Integritet och övervakning i arbetslivet : – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare

Show full item record



Permalink

http://urn.fi/URN:ISBN:978-951-51-6981-5
Title: Integritet och övervakning i arbetslivet : – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare
Author: Eklund, Mia
Contributor: University of Helsinki, Faculty of Law
Doctoral Programme in Law
Publisher: Helsingin yliopisto
Date: 2021-03-13
URI: http://urn.fi/URN:ISBN:978-951-51-6981-5
http://hdl.handle.net/10138/326645
Thesis level: Doctoral dissertation (article-based)
Abstract: In this doctoral thesis I examine the prerequisites under which employers in Finland may process personal data of their employees (employee data) in connection with or as a part of various monitoring methods while, at the same time, taking into account the employees’ right to privacy. The purpose of this doctoral thesis is to illustrate the tensions that exist between, on the one hand, the Finnish legislation on employee privacy, which in Finland falls under the scope of labor law, and, one the other hand, i) other Finnish individual and collective labor law, ii) the EU’s general data protection regulation 2016/679 (“GDPR”) and iii) the compliance requirements applicable to employers (companies). This is done by examining and describing the applicable rules (and rules that should be applied) on employee privacy and on the processing of employee data in connection with monitoring of employees carried out by the employer (employee monitoring). This doctoral thesis consists of a summarizing part, which contains three chapters, and four previously published articles, one of which has been published in two separate parts. In the first chapter, I describe my research, including the research questions and the purpose of the research as well as my method. The first chapter also encompasses a brief description on all the articles forming part of the thesis. The second chapter contains a summary of all the articles and the conclusions which I have drawn based on the articles. The summary encompasses a presentation of both the themes and the purpose of the articles. In addition, the summary contains a review of the developments of relevant topics and legislation which I have covered in the articles and which relate mainly to the time after the publication of the articles. In the third chapter, I summarize my conclusions as a part of my concluding remarks. I also present certain reflections on topics which could be subject to future academic research. The main conclusions of my research for this doctoral thesis can be summarized as follows: i) The Finnish legislation on employee privacy appears non-compliant with the GDPR. The Finnish legislation, which under certain circumstances requires the employee’s consent, either as a basis for processing employee data or as an additional requirement for processing such data, to enable the employer to process employee data in connection with employee monitoring appears non-compliant with the rules of the GDPR and incompatible with the national room to maneuver provided for in the GDPR with regard to the processing of employee data. Also, the necessity requirement set forth in the Finnish Act on the Protection of Privacy in Working Life (759/2004) appears non-compliant with the GDPR. ii) There is an inherent tension between the Finnish legislation on employee privacy and the remainder of Finnish individual and collective labor law. More specifically, there is a conflict between the employers’ right to direct and supervise the work of its employees and the statutory requirements to obtain the employee’s consent in order for the employer to process employee data in connection with employee monitoring. On the one hand, the employer has a statutory right to direct and supervise the work carried out by its employees and, on the other hand, the processing of employee data in connection with certain types of monitoring require the employee’s consent. Employee monitoring, the purpose of which is to protect the employer’s property or to ensure compliance with applicable rules, usually concern the employees as a collective. From a systemic labor law perspective, matters that concern employees as a collective are, as a starting point, dealt with either as matters to be handled in cooperation negotiations in accordance with the cooperation legislation or in collective bargaining agreements. In this regard, requirements to obtain the individual employee’s consent constitute a clear and, from a practical perspective, problematic deviation from the labor law system, as a matter of collective nature is handled on an individual level. This deviation can partly be explained by the individual nature of the right to privacy as well as by the importance and meaning of the individual’s self-determination in the Finnish legal tradition. Also, the circumstances under which the legislation was enacted have had an impact. Agreeing on arrangements for control and monitoring measures, which affect all employees or groups of employees on a collective level, would from a labor law system perspective most naturally be handled in cooperation negotiations or in collective bargaining agreements. The Act on Co-operation within Undertakings as well as the Act on the Protection of Privacy in Working Life currently require that processing employee data in connection with, inter alia, employee monitoring shall be handled in cooperation negotiations. The GDPR’s form requirements for a valid consent and the information that is to be provided to the employee before obtaining his/her consent encompasses the same elements as the “agenda” of co-operation negotiations. Obtaining consent and arranging co-operation negotiations appear, at least partly, to fulfill the same purpose – ensuring transparency – and thus overlap. This should be taken into account in the ongoing revision of the Act on Co-operation within Undertakings. iii) There is a tension between the Finnish legislation on employee privacy and the increasing compliance requirements which companies are required and expected to take into account when doing business. In order to ensure compliance and prevent misconduct and to be able, if necessary, to investigate (potential) violations, employers (companies) are required to take active measures. In practice, compliance requires a structured and comprehensive system that covers, inter alia, appropriate monitoring mechanisms. However, consent as a processing basis or as an additional requirement for processing is problematic, as the employee may, by not giving his/her consent or by withdrawing his/her consent, prevent the employer from introducing or using monitoring mechanisms for purposes which may be deemed appropriate and necessary – both from the employer’s perspective as well as from the perspective of society more generally – to ensure compliance and prevent misconduct.I denna avhandling granskar jag under vilka förutsättningar arbetsgivare i Finland har rätt att behandla arbetstagarnas personuppgifter i anslutning till eller som en del av användning av olika övervakningsmetoder med beaktande av arbetstagarens rätt till skydd för privatliv. Syftet med denna avhandling är att illustrera de spänningar som existerar mellan å ena sidan den nationella finska regleringen avseende arbetstagarnas integritetsskydd, som i Finland utgör en del av den arbetsrättsliga regleringen, och å andra sidan i) övrig finsk arbetsavtals- och kollektivavtalsrätt, ii) EU:s allmänna dataskyddsförordning 2016/679 (”dataskyddsförordningen”) och iii) krav som ställs på arbetsgivarnas (företagens) regelefterlevnad. Detta görs genom att granska och redogöra för den reglering som tillämpas (och borde tillämpas) på arbetstagarens integritetsskydd och behandling av arbetstagarnas personuppgifter i anslutning till arbetsgivarens övervakning. Avhandlingen omfattar en sammanfattande del, som består av tre kapitel, och fyra tidigare publicerade separata artiklar av vilka en publicerats i två skilda delar. I avhandlingens första kapitel beskriver jag forskningen, inklusive forskningsfrågorna och forskningens syfte samt metod. Avhandlingens första kapitel omfattar också en kort beskrivning av samtliga avhandlingsartiklar. I avhandlingens andra kapitel ingår ett sammandrag på avhandlingens artiklar och de slutsatser som jag dragit i ljuset av artiklarna. I sammandraget på avhandlingens artiklar presenterar jag artiklarnas tematik och syfte. Därtill behandlar jag sådan utveckling avseende de frågor och gällande rätt som behandlas i artiklarna som hänför sig i huvudsak till tiden efter att artiklarna publicerats. I avhandlingens tredje kapitel sammanfattar jag slutsatserna som en del av slutordet. Därtill presenterar jag några reflektioner kring frågor som eventuellt kunde vara föremål för framtida akademisk forskning. De centrala slutsatserna av mitt avhandlingsarbete kan sammanfattas på följande sätt: i) Den finska regleringen avseende arbetstagarnas integritetsskydd verkar vara oförenlig med dataskyddsförordningens bestämmelser. Den finska regleringen som i vissa fall förutsätter arbetstagarens samtycke, antingen som grund för behandling av arbetstagarnas personuppgifter eller som ett tilläggskrav till dylik behandling, för att arbetsgivaren skall kunna behandla arbetstagarens personuppgifter i anslutning till övervakning av arbetstagaren, verkar vara oförenlig med dataskyddsförordningens bestämmelser och det utrymme för nationell reglering som dataskyddsförordningen tillåter i detta avseende. Också relevanskravet som fastställs i lagen om integritetsskydd i arbetslivet verkar vara oförenligt med dataskyddsförordningens bestämmelser. ii) Det existerar en inbyggd spänning mellan den finska regleringen avseende arbetstagarnas integritetsskydd och övrig finsk arbetsavtals- och kollektivavtalsrätt. Närmare bestämt finns det enkonflikt mellan arbetsgivarens rätt att leda och övervaka sina arbetstagare (direktionsrätt) och de lagstadgade kraven på arbetstagarens samtycke för att arbetsgivaren skall kunna behandla arbetstagarens personuppgifter i anslutning till övervakning av arbetstagaren. Å ena sidan har arbetsgivaren en lagstadgad rätt att leda och övervaka det arbete som arbetstagaren utför, å andra sidan förutsätter behandling av arbetstagarens personuppgifter i anslutning till vissa typer av övervakning arbetstagarens samtycke. Arbetsgivarens övervakning för syften som avser skydda egendom eller trygga regelefterlevnad omfattar ofta arbetstagare som ett kollektiv. Ur ett arbetsrättsligt systemperspektiv hanteras frågor som berör arbetstagare som kollektiv som utgångspunkt antingen som samarbetsfrågor i enlighet med samarbetslagstiftningen eller genom kollektivavtal. I detta avseende utgör krav på de enskilda arbetstagarnas samtycke en tydlig och ur ett praktiskt perspektiv problematisk avvikelse från den arbetsrättsliga systematiken, då en fråga av kollektiv natur hanteras på ett individuellt plan. Denna avvikelse kan åtminstone delvis förklaras med integritetsskyddets individuella natur samt vikten och betydelsen av individens självbestämmanderätt i den finska rättstraditionen. Därtill har även omständigheterna kring regleringens uppkomst spelat in. Ur ett arbetsrättsligt systemperspektiv skulle det falla sig naturligt att komma överens om arrangemang för kontroll- och övervakningsåtgärder som berör alla arbetstagare eller grupper av arbetstagare på ett kollektivt plan, antingen genom samarbetsförfarande eller genom kollektivavtal. Samarbetslagen och lagen om integritetsskydd i arbetslivet förutsätter redan nu att behandling av arbetstagarnas personuppgifter i anslutning till bland annat övervakning behandlas i samarbetsförfarande. De formkrav som dataskyddsförordningen ställer på ett samtycke och den information som arbetstagaren skall förses med innan ett samtycke kan inhämtas omfattar samma element som samarbetsförfarandets ”agenda”. Inhämtande av samtycke och ordnandet av samarbetsförfarande verkar delvis uppfylla samma funktion – att trygga transparens – och därmed överlappa varandra. Detta är något att beakta i samband med den pågående revideringen av samarbetslagen. iii) Det existerar en spänning mellan den finska regleringen om arbetslivets integritetsskydd och de tilltagande kraven på regelefterlevnad som förutsätts och förväntas bli beaktade vid bedrivande av företagsverksamhet. Att trygga regelefterlevnad och förebygga regelöverträdelser samt att vid behov kunna utreda (eventuella) regelöverträdelser förutsätter aktiva åtgärder av företag (arbetsgivare). Regelefterlevnad förutsätter i praktiken ett strukturerat system omfattande bland annat tillbörliga övervakningsmekanismer. Samtycke som grund eller som ett tilläggskrav för behandling av arbetstagarnas personuppgifter är emellertid problematiskt, eftersom arbetstagaren genom att inte ge sitt samtycke eller återkalla det kan förhindra att arbetsgivaren tar i bruk eller använder övervakningsmekanismer som kan anses vara nödvändiga och tillbörliga – såväl ur arbetsgivarens perspektiv som ur ett bredare samhällsperspektiv – för att trygga regelefterlevnad och förebygga regelöverträdelser.
Subject: arbetsrätt
Rights: This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.


Files in this item

Files Size Format View

There are no files associated with this item.

This item appears in the following Collection(s)

Show full item record