Användning av anställdas egen utrustning i tjänsten, så kallade Bring Your Own Device-lösningar, BYOD

Arbetslivet

Fråga:

BYOD är en förkortning av det engelska uttrycket Bring Your Own Device, och beskriver trenden att anställda och konsulter använder sin egen privata it-utrustning i tjänsten. Vad innebär det för arbetsgivaren och arbetstagaren? Hur ska till exempel verksamheten göra för att skydda känslig data? Hur ser Datainspektionen på BYOD?

Svar:

Sammanfattning

Datainspektionen ger inga bindande förhandsbesked om personuppgiftslagens tolkning och tillämpning vad gäller användning av anställdas egna utrustning i tjänsten, så kallade Bring Your Own Device-lösningar, BYOD. Det är den personuppgiftsansvarige som själv ska se till att personuppgiftslagen följs vid personuppgiftsbehandling.

Vi har ännu inte bedömt användandet av BYOD-lösningar i något tillsynsärende. Det är dock något vi sannolikt kommer ha anledning att göra då bruket av denna typ av lösningar ser ut att öka. Detta samrådsyttrande har därför en resonerande karaktär och ska ses som en vägledning till de frågor som kan komma upp i BYOD-sammanhang.

Datainspektionen har inga principiella invändningar mot att denna typ av lösningar används, förutsatt att införandet av lösningen präglas av eftertanke och beaktar det som uttalas i detta samråd.

BYOD-lösningar möter två huvudsakliga utmaningar knutna dels till krav på kontroll som följer av personuppgiftsansvaret, dels den risk för sammanblandning av privat information och tjänsteinformation som finns. Kontrollen över personuppgifter som behandlas upprätthålls via tekniska säkerhetsåtgärder och också genom organisatoriska säkerhetsåtgärder i form av exempelvis utbildning av anställda, tydliga policies, riktlinjer och instruktioner avsedda för de anställda. Ju bättre åtskillnad mellan privat- och tjänsterelaterad information desto större möjlighet att möta de konflikter som kan uppstå mellan säkerhetskraven å ena sidan och den anställdes, och andras, personliga integritet å den andra.

Allmänt om privat utrustning som arbetsverktyg

Vilka utmaningar möter dessa lösningar?

När det gäller BYOD-lösningar finns två huvudsakliga utmaningar att möta. Den första är knuten till arbetsgivarens personuppgiftsansvar och de krav på kontroll som följer av det. Hur ska arbetsgivaren kunna kontrollera den information som denne är personuppgiftsansvarig för och genomföra kontroller av hur den anställde använder utrustningen?

Den andra utmaningen knyter an till det ovanstående och rör den risk för sammanblandning av privat information och tjänsteinformation som finns i sammanhanget. Hur ska den anställde kunna värna sin integritet som anställd och privatperson mot arbetsgivarens kontroller? Mer om dessa utmaningar nedan.

Allmänt kring de rättsliga förutsättningarna för personuppgiftsbehandling

Bruket av lösningar som medger att anställda tar med sin egen utrustning och använder den som arbetsredskap (BYOD) reser, utöver de områden vi har att utöva tillsyn över, frågor som rör avtals- och arbetsrätt.

I personuppgiftslagen finns två parallella regelverk. Om personuppgifter behandlas på ett sätt som gör att sökning efter eller sammanställning av dem påtagligt underlättas är i princip samtliga personuppgiftslagens regler (de s.k. hanteringsreglerna) tillämpliga på behandlingen. Om personuppgifterna som behandlas inom BYOD-lösningar å andra sidan inte ingår i ett sådant strukturerat material gäller en förenklad reglering i personuppgiftslagen, 5a §. Då är personuppgiftsbehandlingen tillåten så länge den inte kränker den registrerades integritet. Datainspektionen tar i detta samrådsyttrande ingen ställning till om det ena eller det andra regelverket är tillämpligt på den personuppgiftsbehandling som sker inom BYOD-lösningar.

Den personuppgiftsbehandling som behöver utföras av arbetsgivaren måste, oavsett det rör sig om behandling enligt hanteringsreglerna eller behandling enligt 5a §, finna stöd i personuppgiftslagen. Men för att det ska vara möjligt krävs att flera förutsättningar är uppfyllda, bl.a. krävs att det finns arbetsrättsliga förutsättningar, till exempel som en följd av en överenskommelse med medarbetaren, ett avtal med facket eller en tolkning av gällande kollektivavtal.

Information till de vars utrustning används samt till registrerade

Även om den anställde själv ställer sin utrustning till arbetsgivarens förfogande, och kanske av vissa skulle anses vara medveten om vad det betyder i form av risker för sammanblandning av privat- och tjänstedata, bör kravet på information från arbetsgivaren om vilka gränser som dragits upp i det avseendet kunna ställas högt. Informationen ska vara tydlig, klar och spridas aktivt till den anställde.

Informationsplikten till registrerade enligt personuppgiftslagen (23-26 §§) gäller självfallet då den nu aktuella typen av lösningar används, då hanteringsreglerna är tillämpliga.

Den första utmaningen - arbetsgivarens perspektiv

Personuppgiftsansvaret

En arbetsgivare är alltid personuppgiftsansvarig för personuppgiftsbehandling som en anställd gör i tjänsten. Vid BYOD-lösningar gör arbetsgivaren i praktiken i vissa avseenden den enskildes utrustning till "sin". Därför blir arbetsgivaren personuppgiftsansvarig för den personuppgiftsbehandling som görs av den anställde i tjänsten vid användningen av den privata utrustningen.

Kanske kan det till och med argumenteras för att arbetsgivaren i fråga ska se till att dra upp sådana villkor och organisatoriska och tekniska förutsättningar för användandet av privat utrustning i tjänsten att det närmast kan betraktas som att det är fråga om användande av utrustning som helt och hållet är arbetsgivarens.

Vilken roll får den anställde?

Utgångspunkten är att anställda inte betraktas som personuppgiftsbiträden eftersom de behandlar personuppgifter som en del av sin tjänsteutövning vilken ytterst dikteras av arbetsgivaren. Under förutsättning att användningen av BYOD-lösningen blir så pass reglerad av arbetsgivaren att det uppstår tydliga gränser mellan tjänstebruket och det privata bruket av utrustningen ser vi ingen anledning att göra någon annan bedömning i dessa fall.

Arbetsgivarens kontroll

Den som är personuppgiftsansvarig på arbetsplatsen måste ha kontroll över de personuppgifter som behandlas. Denna kontroll upprätthålls via tekniska säkerhetsåtgärder och genom organisatoriska säkerhetsåtgärder i form av exempelvis utbildning av anställda, tydliga policies, riktlinjer och instruktioner avsedda för de anställda.

I sådana riktlinjer måste det framgå var gränserna går för den privata användningen av utrustningen. Instruktionerna kan exempelvis föreskriva att data som inte är avsedd för tjänstebruk (privat data) inte får överföras till IT-utrustning som är avsedd för hantering av särskilt skyddsvärd information.

En ytterligare funktion för instruktionerna blir att slå fast att ingen behandling får ske av personuppgifter för andra ändamål än dem som den personuppgiftsansvarige slagit fast. Den personuppgiftsansvarige bör också instruera sina anställda att ingen annan än den anställde får behandla personuppgifter av "tjänstekaraktär" som förekommer på den egna utrustningen.

Riktlinjerna bör ta upp anslutning och synkronisering av utrustningen mot program och tjänster som endast används i privata sammanhang. Information, och därmed personuppgifter som arbetsgivaren har ett personuppgiftsansvar för, kan komma att distribueras ut i exempelvis molntjänster och till andra IT-plattformar som arbetsgivaren inte avsett. Oskyddad information på en privat pekplatta eller en privat s.k. smart telefon som hamnar på fel ställe kan mycket snabbt spridas t.ex. på Internet. Denna typ av synkronisering skulle kunna leda till att det företag som förestår tjänsten man synkroniserar emot blir att betrakta som ett personuppgiftsbiträde till arbetsgivaren. Anlitas ett supportföretag kan det inte heller uteslutas att detta företag, beroende på omständigheterna, kan bli att betrakta som ett personuppgiftsbiträde.

Arbetsgivaren bör också fundera över om det går att lägga tekniska begränsningar på den privata utrustningen så att ingen synkronisering mot de typer av program och tjänster som nämndes ovan går att göra av den helt arbetsrelaterade informationen. Så snart information har överförs till ett externt pro-gram eller lagringsmedium går det inte längre att med loggning kontrollera vilken spridning som informationen ges och vilka personer som får åtkomst till den. Genom att minimera lagringstiden på externa lagringsmedia skapas således bättre förutsättningar att kontrollera och följa upp hur den aktuella informationen används och vilka som i olika skeden får tillgång till informationen.

Då en anställd ska sluta sin anställning eller byta utrustning krävs att riktlinjerna tydligt talat om vilka åtgärder som ska vidtas för att se till att inga personuppgifter finns "på flykt" från den personuppgiftsansvariges kontroll. Exempelvis kan arbetsgivaren vilja radera de personuppgifter och annan verksamhetsinformation som den är ansvarig för. I praktiken vilar i det läget – liksom under hela den övriga tidigare användningen av utrustningen - ett ansvar på den personuppgiftsansvarige att se till att alla uppgifter finns under kontroll, men även på den anställde att respektera och följa de rutiner och riktlinjer som finns för avslutat användande.

Arbetsgivarens kontroll av den anställdes användning av utrustningen

Som generell utgångspunkt gäller att arbetsgivare som har personuppgiftsansvar måste ha tekniska förutsättningar att på lämpligt sätt ha möjlighet att följa upp att den anställde lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och verkligen följer de riktlinjer och krav som finns. Denna typ av kontroller blir i BYOD-sammanhang en särskild fråga och hänger samman med nästa utmaning, nedan.

Den andra utmaningen - arbetstagarens perspektiv

Finns det tekniska, praktiska och juridiska förutsättningar att genomföra de ovan nämnda kontrollerna på den privata utrustningen som används i tjänsten? Det finns i BYOD-sammanhang en betydande risk för sammanblandning av information vilket ställer särskilda krav på noggrannhet och tekniska begränsningar av olika slag.

Det kan vara svårt för en arbetsgivare att veta i vilken egenskap en person gör vissa saker med sin utrustning. Vissa handhavanden kan göra att en arbetsgivare vill radera eller ha tillgång till information på utrustningen. En arbetsgivare kan ju anta att en anställd genererat otillåten information endast i egenskap av anställd och börja ta sig rättigheter med sådan information som är genererad av den anställde i dennes egenskap av privatperson.

Det i sin tur kan innebära att en arbetsgivare får tillgång till detaljerad information om hur den anställde använder utrustningen i egenskap av privatperson och inte anställd. Det finns även risk för att arbetsgivaren får tillgång till personuppgifter om andra personer än den anställde. Exempelvis finns risk att grannars, vänners och andra familjemedlemmars uppgifter behandlas av arbetsgivaren i form av adresser, bilder, videofilmer m.m. som finns i kalenderfunktioner, mediebibliotek osv.

Utgångspunkten för arbetsgivarens personuppgiftsbehandling om den anställde ska tas i anställningsförhållandet och den användning som sker inom ramen för det. Arbetsgivaren har som utgångspunkt ingen rätt att ta del av personuppgifter som är kopplade till helt privata användningsområden.

För att arbetsgivarens kontroll av den anställdes tjänstehandhavande ens ska vara tekniskt/praktiskt, och juridiskt, möjlig krävs förmodligen att det läggs sådana tekniska begränsningar på utrustningen att tjänsterelaterade uppgifter och privat data "kapslas in" var för sig. Risken för att arbetsgivaren tar del av uppgifter av rent privat karaktär måste minimeras.

Övrigt om IT-säkerhet

Oavsett om hanteringsreglerna eller 5a § är tillämplig gäller alltid personuppgiftslagens säkerhetsbestämmelser i 30-31 §§. En av förutsättningarna för att privat utrustning ska kunna användas i arbetet är att det dels finns god säkerhet kring de personuppgifter som behandlas av den anställde i tjänsten. Dessutom bör en tydlig skiljelinje eftersträvas att dras i förhållande till den information som rör den enskilde i dess egenskap av privatperson. Vi uttalar oss i detta samråd kring de bedömningar som ska göras enligt personuppgiftslagens säkerhetsbestämmelser, men är samtidigt medvetna om att BYOD-lösningar innebär IT-säkerhetsutmaningar även i ett vidare perspektiv.

Som vid alla bedömningar rörande IT-säkerhet enligt 31 § personuppgiftslagen ska utgångspunkten vara helheten. Arbetsgivaren måste alltså ta sin utgångspunkt i de särskilda risker som finns med behandlingen och känsligheten hos uppgifterna som behandlas. Den tillgängliga tekniken och kostnaden för åtgärderna ingår också i bedömningen. Arbetsrelaterad information som utgör känsliga personuppgifter ska exempelvis krypteras då den behandlas på en mobil enhet. Finns det chans att personuppgifter börjar behandlas i exempelvis molntjänster är detta ytterligare en faktor att beakta (jfr ovan under rubriken "Kontroll över de personuppgifter arbetsgivaren är personuppgiftsansvarig för").

Arbetsgivaren bör därför, innan man tillåter användandet av privat utrustning i tjänsten, inrätta organisatoriska och tekniska säkerhetsåtgärder dels i form av tydliga och klara riktlinjer för hur utrustningen får användas, dels i form av tekniska förutsättningar för att använda privat utrustning. Det är av central betydelse att det arbetssätt och det sätt att förhålla sig till IT-säkerhet som arbetsgivaren tillämpar på personuppgiftsbehandlingar "på kontoret" även tillämpas avseende BYOD-lösningar.

Ju bättre åtskillnad mellan privat- och tjänsterelaterad information desto större möjlighet att möta de konflikter som kan uppstå mellan säkerhetskraven å ena sidan och den anställdes, och andras, personliga integritet å den andra.

(Juni 2013)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.