Personuppgiftslagens efterlevnad i samband med IT-övervakning : En studie av medelstora callcenterverksamheter

Eklund, Per, Forsman, Olof

January 2010

<p>I Datainspektionens rapporter 2003:3 och 2005:3 har myndigheten granskat hur personuppgifter behandlas i samband med arbetsgivares övervakning av anställda. Resultaten av dessa rapporter har visat på förekommande brister i förhållande till personuppgiftslagen i många av de granskade verksamheterna.</p><p>Mot denna bakgrund har en fallstudie av ett medelstort callcenterföretag genomförts för att ur ett tekniskt perspektiv undersöka hur väl personuppgiftslagen följs i samband med företagets övervakning av sin personal. Utifrån brister identifierade i fallstudien har en mindre kartläggning av liknande företag genomförts i ett försök att mäta graden av generaliserbarhet i de identifierade bristerna.</p><p>De brister som har identifierats i fallstudien rör i första hand otillfredsställande rutiner för gallring av personuppgifter vid e-postövervakning samt avsaknad av information till de anställda om vilka kontroller som sker i samband med detta. Behov av en uppdatering av företagets IT-policy samt ett behov av en övervakningslösning för personalens internetanvändande kunde också noteras.</p><p>Kartläggningen har givit antydningar om att liknande brister vad gäller rutiner för gallring samt bristande information kan tänkas förekomma även hos andra medelstora callcenterföretag.</p><p>Slutsatsen av arbetet är att flera av de brister som uppdagades av Datainspektionen för fem år sedan tycks göra sig gällande bland vissa medelstora callcenterföretag även idag.</p> / <p>In the 2003:3 and 2005:3 reports issued by the Swedish Data Inspection Board, the authority examined the treatment of personal data related to employer surveillance of employees. The reports indicated flaws occurring in regard to the Personal Data Act in several of the examined businesses.</p><p>In reference to this, a case study of a mid-sized call center was conducted to examine, from a technical point of view, the degree of compliance with the Personal Data Act regarding the company's surveillance of its employees. Based upon flaws found in the case study, a minor survey of similar companies was conducted in an attempt to measure the degree of generalizability of the identified flaws.</p><p>The flaws identified in the case study are mainly related to unsatisfactory routines for sorting out personal data during e-mail surveillance and lack of information given to employees about the conducting of checks related to this. A need to update the company's corporate IT policy and a need for a web surveillance solution were also noted.</p><p>The survey has indicated that similar flaws regarding screening routines and lack of information also might occur at other mid-sized call center companies.</p><p>The conclusion of the study is that several of the flaws the Swedish Data Inspection Board discovered five years ago still seem to be applicable among some mid-sized call center companies.</p>

Personal Data Act

Data Inspection Board

surveillance

call center

integrity

logging

Personuppgiftslagen

PuL

Datainspektionen

övervakning

callcenter

integritet

loggning

Computer science

Datavetenskap

Personuppgiftslagens efterlevnad i samband med IT-övervakning : En studie av medelstora callcenterverksamheter

Eklund, Per, Forsman, Olof

January 2010

I Datainspektionens rapporter 2003:3 och 2005:3 har myndigheten granskat hur personuppgifter behandlas i samband med arbetsgivares övervakning av anställda. Resultaten av dessa rapporter har visat på förekommande brister i förhållande till personuppgiftslagen i många av de granskade verksamheterna. Mot denna bakgrund har en fallstudie av ett medelstort callcenterföretag genomförts för att ur ett tekniskt perspektiv undersöka hur väl personuppgiftslagen följs i samband med företagets övervakning av sin personal. Utifrån brister identifierade i fallstudien har en mindre kartläggning av liknande företag genomförts i ett försök att mäta graden av generaliserbarhet i de identifierade bristerna. De brister som har identifierats i fallstudien rör i första hand otillfredsställande rutiner för gallring av personuppgifter vid e-postövervakning samt avsaknad av information till de anställda om vilka kontroller som sker i samband med detta. Behov av en uppdatering av företagets IT-policy samt ett behov av en övervakningslösning för personalens internetanvändande kunde också noteras. Kartläggningen har givit antydningar om att liknande brister vad gäller rutiner för gallring samt bristande information kan tänkas förekomma även hos andra medelstora callcenterföretag. Slutsatsen av arbetet är att flera av de brister som uppdagades av Datainspektionen för fem år sedan tycks göra sig gällande bland vissa medelstora callcenterföretag även idag. / In the 2003:3 and 2005:3 reports issued by the Swedish Data Inspection Board, the authority examined the treatment of personal data related to employer surveillance of employees. The reports indicated flaws occurring in regard to the Personal Data Act in several of the examined businesses. In reference to this, a case study of a mid-sized call center was conducted to examine, from a technical point of view, the degree of compliance with the Personal Data Act regarding the company's surveillance of its employees. Based upon flaws found in the case study, a minor survey of similar companies was conducted in an attempt to measure the degree of generalizability of the identified flaws. The flaws identified in the case study are mainly related to unsatisfactory routines for sorting out personal data during e-mail surveillance and lack of information given to employees about the conducting of checks related to this. A need to update the company's corporate IT policy and a need for a web surveillance solution were also noted. The survey has indicated that similar flaws regarding screening routines and lack of information also might occur at other mid-sized call center companies. The conclusion of the study is that several of the flaws the Swedish Data Inspection Board discovered five years ago still seem to be applicable among some mid-sized call center companies.

Personal Data Act

Data Inspection Board

surveillance

call center

integrity

logging

Personuppgiftslagen

PuL

Datainspektionen

övervakning

callcenter

integritet

loggning

Computer Sciences

Datavetenskap (datalogi)