Märkligt beslut av Datainspektionen avseende kontroll av arbetstagare
Polismyndigheten i Örebro har ett in- och utpasseringssystem. Polismyndigheten har till personuppgiftsombudet angett att ändamålet med behandlingen av personuppgifter i systemet är att ”upprätthålla ett befintligt larm och inpassersystem för polismyndigheten, Häktet och Åklagarmyndigheten”. Ändamålet är alltså att se till att inga obehöriga får tillträde till polismyndighetes lokaler samt att man vid en akut situation, t.ex. en brand, ska veta hur många personer som befinner sig i lokalerna.
Efter att polismyndigheten tagit ut loggar ur in- och utpasseringssystemet för att kontrollera hur en anställd polis skötte sin arbetstid gav LO-TCO Rättsskydd AB in ett klagomål till Datainspektionen. Vi menade att polismyndigheten brutit mot regeln i personuppgiftslagen att personuppgifter inte får behandlas för något annat ändamål än det ändamål för vilket personuppgifterna samlades in (9 §). Vi framhöll också att det var otillåtet för polismyndigheten att behandla personuppgifterna efter en intresseavvägning, där skulle arbetstagarens intresse av integritet väga tyngre (10 §).
Datainspektionen har nu fattat ett beslut i tillsynsärendet (Dnr 1369-2012). Datainspektionen anser att ”en anställd hypotetiskt sett måste kunna räkna med att in- och utpasseringssystem i vissa fall kan komma att användas för kontroll av arbetstid”. Datainspektionen anser därför inte att polismyndigheten brutit mot 9 § personuppgiftslagen när loggarna togs ut. När det gäller intresseavvägningen tar Datainspektionen inte ställning, utan anser att ”den frågan hör hemma i en arbetsrättslig hantering”.
Det är förvånande och anmärkningsvärt att Datainspektionen anser det tillåtet att behandla personuppgifter för ett annat ändamål än det ursprungliga i syfte att kontrollera arbetstagarna. Sådan ”ändamålsglidning” är typiskt sett inte tillåten. Något svar på varför Datainspektionen anser att arbetstagare ”hypotetiskt sett” måste räkna med denna kontroll finns inte i tillsynsbeslutet. Det kan på goda grunder ifrågasättas om beslutet ligger i linje med det skydd för personuppgifter som personuppgiftslagen syftar till.
I sammanhanget ska nämnas att frågorna om brott mot 9 och 10 §§ personuppgiftslagen också handläggs som en arbetsrättslig tvist där Polisförbundet yrkat allmänt skadestånd till sin medlem. För närvarande pågår tvisteförhandlingar mellan Polisförbundet och Rikspolisstyrelsen.