

Bioetikkonventionen6 syftar till att skydda människor i samband med hälso- och sjukvård och medicinsk forskning. Den specificerar och vidareutvecklar det skydd som följer av Europakonventionen. I bioetikkonventionen uppställs bl.a. en allmän regel om att ingrepp inom hälso- och sjukvårdens område endast får företas efter det att den berörda personen har lämnat ett fritt och informerat samtycke, som när som helst kan återkallas. Vidare framgår av konventionen att envar dels har rätt till respekt för sitt privatliv i fråga om upp- gifter om hans eller hennes hälsotillstånd, dels har rätt att få vetskap om all tillgänglig information om sin hälsa.

Bioetikkonventionen ger endast ett minimiskydd och utgör inget hinder för att i den nationella rättsordningen erbjuda ett längre gående skydd. Konventionen riktar sig till det allmänna och går inte närmare in på frågan om den enskildes förhållande till andra enskilda personer. Det anges inte heller några egentliga sanktioner gentemot den fördragsslutande part som försummar sina åtaganden enligt konventionen. Det kan noteras att det inom Europarådet pågår ett arbete med ett tilläggsprotokoll till konven- tionen, som bl.a. kommer att behandla frågor om icke-medicinsk användning av genetiska undersökningar i samband med anställ- ningar.7

Sverige, som deltog i utarbetandet av bioetikkonventionen och undertecknade den år 1997, avser att ratificera den senare.

Dataskyddskonventionen: nr 108

Dataskyddskonventionen8 antogs redan år 1981. Sverige var det första land som ratificerade konventionen och den trädde i kraft den 1 oktober 1985. Dataskyddskonventionen syftar till att säker- ställa respekten för grundläggande fri- och rättigheter, särskilt den

6Konvention angående skydd av de mänskliga rättigheterna och människans värdighet med avseende på tillämpningen av biologi och medicin, som antogs av Europarådets ministerkommitté år 1996. Ett år senare publicerade kommittén en s.k. Explanatory Report.

7Se Europarådets ”Working document on the applications of genetics for health purposes” (CDBI/INF [2003]3) jämte Explanatory note (CDBI/INF [2003]4).

8Konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. I prop. 1981/82:189 s. 188 f finns en svensk översättning av konventionstexten. Till konventionen har även en s.k. explanatory report utarbetats som bl.a. går att finna i SOU 1993:10 (bilagedelen) s. 63 f.

60

SOU 2009:44

Internationella konventioner och EU

enskildes personliga integritet, i samband med automatisk data- behandling av personuppgifter.

Den centrala delen av konventionen innehåller grundläggande principer för dataskydd. Varje konventionsstat ska senast vid tid- punkten för konventionens ikraftträdande ha vidtagit de åtgärder som behövs för att dess nationella lagstiftning ska innehålla denna s.k. gemensamma kärna. Tanken är att den gemensamma kärnan avseende regler om dataskydd ska garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Därigenom ska det vara möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna genom olika former av protektionistiska åtgärder.

Det finns inget institutionaliserat system för efterlevnads- kontroll. Konventionen bygger i stället på ett frivilligt åtagande från de anslutna staterna att i den nationella rättsordningen införa lämpliga sanktioner och rättsmedel för överträdelser av de natio- nella regler genom vilka konventionens grundläggande principer för dataskydd genomförs i den nationella rätten. Det finns inget i konventionen som hindrar att de nationella reglerna ger ett mer långtgående skydd.

Dataskyddskonventionens grundläggande principer för data- skydd har i stor utsträckning präglat allt efterföljande internatio- nellt arbete avseende dataskydd. Dessa principer brukar samman- fattas i termer som relevans, finalitet och proportionalitet. I kort- het innebär detta

att behandling bara får ske av sådana personuppgifter som är adekvata och relevanta i förhållande till det ändamål för vilket de har samlats in,

att ändamålet med behandlingen inte får förändras, samt

att fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet inte får behandlas.

Undantag från de centrala artiklarna i konventionen får göras endast om det är medgivet i den nationella lagstiftningen och om det är nödvändigt för att i ett demokratiskt samhälle skydda vissa i konventionen angivna intressen: statens säkerhet, den allmänna säkerheten, statens penningintressen, brottsbekämpning eller den berörda personens eller andra personers fri- och rättigheter. Ytter- ligare vissa undantagsmöjligheter ges för automatiserade person-

61

Internationella konventioner och EU

SOU 2009:44

register som används för statistik- eller för vetenskapliga forsk- ningsändamål.

Inom Europarådet har det utarbetats ett flertal rekommendationer om skydd för personuppgifter, jämte förklaringar och utvärderingar av rekommendationerna. I det här sammanhanget bör särskilt nämnas Europarådets rekommendation om skydd för medicinska data,9 och Europarådets rekommendation om skydd för person- uppgifter som används för anställningsändamål.10

3.1.3 OECD

Internationella riktlinjer för integritetsskydd och flöde av person- uppgifter över nationsgränserna har även utarbetats inom Organi- sationen för ekonomiskt samarbete och utveckling (OECD).11 Ett antal internationella organisationer och företag har också med utgångspunkt i dessa riktlinjer antagit egna interna regler om data- skydd. OECD:s riktlinjer stämmer i väsentliga delar överens med dataskyddskonventionens bestämmelser och redovisas därför inte närmare här.

3.2EU

3.2.1 Allmänt om skyddet för den personliga integriteten

Enligt EU-fördraget bygger unionen på principerna om frihet, demokrati och respekt för de mänskliga rättigheterna och grund- läggande friheterna samt på rättsstatsprincipen, vilka principer anses vara gemensamma för medlemsstaterna. Vi har också redan pekat på att unionen, som allmänna principer för gemenskaps- rätten, enligt artikel 6 i EU-fördraget ska respektera de grund- läggande rättigheterna såsom de garanteras i Europakonventionen. Samma sak anses också gälla för de grundläggande rättigheter som kommer till uttryck i medlemsstaternas gemensamma konstitutio- nella traditioner. Det nämnda stadgandet är primärt riktat till

9Recommendation No. R (97) of the Committee of Ministers to Member States on the Protection of Medical Data, jämte s.k. Explanatory Memorandum.

10Recommendation No. R (89) 2 of the Committee of Ministers to Member States on the Protection of Personal Data Used for Employment Purposes. Rekommendationen jämte s.k. Explanatory Memorandum återges i SOU 1993:10, (bilagedelen) s. 87 f.

11Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna finns återgivna i SOU 1993:10 (bilagedelen) s. 56 f.

62

SOU 2009:44

Internationella konventioner och EU

gemenskapslagstiftaren. Genom EG-domstolens praxis har dock Europakonventionen och Europadomstolens tillämpning av den- samma kommit att få ett genomslag i de nationella rättsord- ningarna som går utöver de rent gemenskapsbaserade reglerna. Ur rättslig synvinkel har detta uttryckts som att väsentliga delar av Europakonventionens fri- och rättighetssystem via förmedling av EG-rätten har blivit tillämpligt i Sverige såsom EG-rätt, och har därmed bl.a. kommit i åtnjutande av den företrädesrätt som gemen- skapsbestämmelserna har gentemot rent nationell rätt.12

Vid Europeiska rådets möte i Nice år 2000 antogs Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Såvitt nu är av intresse anges i EU-stadgan att var och en har rätt till fysisk och mental integritet (artikel 3), respekt för sitt privatliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för sina personuppgifter (artikel 8). I förslaget till fördrag om upprät- tandet av en konstitution för Europa anges att stadgan i första hand riktar sig till unionens institutioner. För medlemsstaternas vid- kommande gäller stadgan endast när dessa tillämpar unionsrätten. I fördraget anges dessutom att unionen ska söka anslutning till Europakonventionen. Eftersom frågan om fördragets antagande är oklar är även EU-stadgans framtida rättsliga status oklar.

3.2.2 Dataskyddsdirektivet m.m.

Dataskyddsdirektivets tillkomst m.m.

Fram till början av 1990-talet spelade EG en förhållandevis blygsam roll när det gällde den internationella utvecklingen av regler till skydd för den personliga integriteten vid automatiserad behandling av personuppgifter. Vid den tidpunkten hade alla dåvarande EG- länder skrivit under dataskyddskonventionen, men bara sex länder hade ratificerat den. Med hänsyn till att konventionen endast ställer minimikrav på den nationella lagstiftningen och dessutom ger stor frihet när det gäller hur dessa krav ska uppfyllas i praktiken, inne- bar det att det rådde betydande skillnader mellan medlemsstaternas lagstiftning. Därtill kom den ökade betydelsen av att person- uppgifter ska kunna flöda fritt mellan medlemsstaterna för att kunna uppnå det för gemenskapen grundläggande målet om en väl fungerande inre marknad. Dessa faktorer skapade såväl anledning

12 SOU 2007:22 s. 47 f.

63

Internationella konventioner och EU

SOU 2009:44

som klara rättsliga förutsättningar för kommissionen att lägga fram ett förslag till ett direktiv som syftade till att harmonisera medlems- staternas dataskyddslagstiftning.13 Efter en långdragen och kompli- cerad förhandlingsprocess kunde dataskyddsdirektivet14 antas den 24 oktober 1995.

Dataskyddsdirektivet bygger i huvudsak på samma grund- läggande principer och systematik som dataskyddskonventionen. I direktivets ingress anges uttryckligen att dess skyddsbestämmelser utgör en precisering och en förstärkning av de principer som kommer till uttryck i dataskyddskonventionen (skäl 11). Direktivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204).

Med hänsyn till att den materiella regleringen i dataskydds- direktivet i allt väsentligt är densamma som i personuppgiftslagen, anser vi det inte nödvändigt att redogöra för dataskyddsdirektivets innehåll.

Dataskyddsdirektivet kan sägas utgöra ett typexempel – och möjligen det sista exemplet – på en lagstiftningsteknik som i doktrinen brukar benämnas som första generationens regler om dataskydd.15 Bakgrunden till den lagstiftningstekniken var att det i början av 1970-talet gick att skönja ett tillräckligt stort behov av reglering för att kunna motivera ett ingripande av lagstiftaren. Å andra sidan var det svårt att överblicka med vilken intensitet och med vilken räckvidd som den nya tekniken för informations- behandling tillämpades i det praktiska livet. Detsamma gällde tek- nikens framtida utvecklingspotential. Den ambivalenta inställningen hos lagstiftaren motiverade en lagstiftningsteknik som dels var generellt tillämplig för alla sektorer i samhällslivet, dels var till- räckligt oprecis för att kunna täcka in för lagstiftaren oförutsedda situationer, t.ex. i form av ny teknik eller att redan befintlig teknik appliceras på ett nytt sätt.

I den internationella utvecklingen kan man dock fr.o.m. början av 1980-talet skönja vad som kan benämnas som andra generationens dataskyddsregler, som mer tar sikte på behandlingen av person- uppgifter inom en viss sektor. Bakgrunden till den utvecklingen kan kortfattat sammanfattas som att övergripande och allmänna

13Den rättsliga grunden för direktivet är framför allt artikel 100 a i fördraget.

14Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

15Se t.ex. Spiros Simitis, From the General Rules on Data Protection to a Specific Regulation of the Use of Employee Data: Policies and Constraints of the European Union, Comparative Labour Law & Policy Journal, 1998, s. 354 f.

64

SOU 2009:44

Internationella konventioner och EU

regler om dataskydd ansågs motiverade för att uttrycka lag- stiftningens syfte och allmänna principer. Däremot ansågs sådana regler inte duga till att lösa enskilda fall inom ett visst område. Därtill behövdes mer specificerade regler som var anpassade till den miljö de skulle verka inom. Ett tydligt exempel på den nu beskrivna utvecklingen är de olika rekommendationer, bl.a. avseende arbets- livets område, som Europarådet med start år 1981 har antagit i syfte att komplettera dess dataskyddskonvention. Även för svenskt vidkommande har de generella reglerna om dataskydd sedan länge kompletterats med mer specifika regler som är anpassade till ett visst område, s.k. registerförfattningar.

Inom EU var man självfallet fullt medveten om den nu beskrivna utvecklingen. Man insåg tidigt att dataskyddsdirektivet skulle behöva kompletteras med sektorspecifika regler. I direktivets ingress anges också uttryckligen att det för vissa områdens vid- kommande ska kunna kompletteras eller preciseras med särskilda bestämmelser. Sådana bestämmelser ska dock stämma överens med de principer som slås fast i dataskyddsdirektivet (skäl 22, 23 och 68).

Det första exemplet på en sektorspecifik reglering var ett direktiv om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet som antogs år 1997.16 Med hänsyn till den snabba utvecklingen av marknader och teknik för elektroniska kommunikationstjänster ersattes emellertid det direktivet redan år 2002 av ett nytt direktiv om integritet och elektronisk kommunika- tion.17 Det senare direktivet har genomförts i svensk rätt genom lagen (2003:389) om elektronisk kommunikation. Efter terror- attentaten i Madrid år 2004 kompletterades direktivet om elek- tronisk kommunikation med ett särskilt direktiv om lagring av trafikuppgifter i allmänt tillgängliga kommunikationsnät.18

Ett annat exempel på en sektorspecifik reglering utgör den sär- skilda förordning som EU-parlamentet och rådet har antagit i syfte

16Europaparlamentets och rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet, EGT L 24, 30.1.1998, s. 1.

17Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).

18Europaparlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller kommunikationsnät. En lagrådsremiss med förslag varigenom direktivet ska genomföras i svensk rätt förbereds för närvarande i Regeringskansliet.

65

Internationella konventioner och EU

SOU 2009:44

att reglera integritetsskyddet för enskilda när gemenskapens insti- tutioner och organ behandlar personuppgifter.19

Dataskyddsdirektivets genomförande

Parallellt med arbetet med dataskyddsdirektivet arbetade Datalags- utredningen, sedan år 1989, med att se över den då gällande data- lagen (1973:289). I sitt slutbetänkande presenterade utredningen, som inför den avslutande fasen av sitt arbete hade omvandlats till en kommitté, ett förslag till en ny datalag. Förslaget byggde i stora delar på det då föreliggande andra förslaget till direktiv som EG- kommissionen hade presenterat. Regeringen ansåg emellertid av naturliga skäl att utarbetandet av en ny datalag borde anstå till dess det fanns ett slutligt ställningstagande av EG:s medlemsländer, se prop. 1993/94:116. Att så var fallet stod klart i början av år 1995, varvid Datalagskommittén tillsattes. Efter ett lagstiftningsarbete som bedrevs under stark tidspress kunde personuppgiftslagen (1998:204) träda i kraft den 24 oktober 1998, samtidigt som data- lagen upphörde att gälla.

En relativt utförlig redogörelse av personuppgiftslagens innehåll finns i avsnitt 5.

3.2.3Kommissionsinitiativ om skydd för arbetstagares personuppgifter

Ett annat område där diskussion om en sektorspecifik reglering tidigt väcktes var arbetslivet. Under de första åren av 2000-talet arbetade också kommissionen förhållandevis aktivt med att försöka komplettera dataskyddsdirektivet med särskilda regler till skydd för arbetstagares personuppgifter. År 2003 presenterade kommis- sionen ett förslag till hur dataskyddsdirektivets allmänna principer skulle kunna översättas till mer specifika regler för arbetslivets område.20 Samtidigt inbjöds arbetsmarknadens parter till att lämna synpunkter på en sådan reglering. De uppmanades dessutom att tillkännage om de önskade utnyttja de särskilda möjligheter EG-

19Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

20Second stage consultation of social partners on the protection of workers personal data, dokumentet finns tillgängligt på kommissionens webbplats.

66

SOU 2009:44

Internationella konventioner och EU

fördraget ger till reglering genom kollektivavtal på gemenskaps- nivå. Några förhandlingar mellan arbetsmarknadens parter kom emellertid aldrig till stånd. År 2005 aviserade kommissionen att ett nytt initiativ beträffande frågan om skydd för arbetstagares personuppgifter skulle komma att tas under året. Så skedde emel- lertid inte. I dagsläget framstår det som osäkert om kommissionen över huvud taget avser att fortsätta driva frågan om specifika gemenskapsrättsliga regler till skydd för arbetstagares person- uppgifter.

I förslaget från år 2003 gjorde kommissionen klart att reglerna i dataskyddsdirektivet gäller fullt ut på arbetslivets område. Kom- missionen pekade då med särskild styrka på att det innebär att möjligheterna att rättfärdiga en behandling med stöd av arbets- tagarens samtycke är begränsade, eftersom arbetstagaren i regel står i sådan beroendeställning till arbetsgivaren att det inte kan vara fråga om ett giltigt samtycke i direktivets mening. Enligt kommis- sionen borde vidare ett gemenskapsrättsligt regelverk som syftar till att skydda arbetstagares personuppgifter utformas så att det kompletterar och inte upprepar vad som redan gäller enligt data- skyddsdirektivet.

I förslaget gav kommissionen dessutom uttryck för uppfatt- ningen att ett kompletterande regelverk beträffande skyddet för arbetstagare dels borde omfatta all manuell behandling av person- uppgifter, dvs. även sådan manuell behandling som inte omfattas av dataskyddsdirektivet eftersom uppgifterna inte ingår i eller kommer att ingå i ett register, dels att begreppet arbetstagare borde omfatta även tidigare arbetstagare och arbetssökande. Det kan också noteras att kommissionen, i likhet med ILO:s riktlinjer angå- ende skydd för arbetstagares personuppgifter, ansåg att huvud- principen borde vara att uppgifterna ska samlas in från arbetstaga- ren själv. Om detta inte är möjligt bör det i princip krävas att arbetstagaren i förväg samtycker till att uppgifter hämtas in från annan.

67

Internationella konventioner och EU

SOU 2009:44

3.2.4 UNI:s Code of Practice

Det kan noteras att dataskyddsdirektivet och den europeiska diskussionen om skyddet för arbetstagares personuppgifter även resulterat i ett fackligt initiativ på europeisk nivå. Union Network International (UNI) har tagit fram riktlinjer som bl.a. innebär att det bör vara tillåtet att använda arbetsplatsens elektroniska utrust- ning för kommunikation (dvs. e-post, Internet, företagets interna nätverk, telefon och fax) för fackliga ändamål. Det bör även under vissa förutsättningar vara tillåtet för arbetstagare att använda arbetsgivarens utrustning för privata ändamål, så länge detta inte påverkar arbetet. Kontroll eller övervakning bör bara få ske om det är tillåtet enligt kollektivavtal, krävs enligt lag, eller om arbetsgiva- ren har rimliga skäl för att misstänka att arbetstagaren har begått brott eller liknande. Om arbetsgivaren vill gå igenom loggfiler eller annat material ur det interna datasystemet bör detta, enligt riktlin- jerna, endast få ske i närvaro av en facklig representant eller av någon annan representant som har utsetts av arbetstagarna.

68

4 Gällande rätt

I detta avsnitt redogör vi inledningsvis för de grundlagsbestämmelser som är av betydelse för vårt uppdrag. Vi beskriver därefter över- siktligt några straffrättsliga bestämmelser av intresse. Vi redovisar också viss arbetsrättslig reglering och praxis.

Personuppgiftslagen redogör vi för i ett eget avsnitt 5 och en sammanfattning av den genomgången finns dessutom i avsnitt 10.2.

Vidare ges i ett särskilt avsnitt en mer utförlig redovisning för den rättsliga regleringen och praxis avseende kontroll genom hälso- och drogtester, avsnitt 6. En sammanfattning av rättsläget återfinns i avsnittet med våra överväganden om medicinska undersökningar, se avsnitt 12.2.

4.1Grundlagarna

Regeringsformen

Regeringsformen innehåller ingen rättsligt bindande regel som ger ett allmänt skydd för den personliga integriteten. Däremot finns i 1 kap. 2 § fjärde stycket ett program- och målsättningsstadgande där det bl.a. slås fast att det allmänna ska värna den enskildes privat- och familjeliv.

Av intresse är även regleringen i 2 kap. 1 § vari anges att varje medborgare gentemot det allmänna är tillförsäkrad informations- frihet, dvs. frihet att inhämta och mottaga upplysningar samt att i övrigt ta del av andras yttranden.

69

Gällande rätt

SOU 2009:44

2 kap. 3 §

I 2 kap. 3 § andra stycket finns en bestämmelse som uttryckligen tar sikte på integritetskränkande databehandling. Bestämmelsen, som enbart riktar sig till lagstiftaren, innebär att det vid varje given tid- punkt måste finnas lagstiftning som skyddar den enskildes integritet när uppgifter om honom eller henne registreras med hjälp av auto- matisk databehandling. Bestämmelsen anger således inte någon viss nivå för integritetsskyddet, utan slår bara fast att det ska finnas en datalagstiftning och överlämnar åt lagstiftaren att i lag reglera den närmare omfattningen av skyddet. Den lag som tillgodoser detta krav är personuppgiftslagen (1998:204), som på ett stort antal verk- samhetsområden ersätts eller kompletteras av särskilda s.k. register- författningar. I sammanhanget bör uppmärksammas att den parla- mentariskt sammansatta Integritetsskyddskommittén har föreslagit att bestämmelsen ska upphävas, se nedan.

2 kap. 6 §

Av regeringsformens fri- och rättighetsregler är det främst bestäm- melsen i 2 kap. 6 § som är av intresse. Den bestämmelsen ger ett skydd för varje medborgare, dvs. även arbetstagare, mot vissa inte- gritetskränkande åtgärder från det allmännas sida. Bestämmelsen ger ett skydd mot påtvingade kroppsliga ingrepp, kroppsvisitation, husrannsakan eller liknande intrång, undersökning av brev eller annan förtrolig försändelse samt hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande.

I likhet med flertalet av regeringsformens fri- och rättighets- regler ger bestämmelsen inte ett oinskränkt skydd. Eventuella be- gränsningar måste dock i princip ske genom lag och bara i den utsträckning som anges i 2 kap. 12 § regeringsformen. En begräns- ning får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som kan anses vara nödvändigt för att tillgodose det aktuella ändamålet, eller utgöra ett hot mot den fria åsiktsbildningen. Man kan säga att det här föreligger dubbla krav på lagstiftaren, eftersom liknande krav följer av även 23 § i samma kapitel. Enligt den bestämmelsen får inte lag eller annan författning meddelas i strid med de åtaganden som följer av Europakonventionen. Som tidigare

70

SOU 2009:44

Gällande rätt

nämnts utgör Europakonventionen svensk lag. Den behandlas bl.a. i avsnitt 3 och 8.

Bestämmelsen har tillämpats på anställningsförhållanden inom staten, se AD 1984 nr 94. Arbetsdomstolen uttalade i det angivna avgörandet att det inom den offentliga sektorn numera gäller att frågor som rör tjänstemännens anställningsförhållanden i allmänhet är av privaträttslig natur men att detta inte hindrar att beslut av en myndighet i dess egenskap av arbetsgivare likväl kan vara att betrakta som myndighetsutövning. Domstolen uttalade därutöver att dom- stolen inte genom det förda resonemanget om myndighetsutövning tagit ställning till i vad mån 2 kap. 6 § regeringsformen kan ha tillämplighet även utanför området för myndighetsutövning. En statlig arbetsgivare anses uppträda i rollen som enskild i fråga om åtgärder som grundas på privaträttsliga regler som tillgodoser myndig- hetens intresse i just dess egenskap av arbetsgivare. Om åtgärden i stället främst har vidtagits i det allmännas intresse, uppträder arbetsgivaren i egenskap av det allmänna och regeringsformen anses tillämplig.1

Se även avsnitt 4.3 och underavsnittet om in- och utpasserings- kontroll och husrannsakan.

1 kap. 9 § och 11 kap. 9 §

Regeringsformen innebär därutöver vissa begränsningar i arbets- givarens fria antagningsrätt. Vid beslut om tillsättande av statlig tjänst får enligt 11 kap. 9 § andra stycket avseende endast fästas vid sakliga grunder, såsom förtjänst och skicklighet. Regeln om sakliga grunder gäller inte för tillsättning av kommunala tjänster. För sådana beslut blir ytterst prövningsgrunderna för kommunalbesvär i 10 kap. 8 § kommunallagen (1991:900) avgörande. Inom den offentliga förvaltningen gäller också objektivitetsprincipen i 1 kap. 9 § regerings- formen. Beträffande antagningsrätten, se även avsnitt 4.3 nedan.

Integritetsskyddskommitténs förslag

Integritetsskyddskommittén har i sitt slutbetänkande (SOU 2008:3 s. 255 f.) föreslagit bl.a. att det införs ett nytt andra stycke i 2 kap. 6 § regeringsformen av innebörd att varje medborgare ska vara

1 Se JO:s beslut den 25 oktober 2005, dnr 2685–2004.

71

Gällande rätt

SOU 2009:44

skyddad gentemot det allmänna mot intrång som sker i hemlighet eller utan samtycke och som i betydande mån innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det nya grundlagsskyddet ska bara kunna begränsas i den särskilda ordning som föreskrivs i 2 kap. 12 § regeringsformen.

Kommittén har vidare som redan nämnts föreslagit att det ovan berörda stadgandet i 2 kap. 3 § – att varje medborgare ska i den utsträckning som anges i lag skyddas mot att hans personliga integritet kränks när uppgifter om honom eller henne registreras med hjälp av automatisk databehandling – ska upphävas. Enligt kommittén skulle det med det föreslagna nya grundlagsskyddet i 2 kap. 6 § inte längre finnas något behov av bestämmelsen, vars egentliga syfte inte var av rättslig art utan att ge uppmärksamhet åt vikten av integritetsskydd vid dataregistrering. Stadgandet i 2 kap. 3 § är vidare, enligt kommittén, oförenligt med riksdagens vilja att grundlagsskyddet inte ska vara teknikberoende och det passar heller inte systematiskt in i regeringsformen. Dessutom framhåller kom- mittén att Sveriges förpliktelse att vidmakthålla ett nationellt inte- gritetsskydd som motsvarar EU:s regelverk på dataskyddsområdet, framförallt dataskyddsdirektivet, i högre grad än stadgandet i regeringsformen, innebär ett krav på att det ska finnas lagstiftning som upprätthåller skyddskrav på hög nivå.

Integritetsskyddskommittén har även föreslagit att det införs en bestämmelse i brottsbalken om olovlig fotografering som i princip gör det förbjudet att utan lov fotografera eller filma personer som befinner sig på platser dit allmänheten inte har insyn.

Tryckfrihetsförordningen och yttrandefrihetsgrundlagen

Av viss betydelse är även reglerna i 2 kap. tryckfrihetsförordningen om allmänna handlingars offentlighet, den s.k. offentlighets- principen. En allmän handling är i princip offentlig, dvs. den ska hållas tillgänglig för den som vill ta del av den.

Undantag från offentlighetsprincipen anges i lag, i första hand sekretesslagen (1980:100).2 Även här gäller en särskild normgivnings- regel för lagstiftaren, nämligen att rätten att ta del av allmänna

2 Regeringen har den 5 mars 2009 beslutat om en proposition med ett förslag till offentlighets- och sekretesslag (prop. 2008/09:150). Den föreslagna lagen utgör en omarbetning av sekretesslagen i syfte att göra regleringen mer lättförståelig och lättillämpad. Förslaget innebär inte några sakliga ändringar i de bestämmelser som är av intresse för vårt arbete. Lagen föreslås träda i kraft den 30 juni 2009.

72

SOU 2009:44

Gällande rätt

handlingar endast får begränsas om det är påkallat med hänsyn till vissa i tryckfrihetsförordningen särskilt angivna intressen.

För myndigheter som i sin verksamhet använder automatisk databehandling gäller enligt 15 kap. sekretesslagen att de tekniska systemen ska utformas med beaktande av offentlighetsprincipen.

I sammanhanget bör också tryckfrihetsförordningens och ytt- randefrihetsgrundlagens regler om den s.k. meddelar- och anskaffar- friheten något belysas (se t.ex. 1 kap. 1 § tredje och fjärde stycket tryckfrihetsförordningen).3 Dessa regler innebär att var och en har rätt att till författare, journalister och nyhetsredaktioner m.fl. meddela uppgifter och underrättelser i vilket ämne som helst för offentlig- görande i tryckt skrift eller genom tekniska upptagningar. Det- samma gäller för anskaffandet av sådana uppgifter. Skyddet gäller dock inte om förfarandet innebär att den som meddelar eller anskaffar uppgifterna därigenom gör sig skyldig till vissa brott mot rikets säkerhet, bl.a. spioneri, och inte heller om personen i fråga gör sig skyldig till uppsåtligt brott mot tystnadsplikt (se t.ex. 7 kap. 3 § tryckfrihetsförordningen).4 De nu redovisade bestämmelserna innebär att en offentlig arbetsgivare i princip inte får efterforska t.ex. meddelanden som en arbetstagare har skickat till en tidnings- redaktion.

4.2Straffrättsliga bestämmelser

Vissa åtgärder, som även kan förekomma i arbetslivet, är straff- belagda. Följande bestämmelser är av intresse.

Brytande av post- eller telehemlighet

Den som olovligen bereder sig tillgång till ett meddelande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller telemeddelande, kan enligt 4 kap. 8 § brottsbalken dömas för brytande av post- eller telehemlighet till böter eller fängelse i högst två år.

Det straffbara området omfattar inte sådana fall där någon bereder sig tillgång till ett meddelande inom ett lokalt nät, t.ex. att en arbetsgivare kontrollerar arbetstagarnas e-post genom att utnyttja

3Motsvarande regler finns i 1 kap. 2 § och 2 kap. 4 § yttrandefrihetsgrundlagen.

4Motsvarande regler finns i 5 kap. 3 § yttrandefrihetsgrundlagen.

73

Gällande rätt

SOU 2009:44

det egna nätverket. Vidare krävs att gärningen sker olovligen. På grund härav blir t.ex. avlyssning genom en extra hörtelefon straffri så snart någon av de samtalande har lämnat sitt samtycke till avlyssnandet.

Intrång i förvar

Den som olovligen bryter brev eller telegram eller på annat sätt bereder sig tillgång till något som förvaras förseglat, under lås eller som är tillslutet på annat sätt, kan enligt 4 kap. 9 § brottsbalken dömas för intrång i förvar till böter eller fängelse i högst två år. Bestämmelsen är subsidiär i förhållande till den nyss beskrivna bestämmelsen om brytande av post- eller telehemlighet.

Enligt ordalydelsen är skyddsobjektet ”något”, vilket talar för att tillämpningsområdet är vidsträckt. Om en arbetsgivare eller en företrädare för arbetsgivaren olovligen bereder sig tillgång till fysiskt material som tillhör en arbetstagare, t.ex. något som förvaras i ett låst utrymme eller ett meddelande i ett förseglat kuvert, gör denne sig skyldig till brott. Det gäller självfallet även om det som förvaras tillslutet eller under lås är elektronisk information som förvaras på en diskett, cd-romskiva, USB-minne eller på en hårddisk. Däremot är det osäkert i vad mån man kan göra en straffrättsligt tillåten analogi till logiskt förvar eller utrymmen i vilka viss elektroniskt lagrad information förvaras i IT-miljö.5

Olovlig avlyssning

Den som olovligen med tekniska hjälpmedel för återgivning av ljud i hemlighet avlyssnar eller tar upp tal i enrum, samtal mellan andra eller förhandlingar eller andra sammankomster dit allmänheten inte har tillträde, kan enligt 4 kap. 9 a § brottsbalken dömas för olovlig avlyssning till böter eller fängelse i högst två år. Även den bestäm- melsen är subsidiär till den om brytande av post- eller telehemlighet.

Bestämmelsen tillkom för att ge ett förstärkt skydd mot risker för integritetskränkningar som kan åstadkommas genom att utnyttja akustiska hjälpmedel. Som redan framgått ska bestämmelsen inte tillämpas vid avlyssning av telefonsamtal över det sedvanliga telenätet. Däremot omfattas avlyssning av telefonsamtal via interna

5 Se SOU 2002:18 s. 111 f. med där gjorda hänvisningar.

74

SOU 2009:44

Gällande rätt

anläggningar, inom en bostad eller på en arbetsplats, t.ex. samtal via snabbtelefoner. Med tal i enrum avses t.ex. diktamen eller bön. Vidare omfattar bestämmelsen samtal mellan andra. Det innebär att den som spelar in samtal som han själv deltar i, t.ex. med hjälp av en dold mikrofon, går fri från ansvar. Detsamma gäller den som deltar i ett sammanträde eller annan sammankomst. Någon begränsning i lokalt hänseende finns emellertid inte. Bestämmelsen gäller alldeles oavsett var kränkningen sker någonstans.

Dataintrång

Den som olovligen bereder sig tillgång till upptagning för auto- matisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 c § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestäm- melsen om dataintrång är subsidiär till såväl den om brytande av post- eller telehemlighet som den om intrång i förvar.

Även beträffande denna bestämmelse förutsätter straffansvar att åtgärden skett olovligen. Så är fallet om någon helt utomstående olovligen bereder sig tillgång till en upptagning, oavsett om det sker på distans över nätverk eller genom att någon bereder sig till- träde till en lokal och där använder en befintlig dator. Detsamma torde gälla för den som utan tillåtelse tar sig förbi ett skydd i form av lösenord eller liknande och på så sätt får tillgång till material som lagras i datorformat. Att en åtgärd skett olovligen förutsätter dock inte att materialet skyddats på något särskilt sätt. I underrätts- praxis har det ansetts tillräckligt att en arbetstagare har berett sig tillgång till lagrade uppgifter genom att överträda sin befogenhet att använda IT-systemet enligt de bestämmelser som gäller på arbets- platsen. Om man ser till det omvända förhållandet, dvs. att en arbets- givare bereder sig tillgång till information som arbetstagare har lagrat i det interna datasystemet, uppstår dock betydande tolknings- och tillämpningsproblem. I betänkandet Personlig integritet i arbets- livet (SOU 2002:18) förs ett relativt ingående resonemang om och under vilka förutsättningar förfaranden som innebär att arbets- givare bereder sig tillgång till det egna datasystemet för att kon- trollera arbetstagares privata filer skulle kunna anses som olovligt. Resonemanget landar emellertid i slutsatsen att det, i brist på

75

Gällande rätt

SOU 2009:44

publicerade domstolsavgöranden, är osäkert hur dessa frågor bör bedömas.6

Personuppgiftslagen

I 49 § personuppgiftslagen (1998:204) finns det en straffbestämmelse som bl.a. innebär att det är förenat med straffansvar att uppsåtligen eller av grov oaktsamhet behandla känsliga personuppgifter och uppgifter om lagöverträdelser i strid med lagens särskilda bestäm- melser härom. Bestämmelsen berörs närmare i avsnitt 5.

Lagen om elektronisk kommunikation

Lagen (2003:389) om elektronisk kommunikation innehåller en straff- bestämmelse som bl.a. innebär att den som uppsåtligen eller av oaktsamhet bryter mot lagens förbud mot avlyssning kan dömas till böter (6 kap. 15 § andra stycket). Bestämmelsen är subsidiär till de tidigare redovisade bestämmelserna i brottsbalken.

Lagen om allmän kameraövervakning

Vid kameraövervakning gäller också vissa straffsanktionerade bestämmelser enligt 26 § lagen (1998:150) om allmän kamera- övervakning.7 Dessa bestämmelser gäller i huvudsak för övervakning av platser dit allmänheten har tillträde. I sådana fall krävs som huvudregel tillstånd av länsstyrelsen.

Vissa av lagens bestämmelser är dock av allmänt intresse. Av 1 § framgår att allmän kameraövervakning ska ske med tillbörlig hän- syn till enskildas personliga integritet. Det aktsamhetskrav som framgår av bestämmelsen gäller generellt vid all användning av övervakningsutrustning och alltså även vid sådan verksamhet som inte omfattas av krav på tillstånd eller anmälan. Bestämmelsen är dock inte sanktionerad.

Därutöver anges, som huvudregel, att upplysning om allmän kameraövervakning ska lämnas genom tydlig skyltning eller på något annat verksamt sätt. Om ljud kan avlyssnas eller tas upp vid

6SOU 2002:18 s. 112 f.

7Frågan om lagregleringen av allmän kameraövervakning ses för närvarande över av en annan utredning (dir. 2008:22).

76

SOU 2009:44

Gällande rätt

övervakningen ska särskild upplysning lämnas om detta. Upplysnings- plikten inträder när övervakningsutrustningen sätts upp. Upplysnings- plikten gäller även om varken tillstånd eller anmälan krävs för övervakningen och även i de fall då övervakningen avser en plats dit allmänheten inte har tillträde. Syftet är naturligtvis att personer som vistas på platsen ska vara medvetna om att de är övervakade. Bestämmelsen om upplysningsplikt är straffsanktionerad.

Såvitt avser kameraövervakning av banklokaler m.m. och butiks- lokaler är sådan tillåten efter anmälan om vissa krav är uppfyllda. I sammanhanget kan noteras att när det gäller butikslokaler får en övervakningskamera efter anmälan sättas upp för allmän kamera- övervakning om den som avser att bedriva övervakningen har träffat en skriftlig överenskommelse om övervakningen med skydds- ombud, skyddskommitté eller en organisation som företräder de anställda på arbetsplatsen.

Därutöver finns en tystnadspliktregel som anger att den som tar befattning med uppgift som har inhämtats genom allmän kamera- övervakning får inte obehörigen röja eller utnyttja vad han eller hon på detta sätt fått veta om någon enskilds personliga för- hållanden. Det erinras om att i det allmännas verksamhet ska i stället bestämmelserna i sekretesslagen (1980:100) tillämpas.

Lagen om genetisk integritet m.m.

Även i lagen (2006:351) om genetisk integritet m.m. förekommer straffsanktionerade bestämmelser. Lagen trädde i kraft den 1 juli 2006.8 Av intresse på arbetslivsområdet är bestämmelsen i 2 kap. 1 §. Där sägs i första stycket att ingen utan stöd i lag får ställa som villkor för ett avtal att den andre parten ska genomgå en genetisk undersökning eller lämna genetisk information om sig själv. För- budet gäller inte på familjerättens område men i övrigt vid alla slags avtal, t.ex. anställningsavtal. Den som bryter mot förbudet döms till böter eller fängelse i högst sex månader, om inte gärningen är belagd med strängare straff i brottsbalken (8 kap. 2 §).

I 2 kap. 1 § andra stycket föreskrivs vidare att ingen utan stöd i lag får i samband med ett avtal efterforska eller använda genetisk information om den andre. Ingen får heller olovligen bereda sig tillgång till genetisk information om någon annan. Man får alltså inte genom frågor till den informationen gäller eller annan försöka

8 Prop. 2005/06:64, bet. 2005/06: SoU16, rskr. 2005/06:219.

77

Gällande rätt

SOU 2009:44

få fram resultat av en genetisk undersökning. Skulle sådan information ändå bli känd får den inte användas i något avseende. Som exempel nämns i förarbetena bl.a. att informationen inte får läggas till grund för beslut om förmåner eller skyldigheter och en arbetsgivare får inte beakta den vid ett beslut om anställning, befordran, löne- sättning osv.9

De två förbuden i andra stycket är inte straffbelagda. Som skäl härtill anfördes i propositionen att det redan fanns en rad straff- bestämmelser som kunde bli aktuella om någon bröt mot de aktuella bestämmelserna. Det framhölls dock att om utvecklingen skulle leda till att det i en framtid uppstod behov av att straffbelägga själva förbudet att i en avtalssituation efterforska eller använda genetisk information eller förbudet att olovligen bereda sig tillgång till genetisk information så fick regeringen återkomma med förslag om detta.10

4.3Arbetsrättslig reglering och praxis

Arbetslednings- och antagningsrätten

Arbetsledningsrätten

Rätten att leda och fördela arbetet, här förkortat arbetslednings- rätten, är en allmän rättsgrundsats som innebär att arbetsgivaren inom ramen för anställningsavtalet t.ex. bestämmer om arbets- uppgiften, sättet för arbetets utförande och platsen för arbetet. Arbetsledningsrätten innefattar inte bara ordergivning utan även beslut om allmänna föreskrifter. Arbetsledningsrätten motsvaras av en skyldighet för arbetstagarna att följa arbetsgivarens beslut.

Arbetsgivarens arbetsledningsrätt utövas i princip fritt och ensidigt och består bl.a. i rätten att bestämma över arbetsorganisationen, arbetsmetoder och produktionssätt, att omplacera arbetstagare till andra uppgifter inom ramen för deras arbetsskyldighet samt att be- stämma över arbetstidens förläggning och över vissa anställnings- förmåner. Arbetsledningsrätten innebär också att arbetsgivaren bestämmer om vilken teknisk utrustning som ska finnas och hur den ska användas. En arbetsgivare är oförhindrad att helt förbjuda användning av datorer för privata ändamål.11 Arbetsgivarens arbets-

9Prop. 2005/06:64 s. 200 f.

10Prop. 2005/06:64 s. 55 f.

11SOU:2002:18 s. 104.

78

SOU 2009:44

Gällande rätt

ledningsrätt kan också innefatta en rätt att vidta kontrollåtgärder; t.ex. kontroll genom tidsstämpling. Även kontroll i form av läkar- undersökningar kan anses falla under arbetsgivarens arbetslednings- rätt. Gränsen för arbetsgivarens befogenheter i dessa avseenden sätts i huvudsak av hänsyn till arbetstagarens person och inte- gritet.12 Arbetsgivarens arbetsledningsrätt är emellertid inte oin- skränkt. Den får inte utövas i strid mot lag eller god sed på arbetsmarknaden eller annars vara otillbörlig.

Att kontrollerna inte får strida mot lag innebär att en arbets- givare måste ta hänsyn till t.ex. de krav som uppställs i person- uppgiftslagen om kontrollåtgärden innefattar sådan behandling av personuppgifter som omfattas av den lagen.

God sed på arbetsmarknaden kan sägas motsvara en viss standard – ett allmänt faktiskt praktiserat beteende som representerar en viss yrkesetisk eller allmän moralisk nivå. Begreppet speglar en oskriven rättslig princip. Vid bedömning av om en kontrollåtgärd står i strid med god sed på arbetsmarknaden eller annars är otillbörlig görs en avvägning mellan arbetsgivarens intresse av åtgärden och arbets- tagarens intresse av skydd för den personliga integriteten.

I en dom från Arbetsdomstolen (AD 1997 nr 29; målet gällde en utpasseringskontroll) uttalar Arbetsdomstolen att det inte finns något allmänt stöd i rättspraxis för att vidta kontrollåtgärder av olika slag med stöd av den allmänna rätten att leda och fördela arbetet. Föreligger särskilda omständigheter i det enskilda fallet kan däremot sådan rätt finnas varvid en avvägning ska göras av såväl arbetsgivarens som arbetstagarens motstående intressen.

Antagningsrätten

På den privata sektorn gäller som huvudregel att arbetsgivaren fritt kan välja vem han vill anställa och ställa upp de villkor för anställ- ningen som han anser behövliga. Det föreligger dock numera flera lagstadgade undantag från denna huvudregel t.ex. genom diskrimi- neringslagstiftningen och bestämmelserna om företrädesrätt till åter- anställning enligt lagen (1982:80) om anställningsskydd. Begräns- ningar i den fria anställningsrätten kan också följa av kollektivavtal.

Här kan också noteras den EG-rättsliga bestämmelsen om arbetstagares fria rörlighet, artikel 39 EG som innebär ett förbud mot all diskriminering på grund av nationalitet. Det är t.ex. inte

12 Mia Rönnmar, Arbetsledningsrätt och arbetsskyldighet, 2004, s. 45 f.

79

Gällande rätt

SOU 2009:44

tillåtet att ha en särskild procedur vid anställning av medborgare från andra medlemsstater eller att ställa andra medicinska eller yrkes- mässiga krav på arbetssökande från andra EU-länder.13

En privat arbetsgivares anställningsbeslut kan normalt inte prövas rättsligt. Om lagregler som begränsar den fria antagningsrätten över- trätts kan dock en domstolsprövning ske. Den sanktion som före- ligger är skyldighet att utge diskrimineringsersättning eller skade- stånd och någon skyldighet att anställa den person som förbigåtts kan inte åläggas arbetsgivaren.

På den offentliga sektorn gäller objektivitetsprincipen som kommer till uttryck i 1 kap. 9 § regeringsformen. Där föreskrivs att alla som fullgör uppgifter inom den offentliga förvaltningen ska iaktta sak- lighet och opartiskhet. På den kommunala sidan finns härutöver inte några generella regler i lag. På det statliga området gäller för- utom objektivitetsprincipen också stadgandet i 11 kap. 9 § regerings- formen. Där anges i andra stycket att vid tillsättning av tjänst ska avseende fästas vid sakliga grunder, såsom förtjänst och skicklighet. De lagstadgade begränsningarna i antagningsrätten som gäller på det privata området, t.ex. de tidigare nämnda diskriminerings- reglerna, gäller även inom offentliga sektorn.

Ett anställningsbeslut av en statlig myndighet kan normalt över- klagas förvaltningsrättsligt. Det överprövande organet kan ersätta det överklagade beslutet med ett annat. Således kan ett över- klagande leda till att en felaktigt förbigången arbetssökande får anställningen i fråga.

På den kommunala sidan kan ett anställningsbeslut angripas med laglighetsprövning. Sådana överklaganden prövas av förvaltnings- domstol med Regeringsrätten som sista instans. Prövningen avser endast beslutets laglighet, dvs. den formella handläggningen, och inte beslutets lämplighet. Domstolen kan upphäva det överklagade beslutet men inte sätta ett annat beslut i dess ställe. Endast kommun- medlem har rätt att överklaga. Om ett anställningsbeslut upphävts vid en laglighetsprövning kan ett nytt anställningsförfarande bli aktuellt. En arbetssökande som förbigåtts har emellertid inte någon företrädesrätt till tjänsten ifråga.

13 Kent Källström och Jonas Malmberg, Anställningsförhållandet, 2006, s. 104.

80

SOU 2009:44

Gällande rätt

Särskild reglering för offentliganställda

Arbetstagare inom den offentliga sektorn har, som framgått i före- gående avsnitt, ett skydd bl.a. mot påtvingat kroppsligt ingrepp genom bestämmelsen i 2 kap. 6 § regeringsformen.

Särskilda regler om hälso- och läkarundersökningar finns 30 § lagen (1994:260) om offentlig anställning (LOA) och i 11 § lagen (1994:261) om fullmaktsanställning. Enligt 5 § anställningsförord- ningen (1994:373) kan en statlig arbetsgivare föreskriva att en arbetssökande ska lämna läkarintyg om de tänkta arbetsuppgifterna ställer särskilda krav på hälsotillståndet hos den som ska anställas. Avseende dessa bestämmelser lämnas en mer utförlig redogörelse i avsnitt 6.

Diskrimineringslagen

Från och med den 1 januari 2009 gäller den nya diskriminerings- lagen (2008:567). Den lagen har ersatt dels tidigare diskrimi- neringslagar på arbetslivsområdet – jämställdhetslagen (1991:433), lagen (1999:130) om åtgärder mot diskriminering i arbetslivet på grund av etnisk tillhörighet, religion eller annan trosuppfattning, lagen (1999:132) om förbud mot diskriminering i arbetslivet på grund av funktionshinder, lagen (1999:133) om förbud mot diskriminering i arbetslivet pga. sexuell läggning – dels tre andra civilrättsliga diskrimineringslagar på andra samhällsområden än arbetslivet.14

Genom lagen förbjuds diskriminering på grund av de tidigare gällande diskrimineringsgrunderna kön, etnisk tillhörighet, religion eller annan trosuppfattning, funktionshinder och sexuell läggning samt på grund av två nya diskrimineringsgrunder: ålder och köns- överskridande identitet eller uttryck.

Diskrimineringsförbudet i lagen innebär ett förbud för arbets- givare mot bl.a. direkt och indirekt diskriminering samt trakasserier. Till skillnad från tidigare diskrimineringslagar gäller diskriminerings- förbudet i arbetslivet utan begränsning till vissa uppräknade situationer. Vidare har den skyddade personkretsen utvidgats och omfattar – förutom arbetstagare och arbetssökande – även den som gör en förfrågan om arbete, praktikanter och den som söker

14 Lagen (2001:1286) om likabehandling av studenter i högskolan, lagen (2003:307) om för- bud mot diskriminering och lagen (2006:67) om förbud mot diskriminering och annan kränkande behandling av barn och elever.

81

Gällande rätt

SOU 2009:44

praktik samt inhyrd eller inlånad arbetskraft och den som står till förfogande för inhyrning eller inlåning.

Diskrimineringslagen innehåller även förbud mot repressalier och skyldighet för bl.a. arbetsgivare att utreda och vidta åtgärder mot trakasserier. Arbetsgivare omfattas också av skyldigheter i fråga om stöd- och anpassningsåtgärder för personer med funktionshinder.

Den som bryter mot lagen kan åläggas att betala diskriminerings- ersättning och ekonomiskt skadestånd.

Lagen innehåller också bestämmelser om aktiva åtgärder bl.a. i fråga om kön och etnisk tillhörighet i arbetslivet.

Medbestämmandelagen

Inför införandet av olika kontrollåtgärder aktualiseras bestäm- melserna om information och förhandlingsrätt i lagen (1976:580) om medbestämmande i arbetslivet (medbestämmandelagen).

I 10 § regleras den allmänna förhandlingsrätten. Den gäller för samtliga arbetstagarorganisationer oavsett om arbetstagarorganisa- tionen är bunden av ett kollektivavtal eller inte. Där anges bl.a. att en arbetstagarorganisation har rätt till förhandling med arbets- givaren i fråga rörande förhållandet mellan arbetsgivaren och sådan medlem i organisationen som är eller varit arbetstagare hos arbets- givaren. Den enskilde arbetstagaren saknar förhandlingsrätt enligt 10 §. En förhandling enligt denna bestämmelse påverkar inte arbets- givarens rätt att fatta och verkställa beslut inom det område där arbetsgivaren ensidigt har beslutanderätt, oavsett om förhandlingen är avslutad eller inte.

Enligt 11 och 13 §§ åläggs arbetsgivaren att ta initiativ till för- handling om vissa frågor. Reglerna innebär att arbetsgivaren normalt är skyldig att vänta med sitt beslut tills förhandlingarna genom- förts. Om parterna inte kommer överens bestämmer arbetsgivaren. Enligt 11 § ska arbetsgivaren innan beslut fattas om viktigare för- ändring av verksamheten på eget initiativ förhandla med arbetstagar- organisation i förhållande till vilken han är bunden av kollektivavtal. Detsamma ska gälla innan arbetsgivaren beslutar om viktiga för- ändringar av arbets- eller anställningsförhållandena för arbetstagare som tillhör organisationen. I 13 § finns regler för de fall arbets- givaren inte är bunden av kollektivavtal i relation till berörd arbets- tagarorganisation.

82

SOU 2009:44

Gällande rätt

Enligt 12 § kan en kollektivavtalsbunden arbetstagarorganisa- tion ta initiativ till att förhandling hålls innan arbetsgivaren fattar eller verkställer beslut i andra fall än de som omfattas av den primära förhandlingsskyldigheten enligt 11 §.

Arbetsmiljölagen

Syftet med arbetsmiljölagen (1977:1160) är att förebygga ohälsa och olycksfall i arbetet samt att även i övrigt uppnå en god arbets- miljö (1 kap. 1 §). Arbetsmiljölagen gäller varje verksamhet i vilken arbetstagare utför arbete för arbetsgivares räkning. I lagen före- skrivs bl.a. skyldighet för arbetsgivaren att vidta alla åtgärder som behövs för att förebygga att arbetstagaren utsätts för ohälsa eller olycksfall och att systematiskt planera och leda och kontrollera verksamheten på ett sätt som leder till att arbetsmiljön uppfyller föreskrivna krav på en god arbetsmiljö. Även arbetstagaren har ett ansvar enligt lagen.

Arbetsmiljölagstiftningens bestämmelser är av intresse för vår del framförallt i samband med att arbetsgivares kontrollåtgärder i form av medicinska undersökningar behandlas. En närmare redo- görelse för bestämmelser i arbetsmiljölagen och anslutande för- fattningar ges därför i avsnitt 6. Där redovisas även lagstiftning i vilka ställs vissa medicinska krav på vissa yrkesgrupper.

I detta sammanhang ska dock nämnas att dåvarande Arbetar- skyddsstyrelsen har meddelat särskilda föreskrifter om arbete vid bildskärm (AFS 1998:5). I dessa sägs att kvantitativ eller kvalitativ kontroll av arbetstagares arbetsinsats via datasystemet inte får göras utan dennes vetskap. I de till föreskrifterna knutna allmänna råden anges att det inte anses vara förenligt med krav på en god arbetsmiljö i psykiskt och socialt avseende att utnyttja dator- tekniken så att uppgifterna om en enskild anställd används på ett sätt som medför att den personliga integriteten kränks.

Arbetsmiljöverket utövar tillsyn över arbetsmiljölagstiftningens efterlevnad.

83

Gällande rätt

SOU 2009:44

Registerkontroll

För vissa arbetsgivare har i lag uppställts regler om en obligatorisk kontroll av huruvida den som erbjuds arbete eller motsvarande före- kommer i register som förs enligt lagen (1998:620) om belastnings- register samt i vissa fall även register som förs enligt lagen (1998:621) om misstankeregister. Sådan kontroll föreskrivs vid anställning m.m. dels på skolområdet enligt lagen (2000:873) om registerkontroll av personal inom förskoleverksamhet, skola och skolbarnsomsorg, dels inom den s.k. HVB-verksamheten enligt lagen (2007:171) om registerkontroll av personal vid sådana hem för vård eller boende som tar emot barn, dels avseende anställda hos försäkrings- förmedlare enligt lagen (2005:405) om försäkringsförmedling.

Bestämmelser om registerkontroll finns också i säkerhetsskydds- lagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Skyldighet för arbetsgivare att genomföra registerkontroll kan också följa av andra författningar.

En utförligare redovisning om krav på registerkontroll finns i avsnitt 11.

In- och utpasseringskontroll samt husrannsakan

En kontrollåtgärd som en arbetsgivare kan ha intresse av är in- och utpasseringskontroll i syfte att t.ex. förhindra stölder eller införsel av otillåtna föremål. En sådan kontroll kan ske genom kropps- visitation. Med kroppsvisitation brukar man avse en undersökning av någons kläder och annat som någon bär med sig samt väskor, paket och andra föremål som någon har med sig.15

En arbetsgivare kan också vara intresserad att undersöka skåp som arbetstagaren disponerar i t.ex. omklädningsrum, en väska i de fall åtgärden inte innebär kroppsvisitering eller arbetstagarens privata bil när arbetsplatsen lämnas.

Offentlig sektor

Enligt 2 kap. 6 § regeringsformen är varje medborgare gentemot det allmänna skyddad förutom mot påtvingat kroppsligt ingrepp, också mot kroppsvisitation, husrannsakan och liknande intrång.

15 RB 28 kap. 11 § 3 stycket 3.

84

SOU 2009:44

Gällande rätt

Skyddet får endast begränsas genom lag. Här föreligger liksom i fråga om medicinska undersökningar alltså en skillnad i fråga om skyddet mellan privat- och offentliganställda.

Kroppsvisitation

Lagstöd för kroppsvisitation finns i fråga om anställda vid kriminal- vårdsanstalt.

Kroppsvisitation är tillåten enligt regleringen i 29 a § lagen (1974:203) om kriminalvård i anstalt. Där föreskrivs att Kriminal- vården, om det är nödvändigt för att upprätthålla säkerheten vid en viss sluten anstalt, får besluta om att samtliga personer som passerar in i anstalten ska kroppsvisiteras (allmän inpasserings- kontroll). I samma bestämmelse sägs att syftet med kontrollen ska vara att söka efter otillåtna föremål. Genom bestämmelsen ges möjlighet att kontrollera samtliga personer som besöker anstalten dvs. även kriminalvårdspersonal. I begreppet kroppsvisitation inne- fattas undersökning av kläder och annat som någon bär med sig. Även undersökning med hjälp av metalldetektorer innefattas. Avsikten är att upptäcka otillåten införsel av narkotika, andra berusningsmedel, vapen eller mobiltelefoner.

Ett beslut om allmän inpasseringskontroll får avse högst tre månader i taget. Tidsbegränsningen motiveras med att det är ange- läget att kontrollen inte används annat än när det är motiverat ur säkerhetssynpunkt. Om säkerhetsläget inte har förbättrats när den tidsperiod som beslutet avser har gått till ända kan beslutet om allmän inpasseringskontroll förlängas i ytterligare tre månader.

Den som utför kontrollen kan inte tvinga någon att underkasta sig kroppsvisitation. En vägran att genomgå kontrollen innebär emellertid att personen i fråga inte får passera in i anstalten och kan i fråga om personalen få arbetsrättsliga konsekvenser.

När det gäller kontroll av personal ansågs graden av integritets- intrång kunna minskas om personalen ges möjlighet till inflytande över hur kontrollen utformas och genom att väl utformad informa- tion om kontrollen lämnas. Kriminalvårdspersonalen bör därför enligt förarbetena på ett tidigt stadium ges möjlighet att påverka hur kontrollen utformas. Frågor av detta slag menade man faller inom ramen för anställningsavtalet och kan regleras genom kollektivavtal.16

16 Prop. 2003/04:3.

85

Gällande rätt

SOU 2009:44

Husrannsakan

Husrannsakan enligt 2 kap. 6 § regeringsformen innebär enligt förarbetena till bestämmelsen ”en av myndighet vidtagen under- sökning av hus, rum eller slutet förvaringsställe oavsett syftet med undersökningen”.

Vad gäller frågan om en undersökning av låsta rum på arbets- platsen är att anse som husrannsakan kan man dra paralleller till vad JO anfört om elevskåp, vars syfte inte var att ge eleverna ett helt privat utrymme utan att förhindra stölder av böckerna som förvarades där. I det aktuella ärendet hade skolledningen dupletter av nycklarna till skåpen. Elevskåpen betraktades av JO inte som slutna förvaringsutrymmen visavi skolledningen.17

En arbetsgivares undersökning av en arbetstagares arbetsrum torde enligt samma resonemang inte heller omfattas av begreppet husrannsakan i regeringsformens mening. JO har i två fall prövat offentliga arbetsgivares agerande att undersöka tjänsterum och låsta skåp respektive hurtsar.18 JO kom i båda fallen fram till att arbets- givaren hade rätt att genomsöka arbetsrum och låsta förvarings- utrymmen. Av JO:s uttalande följer att tjänsterum och andra lås- bara utrymmen inte utgör ett i förhållande till myndigheten slutet förvaringsställe som ställts till arbetsgivarens förfogande, om inte detta särskilt förordnats.19

Privata portföljer och väskor som en offentliganställd bär med sig omfattas som tidigare framgått av skyddet mot kroppsvisitation i 2 kap. 6 §. Förvarar arbetstagaren sin privata väska eller portfölj på arbetsplatsen utgör undersökning av denna istället en husrannsakan om väskan är låst eller i vart fall stängd. Den utgör då ett slutet förvaringsställe.

Privat sektor

Arbetsdomstolen har i två mål behandlat frågan om tillåtligheten av utpasseringskontroller i syfte att förhindra stölder och annan brotts- lighet. Båda målen avser kontroller företagna av arbetsgivare på den privata sektorn.

17JO:s ämbetsberättelse 1988/89 s. 352.

18JO:s ämbetsberättelse 1997/98 s. 281 och JO:s beslut den 5 mars 2002 i ärende dnr 2390– 2001.

19Annamaria J. Westregård, Integritetsskydd i arbetslivet.

86

SOU 2009:44

Gällande rätt

AD 1943 nr 77

I målet AD 1943 nr 77 hade arbetsgivaren, AB Bofors Nobelkrut, infört ett system för utpasseringskontroll, som även innefattade en skyldighet för arbetstagarna att underkasta sig kroppsvisitation. Syftet var att förhindra utsmuggling från fabriken av krut, spräng- ämnen, sprit och verktyg. Domstolen fann att arbetsgivaren hade rätt att vidta sådana kontroller. Arbetsdomstolen ansåg att de anordnade utpasseringskontrollerna ur arbetstagarnas perspektiv framstod som en synnerlig allvarlig åtgärd men att kontrollförfarandet var betingat av synnerligen starka skäl såsom att det under dåvarande förhållanden (krigstid) var ett betydelsefullt intresse att förhindra utsmuggling av krut och sprängämnen, vilket inte tycktes kunna tillgodoses på annat sätt än genom anordnande av utpasserings- kontroller. Arbetsdomstolen fann vidare att kontrollen var anpassad efter vad behovet krävde och därför inte kunde anses strida mot goda seder, samt att det var uppenbart att åtgärden inte stred mot lag.

AD 1997 nr 29

Tvisten i AD 1997 nr 29 handlade om det förelåg saklig grund för uppsägning av en arbetstagare som vägrat öppna sin väska vid en utpasseringskontroll. Mellan arbetsgivaren och den lokala fack- klubben förelåg en lokal överenskommelse om genomförande av utpasseringskontroll.

Arbetsdomstolen uttalade bl.a. följande. Arbetsgivare har inte något allmänt stöd i rättspraxis för att vidta kontrollåtgärder av olika slag med stöd av rätten att leda och fördela arbetet men att en sådan rätt kan tänkas föreligga med hänsyn tagen till de särskilda omständigheterna i det enskilda fallet. De bedömningar som dom- stolen har att göra vid en sådan fråga skiljer sig inte nämnvärt från de bedömningar som domstolen ska göra när arbetsgivarens åtgärder istället grundar sig på innehållet i ett kollektivavtal. I båda fallen måste en avvägning göras av såväl arbetsgivarens som arbetstagarnas motstående intressen. Arbetsdomstolen utvecklade följande reso- nemang angående den intresseavvägning som gjordes.

En rätt för arbetsgivare att vidta utpasseringskontroller utgör otvivel- aktigt ett intrång i de berörda arbetstagarnas personliga integritet vilket framstår som särskilt allvarligt när arbetstagaren vid en vägran att underkasta sig kontrollen riskerar att förlora sin anställning. I den i

87

Gällande rätt

SOU 2009:44

målet aktuella situationen uppstår därför en intressekonflikt mellan bolagets i och för sig berättigade intresse av att på detta sätt förhindra stölder och den enskilde arbetstagarens intresse av skydd för sin per- sonliga integritet. Vid den avvägning som måste göras av domstolen beaktar domstolen följande. Det synes vara ostridigt mellan parterna i målet att syftet med att anordna utpasseringskontrollerna vid bolaget har varit att förhindra fortsatta stölder. Enligt arbetsdomstolens upp- fattning kan det inte ifrågasättas att utpasseringskontroller är en adekvat metod för att komma tillrätta med problem med stölder på arbetsplatsen. Det är enligt domstolens mening inte lätt att se något annat sätt på vilket bolagets intresse skulle kunna tillgodoses. I samman- hanget är det också värt att notera att utpasseringskontrollen såvitt framkommit i målet, förutom kontroll av bilar, endast omfattar kon- troll av innehållet i medhavda väskor och kassar. I målet har inte fram- kommit att kontrollerna medfört att andra än väktare och andra behöriga företrädare för bolaget kunnat ta del av innehållet i väskorna. Vid en samlad bedömning finner arbetsdomstolen att bolagets intresse av skydd mot fortsatta stölder i detta fall väger tyngre än arbets- tagarnas intresse av skydd för sin personliga integritet.

Arbetsdomstolen ifrågasatte alltså inte bolagets rätt att genomföra utpasseringskontrollen. Däremot förelåg inte saklig grund för att säga upp arbetstagaren i detta fall eftersom det var fråga om en enstaka vägran och arbetsgivaren inte i förväg hade tydliggjort för de anställda att en vägran skulle leda till uppsägning.

Det ska också noteras att arbetsgivaren aldrig kan genomföra dessa kontrollåtgärder med tvång. Följden av en vägran kan ytterst bli att den anställde förlorar sin anställning.

88

5 Personuppgiftslagen

I detta avsnitt lämnar vi en tämligen utförlig redogörelse för be- stämmelserna i personuppgiftslagen. Avsikten med denna genom- gång är att, förutom att utgöra underlag för våra avgöranden, ge ökad kunskap om personuppgiftslagens tillämpning inom arbets- livet. I ett avslutande avsnitt ger vi även en beskrivning av begreppet loggning.

En kort sammanfattning av centrala bestämmelser i personupp- giftslagen finns i avsnitt 10 där vi behandlar våra överväganden och förslag om behandling av personuppgifter i arbetslivet.

5.1Personuppgiftslagen

5.1.1Inledning

I litteraturen framställs i allmänhet personuppgiftslagen (1998:204) som ett av flera regelverk som är av betydelse för frågor om personlig integritet i arbetslivet. Personuppgiftslagen ger i princip ett direkt och generellt materiellt skydd vid alla former av över- vaknings- och kontrollåtgärder i arbetslivet som innebär en be- handling av personuppgifter, om behandlingen av uppgifterna sker helt eller delvis på automatiserad väg eller i registerform. Dessutom ger lagen ett indirekt skydd vid all övervakning och kontroll genom att den i praktiken på ett påtagligt sätt begränsar möjligheterna att spara, lagra, sammanställa och bearbeta den information som den som genomför sådana åtgärder får tillgång till. Lagens faktiska betydelse för integritetsskyddet i arbetslivet blir därmed stor. Regleringens betydelse för den personliga integriteten i arbetslivet kan dessutom förväntas öka i takt med den ständigt accelererande informationsteknologiska utvecklingen, en utveckling som i allra högsta grad påverkar förhållandena på den svenska arbetsmarknaden.

89

Personuppgiftslagen

SOU 2009:44

Till detta ska läggas att det inte står den svenske lagstiftaren fritt att ändra lagens bestämmelser eller införa speciallagstiftning. Sådana ändringar eller särregler måste alltid prövas mot EG:s dataskydds- direktiv1 som personuppgiftslagen genomför i svensk rätt. Även tolkningen och tillämpningen av personuppgiftslagen i det enskilda fallet, måste i allmänhet ske i ljuset av det bakomliggande direktivet.

Sammanfattningsvis kan sägas att personuppgiftslagen är en reg- lering som vi mera har att försöka förhålla oss till än har möjlighet att förändra på ett mera genomgripande sätt.

5.1.2Tillämpningsområde

Materiellt tillämpningsområde

Inledning

Personuppgiftslagen gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller också för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Vad som avgränsar lagens materiella tillämpningsområde är således att det just är fråga om att personuppgifter behandlas på ett visst sätt.

Personuppgift

All information som kan hänföras till en fysisk person som är i livet är en personuppgift (3 §). Det uppställs således inga kvalitets- krav på informationen, t.ex. att det ska vara fråga om vissa särskilt privata eller känsliga uppgifter. Det är tillräckligt att det är fråga om information som kan hänföras till en viss identifierbar individ. För att avgöra om en person är identifierbar ska alla hjälpmedel beaktas som i syfte att identifiera vederbörande rimligen kan komma att användas av antingen den som är ansvarig för behandlingen (den personuppgiftsansvarige), eller av någon annan person (jfr skäl 26 i dataskyddsdirektivet).

1 Europaparlamentets och Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

90

SOU 2009:44

Personuppgiftslagen

Personuppgifter kan utgöras av namn, personnummer, regi- streringsnummer för fordon, fastighetsbeteckningar, innehållet i en servicebok för en bil, samtalslistor för en telefon, positions- angivelser för ett fordon som är utrustat med ett GPS-system, information i ett mötesprotokoll etc. Begreppet personuppgift om- fattar såväl objektiva upplysningar, t.ex. förekomsten av ett visst ämne i någons blod eller tidpunkten för när en dator med ett visst IP-nummer kopplas upp mot Internet och vilka webbplatser som besöks. Det omfattar också subjektiva bedömningar och åsikter. En uppgift behöver inte vara riktig för att vara en personuppgift. Även en felaktig uppgift som kan hänföras till en person, är en person- uppgift. Begreppet personuppgift omfattar all information om indi- vider, oavsett deras ställning eller kapacitet. Information som kan hänföras till enskilda individer som ingår i ett kollektiv eller verkar i en särskild ställning, t.ex. arbetstagare, arbetsgivare, elever, konsu- menter, patienter, kunder och medlemmar är också personuppgifter. Det gäller även om informationen bara avser individens agerande inom ramen för denna ställning, t.ex. i egenskap av arbetstagare.2 Personuppgiftslagen gör således i detta avseende ingen skillnad mellan privat- och arbetsliv.

Även bild- och ljudupptagningar kan utgöra personuppgifter, förutsatt att det är möjligt att med hjälp av upptagningen och annan information identifiera en viss person. Samma sak gäller för t.ex. krypterade uppgifter, s.k. nätnodsadresser och IP-nummer eller andra liknande elektroniska identifikationsinstrument. Det är inte nödvändigt att en identifikation har skett för att det ska kunna vara fråga om en personuppgift. Det är fullt tillräckligt att så kan komma att ske.

Om syftet med behandlingen är att på något sätt identifiera individer, bör man vid en rättslig bedömning kunna utgå från att den personuppgiftsansvarige eller någon annan har eller kommer att ha tillgång till de hjälpmedel som behövs för att det i de fall det bedöms nödvändigt ska vara möjligt att identifiera de personer som förekommer i materialet. I ett sådant fall bör utan vidare samtliga uppgifter som ingår i materialet och som rör enskilda individer anses utgöra personuppgifter. Det gäller även i den utsträckning det skulle visa sig att vissa individer som förekommer i materialet i praktiken inte går att identifiera.

2 Se artikel 29-gruppens yttrande 4/2007 om begreppet personuppgifter antaget den 20 juni 2007 (01248/07/EN, WP 136), s. 6 f.

91

Personuppgiftslagen

SOU 2009:44

Det är således utsiktslöst att försöka göra gällande att t.ex. en upptagning som sker vid kameraövervakning inte innehåller några personuppgifter förrän det med hjälp av upptagningen och annat tillgängligt material har visat sig vara möjligt att identifiera en viss person, och att det bara i den delen skulle vara fråga om en behandling av personuppgifter. All information som kan hänföras till individer i en sådan upptagning kommer att anses utgöra personuppgifter och materialet kommer att bedömas därefter.

Behandling

Varje åtgärd eller serie av åtgärder som vidtas i fråga om person- uppgifter innebär med lagens terminologi att dessa behandlas. I lagen ges också ett stort antal exempel på åtgärder som innebär behandling av personuppgifter (3 §). Av den uppräkningen och själva legaldefinitionen kan man sluta sig till att lagens behandlings- begrepp är så vitt att det inte går att tänka sig någon form av mänsklig eller automatiserad aktivitet beträffande personuppgifter som inte skulle innebära en behandling i lagens mening. Till och med att bara passivt lagra personuppgifter är i sig en behandling.

Det som från ett integritetsskyddsperspektiv i praktiken begränsar personuppgiftslagens materiella tillämpningsområde är att det måste vara fråga om en behandling av personuppgifter som sker helt eller delvis på automatiserad väg eller i registerform. Av avgörande betydelse är således i vilket medium och på vilket sätt uppgifterna behandlas. Förenklat uttryckt innebär detta att lagen blir tillämplig så snart personuppgifter registreras i en dator eller annat digitalt minne, eller om uppgifterna förs in i ett register.

Automatiserad behandling

I princip ska personuppgiftslagen alltid tillämpas så snart en behand- ling av personuppgifter sker i datorformat (i binär form, såsom ettor och nollor eller motsvarande format). Om en personuppgift har kommit in i en dator eller någon annan motsvarande teknisk anordning som bygger på digital teknik, är det således i regel fråga om en automatiserad behandling i lagens mening. Något krav på att behandlingen måste ha en viss varaktighet ställs inte upp. Till exempel har en digital upptagning med en s.k. webbkamera, där den som

92

SOU 2009:44

Personuppgiftslagen

innehade kameran inte sparade bilderna utan i stället visade dem i realtid på Internet, ansetts utgöra en sådan behandling som omfattas av personuppgiftslagen.3 Samma bedömning har gjorts när person- uppgifter samlats in på automatisk väg för att i nästa sekund raderas.4

Att överföra en människas utseende eller röst till ett analogt ljud- eller videoband anses däremot troligen inte utgöra en auto- matiserad behandling i personuppgiftslagens mening. Även om det kanske inte framstår som lika självklart, innebär förmodligen inte heller enbart den omständigheten att en analog upptagning av en människas röst eller utseende påbörjas och avslutas utan att någon operatör styr upptagningen, t.ex. med hjälp av en dator, att behand- lingen är automatiserad. Sannolikt innebär inte heller förfaranden där personuppgifter registreras på mekanisk väg, t.ex. med hjälp av stämpelklockor eller mekaniska kassaregister, en automatiserad behandling.

Delvis automatiserad behandling

Det kan vara tillräckligt att det i något led av en serie av behand- lingar av personuppgifter ingår en automatiserad behandling för att personuppgiftslagen ska vara tillämplig på alla behandlingar, oavsett om de enskilda behandlingarna sker på manuell eller automatiserad väg. Det innebär att lagen ska tillämpas redan när någon samlar in personuppgifter manuellt, t.ex. genom en enkät, med syfte att senare registrera uppgifterna i datorformat. Det innebär också att ett munt- ligt utlämnande eller utskrifter av personuppgifter som finns i datorformat omfattas av lagen. Till och med i fall där det bara är fråga om en manuell intern användning av personuppgifter som finns i datorformat måste behandlingen ske i enlighet med personuppgifts- lagens bestämmelser.

Syftet med att låta lagens och dataskyddsdirektivets bestämmelser gälla fullt ut, även i de fall då det bara är fråga om en delvis auto- matiserad behandling, är dels att förhindra förfaranden som har till ändamål att kringgå regelverket, dels att undvika gränsdragnings-

3Datainspektionens beslut den 20 september 2005, dnr 763–2005.

4Datainspektionens beslut den 22 juli 2007, dnr 1603–2006. I ärendet var det fråga om att streckkoden på legitimationer skannades i syfte att kontrollera innehavarens ålder vid köp av öl, tobak etc. Så snart syftet med kontrollen hade uppnåtts, att kontrollera att köparen inte var för ung för att köpa de aktuella varorna, raderades uppgifterna. Allt som allt synes det ha varit fråga om att behandlingen hade pågått under cirka en tiondels sekund.

93

Personuppgiftslagen

SOU 2009:44

problem.5 I kommentaren till personuppgiftslagen anges att dessa syften bör beaktas vid tolkningen av lagens tillämpningsområde.6 Om det manuella inslaget i en naturlig hantering av person- uppgifter – där det i någon del ingår en automatiserad behandling – framstår som tillkommet för att undvika lagens tillämpning, bör, enligt kommentaren, personuppgiftslagens bestämmelser gälla även för de manuella behandlingarna. Däremot ger kommentaren uttryck för uppfattningen att det inte finns skäl att sträcka ut lagens tillämpningsområde till sådana manuella förfaranden som inte ingår som ett naturligt led i en annars automatiserad hantering.

Den omständigheten att en viss manuell behandling utgör – eller kan misstänkas utgöra – ett försök att kringgå personuppgiftslagens bestämmelser har i praktiken sannolikt ganska liten betydelse för bedömningen av om manuella behandlingar av personuppgifter ska anses ingå i en serie av behandlingar som är delvis automatiserad. Skälen härför är dels att en sådan tillämpning inte har någon egentlig täckning i vare sig lagtexten eller det bakomliggande direktivet, dels att det går att tänka sig en mängd situationer där den manuella behandlingen står i direkt och naturligt samband med den auto- matiserade behandlingen, utan att det för den skull på något sätt behöver vara fråga om ett kringgående eller ett försök därtill. I allmänhet tar prövningen nog sikte på en objektiv bedömning av själva hanteringen av uppgifterna, och inte på eventuella subjektiva bevekelsegrunder som kan ligga bakom beslutet att behandla upp- gifterna på sätt som skett eller är avsett att ske. Det avgörande momentet i bedömningen blir därmed om en manuell behandling kan anses ingå som ett naturligt led i en hantering av uppgifterna där det också förekommer en eller flera automatiserade behandlingar.

Det finns inget egentligt stöd för antagandet att det auto- matiserade inslaget i en delvis automatiserad hantering av person- uppgifter måste vara av en viss kvalitet eller omfattning. Det synes i princip vara fullt tillräckligt att det i en serie av behandlingar som står i ett naturligt samband med varandra ingår ett automatiserat inslag för att alla behandlingar som ingår i serien ska omfattas av personuppgiftslagen.

Även om det kan tyckas självklart, finns det anledning att fram- hålla att det vid delvis automatiserad behandling är fråga om att samma personuppgift(er) är föremål för flera behandlingar. Vad som sedan är ett sådant naturligt samband mellan de olika behandlingarna

5Jfr skäl 27 i dataskyddsdirektivet.

6Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 104 f.

94

SOU 2009:44

Personuppgiftslagen

att det kan anses vara fråga om en delvis automatiserad behandling, är troligen beroende av omständigheterna i det enskilda fallet. Faktorer av betydelse för den bedömningen kan bl.a. vara det tids- mässiga sambandet mellan de olika behandlingarna, om och hur de olika behandlingarna är integrerade med varandra, hur den samlade hanteringen av uppgifterna är planerad och organiserad, samt ända- målet med den automatiserade behandlingen.

Det nu sagda innebär att det krävs förhållandevis goda kunskaper om hela kedjan av behandlingar för att kunna komma fram till att eventuella manuella inslag ska anses stå i ett sådant naturligt sam- band med automatiserade behandlingar att det kan anses vara fråga om en delvis automatiserad behandling. Kravet på samband mellan de manuella och automatiserade behandlingarna bör förmodligen dessutom vara ganska högt ställt. Det har i flera sammanhang – och på goda grunder – hävdats att man i rättstillämpningen bör vara återhållsam med att sträcka ut personuppgiftslagens tillämpnings- område, även om det finns de som synes förespråka en mer aktivistisk tillämpning av lagen.7

Ett tungt vägande skäl mot att sträcka ut lagens tillämpnings- område är att det ingrepp i informationsfriheten som personupp- giftslagen innebär därmed blir betydligt större och svårare att försvara. Det synes vara en förutsättning för den förhållandevis strikta och omfattande reglering som gäller för all automatiserad behandling av personuppgifter att regelverket också innehåller ventiler som gör det möjligt att hämta in och tillgodogöra sig information, utan att för den skull behöva bryta mot personuppgiftslagen eller att den lagens regler blir så betungande att den på ett mera påtagligt sätt inskränker informationsfriheten. Bestämmelsen om delvis auto- matiserad behandling av personuppgifter bör tillämpas på ett sätt som är försvarbart i förhållande till informationsfriheten.

Det innebär i praktiken att det bör finnas ett förhållandevis stort utrymme för den personuppgiftsansvarige att själv välja att behandla den information som har hämtats in på sådant sätt att personuppgiftslagen inte blir tillämplig. Det bör gälla oavsett vilka bevekelsegrunder som kan ligga bakom detta val. En aktivistisk till- lämpning av personuppgiftslagen skulle täppa till de nödvändiga ventiler i förhållande till informationsfriheten som faktiskt finns i de regler som avgränsar lagens tillämpningsområde.

7 Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 102 ff. med där gjorda hänvisningar till författare med ett mer aktivistiskt synsätt. Jfr artikel 29- gruppens yttrande 4/2007 s. 5 f.

95

Personuppgiftslagen

SOU 2009:44

Det nu sagda talar för att prövningen av om det är fråga om en delvis automatiserad behandling eller inte framför allt bör ta sin utgångspunkt i syftet bakom såväl dataskyddsdirektivet som person- uppgiftslagen, nämligen att skapa ett rättsligt skydd mot de integri- tetsrisker som är förknippade med att personuppgifter samlas och behandlas på sådant sätt att de blir lättillgängliga och kan användas av andra på ett sätt som den berörda individen inte längre kan kontrollera. Genom personuppgiftslagen, som genomför dataskydds- direktivet, har lagstiftaren intagit den ståndpunkten att sådana risker typiskt sett uppstår när personuppgifter är föremål för automati- serad behandling i datormiljö. Med hänsyn härtill bör det endast vara i situationer där det finns ett uppenbart och naturligt samband mellan manuella och automatiserade behandlingar, som det finns anledning att sträcka ut lagens tillämpningsområde genom att tillämpa bestämmelsen om delvis automatiserad behandling.

Även med en sådan restriktiv tolkning av begreppet delvis auto- matiserad behandling, förefaller dock bestämmelsen i praktiken kunna innebära en betydande utvidgning av lagens tillämpnings- område. Som exempel kan nämnas att den s.k. artikel 29-gruppen inte synes vara främmande för tanken att när det gäller t.ex. hälso- och drogtester gränsen skulle kunna dras redan vid själva analysen av provet.8 Enligt gruppens synsätt förefaller inte provet i sig kunna utgöra en personuppgift, men väl den information som kan utvinnas ur materialet när detta analyseras. Analysen skulle därmed, överförd till personuppgiftslagens terminologi, innebära att uppgifterna samlas in. Det är därmed också fråga om en behandling av personuppgifter som, beroende på omständigheterna i det enskilda fallet, kan vara automatiserad, delvis automatiserad eller rent manuell. Huruvida en sådan behandling faller under lagens tillämpningsområde eller inte bör bedömas utifrån de principer vi redogjort för i det föregående.

I fråga om delvis automatiserade behandlingar bör dock sam- tidigt framhållas att den individ som berörs av behandlingen under alla förhållanden är garanterad ett visst skydd. För att frågan om manuella behandlingar ska anses vara en del av en delvis automati- serad behandling över huvud taget ska aktualiseras måste det ju någonstans i kedjan av behandlingar finnas just en automatiserad behandling. För den behandlingen gäller alltid personuppgiftslagens

8 Se a artikel 29-gruppens yttrande 4/2007 s. 8 f. (stödet för dessa slutsatser framgår tydligare i den engelska versionen av yttrandet).

96

SOU 2009:44 Personuppgiftslagen

bestämmelser, oavsett hur andra närliggande behandlingar ska bedömas.

Det framstår som omöjligt att frågan om delvis automatiserad behandling skulle kunna aktualiseras i andra fall än när det kan konstateras att det har förekommit en automatiserad behandling av personuppgifter, eller manifesterats en avsikt att så ska komma att ske. Möjligen kan det under särskilda förhållanden hållas för visst att det finns en avsikt att uppgifterna ska behandlas på auto- matiserad väg, om det kan visas att den personuppgiftsansvarige normalt hanterar personuppgifter av den karaktär som är föremål för bedömning på sådant sätt att den manuella behandlingen kommer att få ett naturligt samband med en efterföljande automatiserad behandling.

Under alla förhållanden utgör dock ett utlämnande (på papper, i elektronisk form eller muntligt) till utomstående av personupp- gifter som behandlas automatiserat alltid en sådan behandling som omfattas av personuppgiftslagen.

Manuella behandlingar i register

Som redan framgått gäller personuppgiftslagen även i vissa fall för manuella behandlingar av personuppgifter, utan att det behöver vara fråga om en delvis automatiserad behandling. Lagen gäller också i de fall manuellt behandlade personuppgifter ingår i eller är avsedda att ingå i ett regelrätt register. I personuppgiftslagens mening är ett register en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier.

Det måste således vara fråga om en samling av personuppgifter. Däremot krävs det inte att alla handlingar är samlade på ett och samma ställe (jfr artikel 2 c i dataskyddsdirektivet). Om t.ex. ett företag har ett centralt kortregister som innehåller arbetstagares namn och en hänvisning till ett annat ställe (t.ex. en filial eller en avdelning) där en akt avseende arbetstagaren med ytterligare personuppgifter förvaras, kan det vara fråga om ett enda register.

Vad som i praktiken avgör om en samling av personuppgifter ska anses utgöra ett register är om uppgifterna är strukturerade (dvs. sorterade enligt något slags system) på sådant sätt att person- uppgifterna är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Samlingen måste ha förberetts och ordnats på

97

Personuppgiftslagen

SOU 2009:44

sådant sätt att personuppgifterna som sådana är tillgängliga för sökning eller sammanställning, t.ex. med hjälp av kortregister, sök- markörer eller liknande. Det måste också finnas möjlighet till sökning i materialet efter olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning av materialet dokument för dokument.9

I förarbetena och kommentaren till personuppgiftslagen anges att det troligen måste krävas att samlingen av personuppgifter har en viss beständighet. Som exempel anges att en hög med lösa papper på ett skrivbord inte är ett register, även om handlingarna till- fälligtvis råkar vara sorterade i bokstavsordning efter efternamn.10 Vad som är intressant i sammanhanget är hur materialet har syste- matiserats. Det är strukturen och söksystematiken som ska vara någorlunda beständig. Hur materialet rent fysiskt har ordnats och förvarats är troligen inte relevant.

I förarbetena och kommentaren uttalas också att det förmod- ligen måste finnas uppgifter om fler än en person för att det ska kunna vara fråga om ett register. Det sägs vidare att en samling av personuppgifter måste vara sökbar på mer än ett kriterium, låt vara att det anses vara oklart huruvida alla kriterier måste avse person- uppgifter. Uttalandena är emellertid inte invändningsfria och den argumentation som anförs till stöd för dessa ståndpunkter är inte i alla delar övertygande. Det synes ligga i farans riktning att dessa uttalanden kan vara uttryck för ett väl kategoriskt synsätt. En annan sak är att frågeställningarna möjligen inte är särskilt praktiska. Det krävs förmodligen särpräglade omständigheter för att ett material som bara innehåller personuppgifter om en person eller som bara är sökbart efter ett sökkriterium ska anses ha en sådan effektiv sökstruktur att det kan vara fråga om ett register i personuppgifts- lagens mening.

På samma sätt som för delvis automatiserade behandlingar anges i kommentaren att syftet med att låta lagen och dataskydds- direktivet omfatta även viss rent manuell behandling, är att för- hindra försök att kringgå lagstiftningen. Det syftet bör också, enligt kommentaren, påverka tolkningen av vad som är sådana manuella behandlingar som omfattas av personuppgiftslagen.11 Eventuella subjektiva avsikter borde i allmänhet sakna betydelse för bedöm- ningen. De skäl vi tidigare har anfört för denna ståndpunkt i

9RÅ 2001 ref 35.

10Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 105 ff.

11Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 109.

98

SOU 2009:44

Personuppgiftslagen

anslutning till att vi behandlade delvis automatiserad behandling av personuppgifter är giltiga även i detta sammanhang. Utgångs- punkten för bedömningen bör vara hur materialet har strukturerats och systematiserats för att göra sökning efter personuppgifter möjlig.

Som redan framgått omfattar personuppgiftslagen manuella behandlingar av personuppgifter redan om det finns en avsikt att uppgifterna senare ska ingå i ett register. Det är här fråga om i princip samma frågeställning som vi tidigare har berört beträffande delvis automatiserad behandling. Av samma skäl som vi då anförde bör det krävas att det finns ett uppenbart och naturligt samband med den behandling som utgörs av att uppgifterna förs in i regist- ret för att de tidigare utförda behandlingarna ska omfattas av lagen.

Den generella återhållsamhet man bör iaktta när det gäller att sträcka ut personuppgiftslagens tillämpningsområde gör sig gällande med än större styrka beträffande rent manuella behandlingar. Risken för att en aktivistisk tillämpning av reglerna beträffande manuella behandlingar skulle komma i konflikt med informationsfriheten är uppenbar. Det bör med hänsyn till informationsfriheten finnas ett stort utrymme för den enskilde att välja att manuellt hantera information på sådant sätt att lagen inte blir tillämplig. Det bör gälla oavsett vilka bevekelsegrunder som ligger bakom beslutet.

Det bör påpekas att innehållet i akter och aktomslag inte faller under personuppgiftslagens tillämpningsområde, om inte hand- lingarna är strukturerade och sökbara efter personuppgifter. Kan man inte med hjälp av t.ex. ett datoriserat index eller diarium söka fram uppgifter om individer i de handlingar som finns i akt- materialet, är lagen inte tillämplig såvitt avser innehållet i hand- lingarna. Det kan dock finnas anledning att uppmärksamma att ett index eller diarium i sig ofta är sökbart efter personuppgifter, och till följd härav omfattas av personuppgiftslagen. Bedömningen av om personuppgiftslagen är tillämplig eller inte kan därför många gånger komma att falla ut på olika sätt beträffande ett diarium och det aktmaterial som det avser.

Förhållandet till andra författningar

Den kanske viktigaste begränsningen i personuppgiftslagens mat- eriella tillämpningsområde är att lagen är subsidiär i förhållande till andra författningar. Om det i en annan lag eller förordning finns

99

Personuppgiftslagen

SOU 2009:44

bestämmelser som avviker från lagen, gäller således dessa bestäm- melser (2 §).

Personuppgiftslagen gäller i princip för alla verksamheter inom såväl den offentliga som privata sektorn. I de fall där det kan anses befogat med vissa särskilda regler för en viss verksamhet är tanken att dessa kompletterande regler ska ges i särskilda s.k. register- författningar. Så har också skett i stor utsträckning. Även i lag- stiftning som reglerar ett visst tekniskt fenomen, kan det finnas enskilda bestämmelser som tar över motsvarande bestämmelser i personuppgiftslagen (t.ex. lagen [1998:150] om allmän kamera- övervakning och lagen [2003:289] om elektronisk kommunikation).

Utgångspunkten vid utarbetandet av registerförfattningar är normalt att regleringen i registerförfattningen så långt möjligt ska stämma överens med personuppgiftslagens och dataskyddsdirektivets materiella bestämmelser. Det gäller även på områden som inte omfattas av direktivet. Grundinställningen är således att all sär- reglering i förhållande till personuppgiftslagen ska övervägas noga och bara ges i de fall det finns ett verkligt behov av sådana regler.12

När det sedan gäller själva lagstiftningstekniken har regeringen på senare år vid flera tillfällen uttalat att de särskilda register- författningarna som huvudregel bara bör gälla utöver personuppgifts- lagen och bör begränsas till att avse frågor som är specifika för den verksamhet som regleras av lagstiftningen. Kort sagt innebär detta att personuppgiftslagen gäller i den utsträckning som inte särreglerna i registerförfattningen tar över.

Det förekommer dock att man i lagstiftningsarbetet frångår denna huvudregel på så sätt att det ges en särregel i register- författningen om att den ska gälla i stället för personuppgiftslagen, samtidigt som det i författningen uttryckligen hänvisas till de bestämmelser i personuppgiftslagen som trots allt ska gälla. Det förekommer till och med att de regler i personuppgiftslagen som ska gälla upprepas ordagrant i registerförfattningen.13

För den teknik som följer av huvudregeln talar framför allt praktiska hänsyn genom att eventuella ändringar i personuppgifts- lagen inte föranleder följdändringar i ett stort antal register- författningar. För de två andra alternativen kan tala att det blir enklare för den som ska tillämpa eller rätta sig efter reglerna att i första hand bara ha en författning att hålla sig till. Oavsett vilket alternativ

12Jfr Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 694 ff.

13Se Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 695 f. med där gjorda hänvisningar till förarbeten.

100

SOU 2009:44

Personuppgiftslagen

som väljs kan det finnas en risk för att det normhierarkiska förhållandet blir oklart. Tillämpas huvudregeln kan det bli oklart om och i vilken utsträckning bestämmelserna i registerförfattningen ska ta över bestämmelserna i personuppgiftslagen. Tillämpas de två andra alternativen finns det risk för att det uppstår normkonflikter mellan olika registerförfattningar, eftersom man i dessa fall lyfter upp personuppgiftslagens bestämmelser till en högre normhierarkisk nivå.

Övriga undantag från lagens materiella tillämpningsområde

Personuppgiftslagen gäller inte för sådan behandling av person- uppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Efter EG-domstolens dom i det s.k. konfir- mandlärarmålet står det klart att detta undantag ska tolkas restriktivt. Undantaget för verksamhet av rent privat natur avser endast sådan verksamhet som utgör en del av enskildas privat- eller familjeliv.14 Bestämmelsen bör därmed sakna betydelse för arbetslivets vid- kommande.

Personuppgiftslagen ska inte tillämpas i den utsträckning som det kan anses strida mot det grundlagsfästa skyddet för tryck- och yttrandefrihet (7 § första stycket). För behandlingar av person- uppgifter som inte omfattas av grundlagsskyddet finns det i lagen ytterligare en undantagsregel för sådana behandlingar som sker uteslutande för journalistiska ändamål eller konstnärligt eller litte- rärt skapande (7 § andra stycket). I sådana fall tillämpas bara de regler i lagen som rör säkerheten. Den senare undantagsbestämmelsen har i rättspraxis getts en vid och yttrandefrihetsvänlig tolkning.15

Personuppgiftslagen ska inte heller tillämpas i den utsträckning den innebär en inskränkning i offentlighetsprincipen, dvs. den i 2 kap. tryckfrihetsförordningen grundlagsfästa rätten för var och en att ta del av allmänna handlingar hos myndigheter i den utsträckning innehållet i handlingarna är offentliga (8 § första stycket). Lagen utgör inte heller något hinder mot att en myndighet arkiverar och bevarar allmänna handlingar, eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket).

Vad som nyss sagts om lagens förhållande till offentlighets- principen är emellertid en sanning som kräver viss modifikation.

14EG-domstolens dom den 6 november 2003 i mål C-101/01.

15NJA 2001 s. 409.

101

Personuppgiftslagen

SOU 2009:44

Av 7 kap. 16 § sekretesslagen (1980:100) framgår det nämligen att sekretess gäller för personuppgifter i allmänna handlingar, om det kan antas att ett utlämnande skulle medföra att dessa behandlas i strid med personuppgiftslagen. Sekretessbestämmelsen är tillämplig vid alla former av utlämnande från en myndighet av allmänna hand- lingar som innehåller personuppgifter. Sekretessprövningen omfattar frågan om det kan antas att sökanden, efter det att handlingen med personuppgifter lämnats ut, skulle behandla uppgifterna i strid med lagen.

Saken kompliceras emellertid ytterligare av att myndigheter enligt det s.k. frågeförbudet i 2 kap. 14 § andra stycket tryckfrihets- förordningen inte får efterforska vem som begär att få ut en allmän handling, eller vad som är syftet med en sådan begäran, i större utsträckning än vad som behövs för att myndigheten ska kunna pröva frågan om sekretess. Med hänsyn härtill bör det krävas att det finns någon konkret omständighet som tyder på att sökanden kommer att behandla personuppgifter i strid med personuppgifts- lagen för att myndigheten ska ha anledning att fråga sökanden vad denne ska göra med personuppgifterna och i praktiken göra en reell sekretessprövning. Vid en sådan prövning har myndigheten själv- fallet att först ta ställning till frågan om det kan antas att sökanden över huvud taget kommer att behandla personuppgifterna på ett sätt som omfattas av personuppgiftslagen. Först om så är fallet, finns det anledning att bedöma huruvida det kan antas att upp- gifterna kommer att behandlas i strid med lagens bestämmelser.

Det utreds nu om bestämmelsen i 7 kap. 16 § sekretesslagen bör ändras eller upphävas.16

Den materiella begränsning som följer av att ett stort antal bestämmelser i personuppgiftslagen inte ska tillämpas i vissa fall som följer av den nyligen införda missbruksregeln i 5 a § berörs i avsnitt 5.1.7.

Subjektivt tillämpningsområde

Personuppgiftslagen innebär i allt väsentligt rättigheter och skyldig- heter för två olika subjekt.

Lagens skyddssubjekt är den person som en personuppgift avser. I lagtexten benämns den personen som den registrerade (3 §). Det måste enligt personuppgiftslagen alltid vara fråga om en enskild

16 Dir. 2008:54.

102

SOU 2009:44

Personuppgiftslagen

fysisk person som är i livet. Har man väl kommit fram till att en behandling avser en personuppgift, dvs. information som kan hän- föras till en viss identifierbar individ, har man också automatiskt fått svar på frågan om vem som är den registrerade.

Det andra subjektet är den personuppgiftsansvarige. Det är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen som bär personuppgiftsansvaret (3 §). Det innebär bl.a. att, även om andra personer deltagit i en behand- ling, det bara är den personuppgiftsansvarige som kan göras skade- ståndsansvarig för behandlingar som sker i strid med bestämmelserna i personuppgiftslagen. En annan sak är att det kan finnas möjlighet för den personuppgiftsansvarige att föra en regresstalan mot andra personer som har medverkat i behandlingen, antingen med stöd av avtal eller allmänna skadeståndsrättsliga principer.17

Personuppgiftslagen innehåller ett stort antal hanteringsregler som innebär olika skyldigheter för den personuppgiftsansvarige. Samtidigt innebär lagen en rättighet att behandla personuppgifter under förutsättning att nämnda skyldigheter iakttas. Harmoniserings- kravet i det bakomliggande dataskyddsdirektivet innebär att denna rättighet är förhållandevis stark, eftersom alla försök att med lagstiftning inskränka rätten att behandla personuppgifter måste prövas mot direktivet.

Såväl fysiska som juridiska personer kan vara personuppgifts- ansvariga. Så snart det förekommer en behandling av personupp- gifter finns det alltid någon eller några som är ansvariga för den behandlingen. Formuleringen i lagtexten ”Den som” kan leda tanken till att det först och främst är en fysisk person som är person- uppgiftsansvarig. I själva verket vilar personuppgiftsansvaret nästan alltid på en juridisk person, inte minst lär så vara fallet på arbets- livets område.

Enligt personuppgiftslagen förekommer även andra subjekt vid behandling av personuppgifter. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning kallas för personuppgifts- biträde (3 §). Även andra personer kan vara inblandade i behandlingen av personuppgifter under den personuppgiftsansvarige eller person- uppgiftsbiträdets direkta ansvar. Sådana osjälvständiga personer

17 För arbetslivets vidkommande begränsas dock möjligheterna att med framgång föra en sådan talan mot en arbetstagare av skadeståndslagens bestämmelse om att arbetstagare endast är ansvarig för skada som han eller hon vållar genom fel eller försummelse i tjänsten i den mån synnerliga skäl föreligger med hänsyn till handlingens beskaffenhet, arbetstagarens ställning, den skadelidandes intresse och övriga omständigheter, 4 kap. 1 § skadeståndslagen (1972:207).

103

Personuppgiftslagen

SOU 2009:44

brukar benämnas medhjälpare. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. Det innebär att en anställd eller någon annan som behandlar personuppgifter under den personupp- giftsansvariges direkta ansvar inte kan vara personuppgiftsbiträde.

Vidare kan den personuppgiftsansvarige förordna en fysisk person, ett s.k. personuppgiftsombud, att självständigt se till att person- uppgifter behandlas på ett korrekt och lagligt sätt (3 §). Den viktigaste rättsverkningen av ett sådant förordnande är att den personuppgiftsansvarige, genom att anmäla till Datainspektionen att ett personuppgiftsombud utsetts, i stor utsträckning slipper undan den anmälningsskyldighet till inspektionen som annars skulle ha följt av lagen. Till skillnad från ett personuppgiftsbiträde kan en anställd vara personuppgiftsombud, förutsatt att denne har en sådan ställning att arbetsuppgifterna som personuppgiftsombud kan utövas på ett självständigt sätt i förhållande till arbetsgivaren.18

De fysiska eller juridiska personer som inte går att hänföra under de ovan beskrivna begreppen benämns i personuppgiftslagen som tredje män. Ytterligare ett subjekt som förekommer i lagen är mottagare (3 §), varmed avses den till vilken en personuppgift lämnas ut. Begreppet omfattar i princip samtliga till vilka personuppgifter lämnas ut, även om den som tar emot uppgifterna inte skulle vara att se som tredje man. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att utföra anses dock inte myndigheten vara mottagare av uppgiften.

Personuppgiftslagen tar inga hänsyn till eventuella avtals- förhållanden mellan de parter som är inblandade i en behandling. Om en arbetsgivare bestämmer ändamålen för en behandling av arbetstagares personuppgifter, är arbetsgivaren personuppgiftsansvarig och arbetstagaren den registrerade. Det är de faktiska förhållandena som avgör rollfördelningen, oavsett eventuella avtalsförhållanden eller liknande.

När det gäller frågor om övervakning och kontroll av arbets- tagare eller arbetssökande, är det i allmänhet arbetsgivaren som bestämmer ändamålen för de behandlingar av personuppgifter som sker i anslutning till sådana åtgärder. Arbetsgivaren är personuppgifts- ansvarig och arbetstagaren eller arbetssökanden är den registrerade, med alla de rättigheter och skyldigheter som lagen ger dessa subjekt. Samtidigt kan det förekomma situationer där personuppgifts-

18 Vilka arbetsuppgifter ett personuppgiftsombud har framgår av 38–40 §§.

104

SOU 2009:44

Personuppgiftslagen

och arbetsgivaransvaret vilar på olika subjekt. Om t.ex. en arbets- tagare är anställd i ett dotterbolag i en koncern, kan man mycket väl tänka sig fall där moderbolaget eller ett annat dotterbolag bär personuppgiftsansvaret. Andra fall där personuppgifts- och arbets- givaransvaret vilar på olika subjekt, kan förekomma om personal hyrs in eller ut. Samma sak kan gälla om olika funktioner, t.ex. personalhanteringen, i ett företag läggs ut på någon utomstående aktör, s.k. outsourcing.

Den som gör en databas tillgänglig för andra via nätverk eller annan teknisk förbindelse är ensam ansvarig för de behandlingar som de utomståendes sökningar och bearbetningar av databasen inne- bär. Däremot är det den som söker efter eller bearbetar material i en databas som bär personuppgiftsansvaret för de behandlingar som han eller hon utför. Ett sådant ansvar uppkommer så snart personen i fråga själv – med eller utan rättslig befogenhet – börjar bestämma över ändamålen och medlen för behandlingen, t.ex. genom att ändra, komplettera eller radera uppgifter. Att personuppgifter sparas ned i den utomståendes dator är tillräckligt för att ett personuppgiftsansvar ska uppkomma för den behandlingen.

Territoriellt tillämpningsområde

Personuppgiftslagen gäller som huvudregel bara för personuppgifts- ansvariga som är etablerade i Sverige (4 § första stycket). Uttrycket etablerad anses förutsätta att en effektiv och faktisk verksamhet med hjälp av en stabil struktur har etablerats i Sverige. Bestämmelserna om lagens territoriella tillämpningsområde är i flera avseenden oklara och svårtolkade. Från vårt perspektiv blir saken dock möjligen enklare, eftersom juridiska och fysiska personer som bedriver verk- samhet i Sverige med anställd personal utan vidare bör anses etablerade här. En annan sak är att den omständigheten att person- uppgifts- och arbetsgivaransvaret kan vila på olika subjekt i t.ex. koncernförhållanden kan innebära att den svenska personuppgifts- lagen i vissa fall inte blir tillämplig på behandlingar av person- uppgifter avseende svenska arbetstagare.

105

Personuppgiftslagen

SOU 2009:44

5.1.3De allmänna grunderna för tillåtna behandlingar

Inledning

Enligt personuppgiftslagen är det bara tillåtet att behandla person- uppgifter under de förutsättningar som anges i lagen. Lagen bygger således principiellt sett på att det är förbjudet att behandla person- uppgifter, såvida inte behandlingen sker på det sätt och för de syften som lagen ställer upp.

De centrala och allmänna reglerna beträffande vilka förutsätt- ningar som gäller för att det ska vara tillåtet att behandla person- uppgifter återfinns i dels en bestämmelse som på ett utförligt sätt anger särskilda och grundläggande kvalitetskrav (9 §), dels i en bestämmelse som uttömmande anger förutsättningarna för att det över huvud taget ska vara tillåtet att behandla personuppgifter (10 §). Som redan framgått är det alltid den personuppgiftsansvarige som ansvarar för att de behandlingar som vidtas är förenliga med lagen.

Det bör framhållas att de allmänna regler vi berör i detta avsnitt i princip alltid gäller. Utöver dessa regler måste behandlingar av vissa särskilt integritetskänsliga personuppgifter eller av särskilt integritetskänslig karaktär uppfylla ytterligare krav för att vara tillåtna. Dessa regler kommer vi att beröra i avsnitt 5.1.4–5.1.6.

De grundläggande kvalitetskraven

Lagligt, korrekt och i enlighet med god sed

Enligt personuppgiftslagen får personuppgifter bara behandlas om det är lagligt, om det sker på ett korrekt sätt och om det sker i enlighet med god sed.

Hänvisningen till god sed återfinns inte i dataskyddsdirektivet, utan är en svensk konstruktion. Den ger dock den som ska tillämpa lagen en tydlig fingervisning om att viktiga tolkningsdata är t.ex. myndighetsföreskrifter som utfärdats med stöd av lagen, bransch- regler och hur ansvarsfulla personuppgiftsansvariga i allmänhet beter sig. Det innebär också att vad som är god sed på arbetsmarknaden och som bl.a. kan komma till uttryck i bestämmelser i kollektiv- avtal och Arbetsdomstolens praxis har betydelse när lagen ska tillämpas på arbetslivets område.

106

SOU 2009:44

Personuppgiftslagen

Särskilda, uttryckligt angivna och berättigade ändamål

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Lagens huvudregel är att den registrerade ska informeras om behandlingens ändamål i samband med att upp- gifterna samlas in från denne, eller, om uppgifterna samlas in från annan källa, när de registreras. Det innebär i praktiken att ända- målen med behandlingen måste bestämmas av den personuppgifts- ansvarige innan uppgifterna samlas in och dessutom uttryckas på ett någorlunda preciserat sätt. Det finns inget som hindrar att en behandling kan ha flera ändamål och dessa ändamål behöver inte vara sinsemellan förenliga. Grundkravet är således att den regi- strerade ska känna till för vilka ändamål uppgifter behandlas. Syftet med detta är att ge den registrerade en chans att ta till vara sina rättigheter enligt lagen.

Datainspektionen har intagit den ståndpunkten att det inte är tillräckligt att ange kontroller som ändamål för teknisk över- vakning och kontroll, utan att också syftet med åtgärden måste anges, t.ex. övervakning av säkerhetsmässiga skäl eller att följa upp att interna regler följs.19 Hur pass detaljerad en ändamålsangivelse ska vara för att uppfylla lagens krav måste avgöras med hänsyn till omständigheterna i det enskilda fallet. Ledning för den bedömningen bör kunna sökas i det förhållandet att behandlingens ändamål har betydelse vid tillämpningen av en rad bestämmelser i lagen. Ända- målet med behandlingen måste ha en sådan grad av precision att det blir möjligt att tillämpa dessa bestämmelser.

Kravet på att ändamålet ska vara berättigat, som ju i praktiken bestäms av personuppgiftslagen och eventuella anknytande register- författningar, har knappast någon självständig betydelse.

Ändamålsglidning

Personuppgiftslagen skyddar den registrerade mot s.k. ändamåls- glidning, dvs. att uppgifter behandlas för något annat ändamål än det som bestämdes när uppgifterna samlades in. Enligt den s.k. finalitetsprincipen i lagen får nämligen personuppgifter inte behandlas för något ändamål som är oförenligt med det som bestämdes då uppgifterna samlades in. Även att lämna ut uppgifterna till någon

19 Datainspektionens rapport 2005:3 s. 14 och inspektionens beslut 2006-09-22, dnr 1897– 2005.

107

Personuppgiftslagen

SOU 2009:44

annan måste vara förenligt med de ursprungligen bestämda ända- målen. Om flera ändamål har bestämts för behandlingen, kan det nya ändamålet behöva prövas mot samtliga ändamål som gäller för den redan pågående behandlingen.

Från integritetsskyddssynpunkt är detta en av de viktigaste bestämmelserna i lagen. Bestämmelsen ger uttryck för ett högt ställt krav på transparens. Den registrerade ska i princip vara till- försäkrad att de personuppgifter som denne inte längre har kon- troll över ska behandlas på ett sätt som inte är oförenligt med de ändamål som angavs när han eller hon förlorade kontrollen över uppgifterna, eller, i de fall uppgifterna hämtats in från någon annan, blev upplyst om behandlingen.

Därmed begränsas bl.a. möjligheterna att samköra register med olika ursprungliga ändamål. Det innebär också att den personuppgifts- ansvarige i praktiken måste ha god kännedom om de tekniska systemen och deras användning. Över huvud taget måste den personuppgiftsansvarige ha en översikt och en effektiv struktur för hur personuppgifterna hanteras, eftersom denne i princip hela tiden måste ha klart för sig vilka behandlingar som pågår och för vilka ändamål det sker. För en arbetsgivare innebär detta att det bör finnas noggrant utarbetade riktlinjer för hur personuppgifter ska hanteras i verksamheten och att det också ofta kan finnas behov av att utse ett personuppgiftsombud.

När det gäller prövningen av om ett nytt ändamål är oförenligt med de som gäller för den redan pågående behandlingen hävdade Socialdatautredningen att utgångspunkten för bedömningen bör vara hur en registrerad typiskt sett skulle se på saken. Det blir därmed fråga om en rent hypotetisk bedömning. Uppfattningen hos den person som behandlingen rent faktiskt avser tillmäts inte någon egentlig betydelse. Om en sådan tänkt person, som antas vara en normalbegåvad och någorlunda allmänbildad genomsnitts- person, rimligen har att räkna med att de insamlade uppgifterna också får behandlas för det nya ändamålet, kan detta inte anses vara oförenligt med det ursprungliga.20 Datainspektionen synes ha ställt sig bakom den bedömningen.21

Datainspektionen har också gett uttryck för uppfattningen att personuppgifter som har samlats in för personaladministration inte får användas för t.ex. prestationsmätning.22 Samma sak gäller nog

20SOU 1999:109 s. 160.

21Se Datainspektionens informationsskrift om hur länge personuppgifter får bevaras, s. 8.

22Se Datainspektionens informationsskrift om personuppgifter i arbetslivet, s. 9.

108

SOU 2009:44

Personuppgiftslagen

vid kontroller av loggar. Om en arbetsgivare t.ex. har angett att ändamålet med en viss loggning är att kontrollera den tekniska funktionen i ett visst system, är det inte tillåtet att senare använda loggarna för att kontrollera arbetstagares prestationer.23 Ett annat exempel på en otillåten hantering kan vara att en arbetsgivare av säkerhetsskäl samlar in uppgifter om arbetstagares hälsotillstånd, för att sedan använda dessa för ändamål som rör befordran.24 Sammanfattningsvis kan sägas att utrymmet att behandla personuppgifter i syfte att övervaka eller kontrollera arbetstagare framstår som litet, om detta ändamål inte har angivits när uppgifterna samlades in.

Bedömningen av om det är fråga om en tillåten ändamålsglidning eller inte bör grunda sig på den information den registrerade fick när uppgifterna samlades in och förhållandena i övrigt vid den tidpunkten. Vad som hänt i tiden därefter saknar förmodligen betydelse för bedömningen.

Relevans, kvalitet, omfattning och gallringstider

Enligt personuppgiftslagen får personuppgifter bara behandlas om uppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen. I princip får således inte ovidkommande upp- gifter behandlas. Dessutom ska personuppgifterna vara riktiga. Om det är nödvändigt, ska de också vara aktuella.

Den personuppgiftsansvarige måste självmant vidta alla rimliga åtgärder för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behand- lingen. Vad som i det enskilda fallet är att anse som rimliga åtgärder får troligen bedömas i ljuset av behandlingens ändamål, hur många personuppgifter som behandlas och vilka konsekvenser en felaktig eller ofullständig uppgift kan få för den registrerade.

Enligt personuppgiftslagen är det dessutom inte tillåtet att behandla fler personuppgifter än vad som är nödvändigt med hänsyn till de angivna ändamålen och uppgifterna får inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till de ändamål som ligger till grund för behandlingen.

För arbetslivets vidkommande kan noteras att Datainspektionen har ansett att de nu behandlade kraven innebär att det inte är

23Jfr SOU 2002:18 s. 136 och 297.

24Jfr SOU 2002:18 s. 158.

109

Personuppgiftslagen

SOU 2009:44

tillåtet att behandla anställdas fingeravtryck för att kunna kon- trollera närvaro.25

Beträffande hur lång tid personuppgifter får bevaras i olika situationer har Datainspektionen uttalat att uppgifter som en arbetssökande lämnar till en arbetsgivare i samband med en ansökan om anställning inte bör bevaras efter det att ansökan har avslagits.26 Om den sökande framstår som intressant i samband med en annan anställning hos arbetsgivaren, får uppgifterna dock bevaras längre. I ett sådant fall bör dock arbetsgivaren, enligt inspektionen, tillfråga den sökande om uppgifterna fortsättningsvis får behandlas. När det gäller personuppgifter om arbetstagare har Datainspektionen uttalat att sådana uppgifter inte bör bevaras efter det att anställningen eller ett åtagande i anslutning till anställningen har upphört, t.ex. att utfärda tjänstgöringsintyg, betyg eller att betala ut pension.

När det gäller frågan om hur länge en arbetsgivare får bevara personuppgifter i form av loggar i syfte att kunna övervaka eller kontrollera de anställdas användning av Internet och e-post har Datainspektionen uttalat att den bedömningen i första hand är beroende av vilka kontrollrutiner som arbetsgivaren har slagit fast i sina interna riktlinjer.27 Enligt inspektionen får personuppgifter bevaras för detta ändamål bara under den tid de kan ha betydelse för sådana kontroller. Om arbetsgivaren kontrollerar loggarna en gång varje månad, anser Datainspektionen att en rimlig tid att bevara loggarna är tre månader. Är det längre intervall mellan kontroll- erna, kan det finnas anledning att i motsvarande mån bevara upp- gifterna under en längre tid. För det fall kontroller av loggar leder till en utredning av t.ex. den anställdes Internetanvändning, får arbetsgivaren bevara uppgifterna så länge utredningen pågår. Som ett allmänt riktmärke för kontroller av loggar som inte sker i övervaknings- eller kontrollsyfte har inspektionen angett att det kan vara rimligt att loggarna gallras inom en månads tid.

I fråga om personuppgifter som samlas in med digital teknik i samband med kameraövervakning har Datainspektionen som rikt- märke angett att sådana uppgifter bör gallras dagligen eller vecko- vis.28

För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särbestämmelser som inte bör ha

25Se samrådsyttrande 2003-12-17, dnr 731–2003.

26Se Datainspektionens informationsskrift om hur länge personuppgifter får bevaras, s. 15.

27Datainspektionens rapport 2005:3 s. 19.

28Datainspektionens rapport 2005:3 s. 24.

110

SOU 2009:44

Personuppgiftslagen

någon större betydelse för lagens tillämpning i arbetslivet (9 § andra–fjärde stycket).

Allmänna regler om när behandling av personuppgifter är tillåten

Inledning

En behandling av personuppgifter kan enligt personuppgiftslagens allmänna regler vara tillåten på två olika grunder (10 §). Den regi- strerades samtycke ger så gott som alltid rättsligt stöd för en behandling. Dessutom kan en behandling vara tillåten, oavsett den registrerades inställning, om det är nödvändigt att behandla person- uppgifter för vissa i lagen särskilt uppräknade syften. Det är bara i fråga om direkt marknadsföring som den registrerade alltid kan hindra att personuppgifter behandlas genom att motsätta sig att så sker (11 §). Den enda typen av personuppgifter där den registrerades samtycke inte kan ge privata företag rättslig grund för en behand- ling är sådan som innefattar uppgift om brott (21 §).

Samtycke

För att ett samtycke ska vara giltigt och kunna läggas till grund för en behandling krävs att det är fråga om en frivillig, särskild och otvetydig viljeyttring från den registrerades sida. Det förutsätter också att information om behandlingen har lämnats till den regi- strerade innan denne samtycker till behandlingen. Ett samtycke måste finnas innan behandlingen påbörjas.29

Ett samtycke ska vara individuellt i den meningen att det bara berättigar till behandling av personuppgifter som är hänförliga till den person som har samtyckt. Därmed är det uteslutet att en orga- nisation, t.ex. en fackförening, samtycker till behandling av upp- gifter om sina medlemmar. Däremot utesluter inte kravet på indi- viduellt samtycke att en fackförening i egenskap av ombud sam- tycker på den registrerades vägnar.30

En allmänt vedertagen uppfattning är att kravet på att ett sam- tycke måste vara frivilligt innebär att det många gånger inte är möjligt för en arbetsgivare att lägga en arbetstagares samtycke till

29Jfr NJA 2005 s. 361.

30SOU 1997:39 s. 341.

111

Personuppgiftslagen

SOU 2009:44

grund för en behandling av personuppgifter. En arbetstagare står ofta i en sådan beroendeställning till arbetsgivaren att det kan sättas i fråga om ett samtycke verkligen är frivilligt.31 Enligt Data- inspektionen förutsätter ett giltigt samtycke att arbetstagaren har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne.32

Vad som nu sagts borde även kunna anses gälla för arbets- sökande, praktikanter och inhyrd personal. För en arbetssökande bör det i praktiken många gånger vara konjunkturen på arbetsmarknaden som avgör huruvida ett samtycke kan anses frivilligt eller inte. För inhyrd personal kan det uppstå en intressekonflikt mellan det egna integritetsintresset och uttryckliga eller underförstådda krav från den egna arbetsgivaren om att vara kunden till lags.

Det finns de som hävdar att utrymmet för en arbetssökande att lämna ett frivilligt samtycke är större än för en arbetstagare.33 Det skäl som brukar anges för denna ståndpunkt är att det är just genom själva anställningsavtalet som den egentliga beroendeställ- ningen uppkommer. Visserligen uppstår genom anställningsavtalet ett subordinationsförhållande mellan arbetsgivare och arbetstagare. Men samtidigt ger arbetsrätten arbetstagare ett institutionaliserat system som har till syfte att hantera och väga upp just detta för- hållande. En arbetssökande saknar i princip ett sådant skyddsnät. Sannolikt förhåller det sig i stället precis tvärtom. En arbetssökande är nog beredd att samtycka till att personuppgifter behandlas för att inte förstöra sina chanser att få den sökta anställningen. Konse- kvenserna av att inte samtycka kan för en arbetssökande också upplevas som betydligt mera direkta och definitiva. Den som inte på begäran samtycker är oftast inte längre aktuell för anställning. Det finns nog få situationer i livet där vi är så angelägna om att vara till lags och visa upp våra bästa sidor, som när vi söker anställning.

För en arbetsgivare är det inte bara den omständigheten att giltigheten av ett lämnat samtycke kan komma att sättas i fråga som gör att det är vanskligt att lägga ett samtycke till grund för en behandling av personuppgifter om arbetstagare. En behandling grundad enbart på den registrerades samtycke ger också denne ett slags vetorätt. Samtycket kan när som helst komma att återkallas.

31Se t.ex. kommissionens dokument Second stage consultation of social partners on the protection of workers’ personal data, s. 11 med där gjorda hänvisningar till dokument från artikel 29-gruppen.

32Se t.ex. Datainspektionens rapport 2005:3 s. 7, 22 och 24 samt beslut 2005-09-20 dnr 763– 2005.

33Jfr Datainspektionens rapport 2005:3 s. 22.

112

SOU 2009:44

Personuppgiftslagen

Återkallas samtycket, får inga ytterligare uppgifter samlas in eller behandlas på annat sätt, om inte behandlingen kan anses tillåten på någon av de i lagen angivna grunderna där en behandling får ske oavsett samtycke (jfr 12 §). Redan insamlade uppgifter får trots återkallelsen behandlas i enlighet med det ursprungligen lämnade samtycket. I praktiken kan dock de grundläggande kraven på person- uppgifternas kvalitet innebära att de måste utplånas eller avidenti- fieras sedan de blivit inaktuella eller ofullständiga.

Den arbetsgivare som förlitar sig på arbetstagarnas samtycke exponerar sig för en risk för att investeringar i tekniska system och utarbetade administrativa rutiner går om intet för det fall sam- tycket återkallas. Det kan ju i praktiken vara tillräckligt att bara en arbetstagare inte samtycker eller återkallar sitt samtycke. Det fram- står därför som lämpligt att behandlingar av arbetstagares person- uppgifter, så långt möjligt, sker med stöd av de bestämmelser i personuppgiftslagen där en behandling är tillåten oavsett arbets- tagarnas inställning. Det framstår till och med som olämpligt att i sådana fall fråga efter arbetstagarnas samtycke. Däremot är det självfallet lämpligt att arbetsgivaren diskuterar behandlingen med de berörda arbetstagarna och arbetstagarorganisationerna i syfte att uppnå en samsyn kring hur behandlingen ska genomföras för att vara tillåten.

Nödvändigt

Ett gemensamt rekvisit för de i lagen angivna situationerna där en behandling av personuppgifter är tillåten, alldeles oavsett den regi- strerades inställning, är att behandlingen ska vara nödvändig för vissa särskilt angivna syften. Vad det rekvisitet innebär är inte alltid helt klart.

Om ändamålet med behandlingen inte kan uppnås på något annat sätt, är behandlingen självfallet nödvändig. De flesta arbets- uppgifter kan emellertid i princip utföras manuellt utan sådan behandling som omfattas av personuppgiftslagen. Det bör därför vara tillräckligt att det innebär en påtaglig förenkling för den person- uppgiftsansvarige att personuppgifter behandlas på ett sätt som omfattas av lagen för att behandlingen ska anses vara nödvändig. Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt,

113

Personuppgiftslagen

SOU 2009:44

t.ex. genom att använda anonyma uppgifter, kan emellertid en behandling inte anses nödvändig.34

Fullgöra avtal

Enligt personuppgiftslagen är det tillåtet att behandla person- uppgifter, om det är nödvändigt för att fullgöra ett avtal med den registrerade. Det framstår inte som särskilt sannolikt att ett avtal med en registrerad kan berättiga till att behandla uppgifter om andra än avtalsparten. Datainspektionen har ansett att ett avtal med en juridisk person, t.ex. ett avtal mellan ett bemanningsföretag och en arbetsgivare, inte innebär att arbetsgivaren, med stöd av denna bestämmelse, får behandla uppgifter om anställda i bemannings- företaget.35

Nödvändiga behandlingar av arbetstagares personuppgifter enligt denna bestämmelse kan vara hänförliga till t.ex. personaladmi- nistrativa system (system för löneberäkning och registrering av sjukfrånvaro), in- och utpasseringssystem, flextidssystem, system för behörighetskontroller och företagshälsovården.

Uppgifter om betyg, omdömen eller andra typer av värderande upplysningar, t.ex. från utvecklingssamtal med den anställde, får registreras med stöd av denna bestämmelse, om det behövs för anställningsförhållandet. Samma sak gäller uppgifter om prestationer i de fall det är nödvändigt för att uppfylla skyldigheter enligt ett ackordslöneavtal eller något annat avtalat prestationsbaserat löne- system.

En behandling är också tillåten när det är nödvändigt för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. I denna situation krävs det inte att avsikten är att den registrerade ska bli part i avtalet. Att en arbetssökande lämnar uppgifter om referenspersoner, bör i allmänhet kunna uppfattas som en sådan begäran som berättigar den tilltänkte arbetsgivaren att hämta in och behandla personuppgifter om sökanden från de angivna personerna.

34Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 183.

35Datainspektionens informationsskrift om personuppgifter i arbetslivet.

114

SOU 2009:44

Personuppgiftslagen

Fullgöra rättslig skyldighet

Personuppgifter får dessutom behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldig- het. Det krävs inte att det finns en rättslig skyldighet att genomföra själva behandlingen, utan det är tillräckligt att behandlingen är nödvändig för att kunna fullgöra en sådan skyldighet.

Arbetsgivare är enligt ett flertal lagar och förordningar skyldiga att lämna ut uppgifter om anställda till bl.a. statliga och kommunala myndigheter. En sådan skyldighet ger också arbetsgivaren rätt att med stöd av denna bestämmelse samla in och registrera nödvändiga personuppgifter beträffande arbetstagarna, t.ex. sådana som krävs för att redovisa skatter och avgifter.

Ett annat praktiskt exempel från arbetslivets område är att det kan vara nödvändigt att upprätta listor över arbetstagarna på grund av de turordningsbestämmelser som enligt lag gäller vid uppsägning. Det kan också vara nödvändigt för arbetsgivare att behandla person- uppgifter för att kunna fullgöra de rättsliga skyldigheter som följer av arbetsmiljölagstiftningen.

Skydda vitala intressen

Personuppgifter får behandlas, om det är nödvändigt för att skydda vitala intressen för den registrerade. Det är oklart vad uttrycket vitala intressen syftar på. Enligt motsvarande bestämmelse i data- skyddsdirektivet ska det vara fråga om intressen som är av grund- läggande betydelse för den registrerade (artikel 7 d). Samtidigt talas det i direktivets ingress om sådana intressen som är av avgörande betydelse för den registrerades liv (skäl 31). Det kan därför sättas i fråga om direktivets bestämmelse bara tar sikte på sådant som gäller liv eller död eller om den även avser annat som är av mera grundläggande betydelse. Uttrycket vitala intressen i personuppgifts- lagen valdes därför att det ansågs kunna täcka in båda tolkningarna av direktivet. En rimlig tolkning av vad som kan utgöra vitala intressen förefaller vara att det inte bara kan vara fråga om sådant som gäller liv eller död. Samtidigt krävs det förmodligen att det är fråga om att skydda intressen som kan anses vara av yttersta vikt för den registrerade.

115

Personuppgiftslagen

SOU 2009:44

Med stöd av denna bestämmelse kan det vara tillåtet att en arbets- givare behandlar arbetstagares personuppgifter, om det är nöd- vändigt för att skydda dessas liv eller hälsa.

Utföra arbetsuppgift av allmänt intresse

Personuppgiftslagen medger också att personuppgifter behandlas, om det är nödvändigt för att utföra en arbetsuppgift av allmänt intresse. Bedömningen av vad som ska anses vara av allmänt intresse ska göras mot bakgrund av verksamhetens syfte. Arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt. Ett exempel på en arbetsuppgift av allmänt intresse som nämns i lagens förarbeten är arbetsmarknadsorganisationernas framställning av lönestatistik.36

Utföra arbetsuppgift i samband med myndighetsutövning

Enligt personuppgiftslagen får personuppgifter behandlas, om det är nödvändigt för att kunna utföra en arbetsuppgift i samband med myndighetsutövning. Begreppet myndighetsutövning har nog en EG-gemensam innebörd. Man bör kunna utgå från att vad som enligt svensk rätt normalt ryms under detta begrepp ska gälla även vid tillämpningen av personuppgiftslagen.37 Myndighetsutövningen ska utövas av antingen den personuppgiftsansvarige själv eller av en tredje man till vilken uppgifterna lämnas ut. Bestämmelsen är tillämplig även om myndighetsutövningen har anförtrotts ett enskilt subjekt.

Genom denna bestämmelse bör en stor del av behandlingen av personuppgifter i den offentliga sektorn vara tillåten såvitt avser den egentliga verksamheten. Det är mer tveksamt om bestämmelsen är tillämplig beträffande intern myndighetsadministration, t.ex. personal- frågor. Det har gjorts gällande att en rimlig utgångspunkt skulle kunna vara att om uppgiften används i den faktiska verksamheten, t.ex. tjänstgörings- och arbetsfördelningslistor, är bestämmelsen tillämplig. Å andra sidan skulle bestämmelsen inte vara tillämplig om uppgifterna bara är av direkt betydelse för förhållandet mellan den anställde och arbetsgivaren.38 Arbetsgivarbeslut som en myndighet

36Se t.ex. SOU 1997:39 s. 305.

37SOU 1997:39 s. 362.

38SOU 2001:32 s. 95.

116

SOU 2009:44

Personuppgiftslagen

fattar kan i vissa fall vara att betrakta som myndighetsutövning gentemot de anställda.39

Efter en intresseavvägning

Personuppgiftslagen innehåller en generell bestämmelse enligt vilken det är tillåtet att behandla personuppgifter efter en intresse- avvägning.

Om det inte finns samtycke och en behandling inte heller kan anses nödvändig för de olika syften som anges i lagen, kan det ändå vara tillåtet att behandla personuppgifter. Har den personuppgifts- ansvarige ett berättigat intresse av att personuppgifter behandlas och väger detta intresse tyngre än den registrerades intresse av skydd för den personliga integriteten, är det nämligen tillåtet att behandla uppgifterna.

I de fall personuppgiftslagen är tillämplig på en övervaknings- eller kontrollåtgärd i arbetslivet, krävs det i allmänhet en intresse- avvägning för att pröva om åtgärden är tillåten. I princip blir det således fråga om att tillämpa en liknande norm som vid prövningen av integritetskänsliga åtgärder används av Arbetsdomstolen och Europadomstolen. Är åtgärden sakligt motiverad och väger intresset av att den genomförs tyngre än arbetstagarens intresse av skydd för den personliga integriteten, får den genomföras. Ofta sägs att vad som är att anse som god sed på arbetsmarknaden bör vara väg- ledande.40

En intresseavvägning måste alltid avgöras efter en helhets- bedömning av samtliga omständigheter i det enskilda fallet. Enligt Datainspektionen kan man vid en sådan helhetsbedömning bl.a. ta hänsyn till följande omständigheter:41

vilket slag av verksamhet som bedrivs,

eventuella överenskommelser som kan finnas i kollektivavtal,

branschpraxis (som i det här sammanhanget snarast motsvaras av god sed på arbetsmarknaden),

eventuella regler och riktlinjer som arbetsgivaren har utfärdat, t.ex. för privat användning av arbetsgivarens IT-verktyg,

39Se t.ex. Håkan Göransson, Betydelsen av begreppet myndighetsutövning inom arbets- rätten, JT 1991–92 s. 601 ff.

40Se t.ex. Datainspektionens informationsskrift om personuppgifter i arbetslivet.

41Datainspektionen informerar, Intresseavvägning enligt personuppgiftslagen, s. 14 ff.

117

Personuppgiftslagen

SOU 2009:44

för vilket ändamål behandlingen ska utföras,

hur personuppgifterna behandlas och hur resultatet används,

om det finns fungerande rutiner för gallring och säkerhet, och

vilken information arbetstagarna har fått om behandlingen.

Till följd av ett långtgående uttalande av Datalagskommittén hävdas ibland att bestämmelsen om intresseavvägning snarast innebär ett slags vetorätt för den registrerade. Om en registrerad meddelar att han eller hon inte vill att behandlingen fortsätter, får den regi- strerades intresse av att slippa fortsatt behandling, enligt kommittén, i allmänhet anses väga över.42 Uttalandet är kritiserat och i kommen- taren rekommenderas ett mer nyanserat förhållningssätt.43 När det gäller frågor om övervakning och kontroll i arbetslivet synes ut- talandet ge uttryck för ett alltför förenklat synsätt för att kunna tillmätas någon egentlig betydelse.

I fråga om intresseavvägningen beträffande övervaknings- och kontrollåtgärder kan det finnas anledning att skilja på när sådana åtgärder vidtas av säkerhetsskäl, ordningsskäl respektive effektivitets- skäl.44

I allmänhet bör säkerhetsskäl väga tyngre än t.ex. företags- ekonomiska effektivitetsskäl. Åtgärder som betingas av ordnings- skäl kan ofta väga lättare än sådana som utförs av säkerhetsskäl, men tyngre än de som vidtas av effektivitetsskäl. Ofta påverkas dock bedömningen av att samma behandling utförs för flera olika ändamål. Som redan framgått finns det inget utrymme för schablon- mässiga bedömningar, utan en samlad och nyanserad bedömning av samtliga omständigheter i varje enskilt fall måste alltid göras.45

Artikel 29-gruppen har sammanfattat de olika bedömningar som måste göras innan tekniska övervaknings- och kontrollåtgärder kan genomföras på arbetsplatser i följande frågor.

Har de anställda insyn i övervakningsverksamheten?

Är den nödvändig eller skulle samma resultat kunna uppnås med andra metoder?

Är den planerade personuppgiftsbehandlingen korrekt mot de anställda?

42SOU 1997:39 s. 362, jfr även Datainspektionens informationsskrift om intresseavvägning.

43Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 195 f.

44Jfr t.ex. Kent Källström, Arbetsgivarens kontroll – arbetstagarens integritet – Sverige, s. 96 ff.

45Jfr Datainspektionens rapport 2005:3 s. 22.

118

SOU 2009:44

Personuppgiftslagen

Står åtgärden i proportion till de problem som arbetsgivaren vill lösa?

Det står fullt klart att vissa mer raffinerade och uppenbart integritets- kränkande former av övervakning och kontroll som kan genomföras med hjälp av modern informationsteknik inte kan anses tillåtna efter en intresseavvägning. Det är nog inte tillåtet att en arbetsgivare installerar s.k. spionprogram på arbetstagarnas datorer i syfte att hålla sig fullständigt informerad om allt som dessa företar sig vid tangentbordet.46

Datainspektionen har pekat ut vissa ändamål för vilka det normalt är tillåtet att behandla personuppgifter, under förutsätt- ning att detta sker i enlighet med god sed på arbetsmarknaden. Enligt inspektionen är det normalt tillåtet att behandla person- uppgifter för:

att kontrollera och övervaka anställda om det krävs av säkerhets- skäl,

att kontrollera och övervaka anställdas användning av Internet och e-postsystem av tekniska eller säkerhetsmässiga skäl, och

att avsiktligt ta del av arbetstagares privata e-post eller annan privat elektronisk kommunikation vid allvarlig misstanke om illojalt eller brottsligt beteende.

Däremot är det, enligt Datainspektionen, normalt inte tillåtet:

att använda logguppgifter för andra ändamål eller syften än de som ursprungligen bestämts,

att läsa arbetstagares privata e-post eller annan privat elektronisk kommunikation, eller

att samköra register med olika ändamål.

Det bör vidare normalt vara tillåtet att behandla personuppgifter i den utsträckning som krävs för att använda sedvanliga program för systemunderhåll och säkerhetsskydd. När sådana program används får arbetsgivaren nog anses ha rätt att avsiktligt ta del av även uppgifter kring arbetstagares privata e-post eller liknande, om det är nödvändigt för att utreda eller åtgärda fel i systemen, t.ex. vid ett virusangrepp.

46 Jfr JO 2006/07 s. 108 angående installation av motsvarande programvara på fånges dator.

119

Personuppgiftslagen

SOU 2009:44

Swedish Standard Institute (SIS) har utarbetat olika standarder för bl.a. IT-säkerhet. Sedan 1999 finns det en svensk standard för IT-säkerhet (SS 62 77 99). Syftet med den standarden är att företag och organisationer ska få kontroll över hanteringen av information i datasystemen samt skydd mot oönskade händelser och hot, såväl interna som externa. Loggning av system och kontroll av anställda ingår som en del av det säkerhetsarbete som standarden förutsätter. Även om sådana standarder inte har direkt rättslig betydelse, kan de få betydelse inom ramen för en intresseavvägning.

Den tekniska utvecklingen har också inneburit att det genom kontroller av loggar finns möjlighet att övervaka eller kontrollera arbetstagare och andra personer på arbetsplatsen med hjälp av olika lokaliseringsuppgifter. Med lokaliseringsuppgifter menar vi uppgift om att en viss person befunnit sig vid en viss plats eller företagit en viss aktivitet vid en viss tidpunkt. Om man sammanställer sådana uppgifter från olika tekniska system, kan det vara möjligt att med större eller mindre noggrannhet kartlägga t.ex. en arbetstagares före- havanden.

Lokaliseringsuppgifter kan loggas i en mängd olika system, t.ex. när ett kreditkort eller en mobiltelefon används, vid in- och utlogg- ning ur datasystem, andra former av behörighetskontroller, t.ex. vid in- och utpassering, eller när s.k. GPS-system används. I och med att den tekniska utvecklingen går i den riktningen att de tekniska systemen i allt större utsträckning länkas ihop till sammanhållna system, ökar också tillgängligheten till de lokaliseringsuppgifter som finns i olika loggar. Det blir därmed också lättare att sammanställa och bearbeta sådant material. Även frågan om personuppgiftslagen tillåter loggning av lokaliseringsuppgifter och kontroller av sådana loggar, kan för arbetslivets vidkommande i allmänhet behöva avgöras efter en intresseavvägning.

Beträffande sådana bedömningar kan inledningsvis anmärkas att det bör vara tillåtet att ersätta manuella system för t.ex. behörighets- kontroller med elektroniska system, om materialet inte loggas. Att t.ex. ersätta ett system med vanliga nycklar med ett elektroniskt system bör vara tillåtet, om det inte sparas uppgifter om vem som utnyttjade systemet och när detta skedde.

Det bör därutöver finnas ett ganska stort utrymme för att logga och spara lokaliseringsuppgifter av säkerhetsskäl, t.ex. för att för- hindra skadegörelser eller stölder eller för att sörja för personalens säkerhet.

120

SOU 2009:44

Personuppgiftslagen

Det finns inte heller något principiellt hinder mot att arbets- givare utför individuella prestationsmätningar, framför allt i fall av avtalad prestationslön eller liknande.47

Däremot är det nog endast i undantagsfall tillåtet att samköra olika system för loggning av lokaliseringsuppgifter i syfte att utreda en viss arbetstagares förehavanden48 eller att övervaka förehavandena i realtid49.

Datainspektionen har i ett fall bedömt tillåtligheten av att använda lokaliseringsuppgifter avseende anställda chaufförer.50 Enligt in- spektionen var det typiskt sett tillåtet för arbetsgivaren att efter en intresseavvägning använda uppgifterna för säkerhet, logistik, för- delning av resurser och underlag för fakturering. Inspektionen anförde i fråga om kontroll av arbetad tid och förande av bilbok följande:

Att använda tekniken i syfte att övervaka de anställdas arbetstider ligger utanför det område som man, typiskt sett, använder positionerings- tekniken till. Ett sådant ändamål måste vara förenligt med vad som är god sed. Arbetsgivarens rätt att leda och fördela arbetet samt rätten att följa upp enskilda arbetstagares insatser regleras genom arbetsrättsliga regelverk och eventuella tvister inom det här området bör i första hand lösas av parterna på arbetsmarknaden. Vid en bedömning om brukandet av den här tekniken i syfte att övervaka anställda är förenlig med person- uppgiftslagen, bör man dels jämföra om de metoder som i dag används på arbetsplatsen för detta ändamål är lika ingripande, dels bedöma om det finns andra alternativ som innebär ett mindre intrång i den personliga integriteten och dels pröva om arbetsgivaren har sådana problem att en skärpt övervakning är sakligt motiverad. Man måste också beakta om det – utifrån det aktuella ändamålet – är relevant att använda positioneringsteknik. Vi bedömer att [den aktuella använd- ningen av positioneringsuppgifter] i syfte att övervaka de anställdas arbetstider innebär en mer omfattande övervakning än vad som är nödvändigt för att tillgodose det avsedda syftet. Behovet kan till- godoses på ett mindre integritetskränkande sätt, exempelvis genom tidrapportering. Behandlingen för detta ändamål strider därför mot de grundläggande kraven i 9 § personuppgiftslagen och är inte tillåten med stöd av en intresseavvägning. Undantagsvis kan det däremot vara befogat att använda systemet för att kontrollera anställdas arbetstider. Det krävs i så fall en konkret misstanke om allvarligt missbruk av arbets- tidsredovisningen.

Att använda tekniken i syfte att bevisa för Skatteverket att service- bilarna inte används privat ligger även det utanför det område som

47Datainspektionens beslut 2006-10-04, dnr 1010–2006. Jfr Datainspektionens beslut 2007- 06-27, dnr 87–2007.

48Jfr Datainspektionens beslut 2006-09-22, dnr 1897–2005.

49Jfr Datainspektionens beslut 2007-06-27, dnr 87–2007.

50Datainspektionens beslut 2008-02-29, dnr 806–2007.

121

Personuppgiftslagen

SOU 2009:44

man, typiskt sett, använder positioneringstekniken till. Vi bedömer att övervakningen även för detta ändamål innebär en mer omfattande övervakning än vad som är motiverat utifrån det avsedda ändamålet och att den därför är otillåten med stöd av en intresseavvägning. För att tekniken ska få användas för detta ändamål, krävs samtycken från berörda arbetstagare.

Ett sätt att identifiera individer kan vara att utnyttja s.k. biomet- riska uppgifter. Datainspektionen har pekat ut följande omständlig- heter som kan vara nödvändiga att beakta när sådana uppgifter används i arbetslivet:

ändamålet med registreringen,

vilken slags verksamhet som det är fråga om,

vilken typ av biometriska uppgifter som ska registreras och hur omfattande registreringen är,

hur länge uppgifterna sparas,

om det är möjligt att återskapa uppgifterna utifrån vad som har registrerats,

om det finns risk för att uppgifterna på något sätt ska kunna missbrukas eller användas på något annat sätt eller användas för något annat ändamål än det avsedda, och

om arbetsledningsrätten inte därmed utövas på ett sätt som strider mot god sed.

Ett annat område för övervakning och kontroll är kameraöver- vakning och telefonavlyssning. Med hänsyn till att Datainspektionen numera i allmänhet bedömer sådana åtgärder enligt den nya missbruksregeln i 5 a § berörs dessa åtgärder i anslutning till den bestämmelsen, se avsnitt 5.1.7.

5.1.4Särskilt om känsliga personuppgifter

En huvudregel som förbjuder behandling

Enligt personuppgiftslagen gäller i princip ett förbud mot att behandla vissa känsliga personuppgifter. Det är enligt lagen för- bjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening (13 §). Med fackförening bör nog i

122

SOU 2009:44

Personuppgiftslagen

Sverige bara avses sådana sammanslutningar av arbetstagare som avses i 6 § lagen (1976:580) om medbestämmande i arbetslivet. Däremot omfattas förmodligen inte medlemskap i en arbets- löshetskassa av bestämmelsen.

Det är också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv (13 §). Uppgift om sjukligt missbruk, t.ex. drog- missbruk, kan utgöra uppgift om hälsa. Samma sak gäller t.ex. för uppgifter om graviditet. Frågan om uppgifter om att någon på grund av sjukdom inte kan förvärvsarbeta kan anses röra hälsa har varit omdiskuterad. EG-domstolens har numera slagit fast att uppgift om att någon har skadat sin fot och med hänsyn härtill är deltidssjukskriven är en personuppgift om hälsa.51 Samma bedömning har Högsta domstolen gjort avseende en uppgift om att en anställd har samarbetssvårigheter och är sjukskriven.52 Enligt kommentaren ligger det nära till hands att redan en isolerad upplysning om att någon till följd av sjukdom inte kan eller inte har kunnat arbeta, utgör en uppgift som rör hälsa.53

Det synes oklart varför lagen gör skillnad på uppgifter som avslöjar vissa förhållanden och uppgifter som rör vissa förhållanden. Möjligen kan distinktionen vara av viss betydelse vid bedömningen av personuppgifter som innehåller negationer. Det kan innebära att uppgifter om att någon inte har en viss sjukdom eller inte har en viss sexuell läggning möjligen kan sägas röra uppgift om hälsa eller sexualliv. Däremot kan en uppgift om att någon t.ex. inte är med- lem i en viss fackförening normalt inte anses avslöja något sådant medlemskap.

Undantag

Samtycke och offentliggörande

Känsliga personuppgifter får behandlas, om den registrerade uttryck- ligen har samtyckt till behandlingen (15 §). Detsamma gäller om den registrerade själv på ett tydligt sätt har offentliggjort uppgifterna.

51EG-domstolens dom den 6 november 2003 i mål C-101/01.

52NJA 2005 s. 361.

53Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 229.

123

Personuppgiftslagen

SOU 2009:44

Fullgöra skyldigheter och utöva rättigheter inom arbetsrätten

Enligt personuppgiftslagen får känsliga personuppgifter behandlas, om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten (16 § första stycket a). Det är något oklart vad som avses med uttrycket ”inom arbetsrätten”. Enligt förarbetena bör uttrycket inte ges en alltför snäv betydelse. I stort sett alla skyldig- heter och rättigheter för arbetsgivare beträffande de anställda och deras organisationer omfattas. Detsamma bör gälla de fackliga orga- nisationernas skyldigheter och rättigheter i förhållande till arbets- givare och deras organisationer. Det är också möjligt att skyldig- heter och rättigheter för pensionsstiftelser och arbetslöshetskassor omfattas av bestämmelsen.54

Exempel på behandlingar som är nödvändiga för att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten kan vara när uppgifter om anställdas sjukdom behandlas för att beräkna sjuklön eller när uppgifter behandlas för att utreda frånvarorätt eller för att inleda en rehabiliteringsutredning enligt arbetsmiljölagen (1977:1160). Andra exempel är att uppgifter om fackligt medlemskap registreras för att arbetsgivaren har åtagit sig att göra löneavdrag för fack- föreningsavgift eller för att denne ska kunna fullgöra sin förhandlings- skyldighet enligt lagen (1976:580) om medbestämmande i arbets- livet.

Behandling av uppgifter som har kommit fram vid undersökning, behandling och vård inom företagshälsovården regleras särskilt.

För känsliga personuppgifter som behandlas för att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten gäller en särskild regel för utlämnande av personuppgifter. Utlämnande får bara ske om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till att uppgifterna lämnas ut (16 § andra stycket). En sådan skyldighet att lämna ut uppgifter till försäk- ringsbolag kan följa av t.ex. avtal om försäkringar eller pensioner. Det kan också vara nödvändigt för arbetsgivaren att lämna ut känsliga personuppgifter för att denne ska kunna fullgöra sin förhandlings- skyldighet enlig lagen om medbestämmande i arbetslivet.

54 Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 238 f.

124

SOU 2009:44

Personuppgiftslagen

Skydda vitala intressen

Känsliga personuppgifter får enligt personuppgiftslagen behandlas, om den registrerade inte kan lämna sitt samtycke och det är nödvändigt att uppgifterna behandlas för att den registrerades eller någon annans vitala intressen ska skyddas (16 § första stycket b). Bestämmelsen bör endast i undantagsfall ha relevans för arbets- livets område.

Rättsliga anspråk

Personuppgiftslagen tillåter att känsliga personuppgifter behandlas i de fall det är nödvändigt för att rättsliga anspråk ska kunna fast- ställas, göras gällande eller försvaras (16 § första stycket c). Själva behandlingen behöver inte gå ut på att fastställa, göra gällande eller försvara sådana anspråk. Det är tillräckligt att behandlingen är nöd- vändig för att någon, den personuppgiftsansvarige eller någon annan, ska kunna göra detta.

Det kan med stöd av denna bestämmelse vara tillåtet att behandla känsliga personuppgifter i syfte att säkra bevisning inför en eventuell framtida tvist. Ett praktiskt exempel från arbetslivets område är att en arbetsgivare registrerar försummelser som grundar sig på en arbetstagares arbetsoförmåga eller störningar på arbets- platsen som har sin grund i psykisk sjukdom eller missbruk för att säkra bevisning för att i framtiden ha möjlighet att hävda att det finns saklig grund för uppsägning. Andra exempel är att medlem- skap i fackförening kan behöva registreras för att t.ex. fastställa var en talan i domstol ska väckas.

Övriga undantag

Personuppgiftslagen innehåller även ytterligare undantag från för- budet mot att behandla känsliga personuppgifter (17–19 §§). Dessa undantag, som inte har någon större relevans för de frågor vi har att överväga, avser ideella organisationer, hälso- och sjukvård samt forskning och statistik.

125

Personuppgiftslagen

SOU 2009:44

5.1.5Särskilt om personuppgifter om brott

Enligt personuppgiftslagen får bara myndigheter behandla person- uppgifter om brott, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden (21 §). Det är således i princip förbjudet för andra än myndigheter att behandla sådana uppgifter.

Regeringen eller den myndighet som regeringen bestämmer, dvs. i praktiken Datainspektionen, får dock medge att även andra än myndigheter får behandla uppgifter om brott. Sådana bemyndi- ganden kan lämnas antingen i form av generella föreskrifter för ett visst område eller i form av undantag i ett enskilt fall.55

Bestämmelsen tar sikte på mer än bara uppgifter ur register eller ur domar. Redan en uppgift om att någon har eller kan ha begått ett visst brott utgör en uppgift om brott i lagens mening. Även faktiska iakttagelser av att brott begås eller har begåtts kan utgöra uppgifter om brott, t.ex. har digitala bilder av klotter ansetts utgöra person- uppgifter om brott i de fall den som klottrat använt en beteckning på sig själv eller det gäng som han eller hon tillhör (s.k. tag).56

5.1.6Särskilt om personnummer och samordningsnummer

I personuppgiftslagen finns det en särskild bestämmelse som tar sikte på uppgifter om person- eller samordningsnummer. Sådana personuppgifter får, utan samtycke, bara behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 §).

Med stöd av denna bestämmelse får en arbetsgivare registrera personnummer för att administrera sina anställda eller för att kunna fullgöra sin uppgiftsskyldighet till olika myndigheter, t.ex. skatte- myndigheten. Däremot finns det sällan anledning att behandla person- nummer genom t.ex. utskrift på tjänstgöringslistor eller adress- etiketter.

55Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 273 ff. för exempel på sådana föreskrifter och undantag som Datainspektionen har meddelat.

56Datainspektionens beslut 2005-08-30, dnr 1020–2005.

126

SOU 2009:44

Personuppgiftslagen

5.1.7Missbruksregeln

Sedan den 1 januari 2007 behöver flertalet av de hanteringsregler vi beskrivit i det föregående inte längre tillämpas för behandlingar av personuppgifter som ingår i ett ostrukturerat material. I stället gäller numera en enkel regel i 5 a § med innebörd att behandling är tillåten så länge den inte innebär en kränkning av den registrerades personliga integritet. Det finns dock inget som hindrar att den personuppgiftsansvarige som är osäker väljer att tillämpa det gamla systemet för alla sina behandlingar.

Syftet med reformen är att förenkla och lätta upp regleringen för sådana vardagliga behandlingar av personuppgifter som typiskt sett inte innebär några större risker för kränkningar av den person- liga integriteten.57 Lagen gör därför numera skillnad på person- uppgifter som finns i ostrukturerad form och där själva innehållet, dvs. texten, ljudet eller bilden, är det centrala och följaktligen informations- och yttrandefrihetsintressen gör sig särskilt starkt gällande, och när sådana uppgifter ingår i en personuppgiftsanknuten struktur. I det senare fallet är det inte bara själva innehållet, utan framför allt möjligheterna att söka efter och sammanställa ett stort antal personuppgifter som är av betydelse från ett integritets- perspektiv.

Reformens syfte är således att åstadkomma en för svenskt vid- kommande länge efterlängtad regelförenkling för de fall där inte- gritetsriskerna typiskt sett är mindre. På så sätt tror sig lagstiftaren också kunna öka respekten för regelsystemet, eftersom hanterings- reglerna sannolikt i praktiken inte har tillämpats i någon större utsträckning vid vardaglig, ostrukturerad behandling av personupp- gifter. En sådan attityd riskerar, enligt regeringen, att smitta av sig på sådana strukturerade behandlingar av personuppgifter där de grund- läggande dataskyddsprinciperna är nödvändiga för en integritets- säker behandling.

Personuppgiftslagen innehåller således numera två olika regel- system. Vilket system som ska eller får tillämpas avgörs av om det är fråga om ett strukturerat eller ostrukturerat material. Det är bara behandling av personuppgifter i ett material som har en person- uppgiftsanknuten struktur som faller utanför det undantagna området.

En struktur är personuppgiftsanknuten om materialet har struk- turerats så att just personuppgifter har markerats som sådana. Det

57 Prop. 2005/06:173 s. 18 f.

127

Personuppgiftslagen

SOU 2009:44

krävs vidare att den personuppgiftsanknutna strukturen har upp- nått en viss nivå eller kvalitet. Samlingen av personuppgifter måste ha strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter. I det sålunda undantagna området ingår helt klart produktion av löpande text i ord- behandlingsprogram, publicering av löpande text på Internet, användning av ljud eller bildupptagningar och korrespondens med e-post, allt under förutsättning att materialet inte ska ingå i en databas med en personuppgiftsanknuten struktur, t.ex. ett ärende- hanteringssystem. Det som sker i vanliga program för e-post eller annan elektronisk kommunikation eller i sådana program som auto- matiskt indexerar alla ord och tecken i filer gör inte att det blir fråga om ett strukturerat material.58

För personuppgifter som ingår i ett ostrukturerat material gäller numera bara att en behandling inte får utföras om den innebär en kränkning av den registrerades personliga integritet. I förarbetena har framhållits att det i slutändan är en fråga för rättstillämpningen att i varje enskilt fall väga det intrång som kan ha skett i den personliga integriteten mot eventuella motstående intressen. I för- arbetena lämnas dock några enkla och tämligen självklara handlings- regler:

Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering.

Samla inte utan godtagbara skäl en stor mängd uppgifter om en person.

Rätta personuppgifter som visar sig vara felaktiga eller miss- visande.

Förtala eller förolämpa inte någon annan.

Bryt inte mot sekretess eller tystnadsplikt.

I de fall den nya s.k. missbruksregeln är tillämplig behöver bara bestämmelserna om automatiserade beslut, säkerheten vid behand- lingen, skadestånd och straff samt om tillsynsmyndighetens befogen- heter i lagens ursprungliga system med hanteringsregler tillämpas.

Datainspektionen har i två ärenden tagit ställning till frågor om kameraövervakning i arbetslivet. I det första fallet var det fråga om kameraövervakning på en byggarbetsplats där övervakningen kunde

58 Se Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 112 ff.

128

SOU 2009:44

Personuppgiftslagen

följas i realtid på Internet.59 Inspektionen ansåg att övervakningen inte hade stöd i lagen och därför var otillåten. Prövningen i detta fall skedde innan den nya missbruksregleringen hade trätt i kraft, dvs. enligt lagens system med hanteringsregler.

Det andra ärendet, som prövades efter det att den nya miss- bruksregeln hade trätt i kraft och utifrån en bedömning enligt den bestämmelsen ansågs tillåten, avsåg kameraövervakning vid en åter- vinningsanläggning.60

I det beslutet anförde Datainspektionen att faktorer av betydelse för bedömningen av om en kameraövervakning kan anses tillåten eller inte bl.a. är syftet med och behovet av övervakningen, vilken plats som ska övervakas, vilken information som ges till den regi- strerade om att platsen är övervakad, känsligheten av de uppgifter som kan komma att registreras, hur länge det inspelade materialet sparas och vem eller vilka som har tillgång till det inspelade materialet. Även andra faktorer kan naturligtvis vara av intresse.

När det gäller digital inspelning av telefonsamtal vid hot har Datainspektionen i ett samrådsärende från tiden innan den nya missbruksregeln trädde i kraft som rörde Stockholms tingsrätt konstaterat att domstolar är sådana myndigheter där risken är särskilt stor för att personal utsätts för våld eller annat allvarligt men. Syftet med inspelningen var att snabbt kunna agera när hot framförs till domstolens växel. Enligt inspektionens mening talade därför mycket för att den tilltänkta inspelningen och lagringen av telefonsamtal kunde bedömas som tillåten med stöd av en intresse- avvägning enligt personuppgiftslagen.61

En annan utgång blev det i ett ärende, också det från tiden innan den nya missbruksregeln trädde i kraft, som gällde ett företags inspelning av samtal från kunder. Ändamålet med att spela in samtalen var att i efterhand kunna bedöma kvaliteten på samtalen, dvs. arbetstagarens prestation. Inspektionen konstaterade då att det var tveksamt om kvalitetssäkring av kundsamtal genom inspelning alltid kan anses vara ett berättigat ändamål i lagens mening, särskilt mot bakgrund av de möjligheter till medlyssning som finns. Inspel- ningen ansågs otillåten efter en intresseavvägning, som dock skedde utifrån kundens intresse av personlig integritet.62

59Datainspektionens beslut 2005-09-20, dnr 763–2005.

60Datainspektionens beslut 2007-02-12, dnr 575–2006.

61Datainspektionens beslut 2003-10-07, dnr 978–2002.

62Datainspektionens beslut 2003-04-16, dnr 113–2003, jfr även inspektionens beslut 2003-04-16, dnr 1535 2002, som även det framför allt utgick från kundperspektivet.

129

Personuppgiftslagen

SOU 2009:44

Besluten föranleder den reflektionen att arbetstagarens intresse av personlig integritet i allmänhet inte synes hamna i fokus när inspelning av telefonsamtal bedöms enligt personuppgiftslagen. I stället blir det ofta kundens, eller någon annan samtalsparts, intressen som blir av avgörande betydelse för bedömningen.

Sedan missbruksregeln trätt i kraft har frågor om person- uppgiftsbehandling i samband med kameraövervakning bedömts enligt den regeln, ett förhållande som Integritetsskyddskommittén ansåg vara otillfredsställande.63

Numera har en utredning tillsatts som ser över lagen (1998:150) om allmän kameraövervakning och som bl.a. har att överväga om det är lämpligt att kameraövervakning blir föremål för den för- enklade reglering som missbruksregeln innebär.64

5.1.8Informationsskyldighet och registerutdrag

Inledning

I personuppgiftslagen finns det bestämmelser om vilken informa- tion som den personuppgiftsansvarige har att lämna till den regi- strerade (23–27 §§). Dessa bestämmelser rör två olika typsituationer. För det första finns det bestämmelser som reglerar sådan informa- tion som den personuppgiftsansvarige självmant ska lämna den registrerade i samband med att personuppgifterna samlas in. För det andra finns det regler om information som ska lämnas först när den registrerade begär det, s.k. registerutdrag. Gemensamt för de båda situationerna är dock att bestämmelser om sekretess och tyst- nadsplikt alltid går före skyldigheten att lämna information (27 §).

Information som ska lämnas självmant

Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant informera om behandlingen av uppgifterna (23 §). Sådana elektroniska spår som registreras genom loggning anses insamlade från den registrerade själv. Detsamma gäller om den registrerade självmant sänder in uppgifter med e-post. Även i fråga om kameraövervakning eller

63SOU 2007:22, Del 1, s. 314 f.

64Dir. 2008:22.

130

SOU 2009:44

Personuppgiftslagen

telefonavlyssning är nog uppgifterna att anse som insamlade från den registrerade, dvs. den som fotograferas eller avlyssnas.

Huvudregeln är att informationen ska lämnas i samband med att den registrerade lämnar uppgifterna eller uppgifterna annars samlas in från honom eller henne.

I de fall personuppgifter samlas in från någon annan källa än den registrerade, ska den personuppgiftsansvarige informera om behand- lingen när uppgifterna registreras (24 §). Är avsikten att upp- gifterna ska lämnas ut till tredje man, är det dock tillräckligt att informationen ges första gången som uppgifterna lämnas ut. Om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats, behöver emellertid inte någon information lämnas. I sådant fall inträder dock en skyldighet att informera om behand- lingen så snart uppgifterna används för att vidta åtgärder som rör den registrerade.

Den information som ska lämnas självmant ska omfatta uppgift om den personuppgiftsansvariges identitet och om ändamålen med behandlingen. Därutöver ska information lämnas i den utsträck- ning det behövs för att den registrerade ska kunna ta till vara sina rättigheter. Det kan bl.a. avse information om mottagarna av upp- gifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse (25 §). Information behöver dock inte lämnas om sådant som den registrerade känner till.

Datainspektionen har ansett att det vid loggning av positions- uppgifter med hjälp av t.ex. GPS bör lämnas information om hur länge loggarna sparas.65 Samma sak bör i allmänhet gälla även vid andra former av loggning.

Information som ska lämnas på begäran – Registerutdrag

I personuppgiftslagen finns det också en bestämmelse som ger var och en som ansöker om det rätt att en gång per år kostnadsfritt få information om huruvida personuppgifter behandlas eller inte. Om uppgifter behandlas, ska skriftlig information (s.k. registerutdrag) lämnas om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut (26 §).

65 Se Datainspektionens checklista om positioneringsteknik i arbetslivet.

131

Personuppgiftslagen

SOU 2009:44

5.1.9Övriga bestämmelser

Skyldighet att rätta personuppgifter

Den personuppgiftsansvarige är enligt personuppgiftslagen skyldig att på begäran av den registrerade snarast rätta, blockera eller ut- plåna uppgifter som har behandlats på ett otillåtet sätt (28 §). Den bestämmelsen hänger ihop med bestämmelsen i 9 § som innebär att den personuppgiftsansvarige självmant ska vidta alla rimliga åtgärder för att de uppgifter som behandlas är riktiga och aktuella samt adekvata och relevanta i förhållande till ändamålet med behand- lingen. Den personuppgiftsansvarige ska i sådant fall som huvud- regel också underrätta tredje man till vilken uppgifterna har lämnas ut, om den registrerade begär det eller i de fall en sådan under- rättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade.

Automatiserade beslut

I personuppgiftslagen finns det regler om bl.a. informations- skyldighet vid s.k. automatiserade beslut (29 §). Med automati- serade beslut avses sådana beslut som grundar sig enbart på auto- matiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos den registrerade. Därutöver krävs att beslutet antingen har rättsliga följder eller annars har märkbara verkningar för den registrerade. Det kan här vara fråga om att på automatisk väg bedöma t.ex. arbetsprestationer, pålitlighet och uppträdande.

För sådana beslut finns det en särskild regel om informations- skyldighet som innebär att den registrerade har rätt att på begäran få information om vad som styrt den automatiserade behandling som har lett fram till beslutet. Den som berörs av ett automatiserat beslut har också rätt att på begäran få beslutet granskat av en person som har befogenhet att ersätta det automatiserade beslutet med ett annat, dvs. en rätt till manuell omprövning.

Säkerheten vid behandling av personuppgifter

Personuppgiftslagen innehåller särskilda regler om säkerhet och sekretess (30–32 §§). Enligt dessa bestämmelser gäller i huvudsak följande.

132

SOU 2009:44

Personuppgiftslagen

Den som arbetar med personuppgifter får bara behandla sådana uppgifter i enlighet med instruktioner från den personuppgifts- ansvarige. Det ska finnas ett skriftligt avtal mellan ett personuppgifts- biträde och den personuppgiftsansvarige som reglerar biträdets behandling av personuppgifter. Om det i lag eller annan författning finns särskilda bestämmelser avseende behandlingen i det allmännas verksamhet, ska i stället dessa regler gälla (30 §).

Därutöver finns det en allmän bestämmelse om vilka säkerhets- åtgärder som den personuppgiftsansvarige ska vidta för att skydda de personuppgifter som behandlas (31 §). Enligt denna bestämmelse ska den personuppgiftsansvarige vidta de tekniska och organisa- toriska åtgärder som krävs för att åstadkomma en lämplig säkerhets- nivå. Bedömningen ska göras med beaktande av de tekniska möjlig- heter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med den aktuella behandlingen och hur pass känsliga de behandlade uppgifterna är. I de fall den person- uppgiftsansvarige anlitar ett personuppgiftsbiträde, åligger det denne att förvissa sig om att biträdet kan genomföra de säkerhetsåtgärder som krävs och att åtgärderna verkligen vidtas. Det är alltid den personuppgiftsansvarige som bär ansvaret gentemot den registrerade för att lämpliga säkerhetsåtgärder vidtas.

Datainspektionen kan i enskilda fall besluta om vilka säkerhets- åtgärder den personuppgiftsansvarige ska vidta. Sådana beslut får förenas med vite (32 och 45 §§).

Datainspektionen har utfärdat dels ett allmänt råd om säkerhet för personuppgifter, dels ett särskilt faktablad om säkerheten.66 Som en sammanfattning anges i de allmänna råden att den personuppgifts- ansvarige bör tänka på:

att kartlägga hotbilden,

att sätta mätbara mål för säkerheten,

att fastställa en policy för säkerheten,

att skapa en fungerande organisation för säkerheten,

att skaffa den utrustning som behövs och använda den rätt,

att upprätta regler och rutiner,

att informera och utbilda kontinuerligt,

att följa upp att regler och rutiner följs och respekteras, och

att testa säkerheten regelbundet.

66 Säkerhet för personuppgifter, 1999, och Informationssäkerhet, september 2006.

133

Personuppgiftslagen

SOU 2009:44

Även om säkerhetsnivån ska anpassas till en nivå som är lämplig i det enskilda fallet, står det klart att lagens krav på säkerhet innebär att den personuppgiftsansvarige alltid måste ha god kontroll över hur personuppgifter hanteras och noggrant överväga vilka åtgärder som måste vidtas för att skydda dessa.

Överföring av personuppgifter till tredje land

Det är enligt personuppgiftslagen som huvudregel förbjudet att föra över personuppgifter till tredje land som inte har en adekvat skyddsnivå (33 §). Med tredje land avses enligt lagen en stat som inte ingår i EU eller är ansluten till EES (3 §).

Undantag från huvudregeln får göras antingen om den regi- strerade har lämnat sitt samtycke eller om överföringen är nöd- vändig för att uppnå vissa i lagen uppräknade syften (33 och 34 §§). För att en överföring till tredje land utan adekvat skyddsnivå ska kunna ske utan samtycke krävs att det är nödvändigt för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller för att åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas. Detsamma gäller om det är nödvändigt för att ett avtal mellan den personuppgiftsansvarige och tredje man ska kunna ingås eller fullgöras, om avtalet är i den registrerades intresse. Det är också tillåtet att föra över uppgifter till tredje land utan adekvat skyddsnivå, om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade. Regeringen eller Datainspektionen kan meddela ytterligare undantag.

De nu angivna kraven gäller utöver de grundläggande kvalitets- kraven och såväl de allmänna som de särskilda bestämmelserna avseende bl.a. känsliga personuppgifter som reglerar när en behand- ling är tillåten.

Till följd av åtaganden enligt Europarådets dataskyddskonvention anges i en särskild bestämmelse att det alltid är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till konventionen (34 § andra stycket).

134

SOU 2009:44

Personuppgiftslagen

Anmälningsskyldighet

I princip är den personuppgiftsansvarige skyldig att anmäla all behandling av personuppgifter som sker helt eller delvis på auto- matiserad väg till Datainspektionen. Regeringen eller Datainspek- tionen kan meddela föreskrifter om undantag från anmälnings- skyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörliga intrång i den personliga integriteten (36 §). Så har också skett i stor omfattning, bl.a. för arbetslivets område.67 Samma sak gäller även för det motsatta förhållandet. Regeringen får även meddela föreskrifter om obligatorisk anmälnings- skyldighet för sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörliga intrång i den personliga integriteten (41 §).

Som redan nämnts kan den personuppgiftsansvarige enligt 37 § i stor utsträckning slippa anmälningsskyldigheten genom att utse ett personuppgiftsombud.

I fråga om behandlingar som inte har anmälts till Data- inspektionen finns det vidare i 42 § en särskild bestämmelse om informationsskyldighet. Enligt den bestämmelsen är den person- uppgiftsansvarige skyldig att lämna upplysningar om icke anmälda behandlingar till var och en som begär det.

5.1.10Tillsyn, sanktioner och rättegång

Som redan framgått är det Datainspektionen som har att utöva tillsyn enligt personuppgiftslagen. I praktiken anser sig Data- inspektionen många gånger ha ett sådant ansvar beträffande de olika registerförfattningarna som kompletterar och förtydligar person- uppgiftslagen. Inspektionen har rätt att för sin tillsyn på begäran att få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen (43 §).

Får Datainspektionen inte på begäran tillgång till de uppgifter som behövs för att kunna konstatera att behandlingen är laglig, kan

67 Se Sören Öman o.a., Personuppgiftslagen, En kommentar, tredje upplagan, 2007, s. 403 ff. Det har varit en medveten strategi att så långt dataskyddsdirektivet medger meddela föreskrifter om undantag för att minska de negativa effekterna av den hanteringsmodell som direktivet bygger på (se prop. 1997/98:44 s. 98).

135

Personuppgiftslagen

SOU 2009:44

inspektionen vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem (44 §).

Den som inte tillmötesgår en begäran från Datainspektionen riskerar således att bli förbjuden att i fortsättningen behandla personuppgifter på annat sätt än att lagra dem. Vad som nu sagts gäller även om inspektionen kan konstatera att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. För ett sådant förbud krävs det dock också antingen att det inte går att få den personuppgiftsansvarige att vidta rättelse på annat sätt eller att saken är brådskande (45 §).

Datainspektionen kan också ansöka hos länsrätten om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Länsrätten får inte meddela ett beslut om utplånande om det är oskäligt (47 §).

Datainspektionens beslut i enskilda fall får i allmänhet över- klagas till allmän förvaltningsdomstol (51 §).

Den som har lidit skada till följd av en otillåten behandling har rätt till ersättning för den skada och kränkning som han eller hon därigenom lidit. Den personuppgiftsansvarige kan dock, genom att visa att felet inte berodde på honom eller henne, helt eller delvis befrias från sin ersättningsskyldighet (48 §).

Vissa olagliga förfaranden är dessutom straffsanktionerade, nämligen olaglig behandling av känsliga personuppgifter och upp- gifter om brott m.m., olaglig överföring till tredje land och underlåtenhet att göra anmälan till Datainspektionen. Detsamma gäller för den som lämnar osann uppgift i sådan information till den registrerade som lagen kräver eller i anmälan till Datainspek- tionen (49 §).

Straffskalan för normalbrottet är böter eller fängelse i högst sex månader. Om brottet är grovt, döms till fängelse i högst två år. I subjektivt hänseende krävs det uppsåt eller grov oaktsamhet. I ringa fall ska inte dömas till ansvar. I enlighet med allmänna prin- ciper (principen om ne bis in idem, dvs. förbudet mot dubbel bestraffning) anges det uttryckligen att straff inte kan komma i fråga för gärningar som omfattas av ett vitesföreläggande En kon- sekvens av personuppgiftslagens sanktionssystem är att det är möjligt att föra process om lagens tillämpning i de allmänna förvaltningsdomstolarna och i de allmänna domstolarna på såväl civilrättslig som straffrättslig väg samt i Arbetsdomstolen.

136

SOU 2009:44

Personuppgiftslagen

5.2Begreppet loggning

Inledning

I våra direktiv anges att vårt lagförslag ska reglera kontroll av Internetbruk och övrig loggning. Frågan är vad loggning är och vad begreppet står för.

Vi har i det föregående avsnittet lämnat en relativt utförlig redogörelse för personuppgiftslagen. Som vi anger där kan något förenklat uttryckt sägas att personuppgiftslagen blir tillämplig så snart personuppgifter registreras i en dator eller annat digitalt minne. Det innebär att loggning och kontroll av loggar, med den innebörd vi i detta avsnitt redovisar, är en form av behandling av personuppgifter för vilken personuppgiftslagen alltid är tillämplig.

Definitioner

Loggning är ett centralt och grundläggande begrepp i samband med teknisk övervakning och kontroll. Ordet loggning och dess avled- ningar används dock i olika sammanhang och med olika betydelser. Det är inte heller alltid fullt klart vad som egentligen avses.

Någon närmare ledning för förståelsen av orden logg, logga eller loggning i samband med datoranvändning ges inte i Svenska Akademiens ordlista.

Enligt Nationalencyklopedin68 är en logg i datorsammanhang ett rutinmässigt uppsamlande av data och händelser. Vidare uttalas att en logg är viktig om fel uppstår och genomförda transaktioner ska återskapas. Enligt samma källa betyder verbet logga att upprätta eller avbryta samband med en dataanläggning (logga in respektive logga ur eller ut). Substantivformen av verbet logga anges bl.a. vara loggning, som i det sammanhanget torde syfta på själva förfarandet där sambandet med en data-anläggning upprättas eller avbryts (in- respektive utloggning).

I en ordbok på Internet som förklarar olika IT-begrepp anges att en logg är en kontinuerlig förteckning över de händelser som inträffar medan ett program eller ett programsystem körs eller installeras.69

68Nationalencyklopedins Internettjänst, NE.se.

69www.pagina.se.

137

Personuppgiftslagen

SOU 2009:44

Regeringen har i en skrivelse till riksdagen om målen för IT- användningen i vård och omsorg (Skr. 2005/06:139 s 41) förklarat innebörden av begreppet loggning som att det avser en registrering av vem som har tagit del av eller förändrat elektroniskt lagrad information. Över huvud taget förefaller begreppet loggning i svenska förarbeten i allmänhet syfta på att olika händelser i datoriserade system automatiskt förtecknas eller registreras när de inträffar för att sedan sparas för framtida bruk, t.ex. för felsökning i systemen eller för att återskapa transaktioner och material.

När begreppet loggning diskuterades av Integritetsutredningen förefaller det dock ha haft en delvis annan innebörd. Med loggning avsåg utredningen ”all insamling av sådana elektroniska spår som innehåller information om aktiviteter som har vidtagits av en fysisk person vid användning av en datoriserad tillämpning”70. Denna inne- börd av begreppet loggning återkommer sedan i våra direktiv där det uttalas att ”genom insamling av elektroniska spår kan ett flertal aktiviteter som arbetstagaren vidtar registreras”. Enligt direktiven går detta bruk under benämningen loggning.

Två betydelser

Det står således klart att begreppet loggning används i olika samman- hang och med skilda betydelser.

I det ena fallet avses själva uppkomsten av elektroniska spår, dvs. att händelser i datoriserade system förtecknas eller registreras när de inträffar för att sparas för framtiden. Att logga in eller logga ut ur systemen hör nära samman med denna betydelse med hänsyn till att man därmed torde syfta på de olika verifikationsprocesser, vanligtvis bestående av att ange ett visst användarnamn och lösen- ord, som måste till för att det ska vara möjligt att knyta enskilda händelser i systemen till en viss individ, kategori av användare eller dataterminal. Med denna innebörd är det således i princip fråga om att på automatisk väg och med stor noggrannhet föra en elektronisk loggbok över hur systemen används. Eftersom det ofta är fråga om stora system med många olika användare och aktiviteter, kan själv- fallet det samlade informationsinnehållet i loggarna bli mycket stort.

Av betydelse i sammanhanget är att materialet i loggarna i princip ligger dolt fram till dess den som förfogar över systemet bestämmer sig för att genom ytterligare automatiska eller manuella

70 SOU 2002:18 s. 134.

138

SOU 2009:44

Personuppgiftslagen

åtgärder göra det synligt. En logg består i allmänhet av en tecken- sträng, och det närmare informationsinnehållet i teckensträngen är inte lättillgängligt för en lekman. Materialet i loggarna måste därför sammanställas och bearbetas av den som förfogar över systemet för att den sökta informationen ska framträda tydligt. Dessa processer kan ske helt eller delvis på automatisk väg med speciella verktyg (program) eller på manuell väg. Beroende av systemens komplexitet och hur pass detaljerad information man vill få fram kan dessa åtgärder naturligtvis vara mer eller mindre resurskrävande.

Den andra betydelsen av begreppet loggning, som synes före- komma på arbetslivets område, syftar i stället på det nyss nämnda synliggörandet. Det är, som redan nämnts, här fråga om olika för- faranden varigenom de elektroniska och i princip osynliga spår som finns lagrade i loggarna ställs samman och bearbetas i syfte att göra de individer, terminaler eller aktiviteter som har skapat spåren synliga.

Även om loggning i den först nämnda betydelsen är en nöd- vändig förutsättning för att de åtgärder som ryms i begreppets andra betydelse ska kunna äga rum, är det i princip fråga om två olika aktiviteter. Det gäller inte minst när man anlägger integritets- aspekter på fenomenet loggning. I båda fallen är det dock fråga om en behandling av personuppgifter för vilken personuppgiftslagen är tillämplig.

De olika loggningsbegreppen

De olika ”loggningsbegreppen” skulle således mot den ovan beskrivna bakgrunden kunna förstås på följande sätt.

Med logga/loggning avses enbart det automatiska förfarande var- igenom händelser och aktiviteter i datoriserade system förtecknas eller registreras i syfte att spara informationen för eventuellt fram- tida bruk.

Det förfarande varigenom samband med en dataanläggning upp- rättas eller avbryts skulle kunna benämnas in- respektive utloggning.

För en i datasystemet förtecknad eller sparad uppgift om en viss händelse eller aktivitet kan då användas beteckningen logg.

När det gäller de olika förfaranden och processer varigenom materialet i en eller flera olika loggar undersöks i syfte att göra de bakomliggande individerna, terminalerna eller andra tekniska applika- tioner eller aktiviteter synliga, kan uttrycket kontroller av loggar användas.

139

Personuppgiftslagen

SOU 2009:44

Som ett samlingsnamn för alla de åtgärder som en arbetsgivare kan vidta för att övervaka eller kontrollera arbetstagare med hjälp av tekniska system som arbetsgivaren själv förfogar kan man använda benämningen teknisk övervakning och kontroll.

Kontroll av loggar kan alltså avse olika system som helt eller delvis bygger på digitalteknik, som

datoranvändning

datorstödd kommunikation, t.ex. e-post och telefonväxlar

dörrlås

alkolås

behörighetssystem

GPS

kameraövervakning

teleavlyssning.

Genom kontroll av loggarna kan information inhämtas som är hän- förliga till en fysisk person och som därmed utgör personuppgifter. Vad som är en personuppgift enligt personuppgiftslagen redovisas i avsnitt 5.1.2.

De centrala aktiviteterna i de tekniska systemen och från arbets- givarens sida i samband med teknisk övervakning och kontroll i arbetslivet måste så gott som alltid vara loggning och kontroller av loggar. Det gäller oavsett vilken typ av åtgärd det är fråga om. Utan information om vem, när och vad som hände torde inte en teknisk övervaknings- eller kontrollåtgärd tjäna något syfte. Det är loggen som är startpunkten utifrån vilken det är möjligt att leta sig fram till vad som hände i systemet, när det hände och vem det var som vidtog åtgärden. Det är därmed också loggen som är den centrala länken i den eventuella bevisning som en arbetsgivare kan vilja säkra för att t.ex. kunna göra gällande att en arbetstagare har använt arbetsplatsens e-postsystem eller Internetanslutning på ett otillåtet sätt, eller på annat sätt missbrukat det förtroende eller de lojalitets- plikter som följer av anställningsavtalet.

Det är den omständigheten att aktiviteter loggas, eller kanske rättare sagt av hänsyn till systemsäkerhet och systemunderhåll måste loggas, som gör att de tekniska systemen får en så stor potential när det gäller övervakning och kontroll. Utan loggning skulle ju möjligheterna till att använda de tekniska systemen i övervaknings-

140

SOU 2009:44

Personuppgiftslagen

eller kontrollsyfte starkt begränsas av att all övervakning skulle behöva ske i realtid. Ett sådant förfarande innebär också att arbets- givaren skulle vara tvungen att binda stora resurser för att övervaka eller kontrollera arbetstagare, en prioritering som sannolikt sällan skulle vara motiverad från ett företagsekonomiskt perspektiv. Med loggningen fås övervaknings- och kontrollfunktionerna så att säga på köpet och kan i princip när som helst aktiveras på förekommen anledning eller för rutinmässiga kontroller. Även de särskilda program som är konstruerade för att göra avancerade former av övervakning och kontroll i datormiljö möjliga, t.ex. s.k. spyware-program, bygger i princip på att aktiviteter loggas.

141

6Medicinska undersökningar – gällande regler och praxis

6.1Inledning

Information om arbetstagares och arbetssökandes hälsa och drog- användning kan vara av intresse för en arbetsgivare både under själva anställningsförfarandet och under ett bestående anställ- ningsförhållande. Arbetsgivarens intresse av att få del av medicinsk information kan emellertid komma i konflikt med en arbetssökan- des eller en arbetstagares intresse av skydd för sin personliga integritet.

Den reglering som finns om arbetsgivares möjlighet att kräva medicinska kontroller och om arbetstagares och arbetssökandes skydd mot att utsättas för sådana kontroller är svåröverskådlig. Frågorna är endast delvis reglerade och bestämmelserna återfinns i olika lagar och förordningar.

I detta avsnitt redovisar vi den rättsliga reglering som aktualiseras när arbetsgivare önskar få information om en arbets- sökandes eller en arbetstagares hälsa. I avsnittet redovisas också några avgöranden av intresse från Arbetsdomstolen. Avslutningsvis lämnas en redogörelse för regleringen av medicinska undersök- ningar i arbetslivet i Norge, Danmark och Finland.

En kortare sammanfattning av rättsläget finns i avsnitt 12 där vi behandlar våra överväganden och förslag om medicinska undersök- ningar.

143

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

6.2Vissa internationella bestämmelser

ILO

Några bindande ILO-konventioner eller rekommendationer som direkt tar sikte på de frågor vi behandlar i detta avsnitt har inte antagits. Däremot har inom ILO antagits dels vägledande principer för drog- och alkoholtester på arbetsplatser (1993), dels riktlinjer för hur alkohol- och drogrelaterade problem bör hanteras på arbetsplatsen (1996). Dessutom har riktlinjer antagits till skydd för arbetstagares personuppgifter.

I de vägledande principerna för drog- och alkoholtester på arbets- platser som utarbetades av ILO:s expertgrupp år 1993 förespråkas bl.a. följande. Arbetsgivaren ska tillsammans med arbetstagarna och deras representanter utvärdera arbetsplatsens behov av åtgärder mot narkotika och alkohol samt med utvärderingen som underlag besluta om vilka åtgärder som är lämpliga. Om tester ska ingå som ett led i företagets strategi, bör de utgöra en del av företagets program för att öka säkerheten på arbetsplatsen och för att för- bättra arbetsmiljön och produktiviteten. Alla detaljer kring eventuella tester och testprocedurer bör regleras i s.k. drogpolicys, t.ex. syftet med drogtest, vad resultatet ska användas till, test- och analysmetoder och frågor om sekretess. Tester för annat än droger, t.ex. för aids och andra sjukdomar eller graviditetstester, bör inte genomföras. Angående testprocedurens säkerhet rekommenderas att denna procedur ska följa de krav som National Institute on Drug Abuse (NIDA) ställer på amerikanska laboratorier. Test- resultat från en screening av urin bör alltid konfirmeras med en annan metod. Positivt resultat ska alltid utvärderas av oberoende medicinsk expertis för att utesluta alternativa orsaker till resultatet. Även de etiska aspekterna berörs. Dessa innebär framför allt att företagen måste väga behovet av tester mot det faktum att sådana tester kränker den enskilde arbetstagarens personliga integritet. De juridiska aspekterna kan sammanfattas med att tester och test- procedurer måste stämma överens med internationella överens- kommelser och nationell lag.

I riktlinjerna för hur alkohol- och drogrelaterade problem bör hanteras på arbetsplatsen anges bl.a. följande. Drogpolitiken och drogprogrammen bör gälla hela personalen och behandla alla lika. En central utgångspunkt är att alkohol- och narkotikaproblem utgör hälsoproblem precis som andra hälsoproblem på arbets-

144

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

platsen och bör skötas utan någon som helst diskriminering. Arbetsgivarna och arbetstagarna samt deras företrädare bör till- sammans bedöma konsekvenserna av drogbruk på arbetsplatsen, utveckla ett skriftligt drogprogram och i möjlig mån identifiera arbetssituationer som medför risk för att någon börjar missbruka droger samt vidta behövliga förebyggande eller korrigerande åtgärder. Arbetsgivarna ska erbjuda en trygg och sund arbetsplats och upprätthålla den enligt tillämpliga lagar och bestämmelser. De ska vidta de åtgärder som behövs för att förebygga olyckor och trygga de anställdas hälsa. Arbetsgivarna bör iaktta god lednings- praxis, anamma rättvisa tillvägagångssätt och organisera arbetet på ett tillfredsställande sätt och sträva efter att skapa en tillfredsstäl- lande miljö som inte leder till oskälig stress eller fysiska eller psykiska svårigheter. Arbetsgivarna bör ha rätt att vidta behövliga åtgärder när det gäller anställda med drogproblem som påverkar eller skäligen kan påverka situationen. Arbetsgivaren bör skapa ett system som garanterar att uppgifter om drogproblem förblir konfi- dentiella. Var och en bör också vara medveten om att arbetsgivaren har befogenheter att vidta disciplinära åtgärder med anledning av förseelser eller fel som hänför sig till arbetet och som har samband med drogbruk. Rådgivning, behandling och rehabilitering är dock att föredra framför disciplinära åtgärder. Om en anställd inte anlitar tjänster för drogbrukare på överenskommet sätt kan arbetsgivaren vidta de disciplinära åtgärder som anses nödvändiga. Vad gäller frågor om tester och testprocedurer hänvisar riktlinjerna till de vägledande principerna från år 1993.

Enligt riktlinjerna angående skydd för arbetstagares personupp- gifter får personuppgifter om medicinska förhållanden endast inhämtas enligt nationell lagstiftning och i övrigt enligt god sed, under förutsättning att detta är nödvändigt för att avgöra om arbetstagaren är lämpad för särskild anställning, för att uppfylla arbetsmiljökrav och krav på säkerhet samt för att bestämma och utge sociala förmåner. Riktlinjerna innehåller även restriktioner för sättet att inhämta uppgifter. Bland annat sägs att drogtester bör genomföras bara i enlighet med nationell lag och praxis eller enligt nationell standard. Vad gäller förvar av personuppgifter anges bl.a. att hälsouppgifter bör förvaras för sig och behandlas bara av personer med tystnadsplikt. En expertgrupp inom ILO har också år 1997 antagit vissa tekniska och etiska riktlinjer för övervak- ningen av arbetstagares hälsa. Med nyssnämnda riktlinjer som

145

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

grund anges bl.a. ytterligare riktlinjer om behandling av hälsorelaterade personuppgifter som berör arbetstagare.

Europarådet

Artikel 8 i Europakonventionen behandlas närmare i nästföljande avsnitt.

Europarådets rekommendation No. R (89) 2 om skydd av person- uppgifter som används för anställningsändamål innehåller bestäm- melser av intresse. Enligt rekommendationen kan frågor om hälso- tillstånd ställas till en arbetstagare eller arbetssökande endast i följande situationer:

för att fastställa arbetstagarens och arbetssökandens lämplighet för sin arbetsuppgift,

för att uppfylla kraven i fråga om förebyggande hälsovård, och

med tanke på beviljandet av sociala förmåner.

Enligt denna rekommendation får uppgifter om hälsa samlas från andra källor än arbetstagaren själv endast med arbetstagarens vetskap och uttryckliga samtycke eller i enlighet med nationell lag- stiftning. Sekretessbelagda uppgifter får registreras bara av anställda som är bundna av tystnadsplikt och får lämnas vidare endast till andra inom personaladministrationen som behöver uppgifterna för sitt beslutsfattande samt i enlighet med nationell lagstiftning. Upp- gifter om hälsa ska dessutom registreras skilt från andra uppgifter som arbetsgivaren förfogar över.

6.3Europakonventionen

Enligt artikel 8.1 Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. I 8.2 sägs att offentlig myndighet inte får inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

146

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

I rätten till privatliv ingår bl.a. den fysiska integriteten. Artikel 8 omfattar bl.a. skydd mot medicinska undersökningar, även sådana av mindre betydelse. Kommissionen har uttalat att det torde vara tyngden av de medicinska skälen och inte själva ingreppet i sig som avgör om åtgärder av detta slag innebär en kränkning av rätten till privatliv.1

Även EG-domstolen har tillämpat artikeln på medicinska under- sökningar2. Domstolen slog i det aktuella avgörandet fast att skyddet för privatlivet även innefattar rätten att hålla sitt hälsotill- stånd hemligt. Rättsfallet gällde en genomförd aidsanalys av en arbetssökandes blodprov, trots att den arbetssökande förklarat att en sådan inte skulle få ske. EG-domstolen ansåg att de intressen som arbetsgivaren haft för att genomföra undersökningen inte medförde att denna kunde göras mot den enskildes vilja. Förfarandet ansågs strida mot Europakonventionens artikel 8. Enligt domen har dock en arbetsgivare inte någon skyldighet att anställa den som, efter att ha blivit informerad om att ett test krävs, inte ger sitt samtycke till sådan test.

Artikel 8 i Europakonventionen innebär som framgått primärt ett skydd för den enskilde mot direkta angrepp från staten. Av Europadomstolens praxis framgår emellertid att staten också har ett ansvar för att vidta positiva åtgärder för att skydda den enskilde mot kränkningar av andra enskilda, se vidare avsnitt 3.1 och 8.1

I Oskarshamnsmålet (AD 1998 nr 97, se avsnitt 6.10) uttalade Arbetsdomstolen att artikel 8 i Europakonventionen inte innebar ett generellt förbud mot drogtestning, men att testning under särskilda omständigheter kunde strida mot konventionen och där- med också mot svensk lag. Omständigheter av betydelse kunde enligt domstolen vara arbetsgivarens intresse, graden av ingrepp i den enskildes integritet och sättet att utföra testerna.

Här nedan redovisas två avgöranden av intresse i sammanhanget från Europadomstolen. Av redovisningarna framgår att Europa- domstolen fann att åtgärderna uppfyllde kraven som ställs i artikel 8.2. Domstolen gjorde inte någon egentlig prövning av frågan om åtgärderna var ett ingrepp i en rättighet som skyddas av artikel 8 eller av frågan om Europakonventionens tillämplighet mellan enskilda i anställningsförhållanden.

1Se SOU 2002:18 s. 162.

2C-404/92 P, X/EG-kommissionen.

147

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

Wretlund mot Sverige3

Oskarshamnsmålet, i vilket Arbetsdomstolen fann att arbets- tagaren var skyldig att underkasta sig ett narkotikatest, fördes vidare till Europadomstolen. Inför Europadomstolen gjorde klaganden gällande att den skyldighet att genomgå drogtestning som hon ålagts utgjorde en kränkning av hennes rätt till respekt för privatlivet enligt artikel 8 i Europakonventionen. Europadom- stolen, som fann att klagomålet var uppenbart ogrundat, uttalade att drogtestning kunde rättfärdigas med stöd av artikel 8.2.

Som skäl för sin slutsats angav Europadomstolen bl.a. följande. Först och främst var skyldigheten att genomgå drogtestning till- räckligt grundad i svensk rätt för att kunna anses ha haft stöd i lag i den mening som anges i 8.2. Visserligen var skyldigheten inte lag- reglerad men Arbetsdomstolen hade slagit fast att den av arbets- marknadens parter överenskomna principen om arbetsgivares rätt att leda och fördela arbetet var en allmän rättsprincip. Vidare hade Arbetsdomstolen ansett att denna princip innefattar en rätt att vidta kontrollåtgärder i form av t.ex. alkohol- och drogtester. Arbetsdomstolen hade i det aktuella fallet funnit testerna naturligt kopplade till företagets verksamhet och en rätt att beordra de anställda att genomgå sådana tester kunde därför ses som en del av företagets rätt att leda och fördela arbetet i enlighet med det centrala kollektivavtalet. Kravet på drogtestning kunde vidare anses ha haft till syfte att tillgodose flera av de intressen som anges i artikel 8.2, bl.a. allmän säkerhet och skydd för andra personers fri- och rättigheter. Slutligen kom Europadomstolen fram till att pro- portionalitetskravet i artikel 8.2 var uppfyllt. En rimlig balans hade upprätthållits mellan de allmänna intressena och klagandens intresse av skydd för den personliga integriteten. Vid denna bedömning betraktade domstolen bl.a. att man på ett kärnkraftverk av naturliga skäl måste upprätthålla mycket höga krav på säkerhet vilket motiverar kontrollåtgärder av olika slag i förhållande till de anställda. Ett drogpolicyprogram med regelbundna tester måste därför i sig anses berättigat. Domstolen fann också att genomförandet av programmet i det aktuella fallet var acceptabelt och att rimlig hänsyn hade tagits till klagandens intresse av skydd för den personliga integriteten. Domstolen betonade bl.a. att testerna utfördes på samtliga anställda och att ingen behövde känna sig utpekad. Testerna genomfördes i avskildhet och testresultaten

3 Application no. 46210/99.

148

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

visades bara för personer som arbetade med drogpolicyprogrammet och användes inte för något annat än att avslöja eventuell alkohol- och drogkonsumtion. När det gällde drogtesternas effektivitet, vilken ifrågasatts av sökandena, noterade domstolen bl.a. att ett av huvudsyftena var den preventiva effekten.

Madsen mot Danmark4

I ett tidigare mål vid Europadomstolen gällde frågan alkohol- och drogtester som en privat arbetsgivare (det danska rederiet DFDS A/S) föreskrev i ett internt reglemente. Enligt reglementet var en promillehalt alkohol i blodet om högst 0,2 tillåten när arbetstagaren var i tjänst och en promillehalt om högst 0,4 när arbetstagaren var ledig ombord. Bruk av narkotika och andra preparat var förbjudet. Reglementet hade skickats till arbetstagarna för påskrift innan de slumpmässiga alkohol- och drogtesterna skulle börja genomföras. Testerna hade beslutats ensidigt av arbetsgivaren med stöd av arbetsledningsrätten. Någon lagreglering eller något kollektivavtal till grund för testerna fanns inte. En fackförening hade invänt mot testerna och anfört att slumpmässiga tester stred mot artikel 8 i Europakonventionen. Den danska motsvarigheten till Arbetsdom- stolen hade inte ansett att testerna var ett intrång i arbetstagarnas privatliv. Europadomstolen förklarade klagomålet uppenbart ogrundat.

Det Europadomstolen framför allt prövade var om provtag- ningarna, urinprov och utandningsprov, varit i överensstämmelse med lag. Domstolen beaktade att beslutet fattats med stöd av arbetsledningsrätten och att arbetsgivarens rättigheter att vidta kontrollåtgärder med stöd av denna inte var obegränsade. Med beaktande bl.a. av att arbetsgivaren i förväg meddelat att arbets- tagarna kunde förvänta sig att bli utsatta för test en gång om året och att reglerna gällde alla ombordanställda, även kaptenen, fann domstolen att reglementet var ”in accordance with the law”. Testerna ansågs vidare nödvändiga i ett demokratisk samhälle för att tillgodose de intressen som anges i artikel 8.2. De ansågs inte orimliga eller oproportionerliga. Domstolen konstaterade att det var välkänt att intag av alkohol och droger försämrade mentala och fysiska funktioner samt att alla ombord var skyldiga att delta i

4 Application 58341/00.

149

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

säkerhetsarbete även på sin fritid. Det var därför viktigt att de vid varje tillfälle var kapabla till detta.

6.4Regeringsformen

Offentligt anställda skyddas mot påtvingade kroppsliga ingrepp i arbetet genom 2 kap. 6 § regeringsformen. Denna rätt kan begränsas genom lag men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Därtill får begränsningen aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som föranlett den (2 kap. 12 § regeringsformen), se avsnitt 4.1.

Till uttrycket kroppsligt ingrepp hänförs förutom direkt våld mot människokroppen läkarundersökningar, smärre ingrepp som vaccinering och blodprovstagning samt liknande företeelser som brukar betecknas som kroppsbesiktning, t.ex. utandningsprov eller liknande alkoholtest (prop. 1975/76:209 s. 56 och 147). Begreppet kroppsbesiktning definieras i 28 kap. 12 § andra stycket rätte- gångsbalken som undersökning av människokroppens yttre och inre samt tagande av prov från människokroppen och undersök- ning av sådana prov.

JO har i flera beslut funnit att det inte kan ses som ett kroppsligt ingrepp när en enskild åläggs att lämna urinprov. I ett beslut (JO dnr 2461-2003, beslut 2006-03-07) anför JO att med tidigare redovisat synsätt utgör ett krav på urinprov inte ett sådant kroppsligt ingrepp mot vilket den enskilde åtnjuter ett särskilt skydd enligt 2 kap. 6 och 12 §§ regeringsformen. JO framhåller emellertid att enligt 8 kap. 3 § regeringsformen måste som huvud- regel föreskrifter om förhållandet mellan enskilda och det allmänna som gäller åliggande för enskilda och i övrigt avser ingrepp i enskildas personliga förhållanden meddelas genom lag. Under vissa angivna förutsättningar kan dock normgivningskompetens i sådant fall delegeras till regeringen. En redovisning av ärenden där bl.a. JO uttalat sig i frågan finns i SOU 2006:85 s. 84 f. Där framgår att praxis inte varit helt enhetlig. Här skall emellertid uppmärksammas att i ett beslut som meddelats helt nyligen har JO uttalat som sin uppfattning att tagande av urinprov är att betrakta som ett sådant kroppsligt ingrepp som avses i 2 kap. 6 § regeringsformen och att åtgärden i den mån den är att anse som påtvingad fordrar lagstöd enligt 2 kap. 12 § regeringsformen (se vidare JO 2009-03-27, dnr 5978-2006).

150

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

Sammanfattningsvis kan sägas att det står klart att blod- provstagning och utandningsprov är åtgärder som utgör ett kroppsligt ingrepp. Av JO:s uttalanden att döma tycks, oavsett om urinprovstagning utgör ett kroppsligt ingrepp eller ej, krävas för att ett sådant ska få tas i förhållandet mellan enskilda och det allmänna, att en reglering härom meddelas i lag.

Skyddet i 2 kap. 6 § regeringsformen gäller gentemot påtvingat ingrepp. Om en offentlig arbetsgivare kräver att en arbetstagare ska underkasta sig en läkarundersökning och det finns ett sanktionshot anses undersökningen påtvingad och omfattas av skyddsregeln (prop. 1993/94:65 s. 111). När en läkarundersökning utgör en för- utsättning för en förmån t.ex. en anställning, anses dock inte ett tvångsmässigt ingrepp föreligga.

Vad gäller samtyckets roll kan nämnas att i samband med revi- deringen av rättegångsbalkens bestämmelser om kroppsvisitation och kroppsbesiktning erinrade dåvarande departementschefen om att frågan om samtycke inte reglerades generellt i rättegångsbalken. Vidare anfördes följande.

Med visst fog kan man i sådant fall påstå att det överhuvudtaget inte är fråga om någon tvångsmedelsanvändning, eftersom tvångsmomentet saknas. Grundlagsskyddet avser ju också enbart påtvingade ingrepp. Så snart ingreppet inte är påtvingat, eller m.a.o. frivilligt, är det inte fråga om någon inskränkning i det grundlagsenliga skyddet. Den förhärskande uppfattningen är också att samtycke innebär att en åtgärd, som utan samtycke vore grundlagsstridig, får genomföras (prop. 1993/94:24 s. 39).

6.5Arbetsrättsliga bestämmelser

6.5.1Lagen om offentlig anställning

Arbetsdomstolen fann i avgörandet AD 1984 nr 94 att ett åläggande om läkarundersökning av en statsanställd stred mot 2 kap. 6 § regeringsformen. Som en följd av avgörandet infördes bestämmelsen om periodiska undersökningar i 30 § lagen (1994:260) om offentliga anställning (LOA). Lagen gäller arbets- tagare hos riksdagen och dess myndigheter samt myndigheter under regeringen. Arbetstagare hos kommuner och landsting lyder under vissa föreskrifter i lagen, däribland 30 § LOA.

Enligt 30 § LOA gäller följande. Om arbetstagaren har arbets- uppgifter där brister i arbetstagarens hälsotillstånd medför risk för

151

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

människors liv, personliga säkerhet eller hälsa eller för betydande skador på miljö eller egendom, är arbetstagaren efter särskild upp- maning av arbetsgivaren skyldig att regelbundet genomgå hälso- undersökningar som är nödvändiga för bedömning om arbetstagaren har sådana brister i sitt hälsotillstånd.

Paragrafen tar sikte på sådana offentliganställda, som typiskt sett har riskfyllda arbetsuppgifter och där brister i hälsotillståndet kan äventyra de angivna skyddsintressena. I förarbetena anges att regleringen avses omfatta både kommunala och statliga anställ- ningar där bristande tjänstduglighet som beror på sjukdom eller liknande innebär en allvarlig säkerhetsrisk med avseende på de angivna skyddsintressena. Vad som främst åsyftas är offentligan- ställda som utövar samhällets tvångsbefogenheter gentemot med- borgarna eller som utövar hälso- och sjukvård eller utför transport av personer eller gods eller som hanterar särskilt farliga ämnen eller föremål eller har något annat riskfyllt arbete.

I LOA-utredningens delbetänkande (SOU 1991:29 s. 28–30), som låg till grund för lagförslaget, angavs exempel på vilka perso- nalkategorier det kunde röra sig om. Där anges bl.a. en mängd anställningar inom försvaret och vissa anställningar som polis, flygledare och tulltjänsteman.

Skyldigheten att genomgå hälsoundersökningar gäller enligt 30 § andra stycket LOA endast om arbetstagarna enligt kollektiv- avtal eller föreskrifter av regeringen är skyldiga genomgå sådana undersökningar. I förarbetena uttalas att det förutsattes att det av kollektivavtal eller – om det inte finns något sådant avtal – av en förordning, när det gäller arbetstagare hos myndigheterna under regeringen, närmare framgår i vilka anställningar som sådan skyl- dighet ska finnas. I kollektivavtal eller förordning kan också ges föreskrifter t.ex. om intervalltätheten.

Med hälsoundersökningar avses i 30 § LOA sådana undersök- ningar som är avsedda att genomföras regelbundet (periodiska hälsoundersökningar) av läkare eller andra t.ex. optiker och sjuk- sköterskor. Däremot avses inte påtvingade läkarundersökningar enligt fullmaktsanställningslagen (se nedan). Bestämmelsen gäller inte heller kontroller i speciella fall på förekommen anledning (s.k. extraordinära hälsoundersökningar) eller undersökningar som erbjuds av arbetsgivaren utan att det föreligger något tvång att genomgå dem, t.ex. basundersökningar som anordnas av företags- hälsovården. I förarbetena till bestämmelsen understryks att under-

152

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

sökningen givetvis inte får vara mer omfattande än vad som är motiverat med hänsyn till den anställdes arbetsuppgifter.

Att förbudet mot påtvingat kroppsligt ingrepp i 2 kap. 6 § regeringsformen inte hindrar undersökningar som den anställde samtycker till framgår av förarbetsuttalanden till 30 § LOA (prop. 1993/94:65 s. 107). Där anges bl.a. att slutsatsen av 1984 års rätts- fall är att utan ett särskilt lagstöd kan periodiska eller andra hälso- undersökningar genomföras bara efter arbetstagarens medgivande. I propositionen uttalas också att det i praktiken saknas behov av att på förekommen anledning – alltså vid sidan av de periodiska hälso- undersökningarna – tvinga en arbetstagare till en hälsoundersök- ning. Sådana s.k. extraordinära undersökningar torde kunna anordnas i samförstånd med arbetstagaren (a. prop. s. 112).

Den som vägrar att genomgå en hälsoundersökning är i princip skyldig att låta sig omplaceras till andra uppgifter. En vägran kan också leda till disciplinpåföljd. Om möjlighet saknas till omplacering kan arbetsgivaren i sista hand ha rätt att säga upp arbetstagaren.

De speciella bestämmelser om hälsoundersökningar som finns i andra lagar för speciella områden har i egenskap av specialbestäm- melser företräde framför regeln om hälsoundersökningar i LOA.5

6.5.2Lagen om fullmaktsanställning

På det statliga området gäller även lagen (1994:261) om fullmakts- anställning. Lagen är en speciallag i förhållande till LOA och gäller endast arbetstagare hos myndigheter under regeringen som är anställda med fullmakt. Hit hör framförallt vissa yrkeskategorier inom rättsväsendet, t.ex. ordinarie domare.

Enligt 11 § får beslutas att en arbetstagare ska undersökas av en läkare om arbetstagaren inte fullgör sina arbetsuppgifter tillfreds- ställande och det är sannolikt att den bristande arbetsförmågan beror på sjukdom eller något jämförligt förhållande. Några periodiska eller slumpmässiga undersökningar kan inte genomföras med stöd av lagen. Med jämförliga förhållanden avses enligt förar- betsuttalanden bl.a. arbetstagares alkoholmissbruk. Enligt förarbetena uppställs det inte något krav på att missbruket ska vara

5 Anm: Lufträttsutredningen ifrågasatte om Arbetsmiljölagens bestämmelser om arbetsgivarens ansvar och arbetstagarens medansvar för en säker arbetsmiljö (3 kap. 2 och 4 §§) utgör specialbestämmelser till 30 § LOA, se SOU 1999:42 s. 214.

153

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

av sjukdomskaraktär. Bestämmelsen är föranledd av de särskilda reglerna om avgångsskyldighet på grund av sjukdom som finns för denna grupp av arbetstagare (6 §). Reglerna om saklig grund för uppsägning i lagen (1982:80) om anställningsskydd inte är alltså inte tillämpliga på dem.

6.5.3Anställningsförordningen

Anställda hos myndigheter under regeringen omfattas av anställ- ningsförordningen (1994:373). Enligt 5 § i den förordningen kan en statlig arbetsgivare föreskriva att en arbetssökande ska lämna läkarintyg om de tänkta arbetsuppgifterna ställer särskilda krav på hälsotillståndet hos dem som anställs. De yrkeskategorier som är skyldiga att lämna läkarintyg enligt anställningsförordningen torde i huvudsak vara samma som omfattas av bestämmelsen om periodiska hälsoundersökningar enligt 30 § LOA.

6.5.4Antagningsrätten och arbetsledningsrätten

På den privata sektorn gäller principen om den fria antagningsrätten och arbetsgivaren har stor frihet att bestämma vilka krav som ska ställas på den arbetssökande, t.ex. att han eller hon ska genomgå en medicinsk kontroll. Den fria antagningsrätten begränsas såvitt nu är aktuellt främst genom förbudet att efterforska genetisk infor- mation i lagen om genetisk integritet m.m., se nedan, och förbudet mot diskriminering på grund av funktionshinder i diskriminerings- lagen. På det offentliga området är antagningsrätten mer begränsad. Här gäller vid anställning hos statliga myndigheter bl.a. bestämmel- serna i 11 kap. 9 § regeringsformen om att endast sakliga grunder såsom förtjänst och skicklighet får beaktas. För all offentlig verk- samhet, såväl statlig som kommunal, gäller vidare ett krav på sak- lighet och opartiskhet (1 kap. 9 § regeringsformen).

Frågan om arbetsgivares möjlighet att i samband med nyanställ- ning kräva in intyg eller genomföra tester i samband med nyan- ställning är alltså i huvudsak oreglerad.

Huruvida det trots avsaknad av regler på området ändå kan finnas begränsningar i fråga om arbetsgivarens rätt att inhämta uppgifter som beslutsunderlag i en anställningssituation berördes i en skiljedom från år 1989 av skiljenämnden för arbetsmiljöavtalet

154

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

SAF/LO-PTK. En arbetsgivare, Saab-Scania, hade infört haschtester vid nyanställningar. I skiljedomen konstaterades att undersökningen, genom det sätt på vilket den organiserats och möjligheten att hemlighålla resultaten genom att avbryta anställ- ningsförfarandet, i varje fall inte innefattade ett sådant ingrepp i den enskildes personliga integritet att förfarandet på den grunden stod i strid med god sed på arbetsmarknaden. Vidare framhölls att huvudregeln i svensk rätt var att arbetsgivaren hade rätt att fritt anställa vem han eller hon ville. När arbetsgivaren utövade denna rätt var han i princip oförhindrad att för anställningen kräva att den arbetssökande företedde betyg eller intyg av olika slag. Det stod helt klart att en arbetsgivare kunde ställa kravet att en arbetssökande genom läkarintyg visade att han eller hon inte missbrukade narkotika. Ett sådant krav kunde nämligen inte anses strida mot god sed på arbetsmarknaden.

Enligt praxis och doktrin kan medicinska undersökningar falla under arbetsgivarens arbetsledningsrätt, se närmare om arbetsled- ningsrätten i avsnitt 4.3 och AD 1991 nr 45 – ställningsbyggnads- målet (redovisat i avsnitt 6.10).

6.5.5Arbetsmiljölagen

Allmänt

Inom EU finns på arbetsmiljöområdet en omfattande reglering rörande skyddet för arbetstagare mot t.ex. farliga miljöer och ämnen. Bland annat finns ramdirektivet för att främja förbättringar i arbetstagarnas säkerhet och hälsa i arbetet (rådets direktiv 89/391/EEG av den 12 juni 1989). Därutöver finns olika särdirektiv som innehåller bestämmelser till skydd för arbetstagarna bl.a. vid exponering för skadliga ämnen. Särdirektiven innehåller ofta bestämmelser om läkarundersökningar. Direktiven är genomförda genom arbetsmiljölagen (1977:1160) och till den lagen anslutande förordning och föreskrifter.

Arbetsmiljölagstiftningens övergripande syfte är att trygga en god och säker arbetsmiljö. I arbetsmiljölagen, som är en ramlag, finns de grundläggande bestämmelserna om arbetsmiljöns beskaffenhet. Arbetsmiljöförordningen (1977:1166) innehåller bl.a. bemyndiganden för Arbetsmiljöverket att meddela de närmare krav som arbetsmiljön ska uppfylla.

155

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

Enligt arbetsmiljölagen vilar huvudansvaret för arbetsmiljön på arbetsgivaren. I lagen finns en rad bestämmelser om hur arbetsgivaren ska nå syftet med lagen.

I 3 kap. 2 § anges att arbetsgivaren ska vidta alla åtgärder för att förebygga att arbetstagare utsätts för ohälsa eller olycksfall. Vidare sägs i 3 kap. 2 a § att arbetsgivaren ska systematiskt planera och leda och kontrollera verksamheten på ett sätt som leder till att arbetsmiljön uppfyller föreskrivna krav på en god arbetsmiljö. Där sägs också att arbetsgivaren ska se till att det i hans verksamhet finns en på lämpligt sätt organiserad anpassnings- och rehabiliteringsverksamhet för fullgörande av uppgifter som enligt arbetsmiljölagen och enligt 22 kap. lagen (1962:381) om allmän försäkring åligger arbetsgivaren.

Arbetsgivarens ansvar enligt 3 kap. 2 § innefattar ett allmänt ansvar att se till att hälsoövervakning och medicinska kontroller kommer till stånd i behövlig omfattning. Den närmare regleringen av arbetsgivarens skyldigheter att låta utföra läkarundersökningar avsågs enligt förarbetena ske genom särskilda föreskrifter av Arbetarskyddsstyrelsen, numera Arbetsmiljöverket (prop. 1976/77:149 s. 298).

I 4 kap. 5 § arbetsmiljölagen föreskrivs att Arbetsmiljöverket efter regeringens bemyndigande, om ett arbete innebär risk för ohälsa eller olycksfall, kan föreskriva om skyldighet för arbetsgivaren att föranstalta om läkarundersökning, vaccinering eller annan förebyggande behandling mot smitta av dem som sysselsätts eller ska sysselsättas i arbete. Föreskrift kan också meddelas om förbud att till arbete anlita den som vid läkarunder- sökning företett sjuklighet eller svaghet som gör arbetstagaren särskilt mottaglig för sådan risk. Föreskrifterna kan avse såväl undersökning innan anställning som regelbundna undersökningar under anställningstiden (a. prop. s. 298).

Arbetstagares medverkan i arbetsmiljöarbetet

Ansvaret för arbetsmiljön vilar emellertid inte enbart på arbetsgivaren. Enligt 3 kap. 4 § arbetsmiljölagen ska arbetstagarna medverka i arbetsmiljöarbetet och delta i genomförandet av de åtgärder som behövs för att åstadkomma en god arbetsmiljö. Arbetstagarna ska följa givna föreskrifter samt använda de skydds- anordningar och iaktta den försiktighet i övrigt som behövs för att

156

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

förebygga ohälsa och olycksfall. Om detta medansvar inte uppfylls kan fråga uppkomma om att skilja arbetstagaren från anställningen.

I det utredningsförslag som låg till grund för lagen uttalades att frågan huruvida saklig grund för uppsägning föreligger får bedömas enligt lagen (1982:80) om anställningsskydd med beaktande av de skyddsskäl som kan tala mot fortsatt anställning. I propositionen (prop. 1976/77:149 s. 259) framhölls att uppsägning inte automatiskt borde bli följden av ohörsamhet mot skyddsföre- skrifter utan att omständigheterna i det enskilda fallet kunde vara sådana att arbetstagaren hade rimliga skäl för sin vägran. Det före- dragande statsrådet anförde härefter följande.

Vidare vill jag även i detta sammanhang framhålla att rätt bedriven information liksom arbetets allmänna uppläggning är av grundläggande betydelse också för att det blir god efterföljd av skyddsföreskrifter på arbetsplatsen. Det är emellertid alldeles klart att skyddsarbetet kan äventyras om arbetstagare inte vill rätta sig efter de skyddsföreskrifter som gäller. Underlåtenheten kan medföra risker inte bara för den egna säkerheten och arbetskamraternas utan också inverka ogynnsamt på skyddsmedvetandet över huvud. I sådant fall måste det finnas möjlighet att enligt lagen om anställningsskydd skilja arbetstagaren från anställningen. Föreligger speciella skäl för vägran att rätta sig efter skyddsföreskrifter, t.ex. överkänslighet för viss skyddsutrustning, bör i stället andra åtgärder såsom omplacering övervägas.

Frågan om arbetstagares medansvar har berörts i Arbetsdomstolens avgöranden AD 1991 nr 45 och AD 1998 nr 97 (se avsnitt 6.10).

Medicinska kontroller i arbetslivet

Med stöd av bestämmelsen i 18 § arbetsmiljöförordningen har Arbetsmiljöverket utfärdat föreskrifter om medicinska kontroller i arbetslivet (AFS 2005:6). Föreskrifterna gäller för alla arbetsgivare.

Med begreppet medicinsk kontroll avses enligt definitionen i 2 § en medicinsk åtgärd avsedd att vara till stöd i arbetsmiljöarbetet. I denna kan ingå biologisk exponeringskontroll, läkarundersökning, hälsoundersökning och tjänstbarhetsbedömning. Vaccinationer räknas inte som medicinsk kontroll.

Enligt 3 § ska arbetstagaren erbjudas medicinska kontroller när en riskbedömning enligt Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete visar att det är motiverat med sådana kontroller. Uttrycket erbjuda innebär att det inte finns

157

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

något hinder eller förbud för arbetsgivaren att sysselsätta den som avböjt ett erbjudande att genomgå en medicinsk kontroll.

Föreskrifterna innehåller också regler om obligatoriska läkar- undersökningar. Enligt 4 § ska arbetsgivaren, oavsett riskbedöm- ning enligt 3 §, ordna med medicinska kontroller av arbetstagare vid vissa typer av arbeten. Det gäller bl.a. vid exponering för vissa angivna ämnen samt för arbete som innebär stor fysisk påfrestning. För de flesta av dessa typer av arbete ska den medicinska kontrollen resultera i en tjänstbarhetsbedömning som arbetsgivaren ska ta del av.

Enligt 5 § får en arbetsgivare inte sysselsätta en arbetstagare som inte genomgått sådana medicinska kontroller där det ställs krav på tjänstbarhetsbedömning i det arbete som föranlett kravet på kontroll. Detsamma gäller om en arbetstagare efter läkarundersök- ning eller biologisk exponeringskontroll bedömts som inte tjänst- bar. Arbetsgivaren ska, när det inte hindras av sekretess eller tyst- nadsplikt, ta del av resultatet av de medicinska kontroller som utförts med stöd av föreskriften om medicinska kontroller (7 §). En arbetsgivare som bryter mot föreskrifterna kan med stöd av 8 kap. 2 § första stycket 2 arbetsmiljölagen dömas till böter.

I Arbetsmiljöverkets allmänna råd om tillämpningen av före- skrifterna om medicinska kontroller i arbetslivet anges i kommentaren till 3 § i föreskrifterna bl.a. följande.6

Arbeten med olycksrisker

Vissa arbeten kan innebära särskilda risker för olycksfall. Det kan t.ex. gälla arbeten med att framföra fordon, hantering av farliga redskap eller farliga ämnen och arbeten med fallrisker. Medicinska tillstånd som sänker medvetandet eller omdömet liksom nedsatt syn och hörsel kan behöva beaktas i sådana riskutsatta arbeten. Ett särskilt problem utgör missbruk av läkemedel och droger som påverkar nervsystemet och sinnesorganen. På vissa arbetsplatser har parterna kommit överens om drogtester av arbetstagarna för att förebygga olycksfall. Drogtester kan anses innebära ett intrång i den personliga integriteten hos den undersökte vilket måste vägas mot de risker för olycksfall som man vill försöka förebygga. Arbetsgivare och arbetstagare ska enligt före- skrifterna om arbetsanpassning och rehabilitering utarbeta en policy för hur eventuella problem med missbruk på arbetsplatsen ska hanteras. En hörnsten i denna policy bör vara att missbrukare ska bli kvitt missbruket och om möjligt bli kvar i arbetet. Om drogtestning kommer till användning behöver metoderna för dessa analyser vara kvalitetssäkrade för att undvika felaktiga resultat. Råd till arbetsplatser

6 AFS 2005:6 s. 36.

158

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

angående alkohol och narkotikafrågor kan inhämtas från ALNA, som är ett samarbetsorgan för arbetsmarknadens parter.

I de allmänna råden sägs vidare som kommentar till 5 § i före- skrifterna bl.a. följande.

Under förutsättning att den undersökte är informerad om syftet med och konsekvenserna av den medicinska kontrollen, är läkaren som utför undersökningen oförhindrad att lämna uppgift om tjänstbarhet eller resultat från biologisk exponeringskontroll till arbetsgivare och tillsynsmyndighet. Eventuella diagnoser eller annan medicinsk infor- mation faller under läkares tystnadsplikt enligt 2 kap. 8–9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område eller sekretess enligt 7 kap. 1 § sekretesslagen och kan inte meddelas arbetsgivaren utan den undersöktes samtycke.

Arbetsgivarens rehabiliteringsansvar

Medicinska kontroller kan aktualiseras även inom ramen för arbetsgivarens anpassnings- och rehabiliteringsverksamhet enligt 3 kap. 2 a § tredje stycket arbetsmiljölagen.

I föreskrifter om anpassning och rehabilitering som utfärdats av dåvarande Arbetarskyddsstyrelsen (AFS 1994:1) föreskrivs att arbetsgivaren ska ha de rutiner som behövs för verksamheten med anpassning och rehabilitering (10 §). Rutinerna ska även omfatta arbetsanpassning och rehabilitering vid missbruk av alkohol och narkotika. Arbetsgivaren ska dessutom klargöra vilka interna regler och rutiner som gäller om en arbetstagare uppträder påverkad av alkohol eller andra berusningsmedel i arbetet (13 §). I de allmänna råden som utfärdats om tillämpningen av föreskrifterna anges beträffande 13 § att arbetsgivaren lämpligen i samråd med arbetstagarna kan ta fram t.ex. ett handlingsprogram för hur olika slag av missbruk kan hanteras. Där sägs också att det av programmet bör framgå vilken policy som gäller beträffande bruk av alkohol och droger på arbetet och att det i allmänhet är lämpligt att rutinerna finns i skriftlig form.

I 22 kap. lagen om allmän försäkring regleras arbetsgivarens, individens och Försäkringskassans ansvar då den anställde är i behov av insatser för att kunna återgå i arbete. Enligt tidigare regler som gällde fram till den 1 juli 2007 hade en arbetsgivare ansvar för att en rehabiliteringsutredning kom till stånd. Detta ansvar har ersatts med ett ansvar för arbetsgivaren att efter samråd med

159

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

arbetstagaren lämna de upplysningar som Försäkringskassan behöver för att arbetstagarens behov av rehabilitering ska kunna klarläggas och en skyldighet att även i övrigt medverka därtill. Arbetsgivaren ska också fortsätta att svara för att de åtgärder vidtas som behövs för en effektiv rehabilitering.

I propositionen till ovanstående lagändring (prop. 2006/07:59 s. 16 f.) berörs också arbetsgivarens rehabiliteringsansvar enligt den arbetsrättsliga lagstiftningen. Där sägs bl.a. följande. På det arbets- rättsliga området finns inte någon reglering som direkt tar sikte på arbetsgivarens rehabiliteringsansvar. Ett sådant ansvar följer dock indirekt genom reglerna om saklig grund för uppsägning i lagen om anställningsskydd. Utgångspunkten är nämligen enligt förarbeten och Arbetsdomstolens praxis att sjukdom och därav följande ned- satt prestationsförmåga inte i sig utgör saklig grund för uppsäg- ning. För att en nedsättning av arbetsförmågan till följd av sjukdom ska kunna utgöra saklig grund krävs att nedsättningen är stadigvarande och dessutom så väsentlig att arbetstagaren inte längre kan utföra något arbete av betydelse för arbetsgivaren. Arbetsgivaren måste också ha uppfyllt sitt rehabiliteringsansvar. I detta ansvar ligger att arbetsgivaren gör allt som är möjligt för att anställningen ska bestå och överväger alla möjligheter att omplacera arbetstagaren till någon arbetsuppgift på arbetsplatsen som han eller hon klarar av. Innebörden av rehabiliteringsansvaret inom ramen för en sakligrundprövning hämtar i viss utsträckning sitt innehåll från det ansvar som en arbetsgivare har enligt arbetsmiljö- lagen. Arbetsgivaren kan således ha en skyldighet att anpassa arbetet till den enskildes förutsättningar, exempelvis genom olika hjälpmedel och rehabiliteringsinsatser som syftar till att arbetstagaren ska kunna stanna kvar hos arbetsgivaren.

6.6Speciallagstiftning inom vissa yrkesområden

Medan arbetsmiljölagens bestämmelser om medicinska kontroller i första hand har tillkommit till skydd för arbetstagarnas egen hälsa finns i annan lagstiftning krav på medicinsk kontroll av vissa yrkes- grupper av skäl som främst gäller allmänhetens säkerhetsintresse. Bestämmelser om läkarundersökning och hälsokontroll av sådana skäl finns bl.a. i livsmedelslagen (2006:804), järnvägslagen (2004:519), lagen (1990:1157) om säkerhet vid tunnelbana och

160

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

spårväg, luftfartslagen (1957:297), mönstringslagen (1983:929) och strålskyddslagen (1988:220).

6.7Lagen om genetisk integritet m.m.

Enligt 2 kap. 1 § lagen (2006:351) om genetisk integritet m.m. är det inte tillåtet att utan stöd i lag ställa som villkor för ett avtal att den andra parten ska genomgå en genetisk undersökning eller lämna genetisk information om sig själv. Det är inte heller tillåtet att utan stöd av lag i samband med ett avtal efterforska eller använda genetisk information om den andre. Se även avsnitt 4.2.

6.8Personuppgiftslagen

Arbetsgivares kontroll av arbetstagare och arbetssökande genom hälsoundersökningar och drogtester är en åtgärd som inte i sig med nödvändighet innebär behandling av personuppgifter. Uppgifterna som framkommer vid en undersökning eller test kan emellertid komma att behandlas av arbetsgivaren på ett sådant sätt att reglerna i personuppgiftslagen (1998:204) blir tillämpliga på förfarandet. Där framgår bl.a. att personuppgiftslagen blir tillämplig om behandling av personuppgifter sker automatiserat eller i register- form. Enbart det förhållandet att en arbetsgivare lägger ett begärt medicinskt intyg i en personakt innebär, med den tolkning av personuppgiftslagen som vi gör, inte nödvändigtvis att åtgärden faller under personuppgiftslagen.

Personuppgiftslagens närmare reglering avseende behandling av uppgifter om hälsa finns redovisade i avsnitt 5.

6.9Sekretess och tystnadsplikt

När undersökningar genomförs av hälso- och sjukvårdspersonal blir bestämmelser om sekretess och tystnadsplikt tillämpliga. Här ska därför kort redovisas något om sekretess på detta område.

Enligt 7 kap. 1 c § sekretesslagen7 gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra

7 Bestämmelsen motsvaras av 25 kap. 1 § i den nya förslagna offentlighets- och sekretesslagen (prop. 2008/09:150).

161

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretess gäller alltså med omvänt skaderekvisit, dvs. det föreligger en presumtion för sekretess. I vilka fall uppgifter kan lämnas ut måste avgöras från fall till fall. Något utrymme för intresseavvägningar mellan behov och befarad skada medges inte i bestämmelsen.

Samma sekretess gäller ”i annan medicinsk verksamhet”. Här- med menas verksamhet som inte primärt har vård- eller behand- lingssyfte. Med uttrycket avses bl.a. läkarundersökningar som går ut på att fastställa en persons lämplighet för viss befattning t.ex. inom försvaret (prop. 1979/80:2, Del A s. 167).

All personal som är verksam inom det allmännas hälso- och sjukvård, vare sig verksamheten avser det egentliga vårdarbetet eller administrativt, ekonomiskt eller tekniskt arbete är skyldiga att iaktta sekretessen.

Utanför bestämmelsen om sekretess inom hälso- och sjuk- vården faller verksamhet vid sjukhus och andra liknande inrätt- ningar som bedrivs av enskilda. För sådan verksamhet gäller i stället bestämmelser om tystnadsplikt i lagen (1998:531) om yrkesverk- samhet på hälso- och sjukvårdens område. Enligt 2 kap. 8 § den lagen får den som tillhör eller har tillhört hälso- och sjukvårds- personalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgifts- skyldighet som följer av lag eller förordning.

I förarbetena till sekretesslagen (prop. 1979/80:2, Del A sid. 169) berördes vad som bör gälla i fråga om sådana uppgifter som läkare begär för att fullgöra ett uppdrag som han erhållit från annan än patienten, t.ex. att gå myndighet tillhanda med ett utlåtande. Enligt departementschefen måste en läkare som har åtagit sig att som sakkunnig yttra sig i en fråga om en viss person i princip vara berättigad att redovisa sina rön till uppdragsgivaren; han röjer då inte några uppgifter utanför denna sin särskilda verksamhet för det allmänna. Undersöker han den enskilde måste han klargöra situa- tionen för denne. Det kan emellertid tänkas att vederbörande vänt sig till samma läkare och anförtrott honom vissa uppgifter. Den verksamhet i vilken dessa uppgifter har inhämtats får anses skild från verksamheten som sakkunnig. Läkaren får därför i princip inte

162

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

utan den undersöktes samtycke utnyttja eller yppa uppgifterna när han fullgör sakkunniguppdraget

I nämnda proposition berördes också sekretessen inom före- tagshälsovården. Där anges att sådan verksamhet – i den mån den är att hänföra till allmän och inte till enskild verksamhet – faller under den aktuella sekretessregleringen. Det innebär att det föreligger mycket begränsade möjligheter att utan patientens samtycke föra uppgifter vidare från t.ex. företagsläkaren. Om läkaren har åtagit sig att såsom sakkunnig yttra sig t.ex. i fråga om en viss persons lämplighet till viss befattning måste han emellertid kunna redovisa sina iakttagelser till arbetsgivaren. Detta förhållande måste givetvis påpekas för den enskilde vid undersökningen, om sådan företas. Har den enskilde tidigare vänt sig till företagsläkaren, är läkaren i princip förhindrad att föra vidare uppgifter som därvid anförtrotts honom. Uppgifter av sistnämnda slag bör i likhet med vad som anförts i fråga om sakkunniguppdrag i allmänhet få föras vidare enbart om den enskilde samtyckt till det.

Se också avsnitt 6.5.5 ovan beträffande vad som sagts i detta avseende i Arbetsmiljöverkets allmänna råd om tillämpningen av föreskrifterna om medicinska kontroller i arbetslivet (AFS 2005:6).

I 7 kap. 11 § tredje stycket sekretesslagen8 finns bestämmelser som föreskriver om sekretess inom vissa delar av den personalad- ministrativa verksamheten. Enligt bestämmelsen gäller sekretess för bl.a. uppgifter om enskilds hälsotillstånd om det kan antas att den enskilde eller någon honom närstående lider men om uppgifterna röjs. Med stöd av bestämmelsen kan uppgift som myn- digheterna hämtar in i samband med sjukledighet eller om arbetstagares hälsotillstånd i andra sammanhang hemlighållas. Sekretessen gäller dock inte i ett ärende om anställning. Uppgifter om hälsa som en arbetssökande lämnar eller som annars framkommer i ett anställningsärende är därför oftast offentliga.

6.10Arbetsdomstolens rättspraxis

Här redovisas fem rättsfall av intresse. Ett avgörande avser frågan om möjligheten för en offentlig arbetsgivare att kräva läkarunder- sökning och de fyra övriga frågan om en privat arbetsgivares rätt att vidta drogkontroll och möjlighet att säga upp en arbetstagare som vägrar provtagning.

8 39 kap. 2 § i den föreslagna offentlighets- och sekretesslagen.

163

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

1. AD 1984 nr 94 – påtvingad läkarundersökning

Arbetsdomstolen prövade i AD 1984 nr 94 frågan om staten genom SJ genom att påkalla läkarundersökning av en anställd handlat i strid med 2 kap. 6 § regeringsformen. Avgörandet föranledde, som redan nämnts, införandet av 30 § LOA.

SJ hade föranstaltat om läkarundersökning av en anställd vid fyra tillfällen under en period av fyra år. Undersökningstillfällena bestod i kortare samtal med läkare och var dels periodiska, dels extraordinära. En vägran från den anställdes sida att genomgå läkar- undersökning hade medfört att denne omplacerats inom ramen för sin anställning, vilket inneburit att arbetsgivaren vidtagit samma åtgärd som om arbetstagaren konstaterats inte uppfylla hälsokraven. Den anställde anförde till stöd för sin talan att SJ saknat rätt att påkalla läkarundersökningarna bl.a. på grund av att besluten stått i strid med 2 kap. 6 § regeringsformen genom att de utgjorde påtvingade kroppsliga ingrepp och att SJ saknat stöd i lag för sådana ingrepp. SJ anförde å sin sida bl.a. att grundlagsbestämmelsen bara var tillämplig när det var fråga om någon form av myndighetsutövning vilket det inte var frågan om här, eftersom arbetstagarens skyldighet att genomgå undersök- ningarna följde av anställningsavtalet.

Arbetsdomstolen resonerade inledningsvis beträffande frågan om myndighetsutövning och anförde följande. Det kan ligga nära till hands att uppfatta regeringsformen på det sättet att en åtgärd inte kommer i konflikt med förbudet mot påtvingade kroppsliga ingrepp annat än i den mån det kan sägas vara fråga om ett tvång som har karaktären av utövande av offentlig makt. Detta betyder dock inte att 2 kap 6 § regeringsformen skulle sakna tillämplighet i ett fall som det aktuella enbart av det skälet att SJ kan sägas ha handlat såsom arbetsgivare i förhållande till en anställd. Domstolen uttalade därefter att det inom offentlig sektor numera fanns frågor som rörde tjänstemännens ställning i allmänhet som var av privat- rättslig natur. Detta hindrade emellertid inte att beslut av en myndighet i dess egenskap av arbetsgivare likväl kunde vara att betrakta som myndighetsutövning. De föreskrifter som SJ åberopat till stöd för arbetstagarens skyldighet att underkasta sig hälso- undersökningen var utfärdade med stöd av 10 § i den allmänna verksstadgan och var inte att betrakta som föreskrifter om anställnings- eller arbetsvillkor. Arbetsdomstolen anmärkte i det sammanhanget att föreskrifterna inte heller främst var avsedda att

164

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

tillgodose det allmännas intresse som arbetsgivare, utan i stället intresset av att offentliga funktioner fullgjordes på ett riktigt sätt. I huvudsak på grund av det anförda drog domstolen slutsatsen att besluten om läkarundersökningar var grundade på regler av offentligrättslig natur och att 2 kap. 6 § regeringsformen alltså var tillämplig. Arbetsdomstolen slog därefter fast, att även om läkar- undersökningarna bara bestått av samtal med läkare var dessa, oavsett om arbetstagaren underkastat sig undersökningen frivilligt, att bedöma som ett kroppsligt ingrepp. Vidare uttalade domstolen att läkarundersökningarna var att se som påtvingade i och med att SJ utan förbehåll beordrat arbetstagaren att delta. Det saknade betydelse att SJ i internt utfärdade föreskrifter inte föreskrev någon sanktion för den arbetstagare som vägrade att underkasta sig undersökningarna. Eftersom SJ saknat stöd i lag för att genomföra läkarundersökningarna var det beordrade förfarandet inte förenligt med 2 kap. 6 § regeringsformen.

2. AD 1991 nr 45 – ställningsbyggnadsmålet

I AD 1991 nr 45 behandlades frågan om det förelegat saklig grund för uppsägning av två montörer vid ett ställningsbyggnadsföretag som vägrat underkasta sig urinprovstagning. Företaget hade sedan det uppkommit misstanke att någon eller några missbrukat cannabis beordrat personalen att lämna urinprov. Arbetsgivaren angav att provtagningsförfarandet motiverades av säkerhetsskäl. De två montörerna hade invänt att förfarandet utgjorde ingrepp i deras personliga integritet och vägrat lämna urinprov. De sades då upp av arbetsgivaren.

Arbetsdomstolen fann att arbetsgivaren fattat beslutet om provtagning i syfte att värna säkerheten på arbetsplatsen och därmed fullgöra den allmänna skyldighet som åvilar arbetsgivaren att vidta behövliga åtgärder för att förekomma olycksfall. Beträffande frågan om det kunnat krävas av arbetstagarna att de medverkade till provtagningen såsom en i detta syfte vidtagen åtgärd anförde Arbetsdomstolen inledningsvis bl.a. följande.

Enligt arbetsdomstolens mening står det utom tvivel att avtal kan träffas i en verksamhet som den här aktuella om skyldighet för arbets- tagare att underkasta sig urinprovstagning i syfte att spåra narkotika- missbruk, när avtalet är avsett att tillgodose säkerheten i ett arbete som i likhet med detta på ett utpräglat sätt kräver gott omdöme, god reak- tionsförmåga och skärpt uppmärksamhet. Ett sådant avtal torde

165

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

visserligen inte kunna betraktas som bindande i den meningen att dess fullgörande skulle kunna utkrävas med rättsliga tvångsmedel, såsom vite eller allmänt skadestånd för kollektivavtalsbrott (jfr NJA 1975 s. 6) Därav följer dock inte att en arbetstagares vägran att underkasta sig provtagning i enlighet med det avtalade åtagandet inte som rättslig verkan skulle kunna medföra förlust av anställningen.

I det aktuella fallet hade något avtal inte träffats i saken, vare sig som kollektivavtal eller som ett inslag i de enskilda anställnings- avtalen. Frågan var då enligt Arbetsdomstolen om det ändå borde anses ha ålegat arbetstagarna en skyldighet att enligt anställnings- avtalet underkasta sig provtagning.

Enligt Arbetsdomstolen fanns det inte allmänt sett stöd i rätts- praxis för att härleda en rätt för arbetsgivaren att vidta kontrollåt- gärder av olika slag ur den allmänna rätten att leda och fördela arbetet. Den aktuella rättsfrågan borde enligt domstolens mening i stället betraktas med utgångspunkt i den särskilda problematik som var i fråga.

Arbetsdomstolen anförde bl.a. följande.

Utgångspunkten är att det föreligger en intressekollision mellan det intresse av att värna säkerheten på arbetsplatsen för ställnings- montörerna själva och andra arbetstagare vilket föranledde beslutet om provtagning och, på andra sidan, den enskilde arbetstagarens intresse av skydd för sin personliga integritet. I detta fall väger det först nämnda intresset synnerligen tungt. Till detta kommer att det hade uppkommit, som det visade sig, befogade misstankar om att det faktiskt förekom cannabismissbruk bland arbetstagarna. Vid den avvägning som måste göras är det vidare betydelsefullt att provtag- ningen bör betraktas som en adekvat metod för att spåra cannabis- missbruk och att något annat lika ändamålsenligt handlingssätt inte synes ha stått bolaget tillbuds. Att metoden av skilda skäl inte kan antas vara fullständigt säker, i den meningen att missbruk kan betraktas som helt uteslutet efter genomförandet av en allmän prov- tagning, måste i jämförelse därmed tillmätas mindre vikt.---

Vid bedömandet av den enskildes motstående intresse av skydd för sin integritet måste beaktas att ingreppet som sådant allmänt sett får betraktas som ringa och att genomförandet har skett på ett sätt som från den enskildes synpunkt rimligen borde kunna te sig väl avvägt och godtagbart. Det står klart att provtagningen var inriktad på just det enskilda säkerhetsproblem som var i fråga och någon befogad anledning att befara missbruk från företagshälsovårdens sida kan rimligen inte ha förelegat. Såvitt utredningen ger vid handen har också en för situationen och ändamålet med provtagningen tillräcklig infor- mation lämnats till arbetstagarna före provtagningen.

166

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

Vidare bör beaktas att det inte var fråga om tvång i bokstavlig mening utan i stället om en situation i vilken intresset av säkerheten på arbetsplatsen ytterst ställdes mot den enskilde arbetstagarens anspråk på att få behålla sitt arbete som ställningsmontör hos bolaget. Även om detta anspråk från den enskildes synpunkt kan vara av stor betydelse är det inte orimligt att väga det mot intresset av säkerheten på arbetsplatsen, inte bara för den enskilde arbetstagaren själv utan också för andra som arbetade eller vistades där.

Arbetsdomstolen gjorde den bedömningen att bolagets skäl för beslutet om urinprovstagning vägde över de invändningar som rests under hänvisning till de enskildas anspråk på skydd för den personliga integriteten. Därefter anfördes:

Som tidigare nämndes har i arbetsmiljölagen de enskilda arbetstagarna ålagts ett medansvar för arbetsmiljön och för säkerheten på arbetsplatsen. Av förarbetena framgår att lagstiftaren har tänkt sig att det i vissa situationer och under vissa omständigheter ska kunna komma i fråga att från anställningen skilja den arbetstagare som vägrar att fullgöra vad som följer av detta ansvar, eller sålunda att tillmäta vägran betydelse som ett åsidosättande av vad som åligger arbets- tagaren i anställningsförhållandet. Vad som då har åsyftats har varit att arbetstagaren inte rättar sig efter skyddsföreskrifter som gäller på en arbetsplats och det är tydligt att den fråga som arbetsdomstolen nu har att ta ställning till inte har uppmärksammats i detta lagstiftningssam- manhang. Likväl finner domstolen att det ligger väl i linje med vad som allmänt gäller i fråga om medansvaret för säkerheten på arbetsplatserna att anse, att bolaget under de förhållanden som har rått i detta fall har haft rätt enligt anställningsavtalen att som en åtgärd i syfte att främja säkerheten i arbetet ställa som villkor för arbete med ställnings- montage att arbetstagarna deltog i den av bolaget anordnade urin- provstagningen och att det har åvilat arbetstagarna en motsvarande skyldighet att medverka till provtagningen.

Vid en samlad bedömning fann Arbetsdomstolen att en sådan skyl- dighet bör anses ha åvilat arbetstagarna enligt anställningsavtalen, i den rättsliga meningen att en vägran bör kunna leda till att arbets- tagaren får skiljas från anställningen. För att så ska kunna ske bör dock liksom i andra sammanhang göras en helhetsbedömning av arbetstagarens skäl för sin vägran och övriga omständigheter i det enskilda fallet. Vid en sådan bedömning ansåg inte domstolen att saklig grund för uppsägning hade förelegat redan vid den tidpunkt då uppsägningen skedde.

Arbetsdomstolen tillade att den med detta ställningstagande inte hade uttalat sig vare sig allmänt om vilken rätt som bör anses till- komma en arbetsgivare att vidta kontrollåtgärder av skilda slag eller

167

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

om hur en tvist om provtagning för att spåra narkotikamissbruk bör bedömas under andra förhållanden än de som har förelegat i detta mål. Sådana mer vittsyftande bedömningar borde enligt Arbetsdomstolen på det här aktuella området inte göras på grund- val enbart av förhållandena i en enskild tvist. Det naturliga syntes enligt domstolen vara att ett ämne som detta reglerades i kollektiv- avtal eller i förekommande fall genom lagstiftning.

3. AD 1998 nr 97 – Oskarhamnsmålet

Arbetsdomstolen har i avgörandet AD 1998 nr 97 prövat frågan om en lokalvårdare vid Oskarshamns kärnkraftverk(OKG) var skyldig att medverka i av arbetsgivaren anordnade drogtester (narkotika- och alkoholtest). Den anställda var medlem i Svenska Elektriker- förbundet som motsatt sig att träffa kollektivavtal innefattande regler om obligatoriska tester. Övriga fackförbund med medlemmar bland de anställda hade dock träffat sådant lokalt avtal med arbetsgivaren. Trots avsaknad av överenskommelse med Svenska Elektrikerförbundet beslutade arbetsgivaren att drogtest- ning skulle gälla även förbundets medlemmar vid kärnkraftverket. Svenska Elektrikerförbundet hävdade att arbetsgivaren inte hade rätt att kräva att den anställde skulle genomgå drogtester. Förbundet gjorde gällande i första hand att drogtestningen stred mot artikel 8.1 i Europakonventionen.

Arbetsdomstolen konstaterade att det inte fanns någon lagstift- ning som direkt tog sikte på rätten för arbetsgivare att mot arbets- tagares vilja genomföra drogtest. Domstolen hänvisade vidare till det nyss redovisade rättsfallet AD 1991 nr 45 och däri gjorda uttalanden. Härefter fann domstolen att det fick hållas för visst att parter genom kollektivavtal eller i det enskilda anställningsavtalet eller i annan form kunde överenskomma om rätt för arbetsgivaren att genomföra drogtester och att ett avtal härom i princip hade giltig verkan.

Domstolen fann att något generellt förbud mot drogtestning inte kunde grundas på Europakonventionens regler. Däremot kunde enligt domstolen sådan testning under särskilda omständig- heter vara konventionsstridig och därmed stridande mot svensk lag. Av betydelse var därvid under vilka omständigheter testningen skedde. Omständigheter av vikt kunde exempelvis vara arbetsgivarens intresse av att företa drogtestning, graden av ingrepp

168

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

i den enskilda integriteten i det individuella fallet och sättet att utföra testningen.

Enligt Arbetsdomstolen syntes frågan om utförande av tester vid ett företag av OKG:s karaktär ha sådan naturlig anknytning till den verksamhet som företaget drev att det fick anses ligga nära till hands att som princip anse frågan reglerad såsom en arbetsled- ningsfråga i kraftverksavtalet. Detta betydde dock inte enligt Arbetsdomstolen att de anställda som inte var bundna av kollektiv- avtal om testning utan vidare var skyldiga att underkasta sig drog- testningen. Situationen kunde nämligen vara den att man måste anse att en beordring av en anställd till drogtestning innebar ett överskridande av gränsen för hur arbetsledningsrätten fick utövas.

När det gällde OKG:s intresse av att få genomföra tester konstaterade Arbetsdomstolen att verksamheten vid kärnkraft- verket betraktades som samhällsviktig, att det inom verksamheten förekom risker som bl.a. berodde på en radiologisk arbetsmiljö och elledningar med hög spänning och att långtgående säkerhetskrav hade ställts upp från myndigheternas sida. Vidare hade Kärn- kraftsinspektionen såsom tillsynsmyndighet betecknat det såsom viktigt att drogtester genomfördes som ett led i att upprätthålla en drogfri miljö.

Arbetsdomstolen anförde vidare att enligt 3 kap. 2 § arbets- miljölagen ska arbetsgivaren vidta alla åtgärder som behövs för att förebygga ohälsa eller olycksfall. I 4 § samma kapitel anges att arbetstagaren ska medverka i arbetsmiljöarbetet och delta i genomförandet av de åtgärder som behövs för att åstadkomma en god arbetsmiljö. I linje med dessa regler låg att ett företag som OKG verkade för en drogfri miljö och som ett led i strävandena i detta hänseende genomförde drogtester och även att anställda medverkade i testerna. Enligt Arbetsdomstolens rådde det inte något tvivel om att OKG hade ett starkt intresse av att genomföra drogtester avseende anställda och andra som verkade inom bolagets anläggningar såsom ett led i att skapa och vidmakthålla en drogfri miljö inom verksamheten. Arbetsdomstolen noterade också att drogtester förekom även vid landets övriga kärnkraftverk. Dom- stolen påpekade att OKG:s intresse av att genomföra tester avseende anställda som inte verkade i de delar av anläggningen där särskilda risker gjorde sig gällande kunde synas vara avsevärt mindre. Domstolen menade dock att det var en grannlaga och föga meningsfull uppgift att göra en uppdelning mellan sådana som skulle vara skyldiga att underkasta sig test och sådana som inte

169

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

skulle vara skyldiga härtill. Det förelåg också risk att de anställda flyttades mellan områdena. Vidare fanns det intresse med hänsyn till den verksamhet som bedrevs att utåt kunna ange att bolaget gjorde alla rimliga ansträngningar för att åstadkomma en totalt drogfri miljö och att det i linje med detta låg att – såsom man löst frågan i kollektivavtalet – låta antidrogprogrammet gälla samtliga anställda.

Vad härefter gällde frågan om testet innebar en sådan inskränk- ning av den personliga integriteten att skyldighet av det skälet inte borde föreligga anförde Arbetsdomstolen att provtagningen, som ägde rum inom företagshälsovården med analys av svaren vid ett ackrediterat laboratorium, var för den enskilde föga integritets- kränkande. Enligt Arbetsdomstolen saknades varje grund för att anse att provtagningen skett i sådana former och under sådana omständigheter i övrigt att det av det skälet inte förelegat någon skyldighet att medverka i testerna.

Vid en samlad bedömning fann Arbetsdomstolen att arbetstagaren var skyldig att genomgå narkotikatest.

Någon sådan skyldighet förelåg dock inte i fråga om alkohol- testet. Arbetsdomstolen framhöll inledningsvis den grundläggande skillnaden att det var straffbart att ta befattning med narkotika medan bruket av alkohol var tillåtet och socialt accepterat. Dom- stolen konstaterade härefter att det i det övervägande antalet positiva testfallen fanns andra förklaringar till resultaten. Dessa omständigheter sammantagna med att den enskildes alkoholbruk var en i hög grad integritetskänslig fråga medförde att den anställde inte ansågs ha skyldighet att medverka i alkoholtestningen. Dom- stolens ställningstagande i denna del fick enligt domstolen inte leda till slutsatser om hur man generellt bör se på alkoholtestning. Avgörande för om sådana tester ska kunna genomföras är bl.a. hur testningen är utformad.

4. AD 2001 nr 3 – Fryshusfallet

I AD 2001 nr 3 prövade Arbetsdomstolen huruvida Fryshuset haft saklig grund för uppsägning av en arbetstagare, en skolvärd vid ett gymnasium inom ramen för Fryshusets projekt ”Lugna gatan”, som vägrat underkasta sig urinprov i syfte att utröna om det fanns grund för misstankarna att arbetstagaren missbrukade narkotika. Arbetstagaren var tidigare narkoman och avtjänade i början av

170

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

1990-talet ett längre straff för narkotikabrott. Då arbetstagaren som hänvisade till sin personliga integritet trots ett flertal uppma- ningar vidhöll sin vägran att underkasta sig testet sades han upp från sin anställning.

Arbetstagarsidan hävdade att Fryshuset hade överskridit gränserna för sin arbetsledningsrätt av följande skäl. Fryshuset bedrev inte någon sådan riskfylld verksamhet som enligt Arbets- domstolens praxis kunde medföra skyldighet för anställda att underkasta sig drogtest. Eventuellt narkotikamissbruk hos arbets- tagaren hade kunnat uppdagas på andra mindre integritets- kränkande sätt än genom urinprovstagning. Fryshuset hade där- utöver inte haft någon ordentlig drogpolicy som varit känd bland personalen. Fryshusets misstankar om att arbetstagaren återfallit i narkotikamissbruk var helt obefogade.

Fryshuset anförde å sin sida bl.a. följande. Genom att ta anställ- ning hos Fryshuset hade den anställde insett eller bort inse att det var en förutsättning för anställningen och dess fortbestånd att arbetstagaren ställde sig till förfogande för drogtestning i den om- fattning som krävdes om misstanke eller tveksamhet uppstod om hans drogfrihet. Detta i synnerhet eftersom den anställde var före detta missbrukare. Det hade därför enligt anställningsavtalet åvilat arbetstagaren en skyldighet att medverka i provtagning. Drogtest hade dessutom en naturlig anknytning till Fryshusets verksamhet, eftersom denna krävde allmänhetens, kundernas och ungdomarnas förtroende i drogfrihetsfrågan. Detta intresse vägde tyngre än arbetstagarens intresse av skydd för den personliga integriteten. Till följd därav var det tillåtet för Fryshuset att kräva drogtestning som ett led i arbetsledningsrätten. Drogtester med urinprov var därvid Fryshusets enda möjliga sätt att spåra förekomsten av miss- bruk. Provtagningen hade inte i något avseende varit integritets- kränkande eller förnedrande.

Arbetsdomstolen fann att intresset bakom Fryshusets drogtester av personal var av ett annat slag än i de två tidigare målen (AD 1991 nr 45 och AD 1998 nr 97) i vilka arbetsgivarens krav burits upp av ett starkt säkerhets- och skyddsintresse. Här var intresset i högre grad knutet till ändamålet med verksamheten. Fryshuset hade med hänsyn till verksamhetens karaktär ett mycket starkt allmänt intresse av att utföra drogtester på sin personal för att undanröja eventuella misstankar och att utåt kunna garantera att dess verksamhet var helt fri från narkotika. Domstolen fann vidare att det inte kunde uppställas några krav på att misstankarna mot en

171

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

arbetstagare måste vara särskilt välgrundade i ett fall som det aktuella där det med hänsyn till verksamhetens art fanns ett särskilt intresse av att undanröja varje tvivel. Huruvida Fryshusets drogpolicy kunde leva upp till de krav som arbetstagarsidan ansåg borde gälla för en drogpolicy var enligt domstolen av begränsad betydelse i målet. Den väsentliga frågan var i stället i vilken mån ett drogtest skulle ha inneburit en sådan kränkning av den anställdes integritet att han av det skälet inte var skyldig att medverka.

Domstolen konstaterade att testningen skulle ha skett genom att den anställde lämnade ett urinprov på arbetsplatsen. Urin- provstagning i allmänhet och det sätt på vilket Fryshuset genom- fört testet fick anses föga integritetskränkande och domstolen kunde inte finna att den skulle ha varit förnedrande för arbetstagaren. Vid ett samlat övervägande fann domstolen att Frys- husets intresse av att drogtesta den anställde i fråga vägt tyngre än dennes behov av skydd för sin integritet. Arbetstagaren ansågs vara skyldig att medverka i den aktuella provtagningen.

5. AD 2002 nr 51 – busschaufför

En busschaufför hade vid ett tillfälle vägrat genomgå ett oannonserat drogtest, varefter arbetsgivaren – ett busstrafikbolag – sagt upp honom. Busschauffören hade vid ett provtagningstillfälle två år tidigare testats positivt för amfetamin. I målet var ostridigt att bolaget med hänsyn till verksamhetens art haft rätt att kräva av den anställde att han som busschaufför skulle medverka vid de tester som var aktuella. Tvistefrågan var om den anställdes under- låtenhet att medverka till ett drogtest mot bakgrund av vad som tidigare förevarit utgjort saklig grund för uppsägning.

Vid bussbolaget gällde en policy som föreskrev att allt bruk av narkotika var förbjudet, och att en anställd i ”trafik- eller säker- hetstjänst” skulle medverka vid provtagning när arbetsgivaren begärde det. Policyn föreskrev också att ett positivt provsvar skulle medföra skyldighet för den anställde att genomgå ett rehabili- teringsprogram. Om rehabiliteringsprogrammets krav inte uppfylldes, skulle detta leda till uppsägning. En vägran att med- verka till provtagning skulle behandlas som om den anställde lämnat att positivt provsvar.

I domskälen konstaterade Arbetsdomstolen först att det med hänsyn till den bedrivna verksamhetens art var en given utgångs-

172

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

punkt att bolaget hade ett mycket starkt intresse av att inga chaufförer var påverkade av narkotika eller andra droger, och därmed även att chaufförerna medverkade till de drogtester som utfördes i enlighet med drogpolicyn på företaget.

Domstolen framhöll emellertid att busschauffören under de senaste två åren skött sina åtaganden utan anmärkningar och att det inte kunde uteslutas att busschaufförens vägran inte berodde på missbruk utan på ”stundens ingivelse”. Av dessa skäl hade det enligt Arbetsdomstolens mening varit motiverat med ytterligare utredning från arbetsgivarens sida innan en uppsägning kunnat komma till stånd. Busschauffören borde ha getts tillfälle att i enlighet med den tillämpade drogpolicyn medverka i utredning och eventuell erforderlig rehabilitering. Domstolen kom därför till slut- satsen att uppsägningen inte varit sakligt motiverad och förklarade att uppsägningen var ogiltig.

6.11Regleringen av medicinska undersökningar i de nordiska länderna

Norge

I den norska arbetsmiljölagens kapitel om kontrollåtgärder i verk- samheten9 finns dels en bestämmelse om inhämtande av hälsoupplysning vid anställning, dels en bestämmelse om medicinska undersökningar av arbetstagare och arbetssökande.

I den förstnämnda bestämmelsen föreskrivs att en arbetsgivare i samband med utlysning av en tjänst eller på annat sätt inte får begära att sökande ska lämna andra hälsoupplysningar om sig själva än sådana som är nödvändiga för att utföra de arbetsuppgifter som ingår i anställningen. Arbetsgivaren får heller inte vidta åtgärder för att inhämta hälsoupplysningar på annat sätt. I kravet på nöd- vändighet ligger enligt förarbetena att det är endast strängt sakliga syften som får tillvaratas.

Både den bakomliggande utredningen (Arbeidslivslovutvalget) och regeringen behandlade frågan om arbetssökandes samtycke skulle kunna utgöra en självständig grund för att inhämta nämnda upplysningar. De ansåg emellertid samstämmigt att en arbets- sökande ofta torde uppleva en tvångssituation och att ett samtycke

9 LOV 2005-06-17 nr 62: Lov om arbeidsmiljö, arbeidstid og stillingsvern mv. (arbeidsmiljøloven).

173

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

därför skulle framstå som mer eller mindre illusoriskt. Samtycke tilläts därför inte utgöra en självständig grund för arbetsgivarens möjlighet att inhämta upplysningarna i fråga.

I bestämmelsen om medicinska undersökningar anges uttömmande under tre punkter när en arbetsgivare kan kräva att medicinska undersökningar ska genomföras, nämligen när det följer av lag eller föreskrift, vid tjänster som innebär särskild risk eller när arbetsgivaren anser det nödvändigt för att skydda liv och hälsa. Samtycke kan inte ge grund för undersökningar utöver vad som anges i paragrafen. Med medicinska undersökningar avses även drogtest.

Danmark

Den danska lagen – lov om brug af helbredsoplysninger m.v. på arbejdsmarkedet10 – har till syfte att säkerställa att hälsouppgifter inte används för att begränsa arbetstagares möjligheter att få och behålla en anställning. Som huvudregel gäller att en arbetsgivare i samband med eller under anställning bara får begära sådana upp- gifter om syftet med detta är att få klarlagt om arbetstagaren lider eller har lidit av en sjukdom eller har haft symptom på en sjukdom som kan ha en väsentlig betydelse för dennes arbetsförmåga i det aktuella arbetet. Undersökningar som inte har till syfte att inhämta information om en persons sjukdom eller symptom på sjukdom omfattas inte av lagen. Alkohol- eller andra drogtester i kontrollerande syfte omfattas därför inte av lagen.

Lagen förbjuder uttryckligen arbetsgivaren att inhämta eller använda hälsouppgifter som rör arbetstagarens risk för att utveckla eller få en sjukdom. En arbetsgivare kan t.ex. inte begära en HIV- test för att värdera risken för att arbetstagaren ska utveckla AIDS.

Arbetstagaren har vidare en skyldighet att i samband med anställningen självmant eller på fråga informera arbetsgivaren om huruvida han eller hon lider av eller har symptom på en sjukdom som kan ha väsentlig betydelse för arbetsförmågan i det aktuella arbetet.

En begäran om undersökning ska genom arbetstagaren och efter arbetstagarens val överlämnas till den läkare som arbetstagaren vanligen besöker eller till en sakkunnig vid den företagshälsovård till vilken arbetsgivarens verksamhet är knuten. Resultatet av

10 Kap. 9 LOV nr 286 af 24/04/1996.

174

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

undersökningen ska överlämnas till arbetstagaren. Innan en hälso- undersökning genomförs ska den som utför undersökningen för- säkra sig om att arbetstagaren är både skriftligt och muntligt informerad om bl.a. undersökningens ändamål, art och metod.

Lagen medger också att kollektivavtal ingås om möjlighet att inhämta upplysningar om arbetstagares hälsotillstånd. En förut- sättning härför är att detta är nödvändigt för att tillgodose väsentliga ändamål i verksamheten. Om något kollektivavtal inte kan träffas kan arbetsministern, förutsatt att väsentlighetskriteriet är uppfyllt, ge tillstånd till att upplysningarna inhämtas.

Finland

Den finska lagen om integritetsskydd i arbetslivet, som kompletterar den finska personuppgiftslagen och som har ett vidare tillämpningsområde än den lagen då den även omfattar alla dokumenterade uppgifter, innehåller såvitt här är av intresse, bl.a. en bestämmelse som reglerar behandling av uppgifter om hälsotill- stånd.

Enligt denna bestämmelse får arbetsgivaren behandla uppgifter om arbetstagarens hälsotillstånd endast om arbetstagaren själv har tillställt arbetsgivaren uppgifterna eller om arbetstagaren har gett skriftligt samtycke till att överlåta sådana uppgifter åt arbetsgivaren. För att behandling ska vara tillåten krävs dessutom att uppgifterna behövs för att utbetala lön under sjukdomstid eller motsvarande förmåner, för utredning om det finns grundad anled- ning till frånvaro från arbetet eller om arbetstagaren själv uttryckligen önskar att hans eller hennes arbetsförmåga utreds på basis av uppgifterna om hälsotillstånd. Arbetsgivaren har dessutom rätt att behandla nämnda uppgifter i sådana situationer och i sådan omfattning som bestäms någon annanstans i lag.

Uppgifter om hälsotillstånd får endast behandlas av personer som bereder, fattar eller verkställer beslut i ett anställnings- förhållande. Dessa personer har tystnadsplikt som gäller även efter avslutad anställning.

Vidare finns ett antal bestämmelser i den nya lagen som avser behandling av uppgifter om narkotikabruk. Det är inte fråga om regler om den egentliga narkotikatestningen utan endast om arbetsgivarens rätt att behandla uppgifter som ingår i ett intyg över ett narkotikatest.

175

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

Där föreskrivs till att börja med att arbetsgivaren endast får behandla sådana testuppgifter om arbetstagares narkotikabruk som ingår i ett intyg över narkotikatest som arbetstagaren tillställt arbetsgivaren. Det är således alltid arbetstagaren som avgör om arbetsgivaren ska tillställas intyget. Med intyg avses ett intyg av en yrkesutbildad person inom hälso- och sjukvården och ett laboratorium som anvisats av arbetsgivaren.

Intyget får endast innehålla uppgift om att arbetstagaren har genomgått narkotikatest och en redogörelse för om arbetstagaren använt narkotika för andra ändamål än medicinska på ett sätt som försämrar hans eller hennes arbets- eller funktionsförmåga.

Vad gäller intyg över narkotikatest vid anställning så har arbets- givaren rätt att begära att den som valts till ett uppdrag ska visa ett intyg över narkotikatest. För rätt att behandla narkotikatestet i fråga ska två grupper av förutsättningar vara uppfyllda. Den ena gruppen avser krav som på grund av arbetsuppgiften ställs på den som valts, den andra de sannolika verkningarna om uppgiften sköts under påverkan av narkotika.

Ett intyg kan begäras om avsikten är att arbetssökanden ska ha sådana arbetsuppgifter som förutsätter noggrannhet, tillförlitlighet, självständig omdömesförmåga eller god reaktionsförmåga och utförandet av uppgifterna under påverkan av narkotika eller beroende av narkotika kan

1.äventyra arbetstagarens eller andras liv, hälsa eller arbetarskydd,

2.äventyra landets försvar eller statens säkerhet,

3.äventyra trafiksäkerheten,

4.öka risken för betydande miljöskador,

5.äventyra skyddet, användbarheten, integriteten, och kvaliteten i fråga om uppgifter som erhållits i arbetet och därmed orsaka olägenhet eller skada för de allmänna intressen som skyddas av sekretessbestämmelserna eller äventyra de registrerades integri- tetsskydd eller rättigheter,

6.äventyra affärs- eller yrkeshemlighet eller orsaka arbetsgivaren eller dennes kund ekonomisk skada som är större än ringa, om äventyrandet av affärs- eller yrkeshemligheten eller uppkomsten av en ekonomisk risk inte kan förhindras på något annat sätt.

176

SOU 2009:44

Medicinska undersökningar – gällande regler och praxis

Härutöver kan ett intyg över narkotikatest begäras i ytterligare några situationer. Det gäller tre typer av situationer där särskild personlig tillförlitlighet förutsätts av arbetstagaren. Exempel på sådana situationer är att arbetssökande ska utföra uppgifter i någon annans hem och handhar nycklar till hemmet, att arbetssökande sköter minderåriga barn utan att andra personer närvarar resp. att arbetssökanden ska ha arbetsuppgifter med självständigt och oövervakat tillträde till narkotika (dvs. arbetsuppgifter vid exempelvis läkemedelslager, hos polisen eller tullen.)

De ovan redovisade förutsättningarna som tar sikte på situationen när en person ska anställas gäller även när arbetsupp- gifterna för redan anställd personal förändras så att de angivna kriterierna för arbetsgivarens rätt att behandla uppgifter i intyget uppfylls.

Medan ett anställningsförhållande pågår kan arbetsgivaren kräva att arbetstagaren visar upp ett intyg över narkotikatest om arbets- givaren har grundad anledning att misstänka att arbetstagaren är narkotikapåverkad i arbetet eller är beroende av narkotika och, om testning är nödvändig för att utreda hans eller hennes arbetsför- måga och arbetstagaren har ett arbete som kräver särskild nog- grannhet, tillförlitlighet, självständighet, omdömesförmåga, god reaktionsförmåga och det, om arbetsuppgifterna utförs under narkotikapåverkan eller vid narkotikaberoende, kan föranleda vad som angivits i punkterna 1–6 ovan. Dock har kravet skärpts så att det ska vara fråga om att allvarligt äventyra eller avsevärt öka risken för de konsekvenser som anges i 1–5 och att det ska vara fråga om betydande ekonomisk skada i punkten 6.

Dessutom har den situation lagts till, när fråga är om en pågående anställning, att det beskrivna förhållandet avsevärt kan öka risken för olaga handel och spridning av ämnen som avses i narkotikalagen.

I lagen åläggs arbetsgivaren skyldighet att i samband med ett ansökningsförfarande underrätta en arbetssökande innan avtal ingås, eller en redan anställd innan arbetsvillkoren ändras, att det är fråga om en arbetsuppgift där ett narkotikaintyg begärs.

Arbetsgivaren har också rätt att behandla uppgifter i intyget om arbetstagaren på basis av ett positivt resultat förbundit sig till vård på grund av narkotikamissbruk och behandlingen av uppgifterna i intyget hänför sig till övervakning av vården.

177

Medicinska undersökningar – gällande regler och praxis

SOU 2009:44

Bestämmelserna om narkotikatest i lagen om integritetsskydd i arbetslivet utgör inte något hinder mot att narkotikatest utförs av företagshälsovården som en del av en hälsoundersökning med stöd av bestämmelser i lagen om företagshälsovård eller motsvarande bestämmelser.

I lagen erinras också om skyldigheten enligt lagen om företags- hälsovård för arbetsgivaren att i samarbete med personalen utarbeta ett skriftligt antidrogprogram. Ett sådant program är en förutsätt- ning för att ett narkotikatest ska kunna utföras.

För utförande av kontroller och test som gäller arbetstagarens hälsa samt för provtagningar ska yrkesutbildade personer inom hälso- och sjukvården, personer med behörig laboratorieutbildning och hälso- och sjukvårdstjänster anlitas. Detta gäller även alkohol- och narkotikatest.

I sammanhanget kan nämnas att man i Finland i anslutning till bestämmelserna om narkotikatest i lagen om integritetsskydd i arbetslivet och lagen om företagshälsovård har utfärdat förord- ningen om utförande av narkotikatester (218/2005). Man har också utarbetat en anvisning som beskriver god praxis för narkotikatest- ning i arbetslivet; Narkotikatestning i arbetslivet, Social- och hälso- vårdsministeriets publikationer 2006:3, se även avsnitt 12.8.

178

7Regleringen i andra nordiska länder

7.1Finland

I Finland är privatlivet och den personliga integriteten skyddade i grundlag. Inskränkningar i dessa rättigheter måste därför ske genom lag.

Allmänt

År 2001 antogs lagen om integritetsskydd i arbetslivet. Genom lagen kompletterades bestämmelserna i den finska personuppgifts- lagen så att de lämpade sig för de speciella behoven inom arbets- livet. Redan när lagen antogs förutsatte emellertid den finska riks- dagen att regeringen skulle förbereda förslag till lagstiftning avseende vissa ytterligare företeelser inom arbetslivet. Regeringen återkom år 2003 med förslag till utökade bestämmelser.1 En ny lag om integritetsskydd i arbetslivet2 som ersatte den tidigare lagen antogs och trädde i kraft den 1 oktober 2004. Sakinnehållet i de tidigare bestämmelserna ändrades inte men väl lagens struktur och den kompletterades med ytterligare bestämmelser.

Syftet med lagen anges vara att i arbetslivet genomföra de grundläggande fri- och rättigheter som tryggar skyddet för privat- livet och övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten. Den gäller arbetstagare och i tillämpliga delar även arbetssökande.

1RP 162/2003 rd.

2Lagen om integritetsskydd i arbetslivet 13.8.2004/759.

179

Regleringen i andra nordiska länder

SOU 2009:44

Grundläggande krav

I lagen uppställs ett grundläggande relevanskrav. Arbetsgivaren får behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens anställningsförhållande. Relevanskravet kan inte åsidosättas genom arbetstagarens samtycke.

Vidare föreskrivs att arbetsgivaren i första hand ska samla in personuppgifter från arbetstagaren själv. Om uppgifterna inhämtas från annat håll ska som huvudregel arbetstagarens samtycke inhämtas.

Samarbetsförfarande

Enligt lagen omfattas insamling av personuppgifter när någon anställs eller under ett pågående anställningsförhållande av s.k. samarbetsförfarande. Detta förfarande innebär att arbetsgivaren måste förhandla med arbetstagarrepresentanter bl.a. när beslut fattas om att ta i bruk nya personuppgiftssystem och om övriga uppgifter som ska insamlas inklusive de uppgifter som kan fås fram genom olika test. Det grundläggande relevanskravet kan emellertid inte åsidosättas genom avtal.

Kreditupplysningar

Från och med den 1 september 2008 gäller en särskild bestämmelse om behandling av kreditupplysningar. Enligt denna har en arbets- givare rätt att få tillgång till och använda personkreditupplysningar om en arbetssökande som valts till en uppgift, om arbetsuppgiften kräver särskild tillförlitlighet och är av i lagen närmare angivet slag. Motsvarande gäller om en arbetstagares arbetsuppgifter ändras under anställningsförhållandet så att de uppfyller dessa villkor.

Uppgifter om hälsa m.m.

I en särskild bestämmelse i lagen regleras användandet av person- och lämplighetstest, se närmare om denna bestämmelse i avsnitt 14.

Lagen innehåller som tidigare framgått bestämmelser som reglerar behandling av uppgifter om hälsotillstånd och narkotika- bruk. Dessa bestämmelser har beskrivits i avsnitt 6 och tas därför

180

SOU 2009:44

Regleringen i andra nordiska länder

inte upp här. För utförande av kontroller och test som gäller arbetstagarens hälsa samt för provtagningar ska enligt lagen yrkes- utbildade personer inom hälso- och sjukvården, personer med behörig laboratorieutbildning och hälso- och sjukvårdstjänster anlitas. Detta gäller även alkohol- och narkotikatest.

Lagen innehåller också ett förbud för en arbetsgivare att kräva deltagande i en genetisk undersökning. Arbetsgivaren har heller inte rätt att få veta om arbetstagaren genomgått en genetisk under- sökning.

Kameraövervakning

I lagen finns bestämmelser om kameraövervakning. Dessa reglerar förutsättningarna för och krav på öppenhet vid övervakningen.

Enligt huvudregeln får arbetsgivaren i sina lokaler genomföra övervakning med hjälp av en teknisk anordning som fortlöpande förmedlar eller tar upp bilder i syfte att

trygga den personliga säkerheten för arbetstagare och andra som vistas i lokalerna,

skydda egendom eller övervaka att produktionsprocesser fungerar, och

för att förhindra och utreda situationer som äventyrar säker- heten, egendom, eller produktionsprocesser.

Kameraövervakning får dock inte användas för observation av en viss arbetstagare eller vissa arbetstagare på arbetsplatsen. Det får inte heller finnas kameraövervakning på toaletter, i omklädnings- rum eller på andra motsvarande platser eller i andra personalut- rymmen eller i arbetsrum som anvisats för arbetstagares personliga bruk. Om observation är nödvändig för vissa i lagen särskilt angivna syften får dock arbetsgivaren rikta kameraövervakning mot ett visst arbetsställe.

E-post

Lagen innehåller även bestämmelser om hämtning och öppnande av arbetstagares elektroniska post. Syftet med reglerna är att sekretessen i fråga om arbetstagarens e-post inte ska äventyras

181

Regleringen i andra nordiska länder

SOU 2009:44

samtidigt som arbetsgivaren ska kunna få tillgång till meddelanden som tillhör arbetsgivaren och som är nödvändiga för verksamheten även vid arbetstagares frånvaro.

Arbetsgivaren har således på basis av uppgift om avsändare, mottagare och rubrik rätt att ta reda på om arbetstagaren i sin från- varo eller omedelbart dessförinnan har skickat eller mottagit med- delanden som hör till arbetsgivaren och som det är nödvändigt att arbetsgivaren får vetskap om för att kunna slutföra förhandlingar, betjäna kunder eller i övrigt trygga sina funktioner. För att hämta meddelanden måste dessutom vissa ytterligare i lagen angivna för- utsättningar vara uppfyllda.

För att, utan samtycke från arbetstagaren, få hämta eller öppna meddelanden som arbetstagare tagit emot eller skickat måste arbetsgivaren dessförinnan ha fullgjort sin omsorgsplikt. Denna plikt innebär att arbetsgivaren måste skydda meddelanden som arbetstagaren under eget namn tagit emot och skickat genom att arbetstagaren har tillgång till en automatisk funktion för frånvaro- meddelanden eller vidarebefordran eller att arbetstagaren kan utse annan person som godkänts av arbetsgivaren för att utreda om mottagen e-post är avsedd för arbetsgivaren.

Rätten att hämta meddelanden kan användas endast med hjälp av systemadministratören. Vidare ska en skriftlig rapport om hämtningen av meddelanden ges till arbetstagaren.

Ett meddelande får efter hämtning öppnas endast om det på basis av nämnda rapport är uppenbart att det klart hör till arbets- givaren och uppfyller kriterierna ovan. Dessutom förutsätts att man utan resultat försöker få kontakt med avsändaren eller mottagaren för att få reda på meddelandets innehåll. Öppnandet får ske med hjälp av systemadministratören och i närvaro av en annan person. Uppgifter om meddelandets innehåll får inte behandlas i större omfattning än vad som är nödvändigt för syftet med hämt- ningen. En rapport ska också utarbetas varav det bl.a. framgår vilket meddelande som öppnats, varför det öppnats och av vem.

Tillsyn och påföljder

Tillsynen över lagens efterlevnad utövas av arbetarskyddsmyndig- heterna tillsammans med dataombudsmannen. Lagen ska hållas till- gänglig för arbetstagarna på arbetsplatserna.

182

SOU 2009:44

Regleringen i andra nordiska länder

Påföljden för överträdelser av bestämmelser i lagen är böter för brott mot lagen om integritetsskydd i arbetslivet om inte strängare straff för gärningen föreskrivs någon annanstans.

7.2Norge

Allmänt

I Norge intogs bestämmelser som rör kontrollåtgärder gentemot arbetstagare i ett särskilt kapitel (kap. 9) i den nya norska arbetsmiljö- lagen, Lov 2005-06-17 nr 62: Lov om arbeidsmiljø, arbetstid og stillingsvern mv. – arbeidsmijøloven. 3

Villkor för kontrollåtgärd

I den inledande generella bestämmelsen, som utgör en kodifiering av norsk rätt såsom den utvecklats genom praxis och kollektivavtal, anges som villkor för att en arbetsgivare ska kunna genomföra kontrollåtgärder gentemot arbetstagare att åtgärden har saklig grund i verksamhetens förhållande och att den inte innebär en oproportionerlig belastning för arbetstagaren (§ 9–1). Kontroll- möjligheten kan vara reglerad i annan lag. Enligt förarbetena kompletteras och begränsas kontrollmöjligheterna av sådana be- stämmelser. Vidare kan i det enskilda fallet kollektivavtal, arbets- avtal och arbetsreglemente innehålla bestämmelser av betydelse för möjligheten att genomföra åtgärden. Däri kan t.ex. anges att åtgärden ska genomföras på visst sätt. Sådana bestämmelser kan således verka preciserande eller avgränsande för möjligheten att använda åtgärden.

Vad gäller skönsmomentet i bestämmelsen sägs i förarbetena att arbetsrättens och allmänna domstolars praxis får utgöra utgångs- punkt liksom utländska avgöranden; framför allt kan dansk och svensk domstolspraxis ha relevans. De generella villkoren för när en kontrollåtgärd ska vara möjlig att genomföra kan inte sättas ur spel av parterna t.ex. genom samtycke, anställningsavtal eller kollektivavtal.

Kravet på saklig grund inbegriper en rad förhållanden som inte kan anges uttömmande. I förarbetena nämns emellertid att såväl

3 Förslaget lades fram i Ot.prp. nr 49 (2004–2005) och byggde på betänkandet NOU 2004:5.

183

Regleringen i andra nordiska länder

SOU 2009:44

teknologiska och ekonomiska som säkerhets-, arbetsmiljö- och hälsomässiga förhållanden ska kunna utgöra grund för åtgärden liksom särskilda samhälleliga hänsyn som måste beaktas i verksam- heten.

Saklighetskravet innebär dels att det måste föreligga ett sakligt ändamål som är förankrat i verksamheten som sådan, dels att det måste föreligga saklig grund i förhållande till den enskilda arbetsta- garen. Villkoret om saklig grund innebär också ett krav på fortlöpande saklighet; dvs. att kontrollåtgärden måste upphöra när behov inte längre finns. Saklighetsvillkoret innebär också ett för- bud mot osaklig särbehandling av arbetstagare eller grupper av arbetstagare i samband med kontrollåtgärd.

Enligt förarbetena måste vidare vid bedömning av proportio- nalitetskravet hänsyn tas inte bara till den enskilda åtgärden utan till summan av åtgärderna. Andra faktorer som har betydelse vid bedömningen av om proportionalitetskravet är uppfyllt är åtgärdens syfte (hur tungt vägande verksamhetens behov är), kontrollens art, hur den praktiskt ska genomföras, vilka ingrepp i den personliga integriteten det är fråga om, huruvida centrala integritetsskyddande åtgärder vidtagits genom godtagbara metoder som garanterar säkra resultat, i vilken grad arbetsgivaren säkrat begränsad tillgång till data som framkommer. Om åtgärden medför icke obetydliga ingrepp i rättigheter som personlig integritet, värdighet, privatlivets fred, kroppslig okränkbarhet torde villkoren endast undantagsvis vara uppfyllda. Motsatsvis gäller att det ska mycket till för att mer traditionella kontrollåtgärder i arbetslivet som t.ex. tidsregistrering, produktions- och resultatkontroll, kontroll vid misstänkta fall av straffbara gärningar inte ska uppfylla kravet på proportionalitet.

Samråd, information och utvärdering

Lagen innehåller också en bestämmelse om samråd, information och utvärdering av kontrollåtgärder (§ 9–2). I bestämmelsen före- skrivs att arbetsgivaren så tidigt som möjligt ska samråda om behov, utformning, genomförande och väsentlig ändring av kon- trollmöjligheter med arbetstagarnas förtroendevalda. Vidare ska arbetsgivaren innan åtgärden börjar användas ge berörda arbetstagare information om syftet och praktiska konsekvenser av åtgärden och dess tänkta varaktighet.

184

SOU 2009:44

Regleringen i andra nordiska länder

Informationsplikten gäller enligt förarbetena oavsett om det finns förtroendevalda i verksamheten. Avsikten är inte att enskilda kontroller t.ex. en väskkontroll ska bli föremål för samråd men kontrollåtgärden som sådan förutsätts ha varit föremål för samråd. Bestämmelsen innehåller också ett krav på en regelbunden utvärde- ring av åtgärden.

Inhämtande av hälsoupplysningar och medicinska undersökningar

I lagen regleras också genom särskilda bestämmelser dels inhämtande av hälsoupplysningar vid anställning, dels medicinska undersökningar (§ 9–3 och § 9–4) Innehållet i dessa bestämmelser har närmare redovisats i avsnitt 6.

Kontroll av e-post

Lagen har numera också kompletterats med en bestämmelse (§ 9-5), vari erinras om att arbetsgivares rätt till insyn i e-post regleras i personupplysningsföreskriften. Enligt huvudregeln har en arbetsgivare bara rätt till insyn i anställdas e-post när det är nöd- vändigt för verksamhetens dagliga drift eller andra berättigade intressen eller när det finns en grundad misstanke om att arbets- tagaren använder e-posten på ett sätt som innebär ett grovt brott mot arbetsförhållandet. Arbetsgivaren ska i varje enskilt fall göra en behovs- och proportionalitetsprövning av kontrollåtgärden innan den vidtas. Föreskriften innehåller också regler om krav på infor- mation och om genomförandeproceduren.

Tillsyn

Arbeidstilsynet utövar tillsyn över lagens efterlevnad. När särskild expertkunskap är nödvändig kan Arbeidtilsynet utse sakkunnig för att genomföra kontroll och undersökningar på Arbeidstilsynets vägnar.

185

Överväganden

8 Allmänna utgångspunkter

Av våra utredningsdirektiv följer, som vi redan nämnt, att vi ska lämna förslag till lagreglering om skydd för den personliga integri- teten i arbetslivet. När skyddet för den personliga integriteten diskuteras uppkommer ofta frågan vad som egentligen avses med själva begreppet personlig integritet. Vi inleder därför detta avsnitt med att närmare redogöra för detta begrepp.

8.1Begreppet personlig integritet

8.1.1Allmänt om begreppet personlig integritet

Termen personlig integritet är inte på något sätt allenarådande, utan en mängd andra uttryck förekommer såsom t.ex. ”privatlivets fred”,1 ”rätt till respekt för privat- och familjeliv, sitt hem och sin korrespondens”,2 ”rätt till respekt för privat- och familjeliv samt hem och egna personuppgifter”,3 ”rätt till integritet” och ”vars och ens privatliv, heder och hemfrid är tryggad”4. Trots att dessa uttryck används med något varierande innebörd, har de också många gånger i väsentliga delar överlappande syftning. I den angloamerikanska diskussionen används dessutom i allmänhet termen ”privacy”. Det hävdas ibland att det uttrycket har en något vidare syftning än vad som i Sverige vanligtvis anses innefattas i begreppet personlig integ- ritet.5

Slår man upp ordet integritet i Svenska Akademiens ordlista beskrivs det som orubbat tillstånd, okränkbarhet och oberoende.

Av Nationalencyklopedin framgår att ordet integritet härstam- mar från latinets ”integritas” och står för orörd, hel, fullständig,

1Se SOU 1980:8.

2Artikel 8 i Europakonventionen.

3EU-stadgan.

42 kap. 7 och 10 §§ Finlands grundlag.

5Se t.ex. SOU 2007:22 s. 53.

189

Allmänna utgångspunkter

SOU 2009:44

oförvitlig och hederlig. I Nationalencyklopedin ges ordet fyra olika betydelser. Den betydelse som här är av särskilt intresse innebär rätten att få sin personliga egenart och inre sfär respekterad samt att inte utsättas för personligen störande ingrepp (personlig integritet).

Datainspektionen ger på sin hemsida följande beskrivning av begreppet personlig integritet.

Det finns ingen allmänt vedertagen definition, integritet är en inre egenskap, som är olika hos olika individer. ”Rätten att få vara i fred” är en vanlig tolkning. ”Rätten att få sin personliga egenart och inre sfär respekterad och inte utsättas för kränkande behandling” är en annan.

Det har under årens lopp i olika sammanhang lagts ner förhållande- vis stor möda på att försöka avgränsa, definiera och närmare beskriva vad som menas med uttrycket personlig integritet och andra närliggande uttryck. Vi har inte för avsikt att här göra någon allmän översikt om vad som sagts om begreppet. Vi vill i stället hänvisa till Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten – Kartläggning och analys (SOU 2007:22) och framför allt avsnitt 2.2.

Det kan anföras att det i stort sett är omöjligt att åstadkomma en entydig och allmänt accepterad definition av uttrycket personlig integritet eller andra liknande uttryck som används i diskussionen. Rätten till personlig integritet ses i allmänhet som en grund- läggande mänsklig rättighet och frihet. Det medför att alla försök att definiera uttrycket personlig integritet kräver ställningstaganden i grundläggande moralfilosofiska och rättsteoretiska frågor, såsom t.ex. vad en rättighet är, vad det är som ger rättigheter dess giltighet och, framför allt, hur olika rättigheter ska förhålla sig till varandra vid normkonflikter. Såväl moralfilosofin som rättsteorin har en mycket lång historia där den förda diskussionen successivt har lett till ökad medvetenhet om olika problemställningar och perspektiv. Där- igenom har också under årens lopp många olika – men långt ifrån invändningsfria – svar på bl.a. de nyss nämnda grundläggande filosofiska och rättsteoretiska frågorna kunnat lanseras.

190

SOU 2009:44

Allmänna utgångspunkter

8.1.2Begreppet personlig integritet i förhållande till Europakonventionen

Rätt till skydd för privat- och familjeliv

I Europakonventionen används inte begreppet personlig integritet. Konventionen ger emellertid ett skydd mot olika former av intrång i den enskildes personliga sfär, framför allt genom artikel 8.

Artikel 8 – Rätt till skydd för privat- och familjeliv

1.Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2.Offentlig myndighet får inte inskränka åtnjutande av denna rättig- het annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I kommentarer till Europakonventionen och den praxis som har utbildats vid dess tillämpning framhålls ofta i anslutning till artikel 8 att rätten till respekt för privatlivet är en svårdefinierad rättighet med flera aspekter.6 Många olika företeelser kan, om man så vill, hänföras till privatlivet. Det är först genom rättspraxis som begreppet rätten till respekt för privatlivet kan få en något så när tydlig avgränsning. Vid sidan av rätten till respekt för privatlivet skyddar artikel 8 också rätten till respekt för familjelivet samt för hem och korrespondens. Dessa rättigheter är nära förbundna med varandra och kan ofta inte särskiljas, t.ex. kan telefonavlyssning eller kontroll av e-post på olika sätt komma att beröra alla nu nämnda rättigheter.

Därtill kommer att artikel 8 kan ses som något av en slasktratt som i flera avseenden fångar upp sådana förfaranden och företeelser som inte omfattas av andra bestämmelser i Europakonventionen. Artikel 8 tillämpas således inte på sådana företeelser som omfattas av konventionens mer speciella bestämmelser, t.ex. skyddet mot tortyr och omänsklig eller förnedrande behandling (artikel 3) och frihetsberövande (artikel 5). Av systematiska skäl utgör därför bestämmelsen i artikel 8 den nedre gränsen för vad som kan sägas vara Europakonventionens skyddsområde i fråga om olika former

6 Se t.ex. Hans Danelius, Mänskliga rättigheter i europeisk praxis, 3 upplagan, 2007, s. 301 f och Pieter van Dijk m.fl. Theory and Practice of the European Convention on Human Rights, 4 upplagan, 2006, s. 664 f.

191

Allmänna utgångspunkter

SOU 2009:44

av intrång i den enskildes privata sfär. Samtidigt utgör artikel 8 också i väsentliga delar den överordnade norm under vilken Europarådet har antagit flera andra och mer specifika konventioner och rekommendationer, såsom t.ex. dataskyddskonventionen och den särskilda rekommendationen om skydd för personuppgifter som används för anställningsändamål.7 Det kan noteras att i dessa texter används begreppet privacy, vilket i svenska lagförarbeten (se prop. 1981/82:189 s. 187 f och SOU 1993:10 s. 87 f) har översatts till personlig integritet. I dokument som har antagits i anslutning till rekommendationen uttalas vidare att begreppet privacy/personlig integritet inte bara ska tolkas som en rätt att slippa oberättigade intrång i det dagliga arbetet, utan särskilt tar sikte på att skydda individens privatliv i samband med behandling av personuppgifter.

I allmänhet systematiseras de mänskliga rättigheterna genom att man gör skillnad mellan å ena sidan de mer traditionella mänskliga rättigheterna, ofta benämnda som medborgerliga och politiska rättigheter, och å andra sidan olika sociala, ekonomiska och kultur- ella rättigheter. Europakonventionen skyddar i princip bara de medborgerliga och politiska rättigheterna. När det gäller artikel 8 har rättsutvecklingen dock inneburit att skyddet numera i viss utsträckning omfattar även vad som normalt betecknas som sociala och ekonomiska rättigheter. Europadomstolen har t.ex. funnit att det förhållandet att f.d. KGB-anställda var uteslutna från statliga tjänster och funktioner utgjorde en kränkning av rätten till respekt för privatlivet. Enligt domstolen innebar det påtalade förhållandet påtagliga begränsningar i sökandenas möjligheter att utöva olika professionella aktiviteter. Det innebar att deras möjligheter till socialt samspel med andra människor och till att över huvud taget kunna förtjäna sitt uppehälle påtagligt försämrades. Dessa för- hållanden ansåg domstolen i målet mellan Sidabras m.fl. och Litauen den 27 juli 2004 vara tillräckliga för att utgöra ett ingrepp i rätten till respekt för privatlivet. I det målet påpekade domstolen också uttryckligen, med hänvisning till tidigare avgöranden, att det inte finns några vattentäta skott mellan de grundläggande mänskliga fri- och rättigheterna och de sociala och ekonomiska rättigheterna.

Europadomstolen har själv gett följande översikt beträffande tillämpningsområdet för artikel 8 i ett mål som avsåg rätten till dödshjälp.

7 Konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (nr 108) och Recommendation No. R (89) 2 of the Committe of Ministers to Member States on the Protection of Personal Data Used for Employment Purposes.

192

SOU 2009:44

Allmänna utgångspunkter

As the Court has had previous occasion to remark, the concept of ”private life” is a broad term not susceptible to exhaustive definition. It covers the physical and psychological integrity of a person (…). It can sometimes embrace aspects of an individual´s physical and social identity (…). Elements such as, for example, gender identification, name and sexual orientation and sexual life fall in the sphere protected by Article 8 (…). Article 8 also protects a right to personal develop- ment, and the right to establish and develop relationships with other human beings and the outside world (…). Though no previous case law has established any right to self-determination as being contained in Article 8 of the Convention as such, the Court considers that the notion of personal autonomy is an important principle underlying the interpretation of its guarantees.”8

Europadomstolen synes således förstå och tillämpa artikel 8 på så sätt att den rymmer olika former av rättigheter, bl.a. avseende den enskildes självbestämmande, privacy, identitet, integritet, utveckling, möjlighet att identifiera sig och samspela med andra individer och grupper av individer och många andra liknande företeelser som på ett eller annat sätt är knutna till den egna personligheten. Europa- domstolen förefaller också inte tveka inför att låta nya företeelser omfattas av rätten till privatliv, eller att flytta fram positionerna och på så sätt utvidga skyddsområdet för artikel 8, när den anser omständigheterna i det enskilda fallet vara sådana att det är befogat. Det förhållningssättet har i den svenska diskussionen ibland kritiserats som allt för expansivt och aktivistiskt.9

Begreppet personlig integritet eller andra liknande begrepp ryms således i princip inom det större begreppet rätten till privatliv. Vid tillämpningen av Europakonventionens artikel 8 blir därför själv- fallet inte frågan om vad som menas med begreppet personlig integritet särskilt intressant. Det som från konventionens utgångs- punkter är intressant är i stället hur en viss företeelse förhåller sig till begreppet rätten till respekt för privatlivet eller de andra begrepp som används i artikel 8.

8Europadomstolens dom den 29 april 2002 i målet mellan Pretty och Storbritannien

(domstolens hänvisningar till andra avgöranden har utelämnats).

9Se t.ex. Göran Lambertz kritik av Europadomstolens avgörande i målet mellan von Hannover och Tyskland den 24 juni 2004 i SvJT 2007 s. 822 f.

193

Allmänna utgångspunkter

SOU 2009:44

Individens självbestämmande

En generell iakttagelse är att, vid bedömningen av om ett påtalat förfarande innebär en kränkning av någon av de rättigheter som ryms under artikel 8, Europadomstolen förefaller fästa särskilt avseende vid individens självbestämmande. Ett direkt uttryck för detta är t.ex. att fysiska ingrepp som sker med stöd av samtycke i princip inte omfattas av skyddet i artikel 8. Tvärtom kan det ofta anses stå i strid mot artikel 8, om staten genom lag eller på annat sätt förbjuder handlingar som innebär ingrepp i den kroppsliga integriteten men som utförs med den berörda personens samtycke. I det senare fallet kan dock ett förbud ofta vara legitimt enligt de förutsättningar som anges i andra punkten i artikel 8 och staten har här uppenbart ett stort utrymme att bestämma var gränsen ska gå. Vad som nu sagts borde i allt väsentligt gälla även för andra typer av ingrepp i rätten till respekt för privatlivet.

Även indirekt förefaller individens självbestämmande många gånger väga tungt när Europadomstolen bedömer frågor som rör rätten till respekt för privatlivet. Ett centralt och ofta återkom- mande moment i bedömningarna är nämligen vilka förväntningar den enskilde kan ha haft i det enskilda fallet på att rätten till respekt för privatlivet ska upprätthållas, eller, för att använda domstolens terminologi, ”a reasonable/legitimate expectation of privacy”.

I målen mellan Halford respektive Copland och Storbritannien den 27 maj 1997 respektive den 3 april 2007 som rörde kontroller av arbetstagares användning av telefon, e-post och Internet har Europadomstolen använt uttrycket ”a reasonable expectation …”. Grunden för att arbetstagarna i dessa fall ansågs ha haft ”a reasonable expectation …” var att dessa inte hade förvarnats om att övervakning och kontroller kunde äga rum. I målet mellan von Hannover och Tyskland av den 24 juni 2004 synes domstolen möjligen ha gått ett steg längre och talar i stället om ”a legitimate expectation …”. Den bakomliggande tanken bakom rekvisiten synes vara att det är en grundläggande förutsättning att individen känner till vilka spelregler som gäller för just den situation som han eller hon befinner sig i. Med sådan kunskap har individen en chans att anpassa sitt agerande, och på så sätt själv förfoga över den personliga information som delges andra.

Ett liknande resonemang återfinns i Europadomstolens av- görande i målet mellan Peck och Storbritannien den 28 januari

194

SOU 2009:44

Allmänna utgångspunkter

2003. I det målet var det fråga om en man som med hjälp av en kniv hade försökt begå självmord på allmän plats där det förekom kameraövervakning. Fotografier tagna av mannen i denna känsliga situation publicerades sedan av kommunen i syfte att illustrera nyttan med övervakning. Även på television förekom bilder från händelsen. Europadomstolen fann att spridningen av dessa bilder, utan mannens samtycke, var ett allvarligt ingrepp i hans rätt till respekt för privatlivet. I sina domskäl framhåller domstolen särskilt att mannen, som inte hade haft några invändningar mot kamera- övervakningen som sådan, rimligtvis inte hade kunnat förutse att bilder från händelsen skulle spridas i media. Även om det kan sättas i fråga om en person som försöker ta sitt liv över huvud taget är i stånd att anpassa sitt agerande utifrån kriteriet ”a reasonable expectation of privacy”, visar detta att domstolen fäster stort avseende vid att den berörda individen har klart för sig vilka spel- regler som gäller i den aktuella situationen.

Självfallet finns det situationer där det inte kan komma i fråga att låta den berörda individen känna till att övervakning eller kontroller förekommer, t.ex. åtgärder som vidtas i utredningssyfte av polisen eller säkerhetspolisen. Sådana åtgärder är ju normalt meningslösa om de är kända av den berörda individen. I sådana situationer råder det däremot ingen tvekan om att fråga är om ett ingrepp i de rättigheter som skyddas av artikel 8. Prövningen inriktas därför i stället på om ingreppet kan rättfärdigas med stöd av andra punkten i nämnda artikel.

Privatliv – arbetsliv

Från våra utgångspunkter kan en berättigad fråga vara om alla de företeelser som anges i våra direktiv där arbetsgivare kan övervaka eller kontrollera arbetstagare omfattas av skyddet enligt artikel 8. Det enkla svaret på den frågan är med all säkerhet ja. Många av de företeelser som anges i våra direktiv är sådana som har varit föremål för prövning av Europadomstolen, låt vara att det oftast inte har varit fråga om att pröva åtgärder som har vidtagits i anställnings- förhållanden. Det finns inte heller skäl att sätta i fråga att de före- teelser som inte har varit föremål för prövning inte skulle kunna förekomma i ett sådant sammanhang att de skulle kunna utgöra ett ingrepp i rätten till respekt för privatlivet. Det gäller inte minst

195

Allmänna utgångspunkter

SOU 2009:44

mot bakgrund av det breda tillämpningsområde som denna rättig- het har fått genom Europadomstolens rättsutveckling.

Den fråga som därmed inställer sig är om det vid tillämpningen av artikel 8 finns någon skiljelinje mellan privatlivet och arbetslivet. Ordalydelsen av artikel 8 kan ge intryck av att det finns just en sådan skiljelinje mellan privatlivet i mer inskränkt mening, dvs. vad som i normalt språkbruk vanligen avses med uttrycket privat eller privata förhållanden, och t.ex. arbetslivet eller andra mer publika och offentliga sammanhang. Den invändningen har också framförts i mål inför Europadomstolen. Domstolen har i avgörandet i målet mellan Niemitz och Tyskland den 16 december 1992 bl.a. uttalat följande.

The Court does not consider it possible or necessary to attempt an exhaustive definition of the notion of ”private life”. However, it would be too restrictive to limit the notion to an ”inner circle” in which the individual may live his own personal life as he chooses and to exclude therefrom entirely the outside world not encompassed within that circle. Respect for private life must also comprise to a certain degree the right to establish and develop relationships with other human beings.

There appears, furthermore, to be no reason of principle why this understanding of the notion of ”private life” should be taken to exclude activities of a professional or business nature since it is, after all, in the course of their working lives that the majority of people have a significant, if not the greatest, opportunity of developing relationships with the outside world. This view is supported by the fact that, as was rightly pointed out by the commission, it is not always possible to distinguish clearly which of an individual’s activities form part of his professional or business life and which do not. Thus, especially in the case of a person exercising a liberal profession, his work in that context may form part and parcel of his life to such a degree that it becomes impossible to know in what capacity he is acting at a given moment of time.

De nu citerade domskälen härrör visserligen från ett mål som avsåg husrannsakan på ett advokatkontor, men Europadomstolen har stött sig på dessa principer även i mål som direkt har avsett arbets- givares kontroller av arbetstagare.10 Man borde därför kunna dra den slutsatsen att Europadomstolen inte gör någon större skillnad mellan privatlivet i mer inskränkt mening och arbetslivet när det gäller bedömningen av om huruvida ett visst förfarande utgör ett intrång i rätten till respekt för privatlivet. Inte heller förefaller

10 Jfr t.ex. avgörandet av Europadomstolen i målet mellan Halford och Storbritannien.

196

SOU 2009:44

Allmänna utgångspunkter

Europadomstolen tillmäta frågan om huruvida staten i en viss situation har uppträtt i egenskap av det allmänna eller i egenskap av arbetsgivare någon avgörande betydelse.11

De slutsatser vi nu har dragit bygger dock alla på den förutsätt- ningen att det är staten som har vidtagit den åtgärd som utgör själva intrånget i rätten till respekt för privatlivet, dvs. för vårt vidkommande att det är staten som är den övervakade eller kontrollerade arbetstagarens arbetsgivare. Rättsläget blir betydligt mera oklart i situationer där så inte är fallet.

Rättsliga förhållanden mellan privata parter

Primärt innebär artikel 8, liksom övriga artiklar i Europakonven- tionen, en skyldighet för staten att avhålla sig från ingrepp i de skyddade rättigheterna. Sådana ingrepp består vanligen av åtgärder i enskilda fall, men kan likväl bestå i generella inskränkningar i människors frihet att själva forma sin tillvaro. Därtill kommer emellertid att artikel 8 i vissa fall kan ålägga staten att vidta positiva åtgärder för att skydda den enskildes privata sfär. Vad som i detta sammanhang i huvudsak kan förväntas av staten är att den utfärdar lagar och förordningar som ger ett tillfredsställande skydd för de enskildas privatliv, familjeliv, hem och korrespondens och att de rättsvårdande myndigheterna håller kontroll över att dessa lagar och förordningar respekteras, eller att det på annat sätt finns möjlighet att på rättslig väg genomdriva reglernas efterlevnad. Som beteckning för det förhållandet att Europakonventionen kan äga tillämpning på rättsliga förhållanden mellan privata parter och att brister i den nationella rätten kan åberopas mot stater i mål inför Europadomstolen brukar det tyska ordet ”drittwirkung” användas. Terminologin är emellertid inte konsekvent, utan ”drittwirkung” används även för att beteckna det förhållandet att Europakonven- tionen tillämpas i mål mellan privata parter. Eftersom privata parter inte kan vara svarande i mål inför Europadomstolen är detta emellertid en frågeställning som hör till den nationella rätten. Såvitt vi kunnat utröna har frågan om Europakonventionen kan ha ”drittwerkung” på rättsliga förhållanden mellan privata parter och

11 Jfr Annamaria J. Westregård, Integritetsfrågor i arbetslivet, 2002, s. 301 och där åberopade avgöranden från Europadomstolen. Det bör anmärkas att inget av dessa avgöranden avser tillämpningen av artikel 8 och vi har själva inte heller kunnat finna något avgörande där Europadomstolen har bedömt den nu aktuella frågan mot artikel 8.

197

Allmänna utgångspunkter

SOU 2009:44

som avsett artikel 8 och anställningsförhållanden inte prövats av Europadomstolen.

Det finns två fall där en privat arbetsgivares åtgärd att kräva att en arbetstagare ska underkasta sig drogtester har prövats av Europadomstolen, nämligen Europadomstolens beslut i målen mellan Madsen och Danmark respektive Wretlund och Sverige den 7 november 2002 respektive den 9 mars 2004. I de fallen prövades varken frågan om ”drittwerkung” eller, vilket kan vara värt att framhålla, om det över huvud taget var fråga om ett ingrepp i de rättigheter som skyddas av artikel 8. Domstolen konstaterade bara att under alla förhållanden uppfyllde åtgärderna de krav som ställs upp i andra punkten av artikel 8 och på den grunden togs aldrig ansökningarna upp till full sakprövning, dvs. förklarades vara ”inadmissible”.

Frågan har däremot prövats i många andra sammanhang, t.ex. i ett mål som avsåg fotografering av en offentlig person i vad som betecknades som privata sammanhang (avgörandet mellan von Hannover och Tyskland). I det målet uttalade domstolen, såvitt avser själva principfrågan, följande.

The Court reiterates that, although the object of Article 8 is essentially that of protecting the individual against arbitrary inter- ference by the public authorities, it does not merely compel the State to abstain from such interference: in addition to this primarily negative undertaking, there may be positive obligations inherent in an effective respect for private or family life. These obligations may involve the adoption of measures designed to secure respect for private life even in the sphere of the relations of individuals between them- selves (…). That also applies to the protection of a person’s picture against abuse by others.

The boundary between the State’s positive and negative obligations under this provision does not lend itself to precise definition. The applicable principles are, nonetheless, similar. In both contexts regard must be had to the fair balance that has to be struck between the competing interests of the individual and of the community as a whole: and in both contexts the State enjoys a certain margin of appreciation (…).

Principiellt sett förefaller det således inte spela någon större roll om målet avser statens negativa eller positiva förpliktelser enligt artikel 8. Däremot får man nog utgå från att det kräver en större tyngd i individens intresse av rätt till respekt för de rättigheter som ryms under artikel 8 för att det ska anses åligga staten en positiv förpliktelse, jämfört med den situationen att staten själv aktivt

198

SOU 2009:44

Allmänna utgångspunkter

agerar på sådant sätt att ingrepp sker.12 Såvitt avser statens positiva förpliktelser förefaller också en välgrundad gissning vara att Europadomstolen kommer att se betydligt strängare på fall där arbetsgivare övervakar och kontrollerar arbetstagare i situationer där dessa rimligen inte kan förvänta sig att så är fallet, jämfört med de situationer där arbetstagarna är fullt införstådda med att övervakning och kontroller sker och vad det är som rent faktiskt övervakas och kontrolleras. Vad gäller den senare situationen kan också noteras att Europadomstolen har godtagit Arbetsdomstolens tillämpning av den norm om att kontrollåtgärder inte får strida mot god sed på arbetsmarknaden i det s.k. Wretlundmålet som avsåg drogtester (se AD 1998 nr 97).

En annan reflektion i sammanhanget är att det förefaller vara betydligt enklare för staten att hävda utrymmet för ”a margin of appreciation” beträffande eventuella positiva förpliktelser för det fall frågan i någon form är föremål för reglering, eller i vart fall har varit föremål för konkreta överväganden i lagstiftningssammanhang.

Vi kan i detta sammanhang bara konstatera att det å ena sidan förefaller möjligt att hävda att det finns ett stort utrymme för att Europakonventionen ska kunna få betydelse för frågor som rör personlig integritet i arbetslivet. Å andra sidan är rättsläget, i brist på vägledande avgöranden från Europadomstolen, i många avse- enden oklart.

8.1.3Personlig integritet i arbetslivet

Uttalanden i litteraturen

Professor Reinhold Fahlbeck publicerade två artiklar om arbets- tagares personliga integritet under första hälften av 1990-talet.13 I den första av dessa artiklar beskrev Fahlbeck syftet med sitt arbete på följande sätt.

My aim is humble. I want to survey the land rather than explore at any great detail the many sensitive and delicate issues arising here.

Några år senare i samband med ett nordiskt arbetsrättsligt möte där bl.a. den personliga integriteten i arbetslivet diskuterades skrev professor Kent Källström att det från ett historiskt perspektiv kan

12Se t.ex. Andrew Clapham, Human Rights in the Private Sphere, 1993, s. 222.

13Båda artiklarna hade titeln Employee Privacy in Sweden och publicerades i JT 1991/92 s. 41 f och Comparative Labor Law Journal, 1995, s. 139 f.

199

Allmänna utgångspunkter

SOU 2009:44

te sig främmande att tala om skydd för arbetstagares personliga integritet.14 I äldre samhällen, där husbonde och tjänstefolk levde och bodde tillsammans, flöt privat- och arbetsliv ihop på ett sätt som gjorde det omöjligt att dra en skarp gräns mellan det privata och sociala livet. I det moderna arbetslivet hade emellertid utveck- lingen gått i sådan riktning att arbetsgivaren var tvungen att hantera en mängd uppgifter om arbetstagarna, vilket, enligt Kent Källström, aktualiserade frågor om arbetstagares personliga inte- gritet.

Kent Källströms utgångspunkt var att skyddet för den personliga integriteten i anställningsförhållanden kan sägas innebära preciserade regler för partsautonomin och balansen mellan anställningsavtalets parter. Integritetsfrågorna borde därför, enligt Kent Källström, inte bara ses som en fråga om mänskliga rättigheter, mänsklig värdighet och främjande av demokrati, utan också som en fråga om rimlig balans i avtalsförhållandet mellan arbetsgivare och arbetstagare. Därmed blev det också för Kent Källström naturligt att i fråga om arbetslivet göra en skillnad mellan den personliga integriteten och den professionella integriteten. Den personliga integriteten syftar främst till att skapa fria och självständiga individer som fritt kan delta i samhällslivet, medan den professionella integriteten i första hand syftar till att uppnå balans i avtalsförhållandet. Kent Källström synes därvidlag låta skiljelinjen mellan de olika inte- gritetsbegreppen vara beroende av uppgifternas karaktär: ”Den professionella integriteten kan avse uppgifter om en enskild arbetstagares yrkesmässiga förhållanden som inte är av strängt personlig karaktär men som ändå den enskilde arbetstagaren själv förfogar över”.

Utgångspunkten för Annamaria J. Westregårds avhandling Integritetsfrågor i arbetslivet som publicerades år 2002 är ett tydligt ”sfärmodell-tänkande”. Huvudsyftet med hennes avhandling är att utarbeta en intressentmodell som kan tjäna till att ge begreppet god sed på arbetsmarknaden ett innehåll i fråga om bedömningar av integritetskänsliga åtgärder. Annamaria J. Westregård betraktar integritet som en prima-facie rättighet, dvs. en välgrundad och giltig rättighet som i det enskilda fallet kan sättas ur spel om det finns motstående intressen som väger tyngre. Hon benämner individens krav på respekt för det som kan anses tillhöra dennes personliga sfär för individintegritet. För att klargöra vilka åtgärder i

14 Kent Källström, Arbetsgivarens kontroll – arbetstagarens integritet – Sverige.

200

SOU 2009:44

Allmänna utgångspunkter

arbetslivet som utgör intrång i integriteten samt vilka intrång som är tillåtna respektive otillåtna måste åtgärden, enligt Annamaria J. Westregård, i det konkreta fallet analyseras i hennes intressent- modell, dvs. prövas mot den avvägningsnorm som begreppet god sed på arbetsmarknaden innebär. Först efter en sådan analys går det att avgöra om det är fråga om en kränkning av integriteten (otillåtet intrång) eller ett intrång som individen får tåla (tillåtet intrång). Om åtgärden vid en sådan prövning visar sig innebära en integritetskränkning övergår individens prima-facie rättighet i en konkretiserad rättighet som individen kan göra rättsligt gällande. Med Annamaria J. Westregårds synsätt förefaller i praktiken själva definitionen av de olika begreppen utgöras av, eller i vart fall underordnas, den avvägningsnorm som i det enskilda fallet bestämmer omfånget av den enskildes privata sfär.

I en kanadensisk bok från år 1999 Privacy & Employment Law konstaterar författaren, John DR Craig, att svårigheterna att närmare beskriva begreppet ”privacy” är stora.15 Däremot har försöken att analysera och definiera begreppet, enligt John DR Craig, lett till att det numera har en klar kärnbetydelse. Begreppets närmare gränser eller konturer är dock alltjämt otydliga, ett för- hållande som John DR Craig framhåller att det delar med de flesta andra rättsliga begrepp. John DR Craig tar sig an begreppsfrågan på ett mycket pragmatiskt sätt och formulerar följande enkla princip: ”… a person’s private interests should be legally protected from encroachment by others”.

Han utvecklar sedan den principen på följande sätt.

While this proposition might seem simplistic, it is deceptively so. In a particular context, the crux of the matter will be to identify the interests which are at stake, and which find protection within the general privacy principle. This form of analysis may be labelled a functional approach, because it recognises that the role of the right of privacy is to protect certain aspects of life from public scrutiny, and that the true challenge is to identify those aspects which are relevant in a particular context, such as employment.

För John DR Craig, liksom för Annamaria J. Westregård, synes det i första hand bli en fråga om att i rättssäkerhetens intresse närmare fylla begreppen privacy/integritet med innehåll för att på så sätt öka förutsebarheten i rättstillämpningen. I syfte att åstadkomma en sådan utveckling, och med stöd av en komparativ analys av hur

15 John DR Craig, Privacy & Employment Law, 1999, s. 9 f.

201

Allmänna utgångspunkter

SOU 2009:44

amerikansk, fransk och kanadensisk rätt hanterar frågor om privacy i arbetslivet, formulerar John DR Craig sju allmänna och grund- läggande normativa principer för hur rätten till privacy bör skyddas. Dessa principer, som John DR Craig ser som ”a floor of rights” (ett minimiskydd) för arbetstagares rätt till privacy, delar han sedan in i tre olika grupper.

Inom ramen för SALTSA, som var ett samverkansprogram mellan Arbetslivsinstitutet, LO, TCO och SACO där det bedrevs problemorienterad forskning om aktuella svenska och europeiska arbetslivsfrågor, publicerades år 2005 en antologi om ”Workplace Privacy” med bidrag av såväl svenska som utländska författare.16 En generell iakttagelse är att i bokens avslutande avsnitt ”Ethical Analysis” synes de olika bidragen ge vid handen att det finns en tydlig tendens inom den etiska forskningen på området, nämligen att försöka lägga den allmänna diskussionen bakom sig och mer försöka klargöra vad som är unikt och speciellt för frågor om privacy/integritet på just arbetslivets område.

I ett av bidragen underordnar författaren, Elin Palm, diskus- sionen om ”Workplace Privacy” den allmänna diskussionen om privacy på allmänna eller publika platser.17 Elin Palm pekar särskilt på att, om privacy ska förstås som rätten att bli lämnad i fred, det ofta blandas ihop med begreppet frihet. Om begreppet i stället ska förstås som en rätt till avskildhet eller frivillig isolering, förväxlas det i stället ofta med ensamhet. Dessa element utgör också ofta centrala delar av begreppet privacy/integritet för de som anser att dessa begrepp ska förstås som att varje individ har rätt till en skyddad personlig sfär. Enligt Elin Palm är problemet att vi i många situationer inte vill bli lämnade i fred eller i avskildhet. På t.ex. allmänna eller publika platser vill vi kunna interagera med andra människor, utan att för den skull vilja vara betagna möjligheten att kräva att vår integritet respekteras. Grovt förenklat leder detta Elin Palm till att för sådana platser i stället betona individens möjlig- heter att själv bestämma över och förfoga över andras tillgång till information om den egna personen. Även det synsättet anser dock Elin Palm vara förenat med vissa problem. Om den enskilda individen själv tillåts helt förfoga över andras tillgång till personlig information, blir det också möjligt att göra det på ett sådant sätt att individens egna gränser för vad som utgör ett intrång passeras. Därmed blir det också möjligt för individen att bereda andra

16The Ethics of Workplace Privacy, redaktörer Ove Hansson och Elin Palm.

17The Dimension of privacy i antologin The Ethics of Workplace Privacy, s. 157.

202

SOU 2009:44

Allmänna utgångspunkter

tillgång till sådan information som utifrån de kulturella och sociala värderingar som råder i det samhälle som individen ingår i anses som rent privata uppgifter. Särskilt problematiskt blir det att på arbetslivets område tillmäta individens samtycke betydelse, utan att samtidigt också beakta den situation i vilken samtycket har lämnats. Den omständigheten att en arbetssökande accepterar att genomgå ett drogtest betyder inte nödvändigtvis att denne också samtycker till det intrång som åtgärden innebär. Enligt Elin Palm bör det därför finnas en yttersta gräns bortom vilken individen varken kan förvänta eller acceptera intrång i den personliga integriteten.

Fil. dr Ludvig Beckman har i fråga om tillåtligheten av genetiska tester i arbetslivet kommit till just en sådan slutsats, nämligen att genetiska tester inte bör kunna rättfärdigas med stöd av arbets- tagares eller arbetssökandes samtycke (se SvJT 2004 s. 487). Den slutsatsen bygger han dock i första hand på att genetisk integritet kan motiveras utifrån demokratiska synpunkter. Ludvig Beckman förnekar visserligen inte att det finns olika pragmatiska skäl som talar för att den kroppsliga integriteten inte uteslutande kan göras beroende av individens samtycke. Därtill kommer dock att det från demokratisk synpunkt är uppenbart att vissa kränkningar är all- varligare än andra. Särskilt allvarliga är sådana kränkningar som riskerar att undergräva människors tilltro till sin egen förmåga att påverka samhället och som därför undergräver deras status som jämlika medborgare. Från den utgångspunkten anser dock Ludvig Beckman att inte alla integritetskränkningar kan anses vara lika betydelsefulla, t.ex. gör han gällande att skälen att förhindra kränkningar av den kroppsliga integriteten är starkare om dessa kränkningar har ett nära samband med möjligheterna till politiskt engagemang.

Utifrån den iakttagelsen finner Beckman anledning att särskilt fästa uppmärksamheten på integritetsskyddet inom arbetslivet.

På arbetsplatsen vistas vi dagligen och arbetsplatsen är av stor betydelse för formandet av människors politiska resurser. På arbets- platsen befordras kunskaper om samhället och där äger politiska diskussioner rum. Om användningen av medicinska tester på arbets- platsen leder till att människor utestängs från arbetslivet leder det följaktligen till att deras politiska resurser begränsas.

Ett mer avgörande skäl är ändå att det är inom arbetslivet som individen får konkreta erfarenheter av sin ställning i samhället. Människors självrespekt formas i hög utsträckning av hur hon upple- ver att andra värderar och betraktar henne. Avgörande för medborgerlig självrespekt är således att individen inte ständigt utsätts för kränkningar i

203

Allmänna utgångspunkter

SOU 2009:44

vardagen. Eftersom arbetslivet för många tillhör vardagen utgör förekomsten av integritetsintrång där ett hot mot medborgarnas själv- respekt. Ett starkt integritetsskydd är därför särskilt viktigt inom arbets- livet.

Det bör dock anmärkas att de demokratiska skäl som Ludvig Beckman åberopar ingår som ett led i en argumentation som syftar till att ge ett principiellt svar på frågan om integritetsaspekter i själva verket kan förhindra ett generellt förbud mot kommersiella gentester. Som redan framhållits förefaller Ludvig Beckmans grundinställning vara att individens självbestämmande bör tillmätas avsevärd betydelse i frågor som rör den personliga integriteten.

Avslutningsvis kan vara värt att i denna del påminna om att när frågor om personlig integritet eller privacy i arbetslivet har aktuali- serats i internationella sammanhang, t.ex. inom ramen för arbetet inom Europarådet eller EU, har dessa diskussioner ofta varit en utlöpare av den mer generella diskussionen om behovet av skydds- regler för behandling av personuppgifter, särskilt automatiserad behandling av sådana uppgifter.

Uttalanden i förarbeten

Utredningen om medicinska undersökningar i arbetslivet, SOU 1996:63 s. 109, fann anledning att dela upp integritetsbegreppet i dels den kroppsliga integriteten, dels den personliga integriteten. Utredningen antog ett personuppgiftsanknutet perspektiv och konstaterade kort och gott att med uttrycket personlig integritet menade utredningen det som rör uppgifter om eller information som kan hänföras till en viss person, t.ex. uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden.

I departementspromemorian Datatekniken och den personliga integriteten i arbetet – en kartläggning, Ds 1989:24 s. 15, uttalades att personlig integritet har beskrivits som individens rätt till kontroll över kunskaper om honom eller henne. Saken har också ansetts kunna uttryckas som att ingen myndighet eller annan enskild person ska kunna ha en fullständig kunskap om den egna personligheten. Enligt promemorian kunde begreppet även stå för rätt till ensamhet, anonymitet och oberoende.

Integritetsutredningen, SOU 2002:18 s. 52 f, gjorde följande överväganden i fråga om vad som egentligen innefattas i begreppet personlig integritet.

204

SOU 2009:44

Allmänna utgångspunkter

Utredningen har gjort en genomgång av åtskillig svensk och utländsk litteratur i ämnet för att söka finna svaret på denna fråga. Det har emellertid visat sig att begreppet personlig integritet inte är så lätt- fångat. Stora ansträngningar har gjorts för att definiera det men någon kortfattad generell konkretisering av begreppets språkliga innebörd har utredningen inte kunnat finna. Men som en klar gemensam nämnare framstår i vart fall uppfattningen att begreppet personlig integritet innebär att alla människor har rätt till en personlig sfär där ett oönskat intrång, såväl fysiskt som psykiskt, kan avvisas.

De flesta människor har också en bestämd uppfattning om vad personlig integritet innebär för deras egen del och de uttrycker detta mestadels på motsvarande sätt som nyss nämnts. Men uppfattningen om storleken av den privata sfären kan variera kraftigt mellan olika människor beroende framför allt på deras kulturella, etniska, religiösa och sociala bakgrund. Omfånget av den personliga sfären uppfattas inte heller som statiskt, inte ens för den egna individen, utan kan förändras med hänsyn till bl.a. vunna erfarenheter och den aktuella situationen.

Själva essensen av utredningens analys har sedan upprepats i senare lagstiftningsärenden. T.ex. uttalades i propositionen, prop. 2005/06:173 s. 15, om en översyn av personuppgiftslagen följande.

Trots att det inte finns någon entydig definition av begreppet personlig integritet kan det måhända sägas att kränkning av densamma innebär ett intrång i en fredad sfär som den enskilde bör vara tillförsäkrad, och där ett oönskat intrång, såväl psykiskt som fysiskt bör kunna avvisas.

8.2Begreppet personlig integritet och ett normgivningsperspektiv

8.2.1Personlig integritet – ett lämpligt begrepp?

Det är inte särskilt vanligt att uttrycket personlig integritet används i svenska författningar med en direkt operativ funktion, dvs. att uttrycket är ett rekvisit i en rättsregel som får direkta konsekvenser för enskilda på så sätt att till regeln är knuten en viss rättsföljd. Ett undantag är dock den nyligen införda alternativa missbruks- regleringen i personuppgiftslagen, av vilken följer att behandling av personuppgifter i ostrukturerat material inte får utföras om den innebär en kränkning av den registrerades personliga integritet (5 a §). Däremot används uttrycket personlig integritet mera frekvent i författningstexter i sammanhang där det inte har någon omedelbar operativ funktion, t.ex. i målsättningsstadganden.

205

Allmänna utgångspunkter

SOU 2009:44

Begreppet personlig integritet rymmer en mängd olika företeel- ser och en mängd olika aspekter kan hänföras till begreppet. Spännvidden blir stor om man med begreppet avser att tillförsäkra individen ett ostört utrymme jämfört med t.ex. de demokratiska aspekter på den personliga integriteten som Ludvig Beckman för fram (se avsnitt 8.1.3). Det framstår dock som uppenbart att alla företeelser och alla aspekter inte kan vara lika relevanta i alla situationer, framför allt inte om man vill snäva in diskussionen till att avse ett visst område som t.ex. arbetslivets område.

Vi ska enligt vårt uppdrag lämna förslag till lagreglering av skyddet för den personliga integriteten i arbetslivet. I det samman- hanget bör man kanske till och med börja med att fråga sig om personlig integritet över huvud taget är ett lämpligt uttryck i lagtext. Svårigheterna att precisera vad personlig integritet är innebär att lagstiftning som innehåller begreppet riskerar att uppfattas som otydlig, både avseende reglernas närmare innebörd och det övergripande syftet bakom regelverket. Uttrycket personlig integritet kan också leda till att reglernas mottagare associerar i tankebanor som inte regelverkets konstruktör har tänkt sig. Dessutom finns det en risk för att uttrycket väcker förhopp- ningar som inte kan infrias eller farhågor som inte kommer att besannas. Allt detta skulle kunna tala för att på arbetslivets område välja ett annat uttryck. Uttrycket personlig integritet har dock regelmässigt använts även på arbetslivets område och är dessutom det begrepp som används i våra direktiv. Därtill kommer att definitionsproblemen sannolikt inte försvinner med en ny termi- nologi.

Enligt vår uppfattning talar således starka skäl för att vi bör använda uttrycket personlig integritet i den lagstiftning som vi föreslår.

8.2.2Begreppets påverkan på valet av reglering

Avvägningsnormer

Som vi redovisat kan en rad olika företeelser anses ingå i den personliga integriteten. Mot den bakgrunden kan det vara svårt att utforma skyddsregler som fångar in just sådana företeelser som man anser bör skyddas och som lämnar sådana företeelser som inte anses tillräckligt skyddsvärda utanför regelverkets tillämpnings-

206

SOU 2009:44

Allmänna utgångspunkter

område. Ingrepp i den personliga integriteten kan ju i praktiken vara allt från närmast bagatellartade till ytterst kränkande för den berörda individen.

En annan aspekt är att huvudreglerna i ett regelverk som är tänkt att skydda den personliga integriteten lätt kan ge intryck av att ta ordentlig höjd för ett starkt skydd för den personliga integriteten, samtidigt som begreppets stora spännvidd kräver att huvudreglerna förses med så vida undantag att det kan sättas i fråga om skyddet över huvud taget har stärkts.

En ytterligare faktor att beakta, som påverkas av integritets- begreppets suddiga konturer, är att lagstiftning bör vara enkel att förstå och tillämpa. Det är en allmän ambition att arbetsrättliga regler ska kunna förstås och tillämpas på ett korrekt sätt ute på den enskilda arbetsplatsen av personer som i flertalet fall inte är jurister. Det kravet är inte på något sätt unikt för arbetsrättens område, utan ett generellt krav på all lagstiftning är att den ska vara begriplig.

Vi har också mötts av önskemål om att det regelverk vi föreslår ska vara lätt att tillämpa. Ibland har det framstått som om det som efterfrågas är ett detaljerat och näst intill mekaniskt regelverk där en viss rättsföljd i stort sett alltid ska följa givet att vissa faktiska omständigheter föreligger. I vart fall två skäl talar emot en sådan teknik.

För det första bör reglerna vara generellt tillämpliga för hela arbetslivet. Redan mot den bakgrunden krävs allmänt hållna regler. Det gäller även om man begränsar reglerna till att avse en viss företeelse.

För det andra följer av integritetsbegreppet som sådant, oavsett hur man väljer att avgränsa eller definiera det, ett behov av att i det enskilda fallet beakta de motstående intressen som gör sig gällande. Rätten till personlig integritet är inte absolut utan relativ, dvs. rättigheten kan få ge vika för andra motstående intressen som i det enskilda fallet bedöms väga tyngre. Mot den bakgrunden förefaller det ofrånkomligt eller i vart fall lämpligt att regler till skydd för arbetstagares personliga integritet i väsentliga delar utformas som avvägningsnormer.

207

Allmänna utgångspunkter

SOU 2009:44

Skydd av en privat sfär och rätt att själv förfoga över information om sig själv

Vi kan konstatera att det under årens lopp har hävdats att en mängd olika företeelser anses kunna hänföras till den personliga integriteten. Vad som ska skyddas kan beskriva på två sätt.

För det första hävdas det ofta att det är den privata sfären som är det centrala. Med det synsättet blir det viktiga för individen att i olika avseenden kunna hävda ett eget personligt utrymme, såväl i fysisk som psykisk mening, och att dessutom kunna avvisa oberättigade intrång i denna sfär.

För det andra görs det också gällande att det centrala är individens möjligheter att själv bestämma över och förfoga över information om den egna personen. Att märka är att det från det perspektivet inte är andras avsaknad av information om den egna personen som ger personlig integritet, utan den upprätthålls genom att individen själv kan bestämma över, eller i vart fall kontrollera eller påverka, vilken information andra har tillgång till.

Självfallet kan dessa båda perspektiv kombineras. Det är också vanligt att så sker på olika sätt.

De flesta upplever att kontrollen av arbetstagare, arbetssökande och andra på en arbetsplats har ökat. Den starkast pådrivande kraften bakom en utökad kontroll i arbetslivet är de möjligheter till övervakning och kontroll som har öppnat sig med den informations- teknologiska utvecklingen. En annan faktor, som delvis har sin grund i den tekniska utvecklingen, är arbetslivets utveckling i stort. Verksamheterna blir allt mer kunskapsintensiva och arbets- uppgifterna av sådan karaktär att i många verksamheter består det egentliga ”kapitalet” av de enskilda arbetstagarnas specifika kompe- tens och förmåga att t.ex. bygga nätverk. Därmed blir det mer intressant för arbetsgivare att få tillgång till och hantera personlig information om arbetstagare. I många fall har också lagstiftningens utveckling ökat arbetsgivares behov av tillgång till uppgifter som rör arbetstagare. Tekniken möjliggör också på ett helt annat sätt än tidigare att arbetsuppgifter kan utföras från hemmet och att privata angelägenheter kan hanteras från arbetsplatsen. Den nu beskrivna utvecklingen tog fart redan i mitten av 1900-talet och har allt sedan dess accelererat.

Sammanfattningsvis vill vi hävda att för arbetslivets vidkom- mande synes en viktig utlösande faktor bakom integritetsproble- men vara att gränsen mellan det privata livet och arbetslivet är

208

SOU 2009:44

Allmänna utgångspunkter

oklar. Det kan också sägas handla om personlig integritet på allmänna eller publika platser, dvs. i situationer där individen bör och förväntas interagera med andra individer och där han eller hon inte heller kan påräkna samma skyddsnivå som i t.ex. hemmet. Vid dessa förhållanden blir det också svårt för den enskilde arbetstagaren att själv överblicka och förfoga över den personliga information som rör honom eller henne och som arbetsgivaren har eller bör ha tillgång till.

Det framstår vidare som en fullt rimlig slutsats att de specifika integritetsproblem som uppstår på arbetslivets område också får en specifik hantering på just det området, för att därigenom kunna bidra till att det samlade regelverket ska kunna ge medborgarna ett acceptabelt skydd för den personliga integriteten i dess vida och mer generella betydelse. Lika naturligt förefaller det vara att man på det specifika området hanterar de specifika problemen och inget annat.

Övervakning eller kontroller av arbetstagare bör i princip inte vidtas om de inte motsvaras av arbetstagarnas befogade förvänt- ningar. I detta avseende hamnar således frågor om information och kommunikation i centrum. Genom tydlig information får såväl arbetstagare som arbetstagarorganisationer tillfälle till kommuni- kation och därmed också möjlighet att påverka arbetsgivarens beslut. Därutöver ger sådan information arbetstagaren möjlighet att påverka den personliga information som förmedlas till arbets- givaren. Om åtgärderna är kända har också arbetstagaren möjlighet att anpassa sitt beteende. Med kännedom om att slumpvisa drogtester förekommer på arbetsplatsen kan arbetstagaren välja att avstå från att dricka sprit eller inta narkotika. Vet arbetstagaren om att kameraövervakning förekommer på vissa områden på arbets- platsen kan denne välja att anpassa sitt beteende så att upptag- ningen motsvarar den bild som han eller hon vill visa upp inför arbetsgivaren eller någon annan. Med tydlig information om att datoranvändning kontrolleras och vad som inte anses acceptabelt får arbetstagaren möjlighet att anpassa sitt beteende därefter.

Som redan framhållits bör det dock inte vara tillräckligt att på arbetslivets område stanna vid krav på tydlighet och förutsebarhet. Därutöver måste ställas krav på att arbetsgivaren inte utövar sin arbetsledningsrätt på sådant sätt att arbetstagaren tvingas eller ser sig tvungen att lämna ifrån sig sådan information som rimligen inte bör kunna påräknas inom ramen för det anställningsavtal som råder mellan parterna. Här blir det fråga om att bedöma huruvida det

209

Allmänna utgångspunkter

SOU 2009:44

regelverk som arbetsgivaren tillhandahåller är acceptabelt. Den bedömningen måste grunda sig på en avvägning mellan arbetsgiva- rens intresse av att utifrån verksamhetens behov få tillgång till viss information och arbetstagarens intresse av att helt eller delvis få behålla samma information för sig själv. I det sammanhanget kan formerna under vilka informationen hämtas in och hanteras komma att få betydelse så till vida att de bör tillåtas påverka intresseavvägningen. I en sådan avvägning ligger också en propor- tionalitetsbedömning.

Enligt vår uppfattning finns det inte anledning att låta innehållet i informationen påverka det principiella resonemanget. Personlig information är information som rör individen, oavsett om denna avser rent privata förhållanden eller förhållanden som i mer eller mindre utsträckning avser själva arbetet eller dess utförande. Däremot påverkar innehållet i informationen självfallet bedömningen av vad arbetstagaren med fog kan förvänta sig. Detsamma gäller för de fall det blir fråga om att väga arbetsgivarens och arbetstagarens intressen mot varandra. Ett skäl för den ståndpunkten är att det många gånger är svårt att dra en skarp gräns mellan vad som avser rent privata förhållanden eller förhållanden som är hänförliga till arbetet. Ett annat skäl är att det i princip inte förefaller vara någon skillnad mellan de olika typerna av information. Integritets- kränkningen består av att arbetstagaren förlorar kontrollen över viss personlig information, oavsett innehållet i densamma.

210

9 Ny lag

9.1En ny lag om integritetsskydd i arbetslivet

Vårt förslag: En ny lag införs till skydd för arbetstagares personliga integritet i arbetslivet.

Skäl för lagstiftningsåtgärder

Ett beslut om övervakning och kontroll av arbetstagare är i allmän- het ett arbetsledningsbeslut som alltså arbetsgivaren kan fatta själv. Ett sådant beslut får emellertid inte strida mot lag eller god sed eller annars vara otillbörligt. Att beslutet inte får strida mot lag innebär bl.a. att åtgärden inte får strida mot personuppgiftslagen (1998:204). Möjligheterna för en arbetstagare att få till stånd en överprövning av en övervaknings- eller kontrollåtgärd är dock många gånger begränsade och förutsätter i princip att arbetstagaren vägrar att medverka och således sätter sin anställning på spel. Pröv- ningen av om arbetstagaren varit skyldig att medverka till en viss kontrollåtgärd sker då normalt inom ramen för en uppsägnings- eller avskedandetvist. För det fall åtgärden redan vidtagits, inte kräver arbetstagarens medverkan och inte innebär t.ex. ett kollek- tivavtalsbrott finns det sannolikt över huvud taget inte några rättsmedel att tillgå för arbetstagaren om inte personuppgiftslagen, straffrätten eller någon annan lagstiftning är tillämplig på förfaran- det.

För arbetssökande är skyddet än svagare. I praktiken saknas det möjlighet för en arbetssökande att motsätta sig en kontrollåtgärd som en presumtiv arbetsgivare begär om den arbetssökande önskar komma i fråga för anställningen. Några egentliga sanktioner mot integritetskränkande kontrollåtgärder finns inte att tillgå om inte personuppgiftslagen eller någon annan lagstiftning är tillämplig.

211

Ny lag

SOU 2009:44

Mot den ovan beskrivna ordningen ska ställas att rätten till personlig integritet anses som en grundläggande mänsklig rättighet och frihet. Den ingår bl.a. i rätten till respekt för privatliv som skyddas av artikel 8 i Europakonventionen som gäller som lag i Sverige. Även om praxis från Europadomstolen är mager när det gäller artikelns tillämplighet på åtgärder som vidtagits i anställ- ningsförhållanden torde det som sagt med största säkerhet vara så att de företeelser som anges i våra direktiv omfattas av det skydd som ges i denna artikel. Detta innebär primärt en skyldighet för staten att avhålla sig från ingrepp i den av konventionen skyddade rättigheten men det kan även åligga staten att vidta positiva åtgärder för att skydda den enskildes privatsfär.

Som framgått av den redogörelse som lämnats i föregående avsnitt finns i dag bestämmelser till skydd för den personliga integriteten som är av relevans för arbetslivet i såväl grundlag som vanlig lag. Bestämmelserna är emellertid disparata och spridda. I vissa fall föreligger dessutom osäkerhet om vad som gäller i fråga om möjlighet för arbetsgivare att genomföra integritetskänsliga kontroller, exempelvis drogtester.

Den lagreglering som finns kompletteras av praxis från Arbets- domstolen. Denna har, när lagstöd saknats, slagit fast att kontrollen inte får strida mot god sed eller annars vara otillbörlig, varvid en avvägning mellan arbetsgivarens och arbetstagarens intresse måste göras. Domstolen har emellertid i ett mål som rört drogtest uttalat att mer vittsyftande bedömningar på det aktuella området inte bör göras på grundval enbart av förhållanden i en enskild tvist. Det naturliga var enligt domstolen att ett ämne som detta regleras i kollektivavtal eller i förekommande fall genom lag- stiftning.1

Redan Integritetsutredningen framhöll behovet av att genom lagstiftning förtydliga rättsläget och lade som framgått fram ett sådant förslag.2 Vid remissbehandlingen betonade många remissin- stanser behovet av lagstiftning men riktade från andra synpunkter kritik mot förslaget bl.a. på grund av den grundläggande lag- tekniska konstruktionen, och förslaget ledde alltså inte till någon lagstiftning.

Även JO har i ett ärende avseende drogtest av offentliganställda efterlyst klargörande lagstiftning.3

1AD 1991 nr 45.

2SOU 2002:18.

3JO:s beslut den 7 mars 2003, dnr 2461–2003.

212

SOU 2009:44

Ny lag

Det kan också nämnas att den parlamentariskt sammansatta Integritetsskyddskommittén konstaterade i sin sammanfattande bedömning rörande skyddet för den personliga integriteten i arbetslivet att avsaknaden av ett sammanhållet och någorlunda lättillgängligt regelverk som anger gränserna för arbetssökandes och arbetstagares skydd för sin personliga integritet i sig var ett förhållande ägnat att i praktiken göra det skydd som ändå fanns mindre verkningsfullt än det borde vara. Detta samt den omstän- digheten att rättsläget i väsentliga avseenden var oklart innebar enligt kommittén att risken för rena rättsförluster var påtaglig. Kommittén betonade därför att det var angeläget att vårt utred- ningsarbete ledde fram till ny lagstiftning.4

Det ovan sagda visar att den befintliga regleringen inte är till- räcklig för att skydda den personliga integriteten i arbetslivet. Detta skydd bör därför, såsom också anges i våra direktiv, klargöras genom lagstiftning.

En ny lag och dess ändamål

Vi anser att en reglering av den skyddskaraktär det här är fråga om bör vara tydlig och helst också sammanhållen. Enligt vår mening är det mot den bakgrunden lämpligast att de bestämmelser vi föreslår tas in en egen lag. Det bör vara en arbetsrättslig lag som knyter an till de mönster som är kända för dem som har att tillämpa den. Att en sådan ordning bör väljas får anses ha stöd mot bakgrund av den kritik som riktades mot Integritetsutredningens lagförslag som, genom sin utgångspunkt i personuppgiftslagen, av många ansågs främmande, komplicerad och svår att tillämpa. Vi vill dock redan här redovisa att vår bedömning är att personuppgiftslagen ger ett gott skydd för den personliga integriteten i arbetslivet som kommer att gälla vid sidan av vår föreslagna lag. För att få en mer sammanhållen bild av det skydd som finns genom skadestånds- sanktionerad lagreglering måste även det skydd som personupp- giftslagen ger tas med.

Skyddet för den personliga integriteten är till skillnad från många andra grundläggande mänskliga rättigheter inte absolut och statiskt utan är avhängigt styrkan i de motstående intressen som kan finnas. Arbetsgivare måste ha möjlighet att utöva den kontroll som deras ansvar för säkerhet och effektivitet aktualiserar. På

4 SOU 2007:22 s. 414.

213

Ny lag

SOU 2009:44

arbetslivets område måste därför arbetstagarnas anspråk på skydd för den personliga integriteten ställas mot arbetsgivares berättigade intresse av kontroll för att kunna leda och fördela arbetet. Med hänsyn härtill och till de mångskiftande verksamheter som finns på arbetslivsområdet bör, som vi redan nämnt, regler till skydd för arbetstagares personliga integritet i väsentliga delar utformas som avvägningsnormer. En sådan ordning ligger också i linje med artikel 8 i Europakonventionen och praxis som växt fram på detta område genom Arbetsdomstolens avgöranden. Även i personuppgiftslagen spelar ofta intresseavvägningen en avgörande roll i de fall samtycke till personuppgiftsbehandling saknas.

När det gäller den närmare innebörden av begreppet personlig integritet och dess lämplighet i lagstiftningssammanhang har i föregående avsnitt konstaterats att en mängd olika företeelser kan hänföras till begreppet personlig integritet och att någon klar och entydig definition av detta inte är möjlig att åstadkomma. Vi har ändå, som redan redovisats, gjort bedömningen att begreppet bör användas i vår lag. Vi föreslår därför att lagen ska ha till ändamål att skydda arbetstagares personliga integritet i arbetslivet och att detta uttryckligen bör framgå av lagtexten.

9.2Lagens tillämpningsområde

Vårt förslag: Vid tillämpning av lagens bestämmelser ska som arbetstagare anses även den som

1.söker arbete,

2.söker eller fullgör praktik, eller

3.utför arbete som inhyrd eller inlånad arbetskraft.

Detta ska dock inte gälla vid tillämpning av den bestämmelse vi föreslår om förhandlingsskyldighet.

Den hos vilken arbetet eller praktiken söks eller utförs ska anses som arbetsgivare.

Att den lagstiftning vi föreslår ska omfatta, förutom arbetstagare, även arbetssökande framgår uttryckligen av våra direktiv. Det finns anledning att därutöver fundera över om personkretsen i den lag vi föreslår bör omfatta ytterligare personkategorier.

214

SOU 2009:44

Ny lag

Arbetstagare

Någon definition av arbetstagare finns inte i den arbetsrättsliga lag- stiftningen. Begreppet arbetstagare bör i vår lag ha samma innebörd som det sedvanliga civilrättsliga arbetstagarbegreppet.

Arbetssökande

Med arbetssökande avses den som tydligt gett till känna att han eller hon söker en anställning. Den som enbart gör en förfrågan om det finns någon ledig anställning anses däremot inte som arbets- sökande.

Diskrimineringsförbuden i diskrimineringslagen (2008:567) har utvidgats till att gälla även i förhållande till den som gör en för- frågan om det finns något ledigt arbete. Ett diskriminerande förfarande kan vara för handen om exempelvis en person får ett negativt svar på frågan om det finns något ledigt arbete på grund av att han eller hon har en utländsk brytning eller presenterar sig med ett namn som tyder på annat etniskt ursprung än svenskt. Även dessa personer omfattas därför av diskrimineringslagens skydd. När det däremot gäller den lag vi föreslår ställer sig saken något annorlunda. Ett svar på en förfrågan om ett arbete utgör typiskt sett inte någon övervaknings- eller kontrollåtgärd. Den som gör en förfrågan kan således inte enbart genom ett svar på en sådan för- frågan anses vara föremål för en åtgärd av det slag som vår lag avser att reglera. Vi finner inte heller i övrigt att det föreligger några starka skäl som talar för att lagen borde omfatta även denna personkategori.

Praktikanter

En ytterligare personkrets som vi anser bör övervägas om den bör omfattas av vår lag är praktikanter.

Även här kan en jämförelse göras med vad som gäller enligt diskrimineringslagen. I den skyddade personkretsen ingår där den som söker eller fullgör praktik. Det innebär enligt den lagen följande. Till att börja med omfattas den som utan att vara anställd söker eller fullgör yrkespraktik. Med yrkespraktik avses t.ex. studenter som under studierna fullgör praktik på en arbetsplats men även personer som tar del av det arbetsmarknadspolitiska

215

Ny lag

SOU 2009:44

programmet arbetspraktik eller annan arbetsmarknadspolitisk verk- samhet med inslag av yrkespraktik. Vi anser att denna person- kategori även bör omfattas av vår föreslagna lagstiftning. Vi gör bedömningen att personer som söker eller utför yrkespraktik på en arbetsplats har behov av samma skydd som en arbetssökande eller en arbetstagare när det gäller övervaknings- eller kontrollåtgärder som en arbetsgivare kan vidta.

Även elever och studenter som deltar i praktisk arbetslivsorien- tering i grundskolan (PRAO) respektive arbetsplatsförlagd utbild- ning enligt gymnasieförordningen omfattas av diskriminerings- lagens begrepp ”den som söker eller fullgör praktik”. De omfattades tidigare inte av något diskrimineringsskydd. I den nya diskrimineringslagen har skyddet emellertid utsträckts till att gälla även för dessa två kategorier. I prop. 2007/08:95 s. 136 anförs om det nya synsättet bl.a. följande.

Praktisk arbetslivsorientering i grundskolan (PRAO) är en orientering och en möjlighet för skolungdom att få en inblick i arbetslivet. Kopp- lingen till arbetslivet i betydelsen förhållandet mellan arbetsgivare och arbetstagare är inte så nära och stark att det är naturligt att se PRAO som yrkespraktik i direktivens mening.5 Men den elev i grundskolan som genomgår PRAO finns ändå på en arbetsplats under några veckor och står då i realiteten under tillsyn och ledning av den som leder och fördelar arbetet där; alltså den som är arbetsgivare för dem som är anställda där. Det är rimligt att den unge i detta skeende kan åberopa det diskrimineringsförbud som gäller för arbetsgivare. Om en skola missgynnar en elev när det gäller att hitta lämplig PRAO-plats bör diskrimineringsförbudet som avser utbildningsverksamhet gälla. Skolan kan däremot inte ta ansvar för att eleven inte utsätts för trakas- serier eller annan diskriminering under praktiktiden på arbetsplatsen. För sådan diskriminering som inträffar på arbetsplatsen under förhål- lande som skolan inte kan utöva något bestämmande inflytande över, bör diskrimineringsförbudet för arbetsgivare gälla. --- Detsamma bör gälla s.k. arbetsplatsförlagd utbildning enligt gymnasieförordningen (1992:394). Med arbetsplatsförlagd utbildning avses kursplanestyrd utbildning på ett program i gymnasieskolan som genomförs på en arbetsplats utanför skolan.

Frågan är här om de argument som framförs i propositionen ovan äger giltighet även i fråga om sådana åtgärder som vår lag tar sikte på. En PRAO-elev står, som framhålls ovan, i realiteten under arbetsgivarens tillsyn och arbetsledning under den tid som eleven vistas på arbetsplatsen. Härigenom kan han eller hon komma att

5 De direktiv som åsyftas är 2002/73/EG, 2004/43/EG och 2000/78/EG.

216

SOU 2009:44

Ny lag

omfattas av integritetskänsliga övervaknings- och kontrollåtgärder. Det kan t.ex. röra sig om kameraövervakning, in- och utpasserings- kontroll, kontroll av loggar etc. Vi anser inte att det finns skäl att undanta dessa elever från det integritetsskydd som vår lag avser att ge. Vi anser därför att även PRAO-elever bör omfattas av lagen. Detsamma bör gälla för studenter som deltar i arbetsplatsförlagd utbildning enligt gymnasieförordningen.

Inhyrd eller inlånad personal

Vi anser att även inhyrd eller inlånad personal bör ingå i den skyd- dade personkretsen. Även sådana personer på en arbetsplats har behov av det skydd som vi föreslår i vår lag. En inhyrare eller en inlånare ansvarar i första hand för de åtgärder som denne själv råder över. För de åtgärder som uthyraren eller utlånaren kan ha vidtagit eller vidtar svarar uthyraren eller utlånaren.

Med inhyrd personal avser vi t.ex. personal från bemannings- företag. Det är här typiskt sett fråga om ett trepartsförhållande där en beställare (inhyrare) och en arbetsgivare (uthyrare) ingår avtal om att arbetsgivaren ska ställa en arbetstagare hos sig till beställarens förfogande för att utföra arbete som hör till den sist nämndas verksamhet.

I lagen (1993:440) om privat arbetsförmedling och uthyrning av arbetskraft finns en definition av vad som i den lagen avses med uthyrning av arbetskraft. Den definitionen förutsätter att ersätt- ning utgår från inhyraren till uthyraren. Vi anser att utöver inhyrd arbetskraft bör även inlånad arbetskraft ingå, dvs. när arbetskraft lånas in från en annan arbetsgivare vederlagsfritt. Det kan t.ex. vara fråga om att ett företag inom en koncern lånar ut en anställd till ett annat företag i koncernen.

Även den som står till förfogande för att utföra arbete som inhyrd eller inlånad personal skyddas numera av diskriminerings- lagen. Genom denna utvidgning av diskrimineringsskyddet kan en arbetsgivare som söker personal via ett bemanningsföretag inte av diskriminerande skäl neka att ta emot en viss person som beman- ningsföretaget erbjuder arbetsgivaren. Redan genom att den personen genom sin egen arbetsgivare, bemanningsföretaget, står till förfogande blir diskrimineringsförbudet tillämpligt. Här inställer sig frågan om det finns motsvarande behov att låta vår lag omfatta också denna personkategori. Ett företag som hyr eller lånar

217

Ny lag

SOU 2009:44

ut sina arbetstagare ansvarar som nyss sagts i första hand själv i sin egenskap av arbetsgivare för de övervaknings- och kontrollåtgärder som det vidtar gentemot sina arbetstagare. Skyddet mot obefogat integritetsintrång för den som står till förfogande för att utföra arbete som inhyrd eller inlånad personal bör enligt vår uppfattning vara tillgodosett redan genom de regler som gäller den egna arbets- givaren. Inte heller här finner vi några starka skäl som talar för att denna personkategori borde omfattas av lagen.

Undantag

Som framgår senare (se avsnitt 16.1.) förslår vi en uttrycklig regel om förhandlingsskyldighet enligt lagen (1976:580) om medbe- stämmande i arbetslivet. Enligt t.ex. 11 och 13 §§ lagen om medbe- stämmande i arbetslivet har en arbetsgivare en primär förhandlings- skyldighet inför beslut om viktigare förändring av arbets- eller anställningsförhållandena för arbetstagare som tillhör en arbets- tagarorganisation. Vi anser inte att den förhandlingsskyldighet som vi föreslår bör omfatta någon annan personkrets än som gäller i dag enligt medbestämmandelagen, dvs. arbetstagare. Vid tillämpning av den föreslagna paragrafen om förhandlingsskyldighet anser vi därför att begreppet arbetstagare inte bör utvidgas till att avse ovan angivna personkategorier.

Arbetsgivare

Eftersom det inte föreligger något anställningsförhållande mellan en arbetssökande eller praktiksökande och den hos vilken arbetet eller praktiken söks och inte heller mellan en inhyrd eller inlånad arbetstagare och den hos vilken arbetet utförs, bör det i lagen anges att med arbetsgivare likställs den hos vilken arbetet eller praktiken söks eller utförs.

218

SOU 2009:44

Ny lag

9.3Lagens regler bör i huvudsak vara tvingande

Vårt förslag: Ett avtal som inskränker en arbetstagares skydd enligt den föreslagna lagen ska vara utan verkan i den delen. Två av den föreslagna lagens bestämmelser föreslås bli semidispositiva, nämligen bestämmelsen om förhandlingsskyldighet och bestäm- melsen om för vilka berättigade ändamål en medicinsk undersök- ning får begäras.

De regler vi föreslår till skydd för den personliga integriteten anser vi i huvudsak bör vara tvingande.

Rätten till privatliv, vari inbegrips rätten till respekt för den personliga integriteten, skyddas i olika internationella konventioner som Sverige förpliktat sig att följa, däribland Europakonventionen. Genom dessa konventionsåtaganden får det anses ankomma på staten att garantera ett tillfredsställande skydd för den personliga integriteten. Redan detta talar starkt för att den reglering vi föreslår bör vara tvingande i den meningen att ett avtal inte med giltig verkan skall kunna träffas om avvikelser från lagen till en arbetstagares nackdel.

I personuppgiftslagen (1998:204) – som har till syfte att garantera skyddet för den personliga integriteten vid behandling av personuppgifter och som kommer att vara tillämplig på en stor del av de övervaknings- och kontrollåtgärder som aktualiseras i arbetslivet – har reglerna denna karaktär. I lagen har lagts fast en nivå för skyddet vid behandling av personuppgifter. Dessa regler är tvingande och kan alltså inte frångås genom enskilda avtal eller kollektivavtal. En överensstämmelse mellan vår lag och personupp- giftslagen i detta hänseende har den fördelen att frågan om huru- vida en kontroll- eller övervakningsåtgärd regleras av den ena eller den andra lagen inte av denna anledning kommer att få någon avgörande betydelse när det gäller skyddet för den personliga integriteten.

Lagens tvingande karaktär bör framgå av en särskild bestämmelse

När det är fråga om att skydda en grundläggande rättighet kan det ligga ett värde i att lagens tvingande karaktär framgår uttryckligen av lagtexten. En sådan regel bidrar också till att lagen blir tydlig för dem som har att tillämpa den. Vi föreslår därför att det i vår lag

219

Ny lag

SOU 2009:44

införs en bestämmelse som anger att ett avtal som inskränker en arbetstagares skydd enligt lagen är utan verkan i den delen.

Att en bestämmelse är tvingande hindrar inte att avtal ingås som ger arbetstagaren bättre skydd än vad som gäller enligt den föreslagna lagen. Det kan avse både enskilda avtal och kollektiv- avtal. Parter i ett kollektivavtal kan därutöver t.ex. närmare precisera hur bestämmelserna ska tillämpas avseende en viss fråga eller inom en viss bransch.

Semidispositiva bestämmelser

Vi anser att den bestämmelse som vi föreslår om förhandlings- skyldighet, som vi redan nämnt i detta avsnitt, bör vara semidispositiv. Arbetsmarknadens parter bör på samma sätt som gäller avseende reglerna i medbestämmandelagen ha möjlighet att avtala om avvikande regler såvitt gäller primär förhandlingsskyldig- het. Det bör vara tillåtet med sådana avvikelser genom reglering i såväl centrala som lokala kollektivavtal.

Som kommer att framgå i ett senare avsnitt i betänkandet anser vi att det även bör vara möjligt för arbetsmarknadens parter att, i centrala kollektivavtal, komma överens om att en arbetsgivare får kräva en medicinsk undersökning för andra berättigade ändamål än som anges i lagen. Därigenom kan en arbetstagare bli skyldig att underkasta sig en kontrollåtgärd i vidare mån än vad som annars skulle ha varit fallet. Se härom i avsnitt 12.9.

220

10Behandling av personuppgifter i arbetslivet

10.1Inledning

Enligt utredningsdirektiven ska vi lämna förslag till reglering av kontroll av privat användning av e-post och Internet liksom kontroll genom annan datoranvändning, exempelvis loggning. Sådana kontroller som avses får anses innefatta sådan behandling av personuppgifter som regleras av personuppgiftslagen (1998:204). Vi ska enligt utredningsdirektiven också i övrigt överväga i vilken mån det behövs kompletterande lagstiftning vid sidan av person- uppgiftslagen för att säkerställa en integritetssäker hantering av de uppgifter som tillåten kontroll genererar i arbetslivet.

Vi har i avsnitt 5 lämnat en relativt utförlig redogörelse för innehållet i personuppgiftslagen. Vår avsikt är att den redogörelsen ska kunna ge ökad kunskap om personuppgiftslagens tillämpning inom arbetslivet. Vi har där även redogjort för begreppet loggning. I detta avsnitt behandlar vi de överväganden och förslag vi kommit fram till med anledning av personuppgiftslagens reglering. I ett första delavsnitt erinrar vi om ett antal centrala begrepp och bestämmelser i personuppgiftslagen, vilka alltså mer utförligt har behandlats i avsnitt 5.

10.2Personuppgiftslagen

Lagens syfte och dataskyddsdirektivet

Personuppgiftslagen är den övergripande lagstiftning som tillgodo- ser regeringsformens krav på att det i lag ska vara reglerat i vilken utsträckning den enskilde är skyddad mot kränkningar av den personliga integriteten beträffande uppgifter som registreras med

221

Behandling av personuppgifter i arbetslivet

SOU 2009:44

hjälp av automatisk databehandling. I lagens portalparagraf anges uttryckligen att lagen syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Lagen följer i stort sett dataskyddsdirektivets struktur och lag- texten utgör i väsentliga delar en nära avbildning av texten i direktivet. Med hänsyn till att många bestämmelser och uttryck i personuppgiftslagen anses ha en EG-gemensam innebörd är det ytterst EG-domstolen som avgör direktivets närmare innebörd.

Vissa centrala begrepp

I 3 § personuppgiftslagen finns definitioner av ett antal grund- läggande begrepp som används i lagen.

Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Varje åtgärd eller serie av åtgärder som vidtas i fråga om person- uppgifter innebär med lagens terminologi att dessa behandlas, oavsett om åtgärderna sker på automatisk väg eller inte. Begreppet behandling är inte på något sätt särskiljande i den meningen att det kan användas för att skilja ut vissa hanteringsformer som inte omfattas av lagen. I lagtexten återfinns en exemplifiering av åtgärder som innebär att personuppgifter behandlas; nämligen att samla in, registrera, organisera, lagra, bearbeta eller ändra, åter- vinna, hämta in, använda, lämna ut genom översändande, sprida eller på annat sätt tillhandahålla, sammanställa eller samköra, blockera, utplåna eller förstöra sådana uppgifter. Lagens behand- lingsbegrepp är så vitt att det framstår som närmast omöjligt att tänka sig någon form av aktivitet som innebär att man befattar sig med personuppgifter och som inte skulle omfattas av begreppet.

I personuppgiftslagen definieras också olika subjekt. Först och främst benämns den person som en viss personuppgift avser som den registrerade. Som redan framgått måste det alltid vara fråga om en fysisk person som är i livet.

Den som ensam eller tillsammans med andra bestämmer ända- målen med och medlen för behandlingen kallas för personuppgifts- ansvarig. Såväl fysiska som juridiska personer kan vara personupp- giftsansvariga. Så snart det förekommer en behandling av person- uppgifter finns det alltid någon eller några som är ansvariga för den behandlingen. Formuleringen i lagtexten kan leda tanken till att det först och främst är en fysisk person som är personuppgiftsansvarig.

222

SOU 2009:44

Behandling av personuppgifter i arbetslivet

I själva verket vilar personuppgiftsansvaret nästan alltid på en juridisk person, inte minst lär så vara fallet på arbetslivets område. I sammanhanget kan framhållas att skadeståndsansvaret i princip alltid vilar på den personuppgiftsansvarige.

Samtycke är ett annat centralt begrepp i personuppgiftslagen. Därmed avses varje slag av frivillig, särskild och otvetydig viljeytt- ring genom vilken den registrerade godtar behandling av person- uppgifter som rör honom eller henne. Dessutom krävs att det är fråga om ett informerat samtycke, dvs. att samtycket lämnas efter det att information om behandlingen lämnats. Det krävs inte att ett samtycke är skriftligt, men vid tvist torde den personuppgiftsan- svarige ha bevisbördan för att samtycke lämnats. Kravet på att vilje- yttringen ska vara otvetydig understryker att det inte bör finnas några tvivel om att den registrerade avsett att frivilligt samtycka till en viss åtgärd. I vissa bestämmelser i lagen anges vidare att sam- tycket ska vara uttryckligt (15 §, 16 § andra stycket och 17 §). Det kan emellertid sättas i fråga om detta krav tillför något. Ett sam- tycke måste ju alltid vara en viljeyttring från den registrerade som i någon mening måste komma till uttryck på ett sätt som en utom- stående kan iaktta.

Kravet på att det måste vara fråga om en otvetydig viljeyttring anses i doktrinen även innebära att ett hypotetiskt samtycke inte kan godtas, oavsett hur välgrundad den gissning som ligger till grund för hypotesen är. Detsamma anses gälla för tyst samtycke, dvs. att den registrerade informeras om behandlingen och ges en viss tid för att motsätta sig denna. Däremot torde ett konkludent handlande kunna konstituera ett samtycke, dock råder det delade meningar om kravet i vissa fall på uttryckligt samtycke utesluter att samtycke lämnas på detta sätt.1

Ett samtycke är självfallet individuellt i den meningen att det bara berättigar till behandling av personuppgifter som är hänförliga till den person som har samtyckt. Kravet på individuellt samtycke anses vidare utesluta att en organisation, t.ex. en fackförening, samtycker till behandling av uppgifter om sina medlemmar. Kravet på individuellt samtycke utesluter troligen inte att ett ombud eller en ställföreträdare samtycker på den registrerades vägnar.

1 Se Öman m.fl. s. 89 f och jfr bl.a. Roger Petersson & Klas Reinholdsson, Personuppgiftslagen i praktiken, tredje upplagan 2004, s. 112.

223

Behandling av personuppgifter i arbetslivet

SOU 2009:44

Tillämpningsområde

Personuppgiftslagen gäller för behandlingar av personuppgifter inom såväl den privata som den offentliga sektorn. I de fall där det är befogat med särskilda regler för en viss verksamhet är tanken att dessa ska ges i särskilda s.k. registerförfattningar.

Som tidigare nämnts kan lagens behandlingsbegrepp inte användas för att skilja ut vissa hanteringsformer som omfattas eller inte omfattas av lagen. I stället framgår av lagens 5 § när den är tillämplig.

För det första gäller personuppgiftslagen för all behandling av personuppgifter som är helt eller delvis automatiserad. Det innebär att all behandling av personuppgifter i datorformat (dvs. framför allt i s.k. binär form) som regel bör anses som automatiserad behandling. Av det förhållandet att även delvis automatiserad behandling omfattas av lagen följer bl.a. att lagen är tillämplig så snart någon manuellt samlar in personuppgifter med syfte att senare registrera dessa i datorformat. Det innebär också att muntligt utlämnande eller utlämnande av utskrifter av personupp- gifter som finns i datorformat omfattas av lagen. Även manuell, intern användning av sådana personuppgifter omfattas av lagen.

Personuppgiftslagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som kan sökas eller ställas samman enligt särskilda kriterier.

Något förenklat kan man alltså säga att personuppgiftslagen blir tillämplig så snart personuppgifter registreras i en dator eller annat digitalt minne.

Grundläggande kvalitetskrav och när det är tillåtet att behandla personuppgifter

Systematiken i personuppgiftslagen är att det bara är tillåtet att behandla personuppgifter under de särskilda förutsättningar som anges i lagen. Principiellt sett är det således förbjudet att behandla personuppgifter, såvida inte behandlingen sker på det sätt och för de syften som lagen ställer upp. De centrala huvudreglerna i detta hänseende återfinns dels i 9 § som anger vissa grundläggande kvalitetskrav, dels i 10 § som uttömmande räknar upp i vilka fall det är tillåtet att behandla personuppgifter. Det är den personuppgifts-

224

SOU 2009:44

Behandling av personuppgifter i arbetslivet

ansvarige som ansvarar för att lagens krav på behandlingen i fråga är uppfyllda.

När det gäller de grundläggande kvalitetskraven gäller först och främst att personuppgifter bara får behandlas om det är lagligt och om behandlingen sker på ett korrekt sätt samt i enlighet med god sed. Uttrycket god sed återfinns inte i dataskyddsdirektivet, utan är en rent inhemsk konstruktion. Uttrycket god sed ger en fingervis- ning om att ett viktigt tolkningsdata vid lagens tillämpning bör vara t.ex. myndighetsföreskrifter som utfärdats med stöd av lagen, branschregler eller hur ansvarsfulla personuppgiftsansvariga i all- mänhet beter sig och god sed på arbetsmarknaden.

Vidare får personuppgifter samlas in bara för särskilda, uttryck- ligt angivna och berättigade ändamål. Det innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in och då uttryckligen anges på ett någorlunda preciserat sätt. Lagen skyddar den registrerade mot s.k. ändamåls- glidning då personuppgifter inte heller senare får behandlas för något ändamål som är oförenligt med dem som bestämdes då upp- gifterna samlades in, principen om finalitet. Den bestämmelsen, som förmodligen är en av de viktigaste, begränsar bl.a. möjligheterna att samköra olika register. Den innebär också att den personuppgifts- ansvarige under hela behandlingstiden måste ha klart för sig för vilket ändamål som uppgifterna ursprungligen samlades in, och hur senare behandling förhåller sig till det ändamålet.

Därutöver gäller vissa särskilda krav för personuppgifternas kvalitet och omfattning. Först och främst ska personuppgifter som behandlas vara adekvata och relevanta i förhållande till ändamålen med behandlingen, principen om relevans. Ovidkommande uppgifter får således inte behandlas. Dessutom ska de uppgifter som behandlas vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Inte heller får fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till de angivna ändamålen med behandlingen, principen om proportionalitet. På motsvarande sätt gäller att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till de ändamål som ligger till grund för behandlingen.

Det bör framhållas att den registrerade inte med rättslig verkan kan samtycka till att personuppgifter behandlas i strid med de

225

Behandling av personuppgifter i arbetslivet

SOU 2009:44

grundläggande krav som vi nu har redogjort för. Dessa gäller alldeles oavsett den registrerades inställning.

I 10 § anges de två typfall när det är tillåtet att behandla person- uppgifter. För det första får personuppgifter alltid behandlas om den registrerade har samtyckt till behandlingen. För det andra får behandling ske, om det är nödvändigt med hänsyn till vissa i lagen särskilt angivna syften.

Det finns således två olika och av varandra oberoende sätt varigenom en behandling av personuppgifter är tillåten. Om den registrerade inte lämnar sitt samtycke till en viss behandling, kan denna således ändå vara tillåten på den grunden att den är nödvän- dig med hänsyn till något av de i lagen uppräknade syftena. Den enda typen av personuppgifter där den registrerades samtycke inte kan ge privata företag rättslig grund för en behandling är sådan som innefattar uppgift om brott (21 §).

Uppräkningen i bestämmelsen av de olika situationer som berättigar till en nödvändig behandling av personuppgifter avslutas med en generell bestämmelse i 10 § f. Med stöd av denna bestäm- melse är det tillåtet att behandla personuppgifter, om den person- uppgiftsansvarige eller tredje man till vilka personuppgifter lämnas ut har ett berättigat intresse av att uppgifter behandlas som väger tyngre än den registrerades intresse av integritetsskydd.

Känsliga personuppgifter

Enligt 13 § personuppgiftslagen gäller ett principiellt förbud mot att behandla vissa känsliga personuppgifter. Det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlem- skap i fackförening. Det är också förbjudet att behandla person- uppgifter som rör hälsa eller sexualliv.

Från förbudet mot att behandla vissa känsliga personuppgifter görs emellertid betydande undantag i 15–19 §§.

Personuppgifter får enligt 15 § behandlas, om den registrerade uttryckligen har samtyckt till behandlingen. Detsamma gäller om den registrerade själv på ett tydligt sätt har offentliggjort uppgifterna.

På samma sätt som i den allmänna bestämmelsen om när en behandling av personuppgifter är tillåten, anges i 16 §, också vissa

226

SOU 2009:44

Behandling av personuppgifter i arbetslivet

situationer där en nödvändig behandling av känsliga personupp- gifter är tillåten.

Personuppgifter om brott

I 21 § finns särskilda restriktioner avseende behandling av person- uppgifter om lagöverträdelser som innefattar brott, domar i brott- mål, straffprocessuella tvångsmedel och administrativa frihets- berövanden. Huvudregeln är att det bara är myndigheter som får behandla sådana personuppgifter.

Informationskrav

I 23–27 §§ finns bestämmelser om information som den person- uppgiftsansvarige har att lämna till den registrerade. Dessa bestämmelser rör två olika typsituationer. För det första finns det bestämmelser som reglerar sådan information som den personupp- giftsansvarige självmant ska lämna den registrerade i samband med att personuppgifterna samlas in. För det andra finns det regler om information som ska lämnas först när den registrerade begär det, s.k. registerutdrag. Gemensamt för de båda situationerna är dock att bestämmelser om sekretess och tystnadsplikt alltid går före skyldigheten att lämna information.

Rättelse

Den personuppgiftsansvarige är enligt 28 § skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna uppgifter som har behandlats på ett otillåtet sätt. Den bestämmelsen motiveras av att det krävs av den personuppgiftsansvarige att denne vidtar alla rimliga åtgärder för att de uppgifter som behandlas är riktiga och aktuella samt adekvata och relevanta i förhållande till ändamålet med behandlingen. Den personuppgiftsansvarige ska också, som huvudregel, underrätta tredje man till vilken uppgifterna har lämnas ut när sådana åtgärder har vidtagits, om den registrerade så begär eller i fall där en sådan underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade.

227

Behandling av personuppgifter i arbetslivet

SOU 2009:44

Tillsyn

Det är Datainspektionen som har att utöva tillsyn över personupp- giftslagen. Datainspektionen har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behand- lingen (43 §).

Får Datainspektionen inte på begäran tillgång till de uppgifter som behövs för att kunna konstatera att behandlingen är laglig, kan inspektionen vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem (44 §). Den som inte tillmötesgår en begäran från Datainspek- tionen riskerar således att helt bli förbjuden att i fortsättningen behandla personuppgifter på annat sätt än att lagra dem. Vad som nu sagts gäller även om Datainspektionen kan konstatera att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. För ett sådant förbud krävs dock också att det antingen inte går att få den personuppgiftsansvarige att vidta rättelse på annat sätt eller att saken är brådskande (45 §).

Datainspektionen kan också med stöd av 47 § hos länsrätten ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Länsrätten får inte meddela ett beslut om utplånande om det är oskäligt.

Datainspektionens beslut i enskilda fall får i allmänhet över- klagas till allmän förvaltningsdomstol.

Rapporter

Datainspektionen har uttalat sig i generella ordalag, om hur de materiella reglerna i personuppgiftslagen bör tillämpas på arbets- livets område. I det här sammanhanget finns anledning att notera följande rapporter och annat material.

228

SOU 2009:44

Behandling av personuppgifter i arbetslivet

Övervakning i arbetslivet, Kontroll av de anställdas Internet- och e-postanvändning m.m. (Datainspektionens rapport 2005:3).

Behandling av personuppgifter för kontroll av anställda (Datain- spektionens rapport 2003:3).

Behandling av personuppgifter hos rekryteringsföretag (Datain- spektionens rapport 2002:3).

Datainspektionen informerar, Personuppgifter i arbetslivet (den 1 oktober 2001).

Sanktioner

Den som har lidit skada till följd av en otillåten behandling har enligt 48 § rätt till ersättning för den skada och kränkning som han eller hon därigenom åsamkats. Den personuppgiftsansvarige kan dock, genom att visa att felet inte berodde på honom eller henne, helt eller delvis befrias från sin ersättningsskyldighet.

Vissa olagliga förfaranden är enligt 49 § straffsanktionerade.

En konsekvens av personuppgiftslagens sanktionsbestämmelser är att det är möjligt att föra process om lagens tillämpning i de all- männa förvaltningsdomstolarna och i de allmänna domstolarna på såväl civilrättslig som straffrättslig väg samt i Arbetsdomstolen.

Missbruksregeln

Sedan den 1 januari 2007 behöver flertalet av lagens bestämmelser inte längre tillämpas för behandlingar av personuppgifter som ingår i ett ostrukturerat material. I stället gäller numera en regel i 5 a § om att en behandling är tillåten så länge den inte innebär en kränk- ning av den registrerades personliga integritet, se prop. 2005/06:173. Syftet med reformen är att förenkla och lätta upp regleringen för sådana vardagliga behandlingar av personuppgifter som typiskt sett inte innebär några större risker för kränkningar av den personliga integriteten.

Lagen innehåller således numera två olika regelsystem där åtskillnad görs om det är fråga om ett strukturerat eller ostrukturerat material. Det är bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten struktur som faller

229

Behandling av personuppgifter i arbetslivet

SOU 2009:44

utanför det undantagna området. En struktur är personuppgiftsan- knuten om materialet har strukturerats så att just personuppgifter som sådana har markerats. Det krävs vidare att den personuppgifts- anknutna strukturen uppnått en viss nivå eller kvalitet. Samlingen av personuppgifter måste ha strukturerats för att påtagligt under- lätta sökningen efter eller sammanställningen av personuppgifter.

I det undantagna området ingår produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- eller bildupptagningar och korrespondens med e-post, allt under förutsättning att materialet inte ska ingå i en databas med en personuppgiftsanknuten struktur, t.ex. ett ärende- hanteringssystem. Det som sker i vanliga program för e-post eller annan elektronisk kommunikation eller i sådana program som automatiskt indexerar alla ord och tecken i filer gör inte att det blir fråga om ett strukturerat material.

För personuppgifter som ingår i ett ostrukturerat material gäller alltså numera att behandlingar inte får utföras om den innebär en kränkning av den registrerades personliga integritet. I förarbetena har framhållits att det i slutänden är en fråga för rättstillämpningen att i varje enskilt fall väga det intrång som kan ha skett i den personliga integriteten mot eventuella motstående intressen. Man kan dock notera att de närmare anvisningarna för hur de nya reglerna bör tillämpas som ges i förarbetena i mångt och mycket tar sin utgångspunkt i det gamla regelverket. Det innebär att det gamla regelverket i flera avseenden får betydelse för tillämpningen av den nya missbruksregeln. En konsekvens av detta kan bli att de högt ställda förväntningarna på regelförenkling möjligen inte kommer att kunna infrias fullt ut.2

2 Prop. 2005/06:173 s 27. Jfr även Datainspektionens beslut 2007-02-27, dnr 1603–2006.

230

SOU 2009:44

Behandling av personuppgifter i arbetslivet

10.3Förstärkt skydd vid personuppgiftsbehandling

10.3.1Personuppgiftslagen ska som huvudregel gälla

Vårt förslag: Personuppgiftslagen ska gälla vid arbetsgivares behandling av personuppgifter, om inte annat följer av den före- slagna lagen.

Vår genomgång av personuppgiftslagen, se avsnitt 5, leder oss till bedömningen att det är svårt att se något omedelbart behov av att på ett mera ingripande sätt reglera den personliga integriteten i arbetslivet i de fall personuppgiftslagen är tillämplig. Tvärtom före- faller personuppgiftslagen tillhandahålla ett förhållandevis gott skydd för den personliga integriteten även på arbetslivets område. Det framstår som att skyddsnivån är högre och skyddet effektivare enligt personuppgiftslagen än vad som framgår av de bedömningar som har gjorts enligt såväl de begränsningar som arbetslednings- rätten får anses ha, genom att den inte får strida mot lag, god sed eller annars var otillbörlig, som enligt Europakonventionen. Därtill kommer att skyddet enligt personuppgiftslagen inte bara avser frågan om en viss åtgärd är tillåten eller inte utan också avser vilka åtgärder som i övrigt måste vidtas i anslutning till densamma. Det framstår som en ändamålsenlig ordning, eftersom det inte alltid behöver bli fråga om ett ställningstagande om huruvida en viss åtgärd är tillåten eller inte. Datainspektionen kan många gånger nöja sig med att tala om vilka förändringar som måste göras för att en viss behandling ska uppfylla kraven enligt personuppgiftslagen. Sådana påpekanden kan t.ex. avse förbättrad information till den registrerade om behandlingen eller kortare gallringstider. Därut- över finns det möjlighet att på civilrättslig väg föra en skadestånds- talan för den som anser sig ha lidit skada eller blivit kränkt i samband med en behandling av personuppgifter.

Bestämmelserna i personuppgiftslagen förefaller dock hittills inte ha fått det genomslag på arbetslivets område som man skulle kunna ha skäl att förvänta sig. Reglerna anses svåra att förstå och de stämmer inte heller överens med hur svenska regler på arbets- livets område i allmänhet är utformade. Arbetsgivare måste dock, liksom övriga i samhället, följa personuppgiftslagen, som grundar sig på dataskyddsdirektivet som inte kan anses tillåta mera betydande avvikelser.

231

Behandling av personuppgifter i arbetslivet

SOU 2009:44

Vi har emellertid, bl.a. i samband med våra studiebesök i Norge och Finland, kunnat konstatera att de finländska och norska mot- svarigheterna till personuppgiftslagen, som också bygger på data- skyddsdirektivet, hittills har haft ett större genomslag på arbets- livets område. Visserligen kan detta delvis förklaras av skillnader i lagstiftningen, t.ex. har Finland en särskild lagstiftning beträffande den personliga integriteten i arbetslivet, och vissa traditionella och kulturella skillnader. Men det förklarar, enligt vår mening, inte helt och hållet den högre aktiviteten på arbetslivets område i våra grann- länder. Aktiviteten har helt enkelt varit högre där och man har tidigare än här förstått att utnyttja dessa regler på arbetslivets område. Likheterna mellan våra rättsordningar är nog trots allt större än skillnaderna och på sikt kan man förvänta sig samma utveckling i Sverige som i Finland och Norge.

Vi kan alltså konstatera att personuppgiftslagen ska tillämpas i arbetslivet och att den innehåller en omfattande reglering som ger arbetstagare och arbetssökande en förhållandevis god skyddsnivå och som man på grund av det bakomliggande EG-direktivet inte kan avvika från i någon mer genomgripande utsträckning. Bestäm- melserna i personuppgiftslagen är förhållandevis allmänt hållna och skrivna för att tillämpas i hela samhället. Med hänsyn till att behandlingen av personuppgifter i arbetslivet, på stora och små arbetsplatser och inom det offentliga och det privata, utgör en stor del av den behandling av personuppgifter som förekommer i sam- hället i stort skulle en särreglering för arbetslivet, baserad på data- skyddsdirektivet, också behöva innehålla förhållandevis allmänt hållna bestämmelser. Vi har därför kommit fram till dels att vi kan lita till och bygga på det integritetsskydd som personuppgiftslagen redan ger, dels att vi inte bör försöka att göra någon större anpass- ning av bestämmelserna i personuppgiftslagen till arbetslivets område. Vi har i stället inriktat oss på att med så små medel som möjligt anpassa bestämmelserna i personuppgiftslagen så att de ska passa bättre för arbetslivets vidkommande.

Enligt vår uppfattning finns det en särskild poäng med att på arbetslivets område försöka använda så små medel som möjligt för att anpassa personuppgiftslagen. En modern arbetsgivare hanterar i sin verksamhet nämligen en stor mängd personuppgifter av skiftande slag och avseende olika kategorier av individer. Det kan röra sig om kunder, leverantörer, medlemmar i olika intresseorga- nisationer etc. I likhet med vad som normalt anses vara fallet vid utarbetandet av registerförfattningar ligger det ett värde i att så

232

SOU 2009:44

Behandling av personuppgifter i arbetslivet

långt möjligt samma regler tillämpas på alla behandlingar av person- uppgifter.

Vi föreslår alltså att personuppgiftslagen ska gälla vid arbets- givares behandling av personuppgifter, om inte annat följer av den av oss föreslagna lagen.

10.3.2Behov av lagstiftningsåtgärder

Som vi redan redovisat är vår bedömning att personuppgiftslagen tillhandahåller ett förhållandevis gott skydd för den personliga integriteten på arbetslivets område. När vi har analyserat person- uppgiftslagen har vi emellertid identifierat följande problem- områden.

1.Införandet av missbruksregeln i 5 a § personuppgiftslagen har vid behandling av personuppgifter för övervakning eller kontroll inneburit en försvagning av arbetstagares integritetsskydd och rättigheter.

2.Möjligheten att grunda en behandling av personuppgifter för övervakning eller kontroll på t.ex. en arbetstagares eller arbets- sökandes samtycke är problematisk med hänsyn till att sam- tycket ska vara frivilligt.

3.Vid behandling av personuppgifter för övervakning eller kontroll är det extra viktigt att det finns ett skydd mot s.k. ändamåls- glidning så att inte personuppgifter som har samlats in för andra ändamål används för att kontrollera eller övervaka arbetstagare.

Vi har kommit fram till att på dessa områden är skyddet enligt personuppgiftslagen inte är helt tillräckligt när arbetsgivaren behandlar arbetstagares personuppgifter för att övervaka eller kontrollera. Vi föreslår därför bestämmelser i vår lag som syftar till att i viss utsträckning förstärka och förtydliga skyddet enligt personuppgiftslagen i dessa avseenden. Vi kommer i det följande att närmare utveckla våra förslag.

I avsnitt 16 föreslår vi att en arbetsgivare som avser att besluta om en övervaknings- eller kontrollåtgärd som är ägnad att på ett påtagligt sätt påverka en eller flera arbetstagares personliga integritet först ska förhandla med berörda arbetstagarorganisationer. Där- utöver föreslår i avsnitt 10.3.7 att Datainspektionen på begäran ska yttra sig över utkast till kollektivavtal om arbetsgivares behandling

233

Behandling av personuppgifter i arbetslivet

SOU 2009:44

av personuppgifter. Även de bestämmelserna anser vi kan bidra till ökad tydlighet och till att underlätta tillämpningen av personuppgifts- lagen.

När det gäller vårt uppdrag att överväga i vilken mån det behövs kompletterande lagstiftning vid sidan av personuppgiftslagen för att säkerställa en integritetssäker hantering av de uppgifter som tillåten kontroll genererar i arbetslivet gör vi den bedömningen att bestämmelserna i personuppgiftslagen, med de mindre justeringar vi föreslår, är ändamålsenliga och tillräckliga. När det gäller sådan behandling av personuppgifter som en kontroll inom arbetslivet genererat och som faller utanför tillämpningsområdet för person- uppgiftslagen är det enligt vår bedömning tillräckligt och mera lämpligt att i de fall det är befogat begränsa möjligheterna för arbetsgivaren att över huvud taget få tillgång till uppgifterna genom att reglera själva övervaknings- eller kontrollåtgärden som sådan.

Det är vår avsikt att Datainspektionen ska utöva tillsyn över tillämpningen av de bestämmelser om behandling av personupp- gifter som vi föreslår på motsvarande sätt som inspektionen faktiskt utövar tillsyn över bestämmelser i s.k. särskilda register- författningar. På arbetsmarknadens område har traditionellt även arbetstagarorganisationerna verkat för att se till att arbetsgivare följer bestämmelser som berör arbetstagare, och det förhållandet att Datainspektionen har tillsyn är inte avsett att påverka arbetsta- garorganisationernas arbete.

Loggning och e-post

Som vi redovisat inledningsvis anges i våra direktiv att vi ska lämna förslag till reglering av kontroll av privat användning av e-post och Internet, exempelvis loggning. Som redan framgått anser vi att det inte föreligger något behov av att särskilt reglera dessa frågor. Vi vill för tydlighetens skull anföra följande.

Vi har, som redan nämnts, i avsnitt 5 redogjort för begreppet loggning. Vi anser att ordet logga eller loggning bör användas för att beteckna det automatiska förfarande varigenom händelser och aktiviteter i datoriserade system förtecknas eller registreras i syfte att spara informationen för eventuellt framtida bruk. När det där- emot gäller de olika förfaranden och processer varigenom materialet i en eller flera olika loggar undersöks menar vi att man kontrollerar loggar. Som vi också redan redovisat kan en arbetsgivares kontroll

234

SOU 2009:44

Behandling av personuppgifter i arbetslivet

av loggar avse olika system som helt eller delvis bygger på digital- teknik, som t.ex. datoranvändning, e-post, telefonväxlar, dörrlås, alko- lås, behörighetssystem, GPS, kameraövervakning och teleavlyssning. Genom kontroll av loggar i sådana system kan alltså information inhämtas som är hänförliga till en fysisk person, en arbetstagare. En arbetsgivare har således i dag relativt omfattande möjligheter att kontrollera loggar för att kontrollera och övervaka arbetstagare, vilket kan medföra en förhållandevis detaljerad kartläggning av enskilda arbetstagare. Kontroll av loggar innebär emellertid en behandling av personuppgifter enligt personuppgiftslagen och begränsas således av bestämmelserna i lagen. Den situationen att en arbetsgivare öppnar en fil och tar del av en arbetstagares privata e-post anses också utgöra en personuppgiftsbehandling enligt person- uppgiftslagen.

För att ovan angivna kontroller ska vara tillåtna krävs att de redovisade reglerna i personuppgiftslagen är uppfyllda. Möjlig- heterna till kontroll begränsas därutöver genom att arbetsgivarens arbetsledningsrätt och den däri ingående kontrollrätten inte får strida mot lag, god sed eller annars vara otillbörlig. Vår bedömning är att personuppgiftslagen, med de förändringar som vi föreslår, i förening med de gränser som arbetsledningsrätten får anse ha ger ett gott skydd för arbetstagarnas personliga integritet. Därutöver bör tilläggas att när det gäller offentliga arbetsgivares möjlighet att kontrollera privat e-post begränsas den även av reglerna i regerings- formen och yttrandefrihetsgrundlagen.3

Vi vill än en gång poängtera att en arbetsgivares rätt att kontrollera loggar förutsätter enligt personuppgiftslagen bl.a. ett i förväg angivet särskilt och berättigat ändamål, att endast relevanta uppgifter behandlas samt att information om kontrollåtgärderna har lämnats till arbetstagarna. Den öppenhet som informations- skyldigheten medför innebär att arbetstagarna ska kunna granska om den kontroll av loggar som genomförs är tillåten, berättigad och i övrigt utformad på ett lämpligt sätt. Här har arbetstagarorga- nisationerna också en viktig uppgift att fylla.

Vår slutsats är alltså att det föreligger ett tillfredsställande skydd och att ytterligare lagstiftningsåtgärder, utöver de förändringar som närmare redovisas nedan, inte nu behöver vidtas såvitt avser kontroll av loggar eller kontroll av privat användning av e-post.

3 Se vidare SOU 2002:18, avsnitt 5.4.

235

Behandling av personuppgifter i arbetslivet

SOU 2009:44

10.3.3Missbruksregeln ska inte gälla

Vårt förslag: Om ändamålet med arbetsgivarens behandling av arbetstagares personuppgifter är att övervaka eller kontrollera, ska missbruksregeln i 5 a § personuppgiftslagen inte gälla utan samtliga bestämmelser i personuppgiftslagen ska tillämpas.

Missbruksregeln i 5 a § personuppgiftslagen infördes i syfte att åstadkomma ett förenklat regelsystem för sådana behandlingar av personuppgifter som typiskt sett inte är särskilt integritetskänsliga. Förenklingen består i att flertalet av personuppgiftslagens s.k. hanteringsregler inte behöver tillämpas. I stället gäller en enkel regel som innebär att behandlingen är tillåten så länge den inte innebär en kränkning av den registrerades personliga integritet.

Av förarbetena kan man läsa ut att lagstiftaren inte avsett att bestämmelsen ska tillämpas på sådana behandlingar som utgörs av kontroller av loggar.4 Trots tydliga uttalanden i förarbetena kan det, enligt vår mening, inte uteslutas att kontroller av loggar i enstaka fall kan komma att genomföras på sådant sätt att miss- bruksregeln blir tillämplig. Därtill kommer att Datainspektionen har ansett att missbruksregeln är tillämplig på sådan kameraöver- vakning som innebär att personuppgifter behandlas, dvs. kamera- övervakning med digital teknik där enskilda personer kan identifieras. Motsvarande bedömning kan nog göras i fråga om telefonavlyssning med digital teknik. Integritetsskyddskommittén ansåg som nämnts att detta var problematiskt från integritetssyn- punkt.5 En utredning ser vidare för närvarande över lagen (1998:150) om allmän kameraövervakning med uppdrag att bl.a. överväga om det är lämpligt att kameraövervakning är föremål för den förenklade reglering som missbruksregeln innebär.6

Enligt vår uppfattning bör inte i något fall missbruksregeln vara tillämplig i samband med arbetsgivares behandlingar av arbets- tagares personuppgifter, om ändamålet med behandlingen är att övervaka eller kontrollera. Sådana behandlingar är så gott som alltid känsliga från integritetssynpunkt och de förenklingsskäl som ligger bakom missbruksregeln gör sig över huvud taget inte gällande. Lagens hanteringsregler bör alltid gälla fullt ut och för alla typer av behandlingar så snart ändamålet med en behandling av arbets-

4SOU 2004:6 s. 133 och prop. 2005/06:173 s. 23.

5SOU 2007:22, Del 1, s. 314 f.

6Dir. 2008:22.

236

SOU 2009:44

Behandling av personuppgifter i arbetslivet

tagares personuppgifter är övervakning eller kontroll. Med en sådan ordning förenklas också regelsystemet på så sätt att varken arbets- tagare eller arbetsgivare över huvud taget behöver fundera på om missbruksregeln är tillämplig eller inte. Är ändamålet med behandlingen av arbetstagares personuppgifter övervakning eller kontroll, gäller alltid hanteringsreglerna fullt ut. En konsekvens av att hanteringsreglerna är tillämpliga är att det, enligt Datainspek- tionen, inte är tillräckligt att ange att ändamålet med behandlingen är övervakning och kontroll utan att också syftet med kontrollen måste anges.

Vi föreslår således att det i den av oss föreslagna lagen förs in en bestämmelse som innebär att, om ändamålet med en arbetsgivares behandling av arbetstagares personuppgifter är att övervaka eller kontrollera ska 5 a § personuppgiftslagen inte gälla.

Med en sådan ordning kommer kameraövervakning och telefon- avlyssning som sker med digital teknik att vara att bedöma enligt personuppgiftslagens hanteringsregler. Några bärande skäl för eller konkreta behov av att för arbetslivets del ytterligare reglera dessa övervakningsåtgärder kan vi inte se. Dessutom ser som nämnts en annan utredning för närvarande över lagen om allmän kameraöver- vakning. Eftersom missbruksregeln inte motsvaras av någon regel i dataskyddsdirektivet är vårt förslag förenligt med direktivet.

10.3.4Samtycke ska inte gälla

Vårt förslag: Om ändamålet med arbetsgivarens behandling av arbetstagares personuppgifter är att övervaka eller kontrollera, ska behandlingen inte vara tillåten enligt personuppgiftslagen enbart med stöd av arbetstagarens samtycke.

Enligt vår uppfattning finns det starka skäl som talar för att införa en uttrycklig bestämmelse om att en arbetsgivares behandling av t.ex. en arbetstagares eller en arbetssökandes personuppgifter inte ska vara tillåten enbart med stöd av arbetstagarens eller arbets- sökandens samtycke i de fall ändamålet med behandlingen är över- vakning eller kontroll.

Både en arbetstagare och en arbetssökande kan många gånger anses stå i sådan beroendeställning till arbetsgivaren att det kan sättas i fråga om ett samtycke verkligen är frivilligt på det sätt som

237

Behandling av personuppgifter i arbetslivet

SOU 2009:44

krävs i personuppgiftslagen. Det kan inte heller uteslutas att sam- tycke i vissa fall krävs in och lämnas slentrianmässigt och utan att några egentliga reflektioner görs. För den som tycker att person- uppgiftslagen är svår att förstå och tillämpa kan ett samtycke fram- stå som en enkel lösning i stället för att t.ex. göra en intresseavväg- ning enligt personuppgiftslagen där vikten av ens eget intresse av behandlingen måste vägas av mot motstående intressen.

I fråga om behandling av arbetstagares personuppgifter för att övervaka eller kontrollera, är det troligt att det i de allra flesta fall är fråga om en sådan situation där t.ex. en arbetstagare eller en arbets- sökande inte kan lämna ett verkligt fritt samtycke som kan återtas utan nackdel. I vart fall gäller det i fråga om behandling av just arbetstagares personuppgifter. När en arbetstagare någon gång kan lämna ett verkligt fritt samtycke, t.ex. vid övervakning som innebär att biometriska uppgifter såsom fingeravtryck kontrolleras för identifiering vid inloggning när arbetstagaren även erbjuds en alternativ möjlighet till inloggning7, bör situationen vara sådan att behandlingen är tillåten utan samtycke efter en intresseavvägning. Det enda konkreta exempel som vi kunnat komma på i fråga om övervakning och kontroll där en arbetstagare bör kunna lämna ett frivilligt samtycke till en behandling som inte annars hade varit tillåten, är när en arbetsgivare som förutsättning för att arbets- tagaren ska i viss utsträckning få använda arbetsgivarens IT- utrustning privat kräver att arbetstagaren samtycker till att arbets- givaren får ta del av det som är privat för att t.ex. kontrollera om det förekommit något som kan ge grund för arbetsrättsliga åtgärder.8

Enligt vår mening blir regleringen tydligare om det uttryckligen framgår att en arbetstagares samtycke inte ensamt kan utgöra grund enligt personuppgiftslagen för en behandling av personupp- gifter för att övervaka eller kontrollera. Därmed garanteras att arbetsgivaren vid övervaknings- och kontrollåtgärder alltid på förhand beaktar vilka sakliga skäl som finns för åtgärden och inte bara förlitar sig på ett samtycke som i flera fall kanske inte är giltigt.

Vi anser alltså att det i den av oss föreslagna lagen bör tas in en bestämmelse med innebörd att, om ändamålet med en arbetsgivares behandling av arbetstagares personuppgifter är att övervaka eller

7Jfr Datainspektionens rapport 2005:3 s. 22.

8Jfr Sören Öman, Privat e-post på arbetet, Liber Amicorum Reinhold Fahlbeck, 2005, s. 703.

238

SOU 2009:44

Behandling av personuppgifter i arbetslivet

kontrollera ska en behandling inte vara tillåten enligt personupp- giftslagen enbart med stöd av den berörda arbetstagarens samtycke.

Behandling av arbetstagares personuppgifter för att övervaka eller kontrollera bör således vara tillåten bara om behandlingen har någon annan rättslig grund enligt personuppgiftslagen. När det gäller arbetstagares personuppgifter i allmänhet, kommer i praktiken det avgörande oftast att vara om den tilltänkta behand- lingen är tillåten efter en intresseavvägning enligt personuppgifts- lagen. Vid en sådan intresseavvägning enligt personuppgiftslagen kan de berörda personernas inställning till behandlingen ingå som ett moment.

Den föreslagna bestämmelsen innebär formellt sett en inskränkning i den rätt som dataskyddsdirektivet ger personupp- giftsansvariga att behandla personuppgifter i allmänhet med stöd av den registrerades samtycke. Som framgått har vi svårt att se att bestämmelsen i sig kommer att särskilt ofta hindra en personupp- giftsbehandling. Man kanske kan tänka sig någon situation avseende kontroll av arbetssökande, förutom den situation avseende arbets- tagares samtycke till kontroller av privat material som tidigare nämnts. I de undantagssituationer där bestämmelsen medför att en behandling för övervakning eller kontroll inte får genomföras, bör detta inte ha någon som helst påverkan på det fria flödet av person- uppgifter. Vi anser därför att bestämmelsen är en sådan precisering som är tillåten enligt dataskyddsdirektivet.

10.3.5Förstärkt skydd mot ändamålsglidning

Vårt förslag: En arbetsgivares behandling av arbetstagares person- uppgifter för att övervaka eller kontrollera en arbetstagare ska vara tillåten enligt personuppgiftslagen bara om det i samband med att personuppgifterna samlades in angetts att ändamålet med behandlingen är just att övervaka eller kontrollera arbets- tagare i något visst avseende. En arbetsgivare ska dock få behandla personuppgifter för att övervaka eller kontrollera även om de samlats in för annat ändamål, om det finns synnerliga skäl och om arbetsgivaren så snart det kan ske informerar berörda arbets- tagare om det nya ändamålet med behandlingen.

239

Behandling av personuppgifter i arbetslivet

SOU 2009:44

Personuppgiftslagen innehåller genom finalitetsprincipen ett skydd mot s.k. ändamålsglidning, dvs. skydd mot att personuppgifter behandlas för något annat ändamål än det som bestämdes när personuppgifterna samlades in. Huvudregeln i personuppgiftslagen är också att den registrerade ska informeras om behandlingens ändamål i samband med att uppgifterna samlas in från den registre- rade själv. Vid övervakning och kontroll, t.ex. vid kontroll av loggar eller kameraövervakning, anses i allmänhet personuppgifterna insamlade från den registrerade själv (och inte hämtade från någon annan källa).

Utrymmet för att behandla redan registrerade personuppgifter för att övervaka eller kontrollera arbetstagare framstår som litet, om detta ändamål inte angavs redan när uppgifterna samlades in. Personuppgifter får nämligen enligt personuppgiftslagen inte behandlas för något ändamål som är oförenligt med det som bestämdes när uppgifterna samlades in. Ett senare påkommet över- vaknings- eller kontrolländamål avseende arbetstagare är för det mesta att anse som oförenligt med de ändamål som kan ha angetts vid insamlingen av uppgifterna, t.ex. löneadministration eller kontroll av arbetsprocesser eller säkerheten.

Skyddet mot ändamålsglidning vid övervakning och kontroll av arbetstagare är enligt vår mening så viktigt att det bör framgå uttryckligen av lagtexten. Skyddet bör vidare förtydligas genom att det såsom huvudregel tydligt framgår att sådan ändamålsglidning inte är tillåten. Eftersom man inte kan vara helt säker på att alla ursprungligen bestämda ändamål, som avser annat än övervakning eller kontroll av en arbetstagare, är oförenliga med en efterkom- mande behandling för att övervaka eller kontrollera en arbetstagare, kan det inte uteslutas att förslaget i någon mindre utsträckning innebär också en skärpning av vad som i dag gäller enligt den generellt formulerade finalitetsprincipen i personuppgiftslagen. Vi anser att en sådan skärpning i så fall är befogad i sak. Genom vårt förslag blir det i vart fall enklare att se vad som ska gälla.

Huvudregeln bör alltså vara att en arbetsgivares behandling av arbetstagares personuppgifter för att övervaka eller kontrollera en arbetstagare är tillåten enligt personuppgiftslagen bara om det i samband med att personuppgifterna samlades in angetts att ända- målet med behandlingen är att just övervaka eller kontrollera arbetstagare i något visst avseende.

För att undvika stötande resultat – att en konkret misstanke om allvarliga missförhållanden i arbetsgivarens verksamhet inte kan

240

SOU 2009:44

Behandling av personuppgifter i arbetslivet

undersökas närmare med hjälp av redan registrerade person- uppgifter – bör dock huvudregeln förses med ett snävt undantag. Om det finns synnerliga skäl, bör därför redan registrerade person- uppgifter få behandlas för att övervaka eller kontrollera en arbets- tagare under förutsättning att arbetsgivaren så snart det kan ske informerar berörda arbetstagare om det nya övervaknings- eller kontrolländamålet. Samhället ålägger på olika sätt arbetsgivaren ett ansvar för det som sker i dennes verksamhet, och då bör också samhället se till att arbetsgivaren har tillgång till de verktyg som behövs för att – i eget och samhällets intresse – ta sitt ansvar. Dataskyddsdirektivet medger också att sådana undantag från finalitetsprincipen som utgör en nödvändig åtgärd med hänsyn till bl.a. undersökning och avslöjande av brott eller skydd av fri- och rättigheter (artikel 13).

De situationer vi tänker på är just de där det finns en konkret misstanke om allvarliga missförhållanden i arbetsgivarens verksam- het. Att det ska finnas en konkret misstanke innebär att det ska finnas någon omständighet som tydligt talar för att en viss arbets- tagare gjort sig skyldig till något visst förfarande. Med allvarliga miss- förhållanden avser vi fall där brott eller andra illojala förfaranden, som kan föranleda avskedande av en arbetstagare, förekommer i arbetsgivarens verksamhet. Det kan t.ex. handla om snatteri mot arbetsgivaren, upphovsrättsbrott vid fildelning, barnpornografibrott, hets mot folkgrupp eller förberedande av med arbetsgivaren kon- kurrerande verksamhet eller baktalande av arbetsgivaren inför kunder eller arbetssökande.

Arbetsgivaren måste som sagt informera berörda arbetstagare om det nya övervaknings- eller kontrolländamålet så snart det kan ske. Informationen kan lämnas muntligt eller skriftligt. Att infor- mationen ska lämnas så snart det kan ske innebär att arbetsgivaren först kan säkra de redan insamlade personuppgifterna, t.ex. arbets- tagarens e-post, innan informationen behöver lämnas.

Undantagsregeln avser bara behandling av redan insamlade person- uppgifter. Det är ju enbart i den situationen där finalitetsprincipen och skyddet mot ändamålsglidning har någon betydelse. Vill arbets- givaren, när det är tillåtet, börja behandla personuppgifter för att övervaka en arbetstagare som misstänks hålla på med något som utgör ett allvarligt missförhållande i arbetsgivarens verksamhet, får arbetsgivaren påbörja en behandling för detta ändamål.

De föreslagna bestämmelserna utgör i allt väsentligt en precisering av vad som får antas gälla enligt dataskyddsdirektivet

241

Behandling av personuppgifter i arbetslivet

SOU 2009:44

och det är svårt att se att bestämmelserna på något sätt skulle kunna begränsa det fria flödet av personuppgifter. Vi bedömer därför att bestämmelserna är förenliga med dataskyddsdirektivet.

10.3.6Rättelse och skadestånd

Vårt förslag: Bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska gälla vid brott mot de bestämmelser om behandling av personuppgifter som vi föreslår.

Enligt 28 § personuppgiftslagen gäller att den personuppgiftsan- svarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har be- handlats i enlighet med den lagen eller föreskrifter som har utfär- dats med stöd av lagen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Bestämmelserna i 28 § personuppgiftslagen om rättelse m.m. är således bara tillämpliga när uppgifterna behandlats i strid med den lagen eller föreskrifter som utfärdats med stöd av personuppgifts- lagen. Har personuppgifter behandlats på något sätt som bara står i strid med bestämmelser i en registerförfattning, gäller alltså for- mellt inte bestämmelserna i 28 § personuppgiftslagen om rättelse m.m. Arbetstagare och de personer som ingår i den föreslagna lagens personkrets bör emellertid vid behandling av personupp- gifter i strid med de bestämmelser om behandling av personuppgifter som tas in i den av oss föreslagna lagen ha samma möjligheter till rättelse m.m. som enligt 28 § personuppgiftslagen. Det är därför nödvändigt att i den av oss föreslagna lagen ta in en särskild bestämmelse om detta som hänvisar till bestämmelserna om rättelse m.m. i personuppgiftslagen.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta en registrerad för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den

242

SOU 2009:44

Behandling av personuppgifter i arbetslivet

utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Bestämmelserna i 48 § personuppgiftslagen om skadestånd gäller således bara ersättningsskyldighet vid behandling av personupp- gifter i strid med bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid med andra författningar. Det är enligt vår mening emellertid lämpligt att dessa bestämmelser, och inte de bestämmelser om sanktioner som vi föreslår i avsnitt 16, gäller vid behandling av personuppgifter som utförs i strid med de bestämmelser om behandling av personupp- gifter som tas in i den av oss föreslagna lagen. Vi föreslår därför att det i den av oss föreslagna lagen också ta in en särskild bestäm- melse om detta som hänvisar till bestämmelserna om skadestånd i personuppgiftslagen.

10.3.7Kollektivavtalsreglering

Vårt förslag: Datainspektionen ska på gemensam begäran av en arbetsgivarorganisation eller en enskild arbetsgivarens och en arbetstagarorganisation avge yttrande över ett utkast till kollektiv- avtal i de delar utkastet rör arbetsgivares behandling av person- uppgifter. Yttrandet ska avse kollektivavtalets förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är fråga om.

Reglering i kollektivavtal

Bestämmelserna i personuppgiftslagen kan förefalla svårtillämpade, bl.a. eftersom de innehåller en rad avvägningsnormer (t.ex. en intresseavvägning) och normer som förutsätter individualiserade bedömningar (t.ex. om en viss behandling är oförenlig med ett visst ändamål). För oss står det emellertid klart att det enda sätt som det kan uppkomma en anpassad och tydlig reglering som kan tala om när en viss övervaknings- eller kontrollåtgärd är tillåten är att parterna på arbetsmarknaden träffar kollektivavtal härom. Arbetslivet är ett alldeles för mångfacetterat samhällsområde för att en lagreglering ska kunna bestå av något annat än generella och allmänt hållna regler. Dessa regler kommer alltid, oavsett hur de är utformade, att behöva konkretiseras och anpassas till förhållandena

243

Behandling av personuppgifter i arbetslivet

SOU 2009:44

i den enskilda branschen eller till och med på den enskilda arbets- platsen.

En reglering i kollektivavtal av frågor om behandling av person- uppgifter i arbetslivet skulle alltså kunna precisera bestämmelserna och underlätta tillämpningen. Sådana kollektivavtal är i dag inte vanliga om de alls förekommer, men vi anser att kollektivavtal på området är något som bör främjas.

Det ligger normalt sett inom arbetsgivarens arbets- eller före- tagsledningsrätt att ensam besluta om övervaknings- och kontroll- åtgärder som innefattar behandling av personuppgifter, givetvis inom de ramar som lag, företrädesvis personuppgiftslagen, och, kanske, god sed på arbetsmarknaden ställer upp. Tekniska över- vaknings- och kontrollåtgärder kan många gånger kräva stora investeringar. Dessutom har säkerligen arbetsgivare ett allmänt intresse av att verksamheten kan bedrivas på sådant sätt att tvister med arbetstagare undviks. Över huvud taget borde samförstånd och samsyn mellan arbetsgivare och arbetstagare i allmänhet vara en förutsättning för att verksamheten ska utvecklas i en positiv riktning. Det medel som på den svenska arbetsmarknaden används för att uppnå och vidmakthålla samförstånd och samsyn mellan arbetsmarknadens parter är att dels förhandla om saken, dels ingå just kollektivavtal.

I avsnitt 16 föreslår vi en skyldighet för arbetsgivare som avser att besluta om en övervaknings- eller kontrollåtgärd som är ägnad att på ett påtagligt sätt påverka en eller flera arbetstagares personliga integritet att först förhandla med berörd arbetstagaror- ganisation.

Datainspektionen

När det gäller träffande av kollektivavtal om övervaknings- och kontrollåtgärder gäller samma inskränkningar som i fråga om arbetsgivarens arbets- eller företagsledningsrätt, nämligen att kollektivavtalet inte får stå i strid med lag eller god sed på arbets- marknaden. Personuppgiftslagen är inte semidispositiv och kan därmed inte frångås genom kollektivavtal. Bland annat därför kan gränserna för det avtalsbara området vara svåra att överblicka för avtalsparterna.

244

SOU 2009:44

Behandling av personuppgifter i arbetslivet

Det personuppgiftsombud som en arbetsgivare kan ha utsett kan få råd och hjälp av Datainspektionen om tillämpningen av för- fattningsbestämmelserna om behandling av personuppgifter.9

Är arbetsgivaren med i någon branschorganisation kan denna vidare utforma en s.k. branschöverenskommelse med mer preciserade bestämmelser om behandlingen av personuppgifter och få den granskad av Datainspektionen. Enligt 15 § personuppgifts- förordningen (1998:1191) ska nämligen Datainspektionen på begäran av en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller inom ett visst område avge ett yttrande över förslag till överenskommelser vad avser behandling av personuppgifter inom branschen eller området. Inspektionens yttrande ska avse branschöverenskommelsens förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är fråga om, och innan yttrandet lämnas ska inspektionen, om det är lämpligt, se till att organisationer som företräder de registrerade har fått tillfälle att yttra sig.

Med hänsyn till den osäkerhet som kan finnas om det avtalsbara området och då tekniska övervaknings- och kontrollåtgärder kan kräva stora investeringar, anser vi att tillkomsten av kollektivavtal på området bör främjas genom att det införs en motsvarande möjlighet att, på gemensam begäran från avtalsparterna, få utkast till kollektivavtal förhandsgranskade.

9 Se 38 § personuppgiftslagen och 1 § andra stycket förordningen (2007:975) med instruktion för Datainspektionen.

245

11 Kontroll av vissa registerutdrag

I vårt uppdrag ingår enligt direktiven att vi ska föreslå en lagstift- ning som reglerar möjligheten för arbetsgivare att begära att få se arbetssökandes utdrag ur belastningsregistret och när så förefaller motiverat överväga vilka uppgifter som i så fall ska omfattas. Vi ska också överväga och – om behov föreligger – föreslå lagstiftning som reglerar tillåtligheten för arbetsgivare att få begära att få se utdrag ur Försäkringskassans register, att få begära utdrag från Krono- fogdemyndighetens register och att få hämta in kreditupplysningar från kreditupplysningsföretag.

11.1Vissa rättsliga utgångspunkter

Nedan redovisas vissa rättsliga utgångspunkter vid arbetsgivares regi- sterkontroll av arbetssökande eller arbetstagare. De särskilda rätts- regler som blir aktuella i samband med kontroll av de skilda regi- sterutdrag som vårt uppdrag omfattar redovisas närmare i anslut- ning till att respektive utdrag behandlas.

Kontroll av registerutdrag aktualiseras framförallt i en nyanställ- ningssituation. Frågan om arbetsgivares möjlighet att i samband med nyanställning kräva in intyg är i huvudsak oreglerad i den svenska arbetsrätten. Som tidigare framgått gäller i svensk rätt grundsatsen om arbetsgivares fria anställningsrätt innebärande bl.a. att arbetsgivaren i princip har rätt att själv avgöra vad som ska ingå i underlaget för ett anställningsbeslut. Här bör dock noteras att det numera gäller ett förbud för arbetsgivaren att kräva eller efterforska genetisk information om en arbetssökande eller en arbetstagare.1

Även om utgångspunkten således är att en arbetsgivare i princip är oförhindrad att kräva att en arbetssökande ska förete t.ex. intyg av olika slag finns i personuppgiftslagen (1998:204) bestämmelser

1 2 kap. 1 § lagen (2006:351) om genetisk integritet m.m.

247

Kontroll av vissa registerutdrag

SOU 2009:44

som kan innebära en begränsning för arbetsgivaren redan i fråga om själva insamlandet av personuppgifter; naturligtvis under förutsätt- ning att arbetsgivaren hanterar uppgifterna på ett sådant sätt att personuppgiftslagen blir tillämplig, se närmare härom i avsnitt 5.1.2.

Ett vanligt förfarande i en nyanställningssituation är att en arbets- givare förvarar handlingar om olika arbetssökande i en mapp för respektive sökande. Innehållet i akter eller aktomslag faller dock inte under personuppgiftslagens tillämpningsområde om inte hand- lingarna är strukturerade eller sökbara efter personuppgifter. En trolig tolkning av personuppgiftslagen och dataskyddsdirektivet är att om en arbetsgivare inte vidtar någon annan åtgärd än att lägga ett registerutdrag eller uppgifter därur om en arbetssökande i en mapp vilken sorteras i bokstavsordning efter namn, så faller han- teringen utanför personuppgiftslagens tillämpningsområde. Det- samma gäller också om handlingar förvaras i en hög på skrivbordet sorterade efter namn.

Om däremot ett registerutdrag eller uppgifter därur databehandlas blir personuppgiftslagen tillämplig. I sådana fall gäller de grundläg- gande förutsättningarna (9 och 10 §§) och, om det är fråga om s.k. känsliga personuppgifter till vilka bl.a. hälsa hör, ytterligare restrik- tioner (13–16 §§). Uppgifter om lagöverträdelser m.m. är det enligt huvudregeln förbjudet för andra än myndigheter att behandla; ett förbud som inte kan frångås ens med samtycke (21 §).

För möjligheten att ta del av uppgifter i offentliga register spelar offentlighetsprincipen en väsentlig roll. Denna princip innebär en rätt för medborgarna att ta del av myndigheternas handlingar. Enligt 2 kap. 1 § tryckfrihetsförordningen har varje svensk med- borgare rätt att få ta del av allmänna handlingar. Denna rättighet får enligt 2 § samma lag begränsas om det är påkallat av vissa i lag- rummet uppräknade speciella intressen såsom bl.a. för att skydda enskildas personliga och ekonomiska förhållanden. Enligt bestäm- melsen får begränsningar i rätten att ta del av allmänna handlingar göras endast i särskild lag eller lag till vilken den särskilda lagen hänvisar. Den lag som avses är sekretesslagen (1980:100), vars bestäm- melser vilar på noggranna avvägningar mellan offentlighetsprinci- pens krav på öppenhet och behovet av skydd för vissa väsentliga intressen. Regeringen har nyligen beslutat propositionen Offent- lighets- och sekretesslag (prop. 2008/09:150) med ett förslag till offentlighets- och sekretesslag, vilken ska ersätta sekretesslagen. De bestämmelser som behandlas i detta avsnitt avser 1980 års sekretess-

248

SOU 2009:44 Kontroll av vissa registerutdrag

lag. Den föreslagna lagen innebär emellertid inte några sakliga ändringar i dessa.

11.2Utdrag ur belastningsregistret och misstankeregistret

11.2.1Inledning

I våra utredningsdirektiv sägs beträffande bakgrunden till denna del av utredningsuppdraget följande.

Det har uppmärksammats att arbetsgivare i allt större utsträck- ning begär av en arbetssökande att få ta del av de uppgifter som finns registrerade om sökanden i belastningsregistret. Vårt samhälle präglas av uppfattningen att en person efter avtjänat straff ska kun- na verka i samhället på samma premisser som andra. Vetskapen om avtjänade straff kan i vissa fall förefalla omotiverad samtidigt som personens chanser att delta i arbetslivet då kan minska. För vissa typer av anställning utgör emellertid intresset av att skydda perso- ner från risker som kan anses förknippade med tidigare lagföringar för brott tillräckliga skäl för att tillåta en begäran om att få ta del av vissa uppgifter om tidigare lagföringar och straff. Det är angeläget att det står klart när sådan information kan inhämtas och vilken information som då kan efterfrågas.

Utdrag ur misstankeregistret omnämns inte särskilt i våra direk- tiv. Eftersom direktivet ger oss den rätten har vi funnit anledning att även behandla frågan om tillåtligheten att begära utdrag ur detta register.

11.2.2Enskildas insynsrätt

Före år 1989 hade enskilda endast undantagsvis rätt att ta del av uppgifter om sig själva i dåvarande kriminal- och polisregister. Bak- om detta låg framförallt farhågor att den enskildes rätt skulle komma att utnyttjas av bl.a. arbetsgivare till att kräva anställningssökande på strafflöshetsintyg.

Enligt såväl 1937 års sekretesslag som sekretesslagen från år 1980 gällde absolut sekretess för uppgifter i kriminalregistret och polis- registret. I den proposition som låg till grund för införandet av den sistnämnda lagen anförde föredragande statsrådet att det under arbetet

249

Kontroll av vissa registerutdrag

SOU 2009:44

med följdlagstiftningen fick övervägas om det borde införas en föreskrift i registerlagarna som skulle innebära att den registrerade skulle ha rätt att ta del av uppgift om sig själv bara på sådant sätt att han inte kom att förfoga över något bevis om registrets innehåll (prop. 1979/80:2 s. 214). Under arbetet med följdlagstiftningen erin- rade föredragande statsrådet om detta uttalande men förklarade att frågan krävde närmare utredning om vilken lösning man skulle välja, varför han inte var beredd att lägga fram något förslag om ändring.

Frågan behandlades härefter vid ett antal tillfällen; bl.a. i en pro- memoria från Justitiedepartementet den 5 februari 1980 (Dnr-80) med förslag till ändringar i polis- och registerlagarna, i proposi- tionen 1980/81:18 med förslag till lag om ändring i sekretesslagen, i departementspromemorian (Ds Ju 1981:6) om de registrerades rätt till insyn i kriminal- och polisregistren samt i departementsprome- morian Ds Ju 1985:8 angående lag om brottsregister m.m.

I 1980 års promemoria föreslogs att den enskilde skulle ha rätt att ta del av sådan uppgifter om sig själv som hemlighölls med hän- syn till den enskildes egna intressen. Enligt förslaget skulle den enskil- de inte få tillgång till något registerutdrag utan denne skulle infinna sig på en polisstation för att där ta del av uppgifterna på en bild- skärm eller genom att läsa en utskrift.

I promemorian från 1981 framhölls att grundsatserna i 14 kap. 4 § sekretesslagen – att sekretess till skydd för den enskilde inte gäller i förhållande till honom själv – och 10 § datalagen gjorde sig gällande också i fråga om kriminal- och polisregister. Det kunde därför starkt ifrågasättas om man borde vidmakthålla förbudet för en registrerad att få del av uppgifter om sig själv i sådana fall då uppgifterna hemlighölls uteslutande av hänsyn till den registrerades egna intressen. I promemorian erinrades om att motiven till den registrerades begränsade insynsrätt var farhågor att registerutdragen skulle kunna utnyttjas av arbetsgivare och hyresvärdar till att kräva anställnings- resp. bostadssökande på strafflöshetsintyg.

Enligt promemorian visade remissutfallet att den lösning som förordats i 1980 års promemoria måste avvisas inte minst av prak- tiska skäl. Därtill kom enligt promemorian att det skulle vara svårt att få de enskildas förståelse för att de inte skulle kunna betros med att få med sig ett registerutdrag som gäller deras egen person och som de fått del av. Den enda lösning som återstod var enligt pro- memorian att låta den enskilde få del av uppgifterna i aktuella regi- ster om sig själv genom att han fick ett registerutdrag. Det anfördes att man emellertid måste söka förhindra att utdraget användes som

250

SOU 2009:44

Kontroll av vissa registerutdrag

strafflöshetsintyg. En tanke som nämndes i promemorian var att straffbelägga förfaranden som innebar t.ex. att en arbetsgivare som villkor för en anställning eller ett uppdrag avkräver någon ett utdrag ur kriminal- och polisregistret. Enligt promemorian fanns det emeller- tid inte någon anledning att befara att man från arbetsgivarnas sida skulle missbruka en ny reglering på detta sätt. Om det skulle före- komma kunde man förutsätta att detta skulle leda till reaktioner från de anställdas fackliga sammanslutningar och från den allmänna opinionen.

Efter förslag i proposition 1987/88:122 infördes slutligen en bestämmelse om insynsrätt för den enskilde i dåvarande kriminal- registret. Lagändringen trädde i kraft den 1 januari 1989. Innebör- den av bestämmelsen var att den enskilde på begäran skulle ha rätt att utan kostnad en gång per år få utdrag ur kriminalregistret beträf- fande sig själv. I propositionen framhölls att det allmänt sett varit svårt att finna en lösning som inte var förenad med olägenheter. Vad gällde frågan om i vilken form som den enskilde skulle få insyn i kriminalregistret anfördes bl.a. följande.

Frågan innefattar svåra gränsdragningsproblem och har – som framgått av det tidigare – varit föremål för skilda uppfattningar. Man måste för- söka hindra att en enskild tvingas visa upp utdrag ur registret som straff- löshetsintyg. Tanken att insynen i registret skulle ske via terminal har därför vissa fördelar. Emellertid visade det tidigare remissutfallet att denna väg knappast var framkomlig och läget är i detta hänseende oförändrat. I brottsregisterpromemorian2 pekades också på den lös- ning som har valts i Norge, där enskilda har rätt att få muntliga – men inte skriftliga – upplysningar om belastningsuppgifter som angår dem själva. Även denna lösning är emellertid uppenbarligen förenad med betydande nackdelar.

I överensstämmelse med vad som föreslagits i brottsregisterprome- morian och godtagits av flera remissinstanser har jag därför stannat för att övervägande skäl talar för att tillåta insyn för enskilda i kriminal- registret genom att de får ett utdrag av registret. Som jag bedömer är risken att dessa utdrag ska missbrukas inte så påtaglig att det finns anled- ning att vidta särskilda lagstiftningsåtgärder. Jag avser emellertid att följa utvecklingen noga och vid tecken på missbruk av utdragen ta upp frågan på nytt. Om inte någon annan teknisk lösning då är möjlig, får man överväga att straffbelägga förfaranden som innebär att arbets- givare eller hyresvärdar utnyttjar den enskildes rätt till registerutdrag för att avkräva arbets- eller bostadssökande sådana utdrag.

2 Med brottsregisterpromemorian avses Ds Ju 1985:8 angående lag om brottsregister m.m.

251

Kontroll av vissa registerutdrag

SOU 2009:44

När lagen om belastningsregister och lagen om misstankeregister infördes tio år senare bibehölls den absoluta sekretessen för belast- ningsregistret men avskaffades för övriga polisregister.

Enligt den nu gällande bestämmelsen i 7 kap. 17 § sekretesslagen får uppgifter från belastningsregistret lämnas ut endast under förut- sättningar som anges i lagen om belastningsregister och säkerhets- skyddslagen och förordningar som har stöd i dessa lagar. I samma paragraf anges också att reglerna i 14 kap. sekretesslagen som inne- håller regler om undantag för sekretess inte gäller. Det innebär bl.a. att den enskilde inte kan få ut uppgifter om sig själv med stöd av 14 kap. 4 § sekretesslagen. Istället är den enskilde hänvisad till bestäm- melsen härom i lagen om belastningsregister (9 §).

I propositionen 1997/98:97 som låg till grund för införandet av lagen om belastningsregister anfördes i fråga om sekretessen bl.a. följande.

Uppgifter i polisens belastningsregister har alltid ansetts extra käns- liga, främst ur integritetssynpunkt. Även om man kan förutse att en stor del av polisens och domstolarnas arbete inom en snar framtid kommer att utföras med datorstöd och att det med hjälp av de avance- rade sökverktyg som finns, kommer att bli tekniskt möjligt att på ett relativt enkelt sätt sammanställa personuppgifter som förekommer i t.ex. förundersökningar och domar, kommer samma uppgifter samman- ställda i ett register även i fortsättningen att vara särskilt känsliga ur integritetssynpunkt. Registrens huvudsyfte är just att lagra samman- ställningar av uppgifter på ett sådant sätt att det ska vara lätt att ta fram och presentera information. Att det råder strängare sekretess för uppgifter i ett register än för uppgifter som förekommer under en för- undersökning är därför enligt regeringens bedömning väl motiverat. Den absoluta sekretess som i dag gäller för uppgifter i polis- och kriminal- register har främst motiverats av att den dömdes återanpassning till samhället inte ska försvåras. Det är angeläget att uppgifter om en per- sons förflutna inte sprids mer än vad som är absolut nödvändigt. Sek- retesskyddet för belastningsuppgifter är således i allt väsentligt upp- ställt för att skydda den enskilde. Det ligger därför i sakens natur att utomordentlig stor restriktivitet måste gälla för insyn i belastnings- register.

Förutom den registrerade själv är det främst myndigheter inom rätts- väsendet som har ett berättigat intresse av att få del av uppgifter från belastningsregister. Med hänsyn till den registrerades rehabilitering bör andra myndigheter eller enskilda normalt inte få tillgång till upp- gifterna (a. prop. s. 65).

252

SOU 2009:44

Kontroll av vissa registerutdrag

Vissa internationella överenskommelser

Den enskildes rätt till insyn i register kommer också till uttryck i olika internationella överenskommelser. I Europarådets rekommen- dation No. R (87) 15 om användning av personuppgifter inom polis- sektorn sägs att den registrerade ska ha rätt att få tillgång till upp- gifter i register. Rätten får dock begränsas om det är oundgängligen nödvändigt för att polisen ska kunna utföra sina uppgifter eller om det är nödvändigt för att skydda den registrerades eller andra per- soners fri- och rättigheter.

En rätt att få ta del av uppgifter om sig själv i Europols polis- register följer även av artikel 19 i Europolkonventionen som Sverige har tillträtt (prop. 1996/97:164). Enligt bestämmelsen har var och en rätt att kontrollera uppgifter om sig själv, antingen direkt eller genom att en kontroll av uppgifternas laglighet och riktighet utförs för den registrerades räkning.

Enligt dataskyddskonventionen3 liksom enligt Europeiska union- ens stadga om de grundläggande rättigheterna (artikel 8) ska den enskilde som huvudregel ha möjlighet till insyn i register i uppgifter som rör honom eller henne och att få dem rättade.

Slutligen finns även i dataskyddsdirektivet bestämmelser om rätt till insyn i register för den enskilde. Bestämmelserna har genom- förts genom 26 och 27 §§ personuppgiftslagen.

11.2.3Lagen om belastningsregister

Belastningsregistret ersatte den 1 januari 2000 den registrering av påföljder som tidigare skedde i person- och belastningsregistret. Reg- lerna om registret finns i lagen (1998:620) om belastningsregister.

Allmänt

Enligt 1 § lagen om belastningsregister ska Rikspolisstyrelsen föra ett rikstäckande belastningsregister.

Det övergripande syftet med belastningsregistret är att olika myn- digheter, framförallt de brottsbekämpande och rättsvårdande myndig- heterna, på ett enkelt sätt ska få tillgång till de uppgifter som be- hövs i deras verksamhet. Polis-, skatte- och tullmyndigheter behöver

3 Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter.

253

Kontroll av vissa registerutdrag

SOU 2009:44

uppgifter om tidigare belastningar i sin verksamhet för att före- bygga, upptäcka och utreda brott. Åklagare behöver ha tillgång till vissa uppgifter för att kunna besluta om förundersökning och åtal samt för utfärdande av strafföreläggande. De allmänna domstolarna har behov av uppgifter om tidigare belastningar när det gäller påföljds- val och straffmätning. Uppgifter i registret får också användas av polismyndigheter och andra myndigheter vid sådan lämplighets- prövning, tillståndsprövning eller annan prövning som följer av andra lagar och förordningar liksom av enskilda om det är av särskild betydelse i den enskildes verksamhet.4 De närmare bestämmelserna om ändamålet finns i 2 §.

Bestämmelser om vad registret ska innehålla finns i 3 och 4 §§. Där framgår att alla påföljder för brott ska registreras i belastnings- registret. Vid införandet av lagen anförde regeringen att vad som kunde tala mot en ordning att alla påföljder för brott registreras var hänsynen till den enskildes integritet. Regeringen framhöll emel- lertid att integritetskänsligheten inte enbart var beroende av vilka uppgifter som registreras utan än mer av vad som lämnas ut och förklarade att integritetsaspekten skulle tillgodoses genom begräns- ningar i utlämnandet (prop.1997/98:97 s. 75 f.).

Belastningsregistret ska vidare innehålla uppgifter om den som ålagts förvandlingsstraff för böter och den som med tillämpning av 30 kap. 6 § brottsbalken förklarats fri från påföljd. Även uppgifter om åtalsunderlåtelse, samt besöksförbud enligt lagen (1988:688) om besöksförbud eller tillträdesförbud enligt lagen (2005:321) om till- trädesförbud vid idrottsarrangemang registreras. Vissa uppgifter om den som är dömd i utlandet ska också registreras.

Bestämmelser om gallring finns i 16–18 §§. Där sägs att uppgifter ur belastningsregistret ska gallras när förutsättningarna för registrering inte längre föreligger, t.ex. om den registrerade frikänns efter över- klagande eller om en ordningsbot undanröjs. Vid frikännande dom ska uppgift om domen genast tas bort. Uppgifter ur belastnings- registret ska vidare gallras när viss tid förflutit. Denna tid är normalt tio år från domen eller beslutet. Uppgifter om fängelse eller för- vandlingsstraff för böter gallras dock tio år efter frigivningen, uppgifter om överlämnande till rättspsykiatrisk vård tio år efter ut- skrivningen och om sluten ungdomsvård tio år efter verkställandet. Uppgifter om böter gallras fem år efter domen eller beslutet. Enligt en lagändring som trädde i kraft den 1 april 2008 ska uppgift om

4 Se prop. 1997/98:97 s. 73 f.

254

SOU 2009:44

Kontroll av vissa registerutdrag

åtalsunderlåtelse för personer som är under 18 år vid tidpunkten för brottet gallras ur belastningsregistret redan tre år efter beslutet i stället för som tidigare, tio år efter beslutet.

Om det före utgången av den tid som angivits i ovannämnda stycke gjorts en ny anteckning som avser annat än penningböter ska ingen av uppgifterna gallras så länge någon av dem finns kvar i reg- istret. Även om nya uppgifter har tillförts ska tidigare uppgifter i allmänhet gallras när det gått 20 år från dagen för den dom eller det beslut som föranledde att en uppgift infördes i registret.

För enskild verksamhet gäller enligt 19 § tystnadsplikt av inne- börd att den som med stöd av lagen har fått del av uppgifter om annans personliga förhållanden inte obehörigen får röja dessa.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller för behandling av uppgifter i belastningsregistret (20 §).

Rätt att få uppgifter från registret

Som angetts ovan gäller för verksamhet som avser förande eller ut- tag ur belastningsregistret enligt 7 kap. 17 § sekretesslagen absolut sekretess; dvs. någon skadeprövning ska inte förekomma. Utläm- nande får ske endast under förutsättningar som anges i lagen om belastningsregister och i säkerhetsskyddslagen (1996:627) samt i för- ordningar som har stöd i dessa lagar.

Myndigheter

I 6 § lagen om belastningsregister regleras svenska myndigheters rätt att på begäran få uppgifter från belastningsregistret. Där stadgas i första stycket en sådan rätt för Justitieombudsmannen (JO), Justitie- kanslern, Datainspektionen samt domstolar, polis-, skatte- tull- och åklagarmyndigheter i verksamhet som anges närmare i lagen.

Av intresse för vårt arbete är främst bestämmelsen i första stycket fjärde punkten. Enligt denna ska personuppgifter ur belastnings- registret lämnas ut om det begärs av myndighet i övrigt i den utsträck- ning regeringen för vissa slag av ärenden föreskriver det eller för ett särskilt fall ger tillstånd till det. Närmare föreskrifter finns i 10– 18 §§ i förordning (1999:1134) om belastningsregister, fortsätt- ningsvis benämnd förordningen.

255

Kontroll av vissa registerutdrag

SOU 2009:44

Av 10 § förordningen framgår under 20 punkter vilka myndig- heter som har rätt att få fullständiga uppgifter ur belastnings- registret. I sex av dessa punkter upptas myndigheter som på begä- ran ska få ut uppgifter ur belastningsregistret i ärenden om anställ- ning. Det gäller ett statsråd som är föredragande i ärenden om domare eller hyresråd eller den statsrådet bemyndigar, polismyndig- heten och Rikspolisstyrelsen samt Kriminalvården i fråga om vissa uppdrag eller anställningar. Vidare gäller det Försvarsmakten i fråga om den som avses anställas i utlandsstyrkan, Domstolsverket i fråga om den som verket avser anställa som notarie och Domar- nämnden i ärenden om anställning av domare eller hyresråd.

Enligt 11 § förordningen ska uppgifter ur belastningsregistret om brott som föranlett någon annan påföljd än penningböter läm- nas ut till Riksbanken i fråga om den som banken avser att anställa som bevaknings- eller transportpersonal och till en statlig, kom- munal eller landstingskommunal myndighet som beslutar om anställ- ning av personal inom psykiatrisk sjukvård, vård av utvecklings- störda, vård av barn och ungdom eller tvångsvård av missbrukare i fråga om den som myndigheten avser att anställa eller anlita som uppdragstagare.

Regeringen får föreskriva att vissa svenska myndigheter får ha direktåtkomst till registret (6 § lagen om belastningsregister). Direkt- åtkomsten gäller endast sådana uppgifter som myndigheterna har rätt att få ut enligt förordningen. Av de myndigheter som har fått direktåtkomst till uppgifter i registret är det endast polismyndig- heter och Kriminalvården som har rätt att få ut uppgifter i ett anställ- ningsärende.

För myndigheter gäller vidare enligt 7 § lagen om belastnings- register en behovs- och proportionalitetsprincip. Varje myndighet ska i varje särskilt fall noga pröva behovet av information och en begä- ran om att få ta del av uppgifter ur registret får göras endast om skälet till det uppväger den olägenhet det innebär för den som berörs. Skälet för införandet av bestämmelsen angavs vara att det med hänsyn till den dömdes möjlighet till rehabilitering är viktigt att uppgifter om hans eller hennes brottslighet inte kommer fram i fall då det inte är oundgängligen nödvändigt.

256

SOU 2009:44

Kontroll av vissa registerutdrag

Den registrerade

Enligt 9 § första stycket lagen om belastningsregister har den enskilde rätt att på begäran skriftligen få del av samtliga uppgifter om sig själv i registret. Uppgifterna ska på begäran lämnas ut utan avgift en gång per år.

En enskild som behöver ett utdrag om sig själv har vidare enligt samma paragraf andra stycket punkterna 1–4 rätt att få ett begränsat registerutdrag i vissa fall, nämligen:

för att kunna ta tillvara sin rätt i ett främmande land eller få till- stånd att resa in, bosätta sig eller arbeta där,

enligt bestämmelser i lagen om registerkontroll av personal inom förskoleverksamhet, skola och skolbarnsomsorg,

enligt bestämmelser i lagen om försäkringsförmedling, och

enligt bestämmelser i lagen om registerkontroll av personal vid sådana hem för vård och boende som tar emot barn.

Av 22 och 22 a §§ förordningen framgår närmare vilka uppgifter sådana begränsade utdrag ska innehålla.

Annan enskild

Av 10 § lagen om belastningsregister följer att en enskild har rätt att få uppgifter ur registret om det behövs för att pröva en fråga om anställning eller uppdrag i verksamhet som avser vård eller som är av betydelse för att förebygga eller beivra brott i den utsträckning som regeringen föreskriver. Sådan rätt i fråga om den man avser att anställa eller anlita som uppdragstagare tillkommer enligt 21 § för- ordningen, dels larminstallationsföretag som avses i lagen (1983:1087) med vissa bestämmelser om larmanordningar m.m., dels enskild sammanslutning eller en person som beslutar om anställning av per- sonal inom psykiatrisk sjukvård, vård av utvecklingsstörda eller vård av barn och ungdom. De uppgifter som lämnas ut är begrän- sade till brott som föranlett någon annan påföljd än penningböter.

257

Kontroll av vissa registerutdrag

SOU 2009:44

11.2.4Lagen om misstankeregister

Den 1 januari 2000 infördes också misstankeregistret.

Allmänt

Rikspolisstyrelsen ska enligt 1 § lagen (1998:621) om misstanke- register föra ett misstankeregister med uppgift om dem som skälig- en är misstänkta för brott.

Syftet med registret är att underlätta tillgången till sådana upp- gifter om skälig misstanke om brott som behövs i verksamhet hos polis-, skatte- och tullmyndigheter för att samordna förundersök- ningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott (2 § 1) samt hos åklagarmyndigheter för beslut om förundersökning och åtal (2 § 2). Registret får även användas av polismyndigheter och andra myndigheter som ska utföra lämplig- hetsprövning, tillståndsprövning eller annan prövning som anges i författning (2 § 3). Härutöver får registret – i den utsträckning reger- ingen föreskriver – användas för att till enskild lämna uppgift som är av särskild betydelse för dennes verksamhet (2 § andra stycket).

Registret innehåller uppgifter om den som fyllt 15 år och som skäligen är misstänkt för brott mot brottsbalken eller annat brott för vilket det är föreskrivet svårare straff än böter. Uppgifter förs också in om den som är skäligen misstänkt för ett motsvarande brott utomlands om frågan om lagföring för brottet ska avgöras i Sverige. Registret innehåller vidare uppgifter om den mot vilken det har inletts utredning om förvandling av böter och om den som begärts överlämnad eller utlämnad för brott (3 §).

Uppgifter i misstankeregistret gallras om en förundersökning har avslutats utan att åtal väckts med anledning av misstanken, om åtal lagts ned eller om dom eller beslut angående misstanken har vunnit laga kraft (13 §).

För enskild verksamhet gäller enligt 14 § tystnadsplikt av inne- börd att den som med stöd av lagen har fått del av uppgifter om annans personliga förhållanden inte obehörigen får röja dessa.

Personuppgiftslagens bestämmelser om rättelse och skadestånd gäller för behandling av uppgifter i misstankeregistret (15 §).

258

SOU 2009:44

Kontroll av vissa registerutdrag

Rätt att få ut uppgifter

För uppgifter i misstankeregistret gäller som tidigare nämnts, till skillnad mot vad som är fallet beträffande belastningsregistret, inte absolut sekretess utan istället sekretess med s.k. omvänt skade- rekvisit. I 9 kap. 17 § sekretesslagen stadgas att uppgifterna får läm- nas ut om det står klart att det kan ske utan skada eller men för den enskilde eller någon honom närstående. Vidare blir reglerna i 14 kap. sekretesslagen tillämpliga. Där framgår att sekretess inte gäller i förhållande till den enskilde själv om inte annat sägs i lagen. I vissa fall kan t.ex. utlämnande av uppgifter till den misstänkte inte ske av utredningsskäl. I samma kapitel anges också att sekretess i vissa fall inte hindrar utlämnande till myndighet.

Svenska myndigheter

Till vissa myndigheter ska enligt bestämmelserna i 5 § lagen om misstankeregister utlämnande ske utan sekretessprövning. De myn- digheter som avses är polis-, skatte-, tull-, eller åklagarmyndighet eller allmän domstol för verksamhet som avses i 2 § 1–3 samt myn- dighet i den utsträckning regeringen för vissa slag av ärenden före- skriver det eller för särskilt fall ger tillstånd till det. I 3 § förord- ningen (1999:1135) om misstankeregister anges vilka myndigheter som därvid har rätt att få ut fullständiga uppgifter från registret och i 4 § nämnda förordning vilka myndigheter som har rätt att få upp- gifter om misstanke om brott för vilket åtal har väckts. De myndigheter som har rätt att i anställningsärenden få ut uppgifter är desamma som har rätt att få utdrag enligt belastningsförfatt- ningarna med undantag av statsråd, Domstolsverket och Domar- nämnden vilka alltså inte har rätt att få ut uppgifter ur misstanke- registret i sådana ärenden.

Den registrerade

Lagen om misstankeregister reglerar inte utlämnande av ett full- ständigt utdrag ur registret till den registrerade. I sådana situationer ska istället 26 § personuppgiftslagen tillämpas. Enligt den bestäm- melsen har var och en som ansöker om det rätt att få besked om huruvida uppgifter om honom eller henne behandlas eller inte och för det fall uppgifter om honom eller henne behandlas, vilka dessa

259

Kontroll av vissa registerutdrag

SOU 2009:44

uppgifter är. Av 27 § personuppgiftslagen framgår att det gäller undantag från informationsskyldigheten vid sekretess och tystnads- plikt.

I 8 a § lagen om misstankeregister föreskrivs en rätt för den enskil- de att få ett begränsat registerutdrag om sig själv enligt bestämmel- serna i lagen om registerkontroll av personal vid sådana hem för vård och boende som tar emot barn. Den obligatoriska register- kontrollen vid anställning på skolområdet och inom försäkrings- förmedling innefattar inte utdrag ur misstankeregistret. Någon rätt till begränsat utdrag i samband med sådan anställning föreligger därför inte.

Annan enskild

Av 8 § lagen om misstankeregister jämförd med 8 § i anslutande förordning följer en rätt för vissa larminstallationsföretag att på begäran få uppgift om misstanke om brott för vilket åtal väckts i fråga om den som företaget avser att anställa eller anlita som upp- dragstagare för larminstallationer. En rätt att få ut sådana uppgifter har också en enskild sammanslutning eller person som beslutar om anställning av personal inom psykiatrisk sjukvård, vård av utveck- lingsstörda eller vård av barn och ungdom, i fråga om den som den enskilde avser att anställa eller anlita som uppdragstagare.

11.2.5Författningsreglerad skyldighet att genomföra registerkontroll

Bestämmelserna i lagen om belastningsregister och lagen om miss- tankeregister samt anslutande förordningar anger endast vilka arbets- givare som har rätt att få ut uppgifter ur dessa register. Huruvida det föreligger en skyldighet att göra en kontroll för dem som har medgetts denna rätt framgår av andra författningar. Som exempel kan nämnas rätten för Domstolsverket respektive Domarnämnden att inhämta uppgifter ur registret i fråga om notarier, domare och hyresråd korresponderar med en samtidigt införd skyldighet att genomföra kontroll. Denna skyldighet framgår av bestämmelser i notarieförordningen och instruktionen för Domarnämnden.5

5 7 a § notarieförordningen(1990:469) resp. 7 § förordningen (2008:427) med instruktion för Domarnämnden.

260

SOU 2009:44

Kontroll av vissa registerutdrag

Att registerkontroll bör göras kan också följa av s.k. allmänna råd eller av antagna riktlinjer för en verksamhet. Till exempel har Socialstyrelsen meddelat föreskrifter och allmänna råd om HVB (Hem för vård och boende) som drivs i kommunal eller enskild regi (SOSFS 2003:20). I fråga om anställning eller vid anlitande av en uppdragstagare vid ett sådant HVB som tar emot barn och unga rekommenderar Socialstyrelsen att den som har befogenhet att besluta om anställning av sådan personal ska begära in uppgifter från belast- ningsregistret och misstankeregistret.

Under 2000-talet har i tre nya lagar införts bestämmelser om skyldighet för arbetsgivare att genomföra registerkontroll i sam- band med anställning eller motsvarande. Det gäller dels på skol- området där kontrollen avser uppgifter i belastningsregistret, dels vid HVB som tar emot barn där uppgifter i såväl belastnings- som misstankeregistret ska kontrolleras, dels inom försäkringsförmed- ling där kontrollen enbart avser belastningsregistret. I samtliga des- sa fall har man av integritetsskäl valt den lösningen att det är den enskilde som ska inhämta utdraget och visa upp det för arbets- givaren. För dessa fall har den enskilde getts rätt att få ett begränsat registerutdrag med uppgifter om den brottslighet som lagstiftaren funnit relevant.

Utöver nämnda lagar finns bestämmelser om registerkontroll i den sedan tidigare gällande säkerhetsskyddslagen.

Redan här ska också nämnas att det under år 2008 lämnats för- slag om två nya lagar om registerkontroll; dels på LSS-området, dels på hälso- och sjukvårdsområdet, se vidare nedan.

Registerkontroll av personal på skolområdet

Lagen (2000:873) om registerkontroll av personal inom förskole- verksamhet, skola och skolbarnsomsorg trädde i kraft den 1 januari 2001. Enligt denna lag ska den som erbjuds anställning inom förskole- verksamhet, skolbarnsomsorg, förskoleklassen eller skolverksamhet för skolpliktiga barn, som anordnas av det allmänna eller av enskild fysisk eller juridisk person, lämna ett utdrag ur belastningsregistret till den som erbjuder anställningen. Gymnasielärare eller andra som söker arbete inom gymnasieskolan omfattas alltså inte av register- kontrollen. Inte heller omfattas redan anställd personal. Den som inte lämnar ett registerutdrag får inte anställas. Utdraget får vara högst ett år gammalt. Det ska i förekommande fall innehålla anteckning

261

Kontroll av vissa registerutdrag

SOU 2009:44

om mord, dråp, grov misshandel, människorov och grovt rån samt sexualbrott och barnpornografibrott (22 § förordningen om belast- ningsregister). Det är inte någon förutsättning för anställning att anteckningar i registret saknas. Arbetsgivaren avgör själv om en arbetssökande med anteckning i registret ändå kan anställas.

Genom en lagändring som trädde i kraft den 1 april 2008 har registerkontrollen utvidgats till att gälla även vissa andra personer (dvs. än sådana som ska anställas) som erbjuds att utföra arbete eller praktik inom de berörda verksamheterna. Lagändringen inne- bär att registerkontroll ska göras även av den, som genom anställ- ning hos någon som ingått avtal med den som bedriver berörd verk- samhet eller genom uppdrag eller genom anställning inom en annan kommunal förvaltning än den som ansvarar för de berörda verk- samheterna, erbjuds eller tilldelas arbete inom en sådan verksamhet under omständigheter liknande dem som förekommer i ett anställ- ningsförhållande. Vidare ska registerkontrollen omfatta lärarstudenter och vuxenstuderande som erbjuds att utföra verksamhetsförlagd utbildning inom sådan verksamhet, liksom den som genom del- tagande i ett arbetsmarknadspolitiskt program erbjuds att där utföra arbetspraktik eller någon annan programinsats.

Registerkontrollen ska genomföras av den inom skolverksam- heten som ansvarar för rekrytering eller mottagning för verksam- hetsförlagd utbildning eller arbetspraktik.

De nya reglerna ska tillämpas på den som efter ikraftträdandet anställs, ingår avtal om uppdrag, antas till utbildning eller anvisas deltagande i ett arbetsmarknadspolitiskt program i de berörda verk- samheterna.

I sammanhanget kan nämnas att år 2003 gjorde Skolverket på uppdrag av regeringen en uppföljning av lagstiftningen om register- kontroll av personal inom förskoleverksamhet, skola och skol- barnsomsorg. Av rapporten framgår bl.a. att under de två första åren som lagen var i kraft, dvs. 2001 och 2002, begärdes drygt 200 000 utdrag medan endast 70 000 personer erbjöds anställning. I rapporten anges som sannolika förklaringar till överuttaget att utdrag begärs in i ett tidigt skede av anställningsförfarandet och inte endast när anställning erbjuds, att även praktikanter kontrolleras, att tilltänkta vikarier visar utdrag redan när de anmäler sig till vikarie- pooler samt att personer som funderar på att arbeta inom de aktu- ella områdena begär in utdrag i förebyggande syfte. Vidare framgår av rapporten att de utlämnade registerutdragen innehöll 122 anteck- ningar om brott. Omkring hälften av dessa avsåg grov misshandel.

262

SOU 2009:44

Kontroll av vissa registerutdrag

Huruvida syftet med lagen uppnåtts, dvs. att skydda främst mot sexuella övergrepp, angavs vara svårt att svara på av flera orsaker bl.a. av den anledningen att lagstiftningen varit i kraft så kort tid. Enligt rapporten vet man dock att anmälningar mot personal om övergrepp förekommit i dessa verksamheter såväl före som efter det att lagen trätt i kraft.6

Lagen om registerkontroll av personal vid hem för vård och boende (HVB)

Från och med den 1 april 2007 föreskrivs krav på registerkontroll enligt lagen (2007:171) om registerkontroll av personal vid sådana hem för vård eller boende som tar emot barn. Enligt denna lag ska den som erbjuds anställning lämna ett registerutdrag till arbets- givaren. Detsamma gäller personer som erbjuds uppdrag, praktik- tjänstgöring eller liknande under omständigheter liknande dem som förekommer vid en anställning inom verksamheten. Både offentlig och privat verksamhet omfattas av lagen. Till skillnad från vad som gäller registerkontrollen på skolområdet ska kontrollen omfatta både belastningsregistret och misstankeregistret. Utdraget får vara högst sex månader gammalt. Utdraget eller en kopia därav ska bevaras under minst två år från det att anställningen, uppdraget, praktik- tjänstgöringen eller liknande påbörjades.

Registerkontrollen ska omfatta följande brott: mord, dråp, miss- handel, grov misshandel, människorov, människohandel, olaga frihets- berövande, olaga tvång, grov fridskränkning, grov kvinnofrids- kränkning, olaga hot, samtliga sexualbrott, rån, grovt rån, hets mot folkgrupp, olaga diskriminering, barnpornografibrott, samtliga brott enligt narkotikastrafflagen (1968:64), samtliga brott enligt lagen (1991:1969) om förbud mot vissa dopningsmedel, brott mot lagen (1999:42) om förbud mot vissa hälsofarliga varor, grov olovlig för- säljning av alkoholdrycker och narkotikasmuggling samt försök till sådana brott, i den mån försök är straffbart. För sexualbrott enligt 6 kap. brottsbalken, brott mot narkotikastrafflagen och brott mot lagen om förbud mot vissa dopningsmedel, omfattas även för- beredelse, stämpling och underlåtenhet att avslöja brott av kontrollen i den mån det är straffbart. Även medverkan till ovanstående brott omfattas (22 § förordningen om belastningsregister och 8 a § för- ordningen om misstankeregister).

6 Rapport 2003-05-20 dnr 01-2002:1807.

263

Kontroll av vissa registerutdrag

SOU 2009:44

Om registerkontroll inte utförts får personen inte anställas, ges uppdrag eller praktiktjänstgöring. Arbetsgivaren avgör själv om en person med registeranteckning kan anställas. Kontrollen gäller inte redan anställda personer eller personer som redan har pågående uppdrag eller praktikplats.

Skyldigheten att lämna ett utdrag gäller inte om den som erbju- der anställningen själv inhämtar utdraget. Som nämnts tidigare kan nämligen statlig, kommunal eller landstingskommunal myndighet som beslutar om anställning av personal inom bl.a. vård av barn och ungdom med stöd av 6 § lagen om belastningsregister och 11 § anslu- tande förordning få ut uppgifter ur belastningsregistret om brott som föranlett annan påföljd än penningböter i fråga om den som myndigheten avser att anställa eller anlita som uppdragstagare. Det- samma gäller enligt 10 § lagen om belastningsregister och 21 § anslutande förordning en enskild sammanslutning eller en person som beslutar om anställning av personal inom bl.a. vård av barn och ungdom. En motsvarande rätt följer även i fråga om utdrag ur miss- tankeregistret.

Registerkontroll av anställda hos försäkringsförmedlare

Enligt lagen (2005:405) om försäkringsförmedling, som trädde i kraft den 1 juli 2005, får försäkringsförmedling endast utövas efter tillstånd och registrering. Tillstånd ges av Finansinspektionen och kan avse en juridisk eller en fysisk person. En av förutsättningarna för tillstånd för en fysisk person är kravet på god vandel. Kravet på vandelsprövning följer av direktivet om försäkringsförmedling (2002/92/EG) och är såsom det framhålls i propositionen (prop. 2004/05:133 s. 66) en särreglering av försäkringsförmedlare i jäm- förelse med andra personer verksamma i finansiella företag. Vandels- prövningen innefattar bl.a. en kontroll av att en fysisk person inte förekommer i belastningsregistret avseende vissa allvarliga förmögen- hetsbrott eller viss allvarlig ekonomisk brottslighet.

De som är anställda hos försäkringsförmedlare som är juridiska personer omfattas inte av registrerings- eller tillståndsskyldighet. För att ett förmedlarföretag ska få tillstånd att utöva försäkrings- förmedling uppställs emellertid som villkor att de anställda som ska förmedla försäkringar för förmedlarföretagets räkning inte före- kommer i belastningsregistret avseende nyssnämnda brottslighet. Förmedlarföretaget ska kontrollera att villkoret är uppfyllt och ska

264

SOU 2009:44

Kontroll av vissa registerutdrag

i samband därmed begära att ett utdrag ur belastningsregistret visas upp, 2 kap. 6 § lagen om försäkringsförmedling. Vilka uppgifter ur registret som kontrollen ska avse preciseras i 3 kap. 1 § förord- ningen (2005:411) om försäkringsförmedling. Det registerutdrag som ska visas upp får inte vara äldre än 3 månader (3 kap. 5 § nämnda förordning). Enligt 22 a § förordningen om belastnings- register har den enskilde rätt till ett utdrag begränsat till den brotts- lighet som anges i 3 kap. 1 § förordningen om försäkringsför- medling. Förmedlingsföretaget ska bara kontrollera innehållet i registerutdraget. Det får inte, enligt en uttrycklig bestämmelse i 3 kap. 5 § förordningen om försäkringsförmedling, dokumentera den utförda kontrollen på annat sätt än genom en anteckning om att registerutdraget har visats upp (se prop. 2004/05:113 s. 70). Endast uppgifter om anställda som inte förekommer i registret avse- ende aktuell brottslighet får ligga till grund för en ansökan om till- stånd eller en anmälan om registrering.

Säkerhetsskyddslagen

Säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) rör frågor om skydd mot brott som kan hota rikets säkerhet, skydd för uppgifter som rör rikets säkerhet och skydd mot terrorism. Bestämmelserna gäller vid verksamhet hos staten, kommunerna och landstingen samt hos aktiebolag, handelsbolag, föreningar och stiftelser över vilka det allmänna utövar ett rättsligt bestämmande. De gäller även vid verksamhet hos enskilda om verk- samheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. I säkerhetsskyddet ingår bl.a. säkerhets- prövning. En sådan ska göras innan en person anställs eller på annat sätt får delta i verksamhet som är av betydelse för rikets säkerhet eller anlitas för uppgifter som är viktiga för skyddet mot terrorism. Registerkontroll kan utgöra en del av säkerhetsprövningen. Säker- hetsprövningen kan också innefatta särskild personutredning. Vid registerkontroll inhämtas uppgifter från belastningsregistret, miss- tankeregistret och register som omfattas av polisdatalagen. Register- kontrollen ska göras när någon ska anställas eller på annat sätt delta i verksamheter som placerats i säkerhetsklass enligt lagens bestäm- melser om dessa. Den får även göras under pågående anställning eller annat pågående deltagande i verksamheten. Kontrollen är olika långtgående beroende på vilken säkerhetsklass den avser. Innan

265

Kontroll av vissa registerutdrag

SOU 2009:44

registerkontroll och särskild personutredning ska genomföras ska den som säkerhetsprövningen avser ge sitt samtycke. Ett samtycke anses avse även de förnyade kontroller som ska göras.

Den som beslutat om registerkontroll ska göra en framställning till Rikspolisstyrelsen som lämnar ärendet till Säkerhets- och integ- ritetsskyddsnämnden. Denna nämnd har att bedöma om en uppgift som kommit fram vid en registerkontroll kan antas ha betydelse för prövning av personens lämplighet ur säkerhetssynpunkt. Endast om uppgiften är av detta slag får den lämnas ut för säkerhetsprövning. Avgörande för vilka uppgifter som lämnas ut är för det första frågan om i vilken säkerhetsklass den anställning eller verksamhet som kontrollen avser placerats. Det finns också vissa generella begränsningar. Innan en uppgift som har framkommit vid kontroll lämnas ut ska den som uppgiften avser ges tillfälle att yttra sig över uppgiften om sekretess inte hindrar detta. Den som beslutat om kontrollen avgör självständigt om den person som prövningen avser ska anlitas. Sedan ett beslut fattats med anledning av säkerhets- prövning ska handlingar som lämnats ut från Rikspolisstyrelsen återsändas dit.

Utredningsförlag om ytterligare två lagar om registerkontroll

LSS-kommittén har i sitt slutbetänkande Möjlighet att leva som andra – Ny lag om stöd och service till vissa personer med funktions- nedsättning (SOU 2008:77) föreslagit att det införs en lag om register- kontroll av personal inom verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade som utför insatser åt barn. Förslaget har sin bakgrund i att Barnombudsmannen (BO) i olika sammanhang framfört att alla som anställs som personlig assi- stent åt barn och unga borde omfattas av registerkontroll samt att det i samband med remissbehandlingen av promemorian med för- slag till utvidgad registerkontroll på skolområdet (Ds 2004:42) fram- förts att en lämplighetsprövning av personliga assistenter är angelägen.

Kommitténs förslag omfattar den som erbjuds anställning, upp- drag, praktiktjänstgöring eller liknande inom sådan verksamhet. Den som inte har lämnat ett utdrag ur belastningsregistret får inte anställas eller anlitas. Kontrollen av personliga assistenter och per- sonal inom LSS-området förslås jämställas med den av skolpersonal när det gäller vilka brott som ska anges i utdrag ur belastnings- registret, giltighetstid, återlämnande m.m. för sådana utdrag. För

266

SOU 2009:44

Kontroll av vissa registerutdrag

närvarande pågår inom regeringen arbetet med att sammanställa remissvaren över kommitténs förslag.

Patientsäkerhetsutredningen har haft det övergripande uppdraget att göra en översyn ur ett patientsäkerhetsperspektiv av den lag- stiftning som omfattar bl.a. tillsynen över hälso- och sjukvården och ansvarssystemet inom hälso- och sjukvården. I uppdraget har också ingått att överväga om det ska införas krav på att den som erbjuds anställning i hälso- och sjukvården ska lämna ett utdrag ur belastningsregistret för att kunna få anställning. Bakgrunden till uppdraget i den delen var att det ifrågasatts om inte samma eller liknande förfarande som vid anställning på skolområdet bör införas gällande all personal inom hälso- och sjukvården som kan tänkas komma i kontakt med patienter. Bland annat framförde JO redan vid beredningen av lagstiftningen om registerkontroll på skolom- rådet att frågan om lämplighetsprövning borde ses ur ett större per- spektiv och omfatta alla verksamheter som rör utsatta grupper.

I sitt betänkande Patientsäkerhet (SOU 2008:117) har utred- ningen – såvitt gäller frågan om registerkontroll – föreslagit att en ny lag om registerkontroll av personal inom hälso- och sjukvården införs. Kontrollen ska enligt förslaget endast avse utdrag ur belast- ningsregistret, och omfatta viss närmare angiven hälso- och sjuk- vårdspersonal (främst personer som har direkta och personliga pati- entkontakter) samt den som erbjuds att utföra motsvarande arbete som uppdragstagare, liksom personal som hyrs in från bemannings- företag. Den ska vidare avse endast särskilt allvarlig brottslighet samt sådan brottslighet som gör en person direkt olämplig att arbeta med hälso- och sjukvård, se vidare utredningens betänkande s. 475 f. Förslagen i betänkandet remissbehandlas för närvarande.

11.2.6Personuppgiftslagen

När arbetsgivare hanterar registerutdrag om en arbetssökande eller en anställd kan det som sagt vara fråga om sådan behandling som omfattas av personuppgiftslagen. Den situationen att en arbets- givare som har direktåtkomst till registret eller del därav tar del av dessa på en datorskärm innebär dock inte personuppgiftshantering enligt personuppgiftslagen.

Behandling av uppgifter om lagöverträdelser regleras i en särskild bestämmelse i personuppgiftslagen. Enligt 21 § första stycket är det förbjudet för andra än myndigheter att behandla personuppgifter

267

Kontroll av vissa registerutdrag

SOU 2009:44

om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden. Förbudet kan inte upphävas med den registrerades samtycke.

Regeringen eller den myndighet regeringen bestämmer får dock enligt tredje stycket samma paragraf meddela undantag från för- budet. Vidare får regeringen enligt paragrafens fjärde stycke i enskilda fall besluta om undantag från förbudet och får därvid överlåta åt tillsynsmyndigheten att fatta sådant beslut.

Enligt 9 § personuppgiftsförordningen (1998:1191) har regerin- gen bemyndigat Datainspektionen att meddela dels föreskrifter om undantag från förbudet i 21 § personuppgiftslagen, dels beslut i enskilda fall om sådana undantag.

Datainspektionen har meddelat föreskrifter av nyssnämnt slag genom DIFS 1998:3. Där föreskrivs att personuppgifter som avses i 21 § personuppgiftslagen får behandlas bl.a. om behandlingen avser enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall (punkten f i nämnda föreskrifter).

Enligt Datainspektionen ska möjligheten att i ett enskilt fall meddela beslut om undantag tillämpas restriktivt, se t.ex. beslut 2007-12-18 Dnr 764–2007.

I sammanhanget kan noteras att Personuppgiftslagsutredningen

– som gjorde en översyn av personuppgiftslagen främst med syfte att undersöka möjligheterna att införa en s.k. missbruksreglering – även hade i uppdrag att överväga om det i personuppgiftslagen borde tas in bestämmelser som direkt tillåter enskilda att behandla personuppgifter om lagöverträdelser. Utredningen skulle därvid över- väga om den registrerades samtycke skulle göra sådan behandling tillåten. Utredningen bedömde emellertid att de möjligheter till undantag genom generella föreskrifter i andra författningar och genom beslut i enskilda fall som redan fanns var tillräckliga.7

En privat arbetsgivares behandling av personuppgifter om lag- överträdelser strider alltså mot personuppgiftslagen om behand- lingen är automatiserad eller delvis automatiserad eller i register- form. Detta gäller dock inte om behandlingen ska ske enligt bestäm- melser i annan författning.

På såväl skolområdet som inom HVB-verksamheten förekommer ett stort antal privata arbetsgivare som har lagstadgad skyldighet att genomföra registerkontroll av personal som anställs eller ges uppdrag i

7 SOU 2004:6 s. 182.

268

SOU 2009:44

Kontroll av vissa registerutdrag

verksamheten. I Personuppgiftslagsutredningens betänkande anges att dessa bestämmelser dock inte synes ge de enskilda arbetsgivarna möjlighet att behandla de erhållna uppgifterna om lagöverträdelser på ett sätt som omfattas av personuppgiftslagen.8 Beträffande mot- svarande skyldighet till registerkontroll inom försäkringsförmedlings- verksamhet sägs i proposition 2004/05:133 s. 70 med hänvisning till 21 § personuppgiftslagen att den anteckning som bör göras om att registerutdraget kontrollerats inte får innehålla några uppgifter om innehållet i uppvisat registerutdrag. En uttrycklig bestämmelse härom intogs som tidigare redovisats också i försäkringsförmedlings- förordningen (2005:411).

En ren manuell behandling av personuppgifter om lagöverträd- elser, vilket det ofta torde vara fråga om då en arbetssökande endast uppvisar ett utdrag för kontroll, faller som tidigare nämnts utanför personuppgiftslagens tillämpningsområde. Om utdraget visserligen lämnas tillbaka men dess innehåll noteras i en personakt vars hand- lingar är strukturerade eller sökbara efter personuppgifter är det där- emot fråga om sådan behandling som omfattas av personuppgifts- lagen.

11.2.7Sekretesslagen

Som tidigare redogjorts för gäller enligt 7 kap. 17 § sekretesslagen absolut sekretess för uppgifter i verksamhet som avser förande av eller uttag ur register som förs enligt lagen om belastningsregister. Av paragrafen framgår också att reglerna i 14 kap. sekretesslagen – bl.a. paragrafen vari anges att sekretess inte gäller i förhållande till den enskilde själv – inte gäller i fråga om sekretess enligt 7 kap. 17 §.

För uppgifter i misstankeregistret gäller inte absolut sekretess utan istället sekretess med s.k. omvänt skaderekvisit, dvs. upp- gifterna får lämnas ut endast om det står klart att det kan ske utan skada eller men för den enskilde eller någon honom närstående (7 kap. 19 § sekretesslagen). När det gäller uppgifter i misstanke- registret blir reglerna i 14 kap. sekretesslagen tillämpliga.

Av intresse i förevarande sammanhang är också frågan om vilken sekretess som gäller för uppgifter i registerutdrag i anställnings- ärenden.

Av 7 kap. 11 § sekretesslagen, som behandlar den personal- administrativa sekretessen, framgår av paragrafens tredje stycke att

8 SOU 2004:6 s. 181.

269

Kontroll av vissa registerutdrag

SOU 2009:44

sekretess inte gäller i ärenden om anställning. I den mån utdrag ur belastningsregister förekommer i ärenden om anställning saknas som regel sekretesskydd.

Frågan om sekretess för utdrag från belastningsregistret i anställ- ningsärenden behandlades när registerkontrollen på skolområdet infördes. Lagrådsremissen i det lagstiftningsärendet innehöll ett för- slag till sekretessbestämmelse för uppgifter i registerutdrag. Lag- rådet, som framhöll att det varit en viktig princip att det ska vara offentlighet i sådana ärenden (se prop. 1979/ 80:2 del A s. 200 f samt prop. 1986/87:3 s. 8), satte bl.a. i fråga om det var mer ange- läget med sekretess i den aktuella typen av anställning än det var i andra där registerutdrag förekom. Med anledning av Lagrådets syn- punkter innehöll det slutliga förslaget till lag om registerkontroll på skolans område inte någon reglering av sekretessen. Inte heller före- slogs någon regel om tystnadsplikt för uppgifter om registerutdrag som förekommer i enskild verksamhet. Någon reglering rörande sekretess eller tystnadsplikt finns inte heller i lagen om register- kontroll av personal vid sådana hem för vård eller boende som tar emot barn.

11.2.8Frågans tidigare behandling

I Integritetsutredningens betänkande9 konstaterades att många privata arbetsgivare upplever ett ökat behov av att förvissa sig om att per- soner som anställs inte har ett kriminellt förflutet. Dessa arbets- givare ställer därför som villkor att den som ska anställas själv ska skaffa utdrag ur belastningsregistret och överlämna det till arbets- givaren.

I det utredningsförlag som utredningen lämnade ingick en lag- bestämmelse om behandling av personuppgifter om lagöverträdel- ser. Den huvudregel som föreslogs innebar att en arbetsgivare inte får behandla personuppgifter om lagöverträdelser, som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och admin- istrativa frihetsberövanden. Från denna huvudregel skulle undantag få göras endast om detta var nödvändigt för att bedöma en arbets- tagares eller arbetssökandes tillförlitlighet med hänsyn till säker- heten för det allmänna eller för arbetsgivarens verksamhet. Den lag som utredningen föreslog avsågs vara tillämplig på alla former av behandling av personuppgifter; automatisk såväl som manuell. En

9 SOU 2002:18.

270

SOU 2009:44

Kontroll av vissa registerutdrag

förutsättning var dock att personuppgifterna var dokumenterade. Muntliga uppgifter som inte dokumenterats omfattades således inte av förslaget. Förbudet i 21 § personuppgiftslagen för andra än myn- digheter föreslogs kvarstå.

Utredningens förslag till bestämmelse om behandling av person- uppgifter om lagöverträdelser m.m. innebar således att vid manuell behandling måste alla arbetsgivare iaktta den föreslagna bestämmel- sen. Om behandlingen var helt eller delvis automatiserad eller i registerform skulle den nya regeln gälla myndigheter medan för- budet i 21 § personuppgiftslagen för andra än myndigheter att behandla sådana uppgifter även fortsättningsvis skulle gälla.

För att ge arbetstagaren och en arbetssökande kontroll över och insyn i en arbetsgivares behandling av personuppgifter föreslogs dessutom den regeln att arbetsgivaren skulle åläggas att i första hand inhämta personuppgifter om lagöverträdelser från arbetstaga- ren eller arbetssökanden själv. Bara om detta inte var möjligt och under förutsättning av arbetstagarens eller arbetssökandens sam- tycke skulle arbetsgivaren få hämta in sådana uppgifter från någon annan källa. Bestämmelsen föreslogs gälla behandling av uppgifter inte bara om lagöverträdelser utan även hälsa och droganvändning.

11.2.9Framställning till Justitiedepartementet

Den 7 oktober 2004 gav Rikspolisstyrelsen (RPS) in en skrivelse till Justitiedepartementet med framställning om en översyn av den enskildes rätt att ta del av uppgifter om sig själv i belastnings- registret (dnr Ju2004/8976/PO). I skrivelsen framhölls att den enskil- des rätt att få ta del av uppgifter ur registret om sig själv utnyttjades alltmer av arbetsgivare som utan uttryckligt stöd i lag begär att arbetssökande ska förete sådana utdrag. Förfarandet hade fått en så stor omfattning att skyddet för den personliga integriteten urhol- kades.

Vad beträffar den praktiska hanteringen av utdragen finns enligt RPS två olika blanketter för den enskildes begäran att få register- utdrag rörande sig själv, en för uttag enligt 9 § lagen om belast- ningsregister och en för uttag enligt 10 § datalagen (1973:289) och 26 § personuppgiftslagen. Sådana uppgifter lämnas på begäran ut utan avgift en gång per kalenderår. Begäran ska vara skriftlig och undertecknad av den sökande.

271

Kontroll av vissa registerutdrag

SOU 2009:44

För att motverka att registerutdragen används som s.k. straffri- hetsbevis har RPS utformat utdragen på följande sätt. Om det finns uppgifter om sökanden i registren, fogas registerutdraget till ett missiv. Om det inte finns några uppgifter om sökanden i registren skickas endast missivet ut. Antalet sidor som skickas ut till sökan- den anges inte på missivet. Om sökanden begär uppgifter från misstankeregistret och det finns uppgifter om denne i registret kontaktas åklagare eller förundersökningsledare för att få underlag till en bedömning om uppgifterna kan lämnas ut till sökanden eller om uppgifterna omfattas av sekretess. I de fall åklagare eller förunder- sökningsledare anser att uppgifterna inte bör lämnas ut, prövas sek- retessfrågan hos rättssekretariatet vid RPS.

RPS uppskattade att ca 75 procent av dem som begär register- utdrag är arbetssökande. Rikspolisstyrelsen angav också att den uppmärksammat att en hel del väl kända och etablerade företag med omfattande verksamhet konsekvent kräver registerutdrag från de arbetssökande. En del företag har enligt RPS till och med tagit fram egna banketter för detta ändamål. RPS hade också erfarit att den tilltänkte arbetsgivaren i vissa fall kräver att arbetssökande ska öppna försändelsen från RPS i arbetsgivarens närvaro i syfte att förhindra att den arbetssökande tar bort sidor med belastnings- uppgifter.

RPS berörde i skrivelsen bl.a. vilka möjligheter som finns för att förhindra missbruk av den enskildes insynsrätt. Ett sätt kunde enligt RPS vara att överväga andra former för hur den enskilde ska få del av uppgifterna. RPS menade dock att såsom tidigare konsta- terats (prop. 1987/88:122) torde förfarandet att den enskilde kan få ta del av uppgifterna på en bildskärm placerad på polisstationen inte vara praktisk genomförbart. Inte heller torde andra tekniska lösningar t.ex. att den enskilde tar del av uppgifterna via Internet eller att den enskilde får muntliga besked av Polisens kontaktcenter fungera i praktiken. Vidare framhölls att det kan vara mindre fram- synt att försöka komma till rätta med missbruket av den enskildes insynsrätt med hjälp av tekniska lösningar. Om den nuvarande ruti- nen med registerutdrag missbrukas kommer, enligt RPS, troligen andra tekniska lösningar också att kunna användas på ett sätt som inte varit avsett. Sammanfattningsvis ansåg RPS att det sannolikt inte var en framkomlig väg att förhindra den typ av kringgående av reg- lerna om den enskildes insynsrätt som var aktuell med hjälp av tekniska lösningar.

272

SOU 2009:44

Kontroll av vissa registerutdrag

Med hänsyn till den omfattning som utnyttjande av den enskil- des insynsrätt fått kunde ett alternativ enligt RPS vara att straff- belägga förfaranden som innebär att den enskildes rätt missbrukas av andra.

Det kunde enligt RPS också finnas anledning att se över det eventuella behovet av att utvidga kretsen av arbetsgivare som kan anses ha ett godtagbart intresse att kräva utdrag ur belastnings- registret av arbetssökande. RPS framhöll därvid vikten av att man inte tillåter en ordning där arbetsgivare kan begära utdrag och använda sig av dessa till att mer eller mindre slentrianmässigt sålla bort de arbetssökande som gjort sig skyldig till någon typ av brottslighet.

11.2.10 Statistiska uppgifter

Från RPS har följande statistiska uppgifter inhämtats rörande ut- drag ur belastningsregistret som en enskild begärt om sig själv.

Av Rikspolisstyrelsen levererade utdrag ur belastningsregistret rörande den enskilde efter begäran från denne under perioden 2003–2008

Typ av utdrag

2003

2004

2005

2006

2007

2008

 

 

 

 

 

 

 

Fullständigt utdrag*

40 686

52 108

71 324

86 838

104 843

115 815

Begränsat utdrag – Skolan

81 738

84 189

86 377

92 504

93 800

122 321

**

 

 

 

 

 

 

Begränsat utdrag –

 

 

 

21 425

6 890

9 319

Försäkringsförmedling***

 

 

 

 

 

 

Begränsat utdrag –

 

 

 

 

2 578

10 063

HVB****

 

 

 

 

 

 

Begränsat utdrag för

10 171

13 563

15 213

14 952

16 787

18 230

utlandsändamål *****

 

 

 

 

 

 

 

 

 

 

 

 

 

* Utdrag begärda med stöd av 9 § första stycket lagen om belastningsregistret, 10 § datalagen och 26 § personuppgiftslagen.

**Utdrag begärda med stöd av 9 andra stycket 2 lagen om belastningsregister. Obligatorisk register- kontroll infördes den 1 januari 2001. Den personkrets som omfattas av kontrollen utvidgades den

1 april 2008.

***Utdrag begärda med stöd av 9 § andra stycket 3 lagen om belastningsregister Obligatorisk register- kontroll infördes den 1 juli 2005.

****Utdrag begärda med stöd av 9 § andra stycket 4 lagen om belastningsregister Obligatorisk registerkontroll infördes den 1 april 2007.

*****Utdrag begärda med stöd av 9 § andra stycket 1 lagen om belastningsregister.

273

Kontroll av vissa registerutdrag

SOU 2009:44

Av RPS:s statistik framgår vidare att styrelsen levererat omkring 10 000 utdrag årligen under perioden 2006–200810 med stöd av den enskildes rätt enligt 26 § personuppgiftslagen och 10 § datalagen att få ut uppgifter om sig själv i de register som förs hos RPS. De upp- gifter som den enskilde därvid får är samtliga uppgifter från RPS:s register för vilka det inte gäller sekretess i förhållande till den regis- trerade. Dessa utdrag omfattar också ett fullständigt utdrag ur belast- ningsregistret, varför den redovisade summan för dessa utdrag är inkluderad i den summa som anges i tabellen ovan avseende full- ständigt utdrag från belastningsregistret.

11.2.11 Överväganden och förslag – belastningsregistret

Vårt förslag: En arbetsgivare får inte utan stöd i lag eller med stöd av lag meddelad författning begära att en arbetstagare uppvisar ett utdrag ur belastningsregistret.

Utgångspunkter

Uppgifter om tidigare brottslighet berör känsliga förhållanden som den enskilde i allmänhet vill hålla för sig själv. Uppgifternas käns- liga karaktär har lett till att hanteringen av uppgifter om lagöver- trädelser kringgärdas av särskilda restriktioner. Bestämmelser med sådant innehåll återfinns bl.a. i dataskyddskonventionen och data- skyddsdirektivet liksom i personuppgiftslagen och sekretesslagen.

Den närmare regleringen i personuppgiftslagen innebär bl.a. att det är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. Den enskilde har heller inte, till skillnad från vad som gäller beträffande andra kategorier av känsliga person- uppgifter, getts möjlighet att samtycka till undantag från det upp- ställda förbudet.

Än mer känsligt ur integritetssynpunkt är uppgifter om tidigare brottslighet sammanställda i ett regelrätt register som t.ex. belast- ningsregistret. Syftet med registret är just att lagra sammanställ- ningar av uppgifter på ett sådant sätt att det ska vara lätt att ta fram och presentera innehållet. Vid införandet av belastningsregistret

10 Det exakta antalet utdrag är 9 457 år 2006, 9 260 år 2007 och 10 062 år 2008. För tiden före 2006 finns inte någon separat redovisning av de utdrag som begärts av den enskilde med stöd av 10 § datalagen och 26 § personuppgiftslagen utan de ingår i den redovisade summan av levererade utdrag med stöd av 9 § första stycket lagen om belastningsregister.

274

SOU 2009:44

Kontroll av vissa registerutdrag

betonades också att det låg i sakens natur att utomordentligt stor restriktivitet måste gälla för insyn i registret (prop. 1997/98:112). För uppgifterna i registret gäller därför den strängaste formen av sekretess.

Det övergripande syftet med belastningsregistret är att olika myndigheter, framförallt de brottsbekämpande och rättsvårdande myndigheterna, på ett enkelt sätt ska få tillgång till de uppgifter som behövs i deras verksamhet. Härutöver får registret i de fall det särskilt stadgas användas av polismyndigheter och andra myndig- heter vid viss prövning samt för att till enskild lämna uppgifter som är av betydelse för dennes verksamhet.

Som framhålls i våra direktiv präglas vårt samhälle av uppfatt- ningen att en person efter avtjänat straff ska kunna verka i samhäl- let på samma premisser som andra. Uppgifter om tidigare brotts- lighet som sprids i onödan kan försvåra eller t.o.m. förhindra den dömdes rehabilitering.

Det ovan redovisade synsättet ligger också bakom Europarådets tidigare nämnda rekommendation (No. R (84) 10) om kriminal- register och rehabilitering av dömda. Som nämnts är en huvud- punkt i rekommendationen att kriminalregister är avsedda för att myndigheter inom rättsväsendet ska kunna fatta riktiga beslut och att användningen av registret för andra ändamål bör begränsas så mycket som möjligt.

Också i ILO:s riktlinjer föreskrivs restriktivitet i fråga om upp- gifter om lagöverträdelser; insamlingen bör enligt kommentaren till riktlinjerna vara strängt begränsad till uppgifter som är klart rele- vanta för arbetet i fråga. För att garantera att endast sådan informa- tion inhämtas bör arbetsgivare enligt kommentaren inte vara tillåtna att begära att arbetstagare ska visa upp ett utdrag ur kriminalregistret.

Att uppgifterna ansetts känsliga med avseende på en individs möjlighet till återanpassning i samhället efter avtjänat straff framgår också av den redovisade återhållsamhet som tidigare gällt i fråga om möjlighet för den enskilde att få insyn i kriminal- eller polisregister. Efter att frågorna utretts i olika sammanhang, bl.a. diskuterades lösningar som innebar att informationen inte skulle ges i form av ett utdrag, infördes först år 1989 en generell rätt för den enskilde att få ett utdrag från dåvarande kriminalregistret med samtliga upp- gifter om sig själv. I lagförarbetena framhölls just risken att utdra- gen skulle utnyttjas av arbetsgivare som straffrihetsbevis. Vid den tidpunkten bedömdes dock inte risken att utdragen skulle miss- brukas som så påtaglig att det fanns anledning att vidta lagstift-

275

Kontroll av vissa registerutdrag

SOU 2009:44

ningsåtgärder men man betonade att man skulle följa utvecklingen noga och vid tecken på missbruk ta upp frågan på nytt.11

När lagen om belastningsregister infördes tio år senare berördes åter risken för att den enskildes rätt kunde komma att utnyttjas av t.ex. arbetsgivare eller hyresvärdar. Dittills hade emellertid ingen- ting framkommit som tydde på att missbruk skulle förekomma i sådan omfattning att det föranledde regeringen att överväga om rätten för den enskilde att ta del av uppgifter som finns registrerade om honom eller henne borde lösas på annat sätt än genom register- utdrag.12

Risken för missbruk togs också upp i samband med tillkomsten av lagen om registerkontroll av personal inom förskoleverksamhet, skola och skolbarnsomsorg år 2000. Under lagstiftningsarbetet fram- fördes farhågor för att den förslagna regleringen skulle medföra att arbetsgivare även på andra områden skulle börja begära in utdrag från arbetssökande utan stöd i lag. I propositionen 1999/2000:123 s. 22 f. sägs bl.a. att det inte är meningen att arbetsgivare ska få den uppfattningen att de med stöd av detta förslag ska kunna begära in utdrag även på andra områden.13

Strävan att begränsa arbetsgivares möjlighet att få information från registret har även haft väsentlig betydelse för utformningen av den sekretessbestämmelse som gäller för uppgifterna i belastnings- registret. När frågan behandlades påpekades att en ordning med skaderekvisit skulle innebära en prövning för varje särskilt fall. Om den person förfrågan gällde inte förekom i registret måste detta som regel framgå av avslagsbeslutet; något som i sin tur skulle inne- bära att t.ex. arbetsgivare kunde ta reda på om den tilltänkte arbets- tagaren förekom i registret. Detta menade regeringen inte vara till- fredsställande. Vid en sammantagen bedömning ansåg regeringen därför att absolut sekretess skulle fortsätta att råda.

I dag sker den författningsreglerade registerkontrollen enligt två system. Enligt det ena hämtar arbetsgivaren själv in informationen från registret. Det andra systemet innebär att den som kontrollen avser själv ska visa upp ett registerutdrag för arbetsgivaren.

I lagen om belastningsregister fastslås uttryckligen rätten att få del av uppgifter ur registret för de myndigheter för vilkas räkning registret främst förs. Övriga myndigheters rätt regleras i förord-

11Prop. 1987/88:122 s. 19 f.

12Prop. 1997/98:97 s. 84 f.

13Att hävda att motsvarande registerkontroll av andra arbetsgivare skulle kräva lagstöd syntes dock enligt Lagrådet vara att gå för långt (prop. 1999/2000:123 s. 77).

276

SOU 2009:44

Kontroll av vissa registerutdrag

ningen om belastningsregister. För anställningsändamål har därvid vissa myndigheter givits rätt till fullständiga utdrag medan andra bara har rätt att få utdrag med begränsat innehåll. Även vissa enskilda har erhållit rätt till utdrag avseende annan enskild för anställnings- ändamål.

Fram till år 2000 var situationen således sådan att den register- kontroll som skedde med stöd av lag bedrevs genom att ett någor- lunda begränsat antal offentliga och enskilda arbetsgivare själva kunde hämta uppgifter ur belastningsregistret för anställningsända- mål. Med de nya lagarna om registerkontroll som tillkommit, bl.a. på skolans område, har emellertid den bilden förändrats.

Den lösning man valde i dessa lagar innebär att kontrollen istäl- let sker genom att den enskilde själv inhämtar ett begränsat utdrag ur registret och visar upp detta för arbetsgivaren. I samband med tillkomsten av lagen på skolområdet noterade Lagrådet att den nya lagstiftningen innebar att vissa arbetsgivare kunde ställa krav på att arbetssökande skulle uppvisa ”straffrihetsintyg”, något som man dittills varit tveksam till.

Som ett skäl för att man på skolområdet valde att gå ifrån den modell som dittills gällt angavs att detta var det minst integritets- kränkande då den enskilde härigenom själv har kontroll över vilka uppgifter som lämnas ut till arbetsgivaren.14 Ett annat skäl var att det på skolområdet fanns ett mycket stort antal arbetsgivare och ett ännu större antal personer som efter delegation fattar beslut om anställning av personal och att det därför skulle krävas särskilda regler för behörigheten att begära utdrag. Dessutom skulle det vara svårt att hålla listor över behöriga aktuella. Av integritetsskäl begrän- sades uppgifterna som ett utdrag skulle innehålla till sådana som kunde vara av betydelse vid en lämplighetsprövning med syfte att förebygga övergrepp mot barn och ungdomar.

Vad härefter gäller registerkontroll inom försäkringsförmed- lingsverksamhet följer av ett EG-direktiv15 ett krav på kontroll av vandel bl.a. av anställda som direkt arbetar med försäkringsförmed- ling. Valet av modell, dvs. att den enskilde själv hämtar in register- utdraget i fråga, motiverades även här med att integritetskränk- ningen blir minst om den enskilde har kontroll över uppgifterna. Vidare ansågs ett system där ett stort antal privata företag skulle ges möjlighet att hämta in registerutdrag innebära en större risk för spridning av uppgifter till andra än dem som ska ta emot dem

14Detta är också den modell som i första hand anvisas i ILO:s riktlinjer.

15(2002/92/EG).

277

Kontroll av vissa registerutdrag

SOU 2009:44

(prop. 2004/05:133 s. 70 f). De brott som ska framgå av register- utdraget anges närmare i förordningen om försäkringsförmedling.

Registerkontrollen av personal vid HVB som tar emot barn har till syfte att öka skyddet för barn mot att de utsätts för övergrepp, kränkningar eller annat särskilt skadligt inflytande från personer som finns i barnens närmaste omgivning. I propositionen16 räknas de brott upp som därvid har betydelse och som bör omfattas av kontrollen. Vilka brott som ska framgå av registerutdraget framgår av förordningen om belastningsregister (22 §).

Behov av lagstiftningsåtgärder

Det har på senare tid visat sig att allt fler arbetsgivare ställer som villkor för en anställning eller ett uppdrag att den enskilde ska beställa ett utdrag ur belastningsregistret och överlämna till eller visa upp för arbetsgivaren. Enligt Integritetsutredningen var detta tillväga- gångssätt mer eller mindre rutin inom den finansiella sektorn och inom säkerhets- och bevakningsbranschen men det förekom i övrigt på hela arbetsmarknaden. Vidare anger RPS i den tidigare nämnda skrivelsen att RPS uppmärksammat att en hel del väl kända och etablerade företag med omfattande verksamhet konsekvent kräver registerutdrag från de arbetssökande.

RPS:s statistik över enskilds uttag av fullständiga registerutdrag om sig själv visar att antalet uttag nästan tredubblats på sex år; från 40 686 utdrag år 2003 till 115 815 utdrag år 2008. Som tidigare nämnts har RPS uppskattat att ca 75 procent av de personer som begär utdrag är arbetssökande.

En ordning som innebär att en arbetsgivare slentrianmässigt kan skaffa sådan mycket integritetskänslig information som uppgifterna i belastningsregistret utgör, kan få svåra konsekvenser för rehabili- teringen av tidigare dömda. Det tidigare lagstiftningsarbetet har därför utmärkts av en strävan att begränsa arbetsgivares möjligheter att få uppgifter ur registret. I belastningsregisterförfattningarna och registerkontrollagarna har efter noggranna överväganden slagits fast vilka arbetsgivare som ska ha möjlighet eller skyldighet att genomföra registerkontroll. Samtidigt har också, i enlighet med det system som anvisades vid tillkomsten av belastningsregistret, bestämts omfatt- ningen av de uppgifter som kontrollen ska avse. Som nämnts valde man då främst av praktiska skäl att inte begränsa registrets innehåll

16 Prop. 2006/07:37.

278

SOU 2009:44

Kontroll av vissa registerutdrag

utan att registrera alla brott men framhöll att integritetsaspekten kunde beaktas genom en reglering av utdragens innehåll.17

Den beskrivning av rådande förhållanden som lämnats bl.a. av RPS och den statistik som finns avseende utvecklingen under de senaste sex åren ger vid handen att de farhågor regeringen gett uttryck för i olika lagförarbeten nu synes ha besannats.

Här ska också framhållas att förfarandet att utnyttja den enskil- des insynsrätt innebär att en arbetsgivare som saknar författnings- stöd för sin registerkontroll i praktiken kan komma att få ta del av betydligt mer omfattande information från belastningsregistret än vad som gäller för flera av de arbetsgivare som från lagstiftarens sida befunnits ha ett behov av registerkontroll. Det innebär att arbets- givaren många gånger har möjlighet att få tillgång till integritets- känslig information som inte är relevant för den sökta anställningen.

Den utveckling som skett inger således stora betänkligheter från integritetsskyddssynpunkt. Här kan också konstateras att det skydd för den personliga integriteten som regleringen i personuppgifts- lagen utgör inte är tillräcklig. Lagens begränsade tillämpnings- område förhindrar nämligen inte att arbetsgivare tar del av ett registerutdrag under förutsättning att detta inte databehandlas eller förs till ett manuellt register. Den utveckling som ägt rum har ju uppenbarligen också skett trots förekomsten av bestämmelserna i personuppgiftslagen. För att förhindra att reglerna som ger den enskilde en insynsrätt utnyttjas på ett sätt som vare sig är avsett eller önskvärt måste enligt vår uppfattning lagstiftningsåtgärder till- gripas. Den fråga som då inställer sig är vilket tillvägagångssätt som bör väljas.

Förbud

Ett sätt att lösa problemet skulle kunna vara att inskränka den enskil- des möjlighet att ta del av uppgifterna i registret. Det låter sig dock inte göras mot bakgrund av tidigare nämnda konventionsåtaganden och andra internationella överenskommelser samt dataskydds- direktivet. Det strider också mot grundsatserna i 14 kap. 4 § sekre- tesslagen. En förändring i detta hänseende skulle dessutom komma att gälla generellt och inte bara inom arbetslivet varför en sådan lösning skulle falla utanför vårt uppdrag.

17 Prop.1997/98:97 s. 77.

279

Kontroll av vissa registerutdrag

SOU 2009:44

Som RPS framhållit i sin skrivelse är det förmodligen inte heller någon framkomlig väg att försöka hindra utnyttjandet av insyns- rätten med hjälp av tekniska lösningar.

Alternativet att, såsom bl.a. antytts i tidigare nämnda förarbeten och även i RPS:s skrivelse, straffbelägga ett förfarande som innebär att en arbetsgivare utan författningsstöd kräver registerutdrag av en arbetssökande anser vi heller inte vara lämpligt. Arbetsrättslig lag- stiftning i Sverige är normalt inte straffbelagd.

Enligt vår mening bör istället det aktuella förfarandet förhindras genom ett skadeståndssanktionerat förbud. Mot ett införande av ett sådant förbud för arbetsgivare skulle kunna invändas att arbets- givare i vissa fall kan ha ett befogat intresse av att vidta en register- kontroll för att kunna anställa rätt person och att en felrekrytering kan få svåra följder för denne. Häremot kan i sin tur invändas att avsikten aldrig har varit att arbetsgivare efter eget gottfinnande ska kunna använda sig av den information som finns i belastnings- registret. Tvärtom framgår tydligt av olika förarbetsuttalanden att registret bör användas restriktivt för anställningsändamål och endast i de fall och i den omfattning som särskilt stadgats. Att arbetsgivare använder sig av den enskildes insynsrätt för att få information om ev. tidigare brottslighet får därför anses strida mot syftet med registret.

Vi utesluter inte att det för vissa arbetsgivare, t.ex. av säkerhets- skäl, kan finnas ett berättigat behov av att genomföra en register- kontroll. Det skulle därför kunna diskuteras om man inte istället för ett förbud skulle kunna överväga ett tillvägagångssätt som medger arbetsgivaren rätt att vidta en sådan kontrollåtgärd efter en intresseavvägning varvid arbetstagarens befogade intresse av skydd för sin personliga integritet skulle kunna tillvaratas genom att ett krav på nödvändighet uppställs för att åtgärden ska få vidtas.

Vi menar emellertid att den avvägning som måste ligga till grund för en åtgärd av detta integritetskänsliga slag bör göras av stats- makten och inte överlåtas på arbetsgivaren. En ordning som tillåter arbetsgivaren att utnyttja den enskildes rätt att få ut uppgifter om sig själv måste anses olämplig även mot bakgrund av risken för den överskottsinformation som arbetsgivaren härigenom kan få del av. Genom att utnyttja den enskildes insynsrätt får ju en arbetsgivare tillgång till samtliga uppgifter om den registrerade eftersom dessa utdrag till skillnad mot vad som ofta är fallet när lagstiftaren funnit en kontroll berättigad inte är begränsad till viss brottslighet.

280

SOU 2009:44

Kontroll av vissa registerutdrag

Sammanfattningsvis anser vi således att det bör införas en bestäm- melse med ett förbud för arbetsgivare att utan stöd av lag eller med stöd av lag meddelad författning begära att en arbetssökande ska visa upp ett belastningsregisterutdrag.

Genom bestämmelser i lagen om belastningsregister och sekre- tesslagen har lagstiftaren avsett att skapa ett skydd för den enskil- des integritet liksom ett skydd mot att ett register som tillkommit för i huvudsak andra ändamål obefogat används på ett sätt som för- svårar rehabiliteringen av tidigare dömda. Utvecklingen har emel- lertid visat att den reglering som finns inte är tillräcklig för att åstadkomma det avsedda skyddet eftersom skyddsreglerna har kun- nat kringgås genom utnyttjandet av den enskildes rätt till insyn i registret. Den bestämmelse vi föreslår syftar till att fösöka för- hindra ett sådant kringgående för att också i realiteten åstadkomma det av lagstiftaren avsedda skyddet. Behovet av den föreslagna bestäm- melsen framstår som angeläget med hänsyn till det utsatta läge som en arbetssökande ofta befinner sig i. Den som önskar komma i fråga för en anställning kan förmodligen inte motsätta sig en begä- ran från arbetsgivaren att uppvisa eller överlämna ett registerutdrag. Den inskränkning i informationsfriheten som vår bestämmelse utgör måste mot denna bakgrund anses vara klart befogad.

I sammanhanget kan också noteras att det är ingalunda nytt att genom lagstiftning förhindra ett icke önskvärt bruk av ”straffrihets- intyg”. År 1965 lade regeringen fram en proposition (prop. 1965 nr 18) varigenom de dåvarande laglydnads- och strafflöshetsintygen i princip avskaffades.

11.2.12 Överväganden och förslag – misstankeregistret

Vårt förslag: En arbetsgivare får inte heller utan stöd av lag eller med stöd av lag meddelad författning begära att en arbetstagare uppvisar ett utdrag ur misstankeregistret.

I våra utredningsdirektiv nämns endast utdrag ur belastningsregistret. Det är troligen främst utdrag ur detta register som efterfrågas av arbetsgivare. Något stort praktiskt behov av en förbudsbestämmelse för att stävja ett icke önskvärt utnyttjande från arbetsgivares sida av den enskildes insynsrätt i misstankeregistret synes därför inte före- ligga.

281

Kontroll av vissa registerutdrag

SOU 2009:44

Vi anser emellertid att de principiella skäl vi anfört för införan- det av en bestämmelse som begränsar arbetsgivares rätt att begära utdrag från belastningsregistret äger sin giltighet även i fråga om utdrag från misstankeregistret. En kontroll av detta register kan dess- utom ses som ett längre gående ingrepp i den personliga integri- teten eftersom det handlar om gärningar som inte prövats i dom- stol.

Vi föreslår därför att bestämmelsen om förbud mot att utan stöd i lag eller med stöd av lag meddelad författning begära att en arbetstagare uppvisar ett utdrag ska omfatta även utdrag enligt lag- en om misstankeregister.

11.3Utdrag ur Försäkringskassans register

11.3.1Inledning

Hos Försäkringskassan18 finns ett tjugotal socialförsäkringsregister vilka tillsammans utgör socialförsäkringsdatabasen. Dessa register innehåller uppgifter om olika socialförsäkringsförmåner. Försäk- ringskassan handlägger närmare 50 olika förmåner som regleras i ett trettiotal lagar. Vilka uppgifter som behandlas i Försäkrings- kassans register styrs av en särskild registerlag på detta område, nämligen lagen om behandling av personuppgifter inom socialför- säkringens administration.

Integritetsutredningen behandlade i sitt betänkande inte andra registerutdrag än belastningsregisterutdrag. I det gemensamma remissyttrandet från LO, TCO och SACO framhölls emellertid att det inte var lämpligt att sekretesskyddet t.ex. för Försäkrings- kassans register om sjukfrånvaro eller frånvaro för vård av barn genombryts. Enligt dessa organisationer borde en lag om integritets- skydd innehålla en bestämmelse som skyddar en arbetstagare från att tvingas lämna ifrån sig uppgifter som annars normalt är skyd- dade av sekretess.

18 Försäkringskassan inrättades som en ny sammanhållen statlig myndighet när Riksför- säkringsverket och de 21 formellt självständiga allmänna försäkringskassorna lades ned den 31 december 2004.

282

SOU 2009:44

Kontroll av vissa registerutdrag

11.3.2Rättslig reglering

Lagen om behandling av personuppgifter inom socialförsäkringens administration

För socialförsäkringens administration (som är den samlande beteck- ningen för Försäkringskassan och Premiepensionsmyndigheten) finns bestämmelser om personuppgiftsbehandling i lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens admi- nistration (SofdL). Lagen omfattar i förhållande till personupp- giftslagen bara de särbestämmelser och förtydliganden som ansetts nödvändiga. I övrigt gäller alltså personuppgiftslagen vid behand- ling av personuppgifter inom socialförsäkringens administration.

I 7 och 8 §§ SofdL anges för vilka ändamål behandling av person- uppgifter får ske. I 7 §, som reglerar de primära ändamålen, anges att personuppgifter får behandlas bl.a. för att kunna söka vägled- ande avgöranden, tillgodose behov av underlag som krävs för att kunna bedöma förmåner och ersättningar, handlägga ärenden, plan- era verksamheten och genomföra resultatuppföljning m.m. samt för att framställa statistik.

Enligt SofdL och personuppgiftslagen har den registrerade rätt att få besked om vilka uppgifter som finns registrerade om henne eller honom. Denna information ska efter ansökan lämnas gratis en gång per kalenderår.

Sekretesslagen

I 7 kap. 7 § sekretesslagen finns bestämmelsen om sekretess för uppgifter om enskilda i socialförsäkringsärenden. Enligt denna gäller sekretess i olika slag av ärenden om förmåner och ersättningar för uppgifter om någons hälsotillstånd och andra personliga för- hållanden. Sekretess gäller även för uppgifter i beslut i socialför- säkringsärenden. Det huvudsakliga skälet till att sekretess gäller även för beslut är att det finns ett behov av sekretess för enskildas sjukskrivningsperioder. Utlämnande av uppgifter om sjukperioder kan om det inte fyller ett legitimt behov få stötande konsekvenser för den enskilde och utgöra ett ingrepp i den personliga integriteten.19

Sekretessen gäller med ett rakt skaderekvisit; dvs. sekretess gäl- ler om det kan antas att den som uppgiften gäller eller någon när-

19 SOU 2007:22 s. 395.

283

Kontroll av vissa registerutdrag

SOU 2009:44

stående till honom eller henne lider men om uppgiften röjs. Avgör- ande vid bedömningen är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. I förarbetena uttalas angående uppgifter om enskildas sjukskivningsperioder att det som regel finns skäl anta att det är en sådan risk förenad med ett utlämnande att sekretess ska iakttas. I synnerhet är det fallet om den som begär att få uppgifterna inte vill tala om ändamålet med sin begäran eller uppträder anonymt. Ännu klarare är det att upp- gifter om någons sjukskrivningsfrekvens inte ska lämnas ut till en arbetsgivare som överväger att anställa försäkringstagaren i fråga (prop 1979/80:2 del A 188 och 189).

Av 7 kap. 7 § sekretesslagen fjärde stycket framgår att sekretess kan brytas enligt vad som föreskrivs bl.a. i lagstiftningen om allmän försäkring. Enligt 20 kap. 9 a § lagen om allmän försäkring (AFL) får utan hinder av sekretess uppgifter om ersättning till enskilda i vissa fall lämnas ut till försäkringsinrättningar, försäkringsbolag, erkända arbetslöshetskassor och arbetsgivare. En förutsättning är att mottagaren behöver uppgifterna för samordning med ersättning därifrån. Till arbetsgivare får alltså Försäkringskassan för en angiv- en tidsperiod lämna uppgifter om utgiven ersättning, belopp och tid om arbetsgivaren behöver uppgiften för att kunna reglera arbets- tagarens lön eller semester. Däremot får alltså sammanställningar av sjukperioder till en arbetsgivare som överväger att anställa en per- son normalt inte lämnas ut.

En arbetsgivare kan således inte själv inhämta information från Försäkringskassan om en arbetssökandes tidigare sjukfrånvaro. Den försäkrade har dock, utom i vissa fall som här saknar intresse, rätt att få ut uppgifter om sig själv.

Personuppgiftslagen

En arbetsgivares möjlighet att behandla uppgifter som finns i ett utdrag som den enskilde själv hämtat in från Försäkringskassan regle- ras av personuppgiftslagen om det är fråga om automatiserad behandling eller om arbetsgivaren behandlar eller har för avsikt att behandla uppgiften i registerform eller om avsikten är att behandla uppgifterna på detta sätt. Utanför personuppgiftslagens tillämp- ningsområde faller således bl.a. den situationen att arbetsgivaren endast tar del av utdraget. Jfr vad som sagts härom i avsnitt 5.1.2.

284

SOU 2009:44

Kontroll av vissa registerutdrag

Om utdraget eller uppgifter därur hanteras på ett sådant sätt av arbetsgivaren att det är fråga om personuppgiftsbehandling som faller under personuppgiftslagen måste till att börja med villkoren i 9 §, bl.a. kravet på relevans, och förutsättningarna enligt 10 § vara uppfyllda.

Uppgifter om hälsa utgör s.k. känsliga uppgifter och det före- ligger enligt 13 § ett principiellt förbud mot behandling av sådana uppgifter. Frågan huruvida uppgifter om att någon på grund av sjukdom inte kan förvärvsarbeta kan anses röra hälsa har varit före- mål för skilda bedömningar.20 I förarbetena till personuppgiftslagen liksom i Datainspektionens rapport 2002:3 synes man ha utgått från att en uppgift om sjukfrånvaro är en känslig personuppgift. Även enligt kommentaren till personuppgiftslagen ligger det närmast till hands att anta att en uppgift om att någon på grund av sjukdom inte kunnat arbeta utgör en uppgift som rör hälsa.21

Trots förbudet att behandla känsliga personuppgifter kan sådana ändå behandlas om någon av undantagssituationerna som anges i 15–19 § föreligger. I 15 § sägs att sådan behandling får ske om den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Som framgått av avsnitt 10 innebär den reglering vi föreslår att ett samtycke inte ensamt kan ligga till grund för att en arbetsgivare behandlar en arbetssök- andes eller en arbetstagares personuppgifter i kontroll- eller över- vakningssyfte.

Känsliga personuppgifter får enligt 16 § personuppgiftslagen också behandlas om behandlingen är nödvändig för att den personupp- giftsansvarige ska kunna fullgöra sina rättigheter och skyldigheter inom arbetsrätten. Skyldigheten kan följa av lagstiftning, myndighets- beslut i enskilda fall eller kollektivavtal eller andra avtal. Exempel på när sådan skyldighet föreligger är när behandling av uppgifterna behövs i samband med beräkning av sjuklön eller rehabilitering av arbetstagare. De här nämnda situationerna är dock knappast aktu- ella i samband med ett anställningsförfarande.

20Personuppgiftslagen, Öman m.fl. tredje upplagan, s. 229.

21A. a. sid. 229.

285

Kontroll av vissa registerutdrag

SOU 2009:44

Internationella överenskommelser

Enligt Europarådets rekommendation om skydd av personuppgifter som används för anställningsändamål (1989) kan frågor om hälso- tillstånd ställas till en arbetstagare eller arbetssökande endast i följ- ande situationer: för att fastställa arbetstagares och arbetssökandes lämplighet för sin arbetsuppgift, för att uppfylla kraven i fråga om förebyggande hälsovård, eller med tanke på beviljandet av sociala förmåner.

I ILO:s riktlinjer sägs rörande denna fråga att uppgifter om medi- cinska förhållanden får inhämtas enligt nationell lagstiftning och i övrigt enligt god sed, under förutsättning att detta är nödvändigt för att avgöra om arbetstagaren är lämpad för särskild anställning, för att uppfylla arbetsmiljökrav och krav på säkerhet samt för att bestämma och utge sociala förmåner.

11.3.3Överväganden och förslag

Vårt förslag: En arbetsgivare får inte utan stöd i lag eller med stöd av lag meddelad författning begära att en arbetstagare uppvisar ett utdrag från register som förs hos Försäkringskassan om utdraget innehåller uppgifter för vilka sekretess gäller gentemot arbetsgivaren.

Vi har tidigare redovisat våra överväganden i fråga om tillåtligheten för arbetsgivare att utan författningsstöd begära att få se utdrag från belastnings- och misstankeregistret. Vi har därvid funnit att det bör vara förbjudet för arbetsgivare att kringgå det skydd som uppställts för den personliga integriteten genom att utnyttja den enskildes möjlighet att begära uppgifter om sig själv ur registret.

Vad gäller utdrag från Försäkringskassans register kan konstate- ras att uppgifter om hälsa till vilka uppgifter om tidigare sjukperio- der får anses höra är, i likhet med uppgifter om tidigare brottslighet eller brottsmisstankar, av känslig karaktär. För sådana uppgifter har uppställts särskilda restriktioner i fråga om insamling i bl. a. data- skyddsdirektivet och personuppgiftslagen liksom i olika interna- tionella överenskommelser. Det måste också konstateras att känne- dom om tidigare sjukhistoria kan leda till selektering och utestäng- ning av redan utsatta grupper från arbetsmarknaden.

Den tidigare genomgången har visat att sekretessbestämmelsen på socialförsäkringsområdet avser att utgöra ett skydd för den för-

286

SOU 2009:44

Kontroll av vissa registerutdrag

säkrade mot att uppgifter om dennes sjukhistoria lämnas ut; bl.a. av den anledningen gäller sekretess även för beslut i socialförsäkrings- ärenden. I förarbetena framhålls dessutom att uppgifter om sjuk- skrivningsfrekvens inte ska lämnas ut till en arbetsgivare som över- väger att anställa den försäkrade. Om en arbetsgivare i samband med anställning vill ta del av ett registerutdrag måste denne således utnyttja den enskildes rätt att få ut uppgifter om sig själv ur registret.

De utdrag som Försäkringskassan tillhandahåller avser perioder med utbetald ersättning de tre senaste åren (innevarande år och de två föregående åren). Utdragen innehåller inte någon uppgift om diagnos. Den enda statistik som finns i sammanhanget avser antalet utdrag med uppgift om dagersättningar som begärts av försäkrade. Någon statistik som visar hur många utdrag som försäkrade begärt med uppgift om t.ex. ersättningsperioder på grund av sjukdom finns alltså inte.

Av innehållet i riksdagsmotioner och av uppgifter i pressen och på Internet framgår att det förekommer att arbetsgivare begär att en arbetssökande ska visa ett utdrag från Försäkringskassan om sin sjukhistorik. En av anledningarna härtill har i skilda sammanhang angetts vara arbetsgivares utökade ekonomiska ansvar vid sjukfrån- varo. I den undersökning som redovisas i Stockholms Handels- kammares analys (2008:3) Har företagen koll på vilka de rekryterar? uppgav nio procent av de tillfrågade företagen att de gjorde ”från- varokontroll via Försäkringskassan”. Över hälften (53 procent av dem som inte utförde sådan kontroll sade att de skulle vilja börja med kontroll för att få ökad trygghet vid rekrytering.

Det förekommer alltså att arbetsgivare använder sig av möjlig- heten att begära att den enskilde ska förete uppgifter ur registren. Enligt vår uppfattning utgör ett sådant förfarande ett icke önskvärt kringgående av de sekretessregler som uppställts till skydd för den enskildes personliga integritet.

Mot bakgrund av det sagda anser vi att starka skäl talar för att ett förbud i likhet med vad vi föreslår beträffande utdrag från belast- nings- och misstankeregistret bör gälla även för utdrag ur Försäk- ringskassans register.

Till skillnad från vad som gäller i fråga om belastningsregistret och misstankeregistret är emellertid en uppgift om att man före- kommer i t.ex. sjukförsäkringsregistret inte i sig känslig eftersom alla försäkrade, dvs. nästan alla som bor i Sverige och som har fyllt 16 år, finns i socialförsäkringsregistren. Vidare är många uppgifter som finns i register som förs av Försäkringskassan normalt inte av

287

Kontroll av vissa registerutdrag

SOU 2009:44

känslig natur. Hit hör exempelvis uppgifter om namn, ålder, person- nummer, civilstånd och adress. Dessa uppgifter kan som regel läm- nas ut av Försäkringskassan eftersom det kan antas att den upp- giften rör eller någon honom närstående inte lider men om så sker. Till arbetsgivare kan, som nämnts, också uppgifter lämnas ut som behövs för samordning av ersättning. Den förbudsbestämmelse avseende utdrag ur Försäkringskassans register som vi föreslår bör därför få en annan utformning än den som vi föreslår beträffande utdrag från belastnings- och misstankeregistret. Vad bestämmelsen bör ta sikte på är att förhindra arbetsgivaren att ta del av uppgifter vilka arbetsgivaren inte själv kan få ut på grund av reglerna i sekre- tesslagen. Vi föreslår därför en bestämmelse med innebörd att en arbetsgivare inte utan stöd i lag eller förordning får begära att en arbetstagare uppvisar ett utdrag från register som förs hos Försäk- ringskassan enligt lagen om behandling av personuppgifter inom socialförsäkringens administration om utdraget innehåller uppgifter för vilka sekretess gäller gentemot arbetsgivaren.

11.4Utdrag ur Kronofogdemyndighetens register

11.4.1Inledning

Enligt vårt uppdrag ska vi också överväga om det finns behov av en lagreglering som reglerar tillåtligheten för arbetsgivare att få begära utdrag från Kronofogdemyndigheten och – om sådant behov före- ligger – föreslå en sådan.

Kronofogdemyndigheten, som sedan den 1 juli 2006 är en myn- dighet med rikstäckande verksamhet, ansvarar för indrivning av stat- liga fordringar, dvs. skatter och avgifter, och för verkställighet av enskildas betalningsanspråk. Myndigheten har också till uppgift att svara för bl.a. frågor om frivillig skuldsanering och om tillsyn i och lönegaranti vid konkurs. Hos Kronofogdemyndigheten finns, såvitt här är av intresse, fyra databaser (register): utsöknings- och indriv- ningsdatabasen, betalningsföreläggande- och handräckningsdata- basen, skuldsaneringsdatabasen och konkurstillsynsdatabasen.

288

SOU 2009:44

Kontroll av vissa registerutdrag

11.4.2Rättslig reglering

Även för Kronofogdemyndighetens verksamhet finns en särskild registerlag; lagen (2001:184) om behandling av uppgifter i Krono- fogdemyndighetens verksamhet (KFMdbL). Där framgår de förut- sättningar som gäller för Kronofogdemyndighetens behandling av uppgifter. Vid tillkomsten av KFMdbL år 2001 valde man en metod i fråga om lagens förhållande till personuppgiftslagen som innebar att man i en särskild bestämmelse i lagen räknar upp vilka bestämmel- ser i personuppgiftslagen som ska vara tillämpliga inom KFMdbL:s tillämpningsområde. I övrigt gäller bestämmelserna i KFMdbL istället för personuppgiftslagen.

För de olika databaserna gäller enligt KFMdbL särskilda bestäm- melser om ändamål (uppdelade i primära och sekundära ändamål), innehåll och gallring. För uppgifterna i de olika databaserna gäller också skilda sekretessregler.

Den registrerade kan med stöd av 26 § personuppgiftslagen få skriftlig information om vilka uppgifter som behandlas inom ett eller flera av Kronofogdemyndighetens verksamhetsområden.

Utsöknings- och indrivningsdatabasen

Den databas som förmodligen är av störst intresse i detta samman- hang är utsöknings- och indrivningsdatabasen. Den innehåller sådana uppgifter som behövs i verksamheten hos Kronofogdemyndigheten, och i vissa fall även Skatteverket, för bl.a. verkställighet eller annan åtgärd enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar, avräkning vid återbetalning av skatter och avgifter samt ansökan om och tillsyn över näringsförbud.

Behandlingen avser i huvudsak uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden, en enskilds ekonomiska förhållanden, näringsförbud, egendom som berörs i ett mål samt yrkanden och grunder i ett mål eller ärende. Även beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende liksom Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, upp- gifter om lagöverträdelser som innefattar brott eller domar i brott- mål får behandlas i databasen.

I 9 kap. 19 § sekretesslagen regleras sekretessen inom Krono- fogdemyndighetens exekutiva verksamhet. Sekretess gäller enligt

289

Kontroll av vissa registerutdrag

SOU 2009:44

denna bestämmelse för uppgifter om enskildas personliga och ekono- miska förhållanden. Sekretesskyddet förstärktes genom en lag- ändring år 2001 och sekretessen gäller numera med omvänt skade- rekvisit dvs. uppgift kan röjas endast om det står klart att den enskilde eller någon honom närstående inte lider skada eller men om upp- giften lämnas ut. Skälet till skärpningen av sekretesskyddet var dels att komma tillrätta med svårigheter vid informationsutbytet med andra myndigheter, dels att de enskilda som är föremål för Krono- fogdemyndighetens åtgärder skulle få ett starkare integritetsskydd.

Sekretessen gäller i mål eller ärenden om utsökning och indriv- ning, dvs. vid all tillämpning av utsökningsbalken och andra verk- ställighetsregler. Även Kronofogdemyndighetens uppgift att före- träda staten i allmänna mål enligt lagen (1993:891) om indrivning av statliga fordringar samt verksamhet enligt 21 § lagen (1994:466) om särskilda tvångsåtgärder i beskattningsförfarandet omfattas av denna sekretess, liksom verksamhet enligt lagen (1986:436) om närings- förbud.

Från sekretesskyddet undantas dels uppgift om förpliktelse som avses med den sökta verkställigheten, dels beslut i ett mål eller ärende. Det förstnämnda undantaget gäller i pågående mål och, såvitt gäller avslutade mål, om verkställighet för annan förpliktelse söks inom två år eller om verkställighet söks tidigare och uppgiften inte är äldre än två år.

Genom en lagändring som trätt i kraft den 1 juni 2008 gäller också sekretess för uppgifter som Kronofogdemyndigheten med stöd av en samtidigt införd bestämmelse i KFMdbL (3 a §) beslutat att rätta genom s.k. blockering på grund av att uppgifterna är miss- visande.

Betalningsföreläggande- och handräckningsdatabasen

De primära ändamålen för personuppgiftsbehandling i betalnings- föreläggande- och handräckningsdatabasen är att tillgodose Krono- fogdemyndighetens behov i dess verksamhet för handläggning av mål om betalningsföreläggande eller handräckning samt tillhanda- hållande av utslag i mål om betalningsföreläggande och handräckning liksom tillsyn, kontroll, uppföljning och planering av verksamheten.

Någon särskild bestämmelse om sekretess som avser uppgifter i verksamheten med betalningsföreläggande och handräckning finns inte.

290

SOU 2009:44

Kontroll av vissa registerutdrag

Skuldsaneringsdatabasen

Personuppgiftsbehandlingen i skuldsaneringsdatabasen ska tillgodose Kronofogdemyndighetens behov i verksamhet för handläggning av ärenden om skuldsanering samt tillsyn, kontroll, uppföljning och planering av verksamheten.

Beträffande denna verksamhet finns en bestämmelse om sekre- tess i 7 kap. 35 § sekretesslagen. Där sägs att sekretess gäller hos bl.a. Kronofogdemyndigheten i ärenden om skuldsanering för upp- gift om enskilds personliga förhållanden. Sekretessen gäller med rakt skaderekvisit vilket innebär att sekretess gäller endast om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Sekretess gäller dock inte beslut i ärendet.

Konkurstillsynsdatabasen

I konkurstillsynsdatabasen får personuppgiftsbehandling ske bl.a. för tillhandahållande av information som behövs i Kronofogde- myndighetens verksamhet för handläggning av konkurstillsyns- ärenden och mål enligt lönegarantilagen (1992:497).

Enligt 8 kap. 19 § sekretesslagen gäller som huvudregel sekretess hos tillsynsmyndighet i konkurs för uppgift om enskilds affärs- eller driftsförhållanden. Sekretessen gäller med ett rakt skaderekvi- sit. Bestämmelsen gäller bara i tillsynsverksamheten. I den rent exe- kutiva verksamheten gäller den tidigare redovisade bestämmelsen i 9 kap. 19 § sekretesslagen.

11.4.3Överväganden

Vår bedömning: Det bör inte införas någon särskild reglering om tillåtligheten för arbetsgivare att begära av en arbetstagare att få ett utdrag från Kronofogdemyndighetens register.

Hos Kronofogdemyndigheten finns fyra register/databaser av intresse i förevarande sammanhang. Som framgått gäller inte samma sekre- tessreglering för samtliga databaser. För betalningsföreläggande- och handräckningsdatabasen gäller inte några särskilda sekretess- regler. För de övriga gäller sekretess för vissa uppgifter medan andra är offentliga.

291

Kontroll av vissa registerutdrag

SOU 2009:44

Från Kronofogdemyndigheten har inhämtats att det förekom- mer att en arbetsgivare kontaktar myndigheten för att kontrollera huruvida en arbetssökande förekommer i myndighetens register. En stor del av de uppgifter som kan vara av intresse för arbetsgiva- ren är offentliga och arbetsgivaren kan erhålla dessa per telefon eller skriftligen. En förutsättning är att arbetsgivaren har tillgång till personnumret på den vars uppgifter efterfrågas. Hos Krono- fogdemyndigheten upplever man att en sådan kontroll från arbets- givarens sida blivit vanligare under senare år. Någon säker kunskap har man emellertid inte eftersom syftet med begäran inte efter- frågas. Den skattning som görs, på de vaga grunder som man alltså har, är att det kan röra sig om ett par samtal dagligen för hela riket.

En arbetsgivare har möjlighet att få ut offentliga uppgifter om en arbetssökande även genom att använda sig av s.k. presentations- terminaler som finns tillgängliga för allmänheten på många av Krono- fogdemyndighetens kontor.

Det kan således konstateras att en arbetsgivare, liksom vem som helst i övrigt, kan erhålla de uppgifter som är offentliga per telefon eller skriftligen eller via presentationsterminaler. Därutöver finns även sekretessbelagda uppgifter i vissa av registren. I den mån en arbetsgivare skulle be t.ex. en arbetssökande att uppvisa ett intyg från Kronofogdemyndighetens register skulle arbetsgivaren således kunna komma att få del av även sekretessbelagda uppgifter. Enligt de uppgifter vi fått vid kontakt med Kronofogdemyndigheten är det enligt myndigheten inte särskilt vanligt att den registrerade själv över huvudet taget begär ett utdrag för att uppvisa för en arbetsgivare. Såvitt vi kunnat utröna föreligger det alltså inte något motsvarande problem som vi funnit när det gäller Försäkringskassans register, när det gäller sekretessbelagda uppgifter i Kronofogdemyndig- hetens register. Vi anser därför att det inte finns någon anledning att införa någon särskild reglering avseende sekretessbelagda upp- gifter ur Kronofogdemyndighetens register.

Som framgår av avsnitt 13 föreslår vi en särskild bestämmelse om förbud mot integritetskränkande övervaknings- och kontroll- åtgärder i övrigt. Bestämmelsen är begränsad till sådana åtgärder som på ett påtagligt sätt påverkar en arbetstagares personliga integ- ritet. Den situationen att en arbetsgivare ber en arbetssökande att förete ett utdrag med offentliga uppgifter ur Kronofogdemyn- dighetens register anser vi normalt inte innebära en sådan påverkan. Däremot skulle så kunna anses vara fallet om arbetsgivaren begär och får ta del av utdrag från Kronofogdemyndigheten med uppgifter

292

SOU 2009:44

Kontroll av vissa registerutdrag

för vilka det råder sekretess gentemot arbetsgivaren. Ett sådant förfarande från arbetsgivarens sida skulle alltså kunna angripas med stöd av den bestämmelse vi föreslår om förbud mot integritets- kränkande övervaknings- och kontrollåtgärder i övrigt, se vidare härom i avsnitt 13.

11.5Kreditupplysning från kreditupplysningsföretag

11.5.1Inledning

I vårt uppdrag ingår också att överväga en reglering av tillåtligheten för arbetsgivare att inhämta kreditupplysningar från kreditupplys- ningsföretag.

Vad som i det följande behandlas skiljer sig från övriga register- utdrag som tas upp i avsnitt 11.2–11.4 på så sätt att det inte är fråga om något register som finns hos en myndighet utan om register hos privata aktörer.

För att förenkla utlåning och kreditgivning finns kreditupplys- ningsföretag som samlar in och mot ersättning förmedlar informa- tion om den som t.ex. söker kredit eller lån. För att få bedriva kredit- upplysningsverksamhet krävs tillstånd av Datainspektionen.

Kreditupplysningsföretagen inhämtar uppgifter huvudsakligen från myndigheter. De uppgifter som därvid hämtas in är endast offentliga uppgifter. Från Spar (Statens person- och adressregister) hämtas identitetsuppgifter, tex. namn, personnummer och adress. Från skattemyndigheternas skatteregister och fastighetstaxerings- register inhämtas uppgift om inkomst, förmögenhet och innehav av fastighet och från Kronofogdemyndigheten och tingsrätter inhäm- tas uppgifter till underlag för betalningsanmärkningar.

11.5.2Rättslig reglering

Kreditupplysningsverksamheten regleras i kreditupplysningslagen (1973:1173). Även juridiska personer omfattas av reglerna i kredit- upplysningslagen.

Med kreditupplysning avses enligt 2 § kreditupplysningslagen uppgifter, omdömen eller råd som lämnas till ledning för bedöm- ning av någon annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende.

293

Kontroll av vissa registerutdrag

SOU 2009:44

Kreditupplysningsverksamheten ska enligt 5 § första stycket första punkten kreditupplysningslagen bedrivas så att den inte leder till otillbörligt intrång i den personliga integriteten genom inne- hållet i de upplysningar som förmedlas eller på annat sätt, eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. Enligt samma paragraf gäller för sådan behandling som omfattas av per- sonuppgiftslagen i stället 9 § första stycket a, b, d–h den lagen. Detta innebär att de allmänna kraven i 5 § första punkten gäller t.ex. för behandling av uppgifter om juridiska personer eller för annan sådan behandling som inte omfattas av personuppgiftslagen.

Uppgifter om fysiska personer får bara samlas in för kreditupp- lysningsändamål (5 § andra stycket kreditupplysningslagen). De uppgifter som samlas in ska således vara relevanta för en kredit- bedömning eller annan ekonomisk riskbedömning.

Kreditupplysningar om fysiska personer som inte är närings- idkare får inte innehålla uppgifter om andra betalningsförsummel- ser än sådana som har slagits fast genom en domstols eller en annan myndighets avgörande eller åtgärd eller som har lett till inledande av skuldsanering eller till betalningsinställelse, konkursansökan eller ackord (7 § kreditupplysningslagen).

Kreditupplysningslagen innehåller också särskilda regler om gallring (8 och 8 a §§ kreditupplysningslagen).

Kreditupplysningar om personer som inte är näringsidkare får inte lämnas ut om det finns anledning anta att upplysningen kom- mer att användas av någon annan än den som på grund av ett ingån- get eller ifrågasatt avtal eller av någon annan liknande anledning har behov av upplysningen (9 § kreditupplysningslagen).

I författningskommentaren till den ursprungliga bestämmelsen anges som godtagbara skäl för inhämtande av kreditupplysning bl.a. anställningsförhållande. Datainspektionen har i sin skrift Data- inspektionen informerar 15 – Värt att veta om kreditupplysningar angivit som exempel på när en upplysning får lämnas ut det fallet att en arbetsgivare tänker anställa en person och ge denne ett ekono- miskt ansvar.

Det förhållandet att kunder kan vara kopplade on-line till kredit- upplysningsföretagens databaser gör att kreditupplysningsföretagen inte i varje enskilt fall, av praktiska skäl, kan kontrollera om det föreligger legitimt behov för en förfrågan om fysiska personer som inte är näringsidkare eller näringsanknutna. Frågan har löst på så sätt att kreditupplysningsföretagen informerar sina kunder om bestämmelserna som gäller för att få beställa upplysningar om fysisk

294

SOU 2009:44

Kontroll av vissa registerutdrag

person som inte är näringsidkare eller näringsanknuten. I avtal mellan kreditupplysningsföretaget och kunden skrivs sedan ett avtal som innebär att kunden förbinder sig att endast beställa upplysning om fysisk person när behov enligt 9 § kreditupplysningslagen före- ligger (Karnov 2007/08 band 2 s. 1 703).

Ett utlämnande i strid med 9 § kreditupplysningslagen är sank- tionerat med böter eller fängelse i högst ett år (19 § första stycket samma lag). Med hänsyn till den utveckling inom kreditupplys- ningsbranschen som nyss beskrivits har numera införts ett straff- sanktionerat ansvar även för beställaren. Enligt samma paragraf andra stycket döms den till böter som genom oriktiga uppgifter uppsåtligen förleder någon som bedriver kreditupplysningsverk- samhet att lämna ut en kreditupplysning utan att ha grund till detta enligt 9 § kreditupplysningslagen.

I 11 § kreditupplysningslagen ges föreskrifter om en s.k. kredit- upplysningskopia. Där stadgas att när en kreditupplysning om en fysisk person lämnas ut, ska den som avses med upplysningen sam- tidigt och kostnadsfritt få ett skriftligt meddelande härom inne- hållande bl.a. de uppgifter, omdömen och råd som upplysningen innehåller och vem som har begärt upplysningen.

Därtill gäller att den som under den senaste tolvmånadersperioden fått del av en oriktig eller missvisande uppgift i kreditupplysning ska få en rättelse (12 §) kreditupplysningslagen.

Kraven på s.k. legitimt behov, kreditupplysningskopia och rät- telse gäller inte kreditupplysningar som lämnas genom offentlig- görande på ett sådant sätt som avses i tryckfrihetsförordningen och yttrandefrihetsgrundlagen (YGL). I en av Justitiedepartementet utar- betad promemoria, Ett starkare skydd för den enskildes integritet vid kreditupplysning, (Ds 2008:34) har föreslagits att dessa krav ska gälla även när kreditupplysning offentliggörs på sådant sätt som avses i databasregeln i 1 kap. 9 § YGL.

I promemorian föreslås även bl.a. att kreditupplysningar om fysi- ska personer som inte är näringsidkare inte ska få innehålla uppgift om betalningsförsummelse under 2 500 kr. Dessutom föreslås en kortare gallringstid för uppgift om sådana personers betalningsför- summelser under 4 000 kr. Förslaget bereds för närvarande i Regeringskansliet.

295

Kontroll av vissa registerutdrag

SOU 2009:44

11.5.3Överväganden

Vår bedömning: Någon särskild reglering av tillåtligheten för arbets- givare att inhämta kreditupplysningar från kreditupplysningsföre- tag bör inte införas.

Kreditupplysningsföretagen har som affärsidé att samla in och mot ersättning förmedla uppgifter huvudsakligen från offentliga register om enskilda personers ekonomiska och personliga förhållanden. För att bl.a. undanröja riskerna för att kreditupplysningsverksam- heten ska leda till otillbörligt intrång i den enskildes personliga integ- ritet har denna verksamhet fått sitt eget regelverk, kreditupplysnings- lagen. Även personuppgiftslagens regler är tillämpliga på kreditupp- lysningsverksamhet.

För denna verksamhet uppställs ett antal krav. Bland annat krävs att det ska finnas s.k. legitimt behov av kreditupplysningen för att uppgiften ska få lämnas ut. Kravet är förenat med en straffsanktion. Ett straffsanktionerat ansvar för att regeln om legitimt behov inte åsidosätts gäller även för den som beställer uppgifterna.

Nya sätt att lämna kreditupplysningar genom framförallt Inter- net har emellertid fört med sig vissa integritetsproblem. Till följd av de undantag som gäller för kreditupplysningsinformation som tillhandahålls på ett sådant sätt som avses i databasregeln finns inte något krav på att personen eller företaget som önskar ta del av infor- mationen ska ha ett legitimt behov därav. Inte heller gäller kredit- upplysningslagens krav på kreditupplysningskopia eller rättelse när informationen tillhandahålls på detta sätt. Ett förslag för att komma till rätta med dessa problem bereds emellertid för närvarande inom Regeringskansliet.

Enligt vår bedömning får det regelverk som bestämmelserna i kreditupplysningslagen och personuppgiftslagen utgör anses till- räckliga för att tillgodose en arbetssökandes eller arbetstagares behov av skydd för sin integritet. Något skäl att införa en särskild bestäm- melse för arbetsgivares inhämtande av kreditupplysningar om arbets- tagare eller arbetssökande anser vi därför inte föreligga.

En kontrollåtgärd som innebär att en arbetsgivare inhämtar en kreditupplysning om t.ex. en arbetssökande i strid mot bestämmel- serna i kreditupplysningslagen kan emellertid vara förbjuden enligt den bestämmelse vi föreslår om förbud mot integritetskränkande övervaknings- och kontrollåtgärder i övrigt, se närmare avsnitt 13.

296

12En reglering av medicinska undersökningar

12.1Inledning

I dag kan iakttas en utveckling som innebär att användningen av medicinska kontroller i arbetslivet ökar, i synnerhet bruket av drogtester. Vid det farmakologiska laboratoriet vid Karolinska universitetssjukhuset har antalet årliga analyserade drogtester i arbetslivet ökat från 20 000 år 2000 till 40 000 år 2006. Enligt Stockholms handelskammares analys ”Har företagen koll på vilka de rekryterar?” (2008:3)1 uppgav 32 procent av de tillfrågade före- tagen att de lät genomföra hälsokontroll och 20 procent att de lät göra alkohol- och drogtest vid rekrytering. Av de företag som inte genomförde hälsokontroller angav 31 procent att de skulle vilja göra detta för att få ökad trygghet vid rekrytering. Motsvarande siffra i fråga om alkohol- och drogtest var 45 procent.

I vårt uppdrag ingår att föreslå en lagreglering som klargör när kontroll av arbetstagare och arbetssökande genom hälso- och drog- tester får ske och hur den information en sådan kontroll genererar får behandlas.

Som en bakgrund till de frågor vi har att överväga när det gäller genomförande av drogtester och testernas tillförlitlighet lämnas här en kort redovisning av de undersökningar och tester som i dag är vanligast förekommande inom arbetslivet. Vi redogör vidare kort för ett kvalitetssäkringssystem för denna typ av provtagning som tagits fram inom ramen för Styrelsen för ackreditering och teknisk kontroll (SWEDAC) och för Socialstyrelsens meddelandeblad om narkotikatestning av urin inom hälso- och sjukvården av hälso- och sjukvårdspersonal.

1 Analysen bygger på en undersökning i april 2008 vari deltog 366 personer, övervägande personalchefer eller motsvarande.

297

En reglering av medicinska undersökningar

SOU 2009:44

Alkoholtester

Alkoholtester baseras främst på utandningsluft, urin- och blod- prov. Ett utandningsprov visar alkoholhalten i utandningsluften, vilken normalt speglar etanolhalten i blodet. För att på detta sätt kontrollera om alkoholintag skett krävs särskilda mätinstrument som finns i en rad olika utföranden och de mätningar som görs har varierande tillförlitlighet. Alkoholtest genom utandningsprov är ett av de vanligast förekommande proverna som vidtas på arbetsplatser. Genom urin- och blodprov kan även mätas den direkta före- komsten av etanol i proverna.

I stället för att påvisa etanol i provmaterialet kan man i urin eller blod analysera olika markörer för tidigare alkoholintag. Genom metoden 5-HTOL, som baseras på urinprov, går det att påvisa ett tidigare alkoholintag inom en timme efter intaget och är mätbart 5– 15 timmar (beroende på dos) efter det att etanolen eliminerats ur kroppen.

Av stort värde i diagnostik av regelbunden högkonsumtion av alkohol är analyser som reagerar på några veckors högkonsumtion. Ett sådant prov är CDT (kolhydratfattigt transferrin) som är en analys baserad på blodprov. CDT mäter den ackumulerade effekten av en regelbunden alkoholkonsumtion som överstiger cirka 50–80 gram ren etanol per dag under minst två veckor, vilket motsvarar en konsumtion av ungefär 3–4 burkar starköl eller en flaska vin eller 15–25 cl starksprit. Ett förhöjt CDT-värde är normalt ett säkert tecken på kronisk överkonsumtion av alkohol, förutsatt att känd