I en värld där verktyg, maskiner och fordon i allt högre utsträckning är uppkopplade har fleet-system blivit ett allt vanligare sätt att spåra utrustning, och optimera hur den används. Problemet är att tekniken kan missbrukas, till exempel för att ”övervaka” enskilda arbetstagare. Vart går egentligen gränsen mellan en arbetsgivares legitima behov och en anställds rätt till privatliv?

I detta numret av DMG kan du läsa ett större reportage om Fleet-lösningar, där vi bland annat intervjuat Husqvarna, som var tidiga med att erbjuda sina proffskunder uppkopplingsmöjligheter, och mjukvara med vars hjälp data från den uppkopplade maskinparken kan användas. 

Från att tidigare ha använt ett system där användarnas telefoner fungerade som gateways för de uppkopplade produkterna (och då i praktiken också skickade användarens position), har man nyligen övergått till ett system med fasta gateways, som också tillhandahåller en mer stabil signal. 

Andra tillverkare erbjuder möjligheter för användare/administratörer att begränsa positioneringen av uppkopplad utrustning. 

I Sverige är det, sedan 2018, dataskyddsförordningen (även kallad GDPR-lagen) som reglerar hur personuppgifter ska behandlas, och vilka åtgärder som ska vidtas om personuppgifter behandlas på fel sätt. Detta inkluderar även uppgifter som positionering av anställdas telefoner vid användning av Fleet-system och digitala körjournaler.

Några frågeställningar: Vilka GDPR-regler bör du som arbetsgivare ha koll på vid användning av Fleet-system, och liknande lösningar som inhämtar data från uppkopplade produkter? Vilka uppgifter får samlas in? Vem ska ha tillgång till informationen? Och vilka rättigheter har du som anställd på arbetsplatser där dessa system används.  

Evelin Palmér, jurist på Integritetsskyddsmyndigheten (IMY), Sveriges nationella tillsynsmyndighet för behandling av personuppgifter, hjälper oss att reda ut vad som gäller.   

– Det finns definitivt en utmaning med den här typen av system, som ofta innebär en omfattande insamling av personuppgifter, säger Evelin.

Grundläg­gande är att informationsinhämtningen aldrig får vara för omfattande, och att den ska vara sakligt förankrad i den egna verksamheten. Som arbetsgivare är det också viktigt att lämna tillräcklig information till de som informationsinhämtningen berör. I vissa fall är inte ens arbetsgivaren själv medveten om att insamlingen sker, eller hur informationen används.

Spontant känns det ändå som att en viss ”övervakning” för goda syften borde vara ganska lätt att motivera som arbetsgivare? 

– Det finns definitivt många godtagbara skäl, och sammanhang där informationen kan används för legitima syften. Men det förutsätter att informationen inte används på annat sätt än som ursprungligen var tänkt, till exempel för att ”hålla koll” på var anställda befinner sig, hur de tar raster och så vidare.

Kan jag som arbetsgivare samla in mer information än vad dataskyddsförordningen egentligen föreskriver, om jag bara har okej från de anställda?

– Nej, juridiskt sett är det egentligen inte möjligt för anställda att ge sitt samtycke till någonting när det kommer till sin arbetssituation, inklusive de saker som dataskyddsförordningen föreskriver.

För att vända på resonemanget: Kan jag som anställd vägra att min position spåras via arbetsgivarens Fleet-system?

– Det är snarare en arbetsrättslig fråga än en GDPR-fråga. Generellt skulle jag säga att det är svårt för en enskild anställd att vägra en viss, av företaget utförd, informationsinhämtning, så länge informationsinhämtningen inte tydligt bryter mot dataskyddsförordningen. 

Vart vänder jag mig, om jag upplever att mina personuppgifter behandlats på ett felaktigt sätt på jobbet? 

– Man kan kontakta oss på IMY. Enskilda arbetstagare har också möjlighet att driva skadeståndstalan i domstol. Detta är dock inget som IMY hjälper till med. 

Vilka följder riskerar en arbetsgivare som inte följer dataskyddsförordningens regler? 

– Vårt främsta syfte som tillsynsmyndighet är att se till att reglerna följs, och att arbetsgivarna har koll på vad som gäller, snarare än att bestraffa. Får vi till exempel in ett klagomål från en anställd, så kan det leda till en informationsinsats eller en tillsyns­åtgärd från vår sida. Fortsätter man att bryta mot dataskyddsförordningen, eller att man gör det på ett väldigt omfattande sätt, så kan det bli aktuellt med ett föreläggande, eller till och med sanktionsavgifter. 

Några avslutande tips?

– Sett till de klagomål vi får in, så handlar mycket om informationsbiten, att anställda inte förstår varför en viss information hämtas in. Som arbetsgivare behöver du se till att den anställde vet vilka uppgifter som hämtas in, varför informationen hämtas in, och hur den används. Se till att det finns rutiner för vem som har tillgång till uppgifterna, vart de sparas, och hur länge.