Är det tillåtet att använda DLP-verktyg (Data Loss Prevention Tools) i arbetslivet?

Arbetslivet

Fråga:

En advokatbyrå önskar Datainspektionens syn på hur en klients användande av så kallade DLP-verktyg (Data Loss Prevention Tools) förhåller sig till personuppgiftslagens bestämmelser. Verktyget ska användas för att upptäcka, undersöka och förhindra att anställda obehörigen röjer mycket känslig information till utomstående i strid med lag, anställningsavtal och interna policys.

Svar:

Med anledning av er förfrågan lämnar Datainspektionen följande information. Observera att svaret inte nödvändigtvis tar upp alla bestämmelser i personuppgiftslagen som kan bli tillämpliga. Enskildas integritet i arbetslivet regleras också genom arbetsrättslig lagstiftning. I detta svar har vi dock inte tagit ställning till de arbetsrättsliga förutsättningarna för de aktuella kontrollerna.

Kontrollerna kan vara tillåtna med stöd av en intresseavvägning

Datainspektionen ser inte några principiella hinder enligt personuppgiftslagen mot att ett företag använder DLP-verktyg för de i förfrågningsunderlaget angivna ändamålen, nämligen att upptäcka, undersöka och förhindra att anställda obehörigen röjer mycket känslig information till utomstående i strid med lag, anställningsavtal och interna policys.

Den personuppgiftsbehandling som detta aktualiserar kan få utföras med stöd av en intresseavvägning enligt 10 § punkten f ) personuppgiftslagen. Detta gäller under förutsättning:

  1. att företaget i fråga utför behandlingen i enlighet med de grundläggande kraven i 9 § personuppgiftslagen
  2. att företaget ger de anställda tillräcklig information enligt 23–25 §§ personuppgiftslagen
  3. att företaget inte sparar de insamlade personuppgifterna längre än nödvändigt enligt 9 § punkten i) personuppgiftslagen
  4. att företaget vidtar tekniska och organisatoriska åtgärder som säkerställer ett tillräckligt skydd för personuppgifterna enligt 30–31 §§ personuppgiftslagen
  5. att företaget i förekommande fall ser till att uppgifter inte överförs till tredje land i strid med 33 § personuppgiftslagen
  6. att företaget i förekommande fall ser till att behandling av personuppgifter om lagöverträdelser som innefattar brott inte sker i strid med 21 § personuppgiftslagen.

Vi gör ovanstående bedömning mot följande bakgrund.

Vid en intresseavvägning enligt 10 § punkten f ) personuppgiftslagen – vilket är den grund som normalt kan åberopas för en kontroll av nu aktuellt slag – blir bedömningen beroende av omständigheterna i det enskilda fallet. Den personuppgiftsansvarige måste ha ett berättigat intresse av att utföra kontrollen och detta intresse måste väga tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Omständigheter som spelar in vid bedömningen är bland annat ändamålet med kontrollen, vilka uppgifter som behandlas och på vilket sätt de behandlas. Avgörande för bedömningen är också om behandlingen är förenlig med de grundläggande kraven i 9 § personuppgiftslagen. Behandlingen får till exempel inte genomföras på ett sätt som strider mot lag eller god sed. Det innebär bland annat att en kontrollåtgärd inte får vara alltför närgången eller omfattande. Man måste också fråga sig om kontrollen är proportionerlig i förhållande till de problem man vill åtgärda och till det integritetsintrång som det innebär att bli utsatt för kontrollen.

Att ni rutinmässigt skannar av IT-utrustning och datanätverk måste generellt betraktas som ett integritetsintrång för de personer som berörs av kontrollen. För att en sådan behandling ska få utföras krävs tungt vägande skäl.

Ni har gjort gällande att den aktuella kontrollen syftar till att förhindra obehörigt röjande av känslig data i strid med företagets policys, klientkontrakt och lag. Det får anses utomordentligt viktigt att arbetsgivare har möjlighet att upptäcka och motverka allvarliga åsidosättanden av de regler som arbetsgivaren satt upp för verksamheten och som manifesteras i policys och anställningsavtal samt att arbetsgivaren har möjlighet att motverka att anställda i tjänsten agerar i strid med aktuell lagstiftning.

Samtidigt måste skyddet för arbetstagarnas personliga integritet upprätthållas. I detta fall kompliceras bilden av att de aktuella kontrollerna kan komma att ske av arbetstagarnas privata e-postkorrespondens. Normalt har en arbetsgivare inte rätt att kontrollera vad arbetstagare gör utanför arbetstid. I det här fallet är dock gränserna mellan arbetstagarnas rent privata förhållanden och deras personliga förhållanden i arbetslivet så nära sammanflätade att vissa inskränkningar av den personliga integriteten kan vara motiverade.

Vi anser sammantaget, utifrån de uppgifter som ni redovisat i er förfrågan, att företaget kan anses ha ett berättigat behov av att utföra de aktuella kontrollerna. Det rör sig om ett begränsat antal uppgifter som initialt inhämtas med hjälp av DLP-verktyget. Sökkriterierna har dessutom utformats så att verktyget normalt "får träff " endast då det är fråga om otillåtna informationsöverföringar. Riskerna för insamling av överskottsinformation, inbegripet insamling av privat e- postkorrespondens, är därmed begränsade.

Under ovan angivna omständigheter kan företagets intresse av att utföra kontrollerna anses väga tyngre än de enskildas intresse av att slippa bli utsatt för behandlingen. Behandlingen kan därför vara tillåten med stöd av en intresseavvägning enligt 10 § punkten f ) personuppgiftslagen.

För att behandlingen ska vara tillåten krävs dock att företaget lever upp till de krav som i övrigt följer av personuppgiftslagen. Nedan följer exempel på områden som aktualiseras:

  1. De anställda måste få tydlig information om personuppgiftsbehandlingen. Detta är en central fråga ur integritetssynpunkt. I 23–25 personuppgiftslagen finns långtgående krav på information till de registrerade som företaget i fråga måste iaktta. Arbetstagarna ska bland annat ha fått information om vilka kontroller som kan komma att utföras, på vilket sätt de kommer att utföras och hur resultatet av kontrollerna kan komma att användas.
  2. Företaget måste också vidta tekniska och organisatoriska åtgärder för att säkerställa ett tillräckligt skydd för personuppgifterna. Det framgår av 30–31 §§ personuppgiftslagen. Det handlar bland annat om att säkerställa att det finns fungerande rutiner för behörighetsstyrning och att det finns ett fungerande behörighetskontrollsystem (den rent tekniska delen av säkerhetsfunktionerna autentisering, åtkomsträttigheter och loggar).
  3. Företaget måste också ha rutiner som säkerställer att personuppgifter inte sparas för länge. Uppgifter får enligt 9 § punkten i) personuppgiftslagen inte sparas längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
    Personuppgifter som automatiskt samlas in av DLP-verktyget bör kunna sparas under den tid som behövs för att besluta om eventuell manuell uppföljning. För detta ändamål bör uppgifterna normalt kunna sparas i några dagar, eventuellt några veckor. Därefter får normalt enbart sådana uppgifter sparas som ingår ett manuellt uppföljningsärende.
  4. Företaget måste i förekommande fall se till att uppgifter inte överförs till tredje land i strid med 33 § personuppgiftslagen.
  5. Om den aktuella kontrollen innebär att företaget behandlar personuppgifter om lagöverträdelser som innefattar brott i den mening som avses i 21 § personuppgiftslagen måste företaget se till att behandlingen inte sker i strid med denna paragraf.
    Företaget måste ta ställning till om uppgifterna kan behandlas med stöd av något av de generella undantag från bestämmelsen i 21 § som Datainspektionen meddelat i föreskrifter (DIFS 1998:3) eller om företaget måsta ansöka om särskilt undantag.

BYOD-lösningar kräver särskilda överväganden

Vi har i detta svar utgått från att de aktuella kontrollerna avser företagets IT- utrustning och datanätverk. Det blir dock allt vanligare att arbetsgivare tillåter arbetstagarna att använda sin egen privata IT-utrustning i tjänsten (Bring Your Own Device – BYOD).

Datainspektionen har ännu inte i något tillsynsärende bedömt hur BYOD förhåller sig till personuppgiftslagens bestämmelser. Principiellt ser vi dock inte något hinder enligt personuppgiftslagen mot att arbetsgivare låter sina anställda använda mobila enheter och annan IT-utrustning såväl i tjänsten som privat.

Det finns dock en risk för sammanblandning av anställdas privata och professionella angelägenheter i detta fall som är problematisk. Å ena sidan måste arbetsgivaren, i egenskap av personuppgiftsansvarig för den personuppgiftsbehandling som arbetstagaren utför i tjänsten, kunna kontrollera att behandlingen sker i överensstämmelse med bland annat personuppgiftslagen. Det ställer i sin tur krav på viss insyn och kontroll över de uppgifter som behandlas. Å andra sidan har arbetstagaren rätt till en privat sfär i arbetslivet och arbetsgivarens rätt till insyn är därför i princip begränsad.

Den kollision mellan arbetsgivarens och arbetstagarnas intressen som uppstår i detta fall kan förhindras eller i varje fall begränsas genom olika former av tekniska åtgärder samt genom tydliga riktlinjer och instruktioner till de anställda.

(Oktober 2013)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.