Wallmans Group, som bland annat driver Golden Hits i Stockholm, riskerar att bryta mot personuppgiftslagen när de hanterar rapporter från kontrollföretag. Det konstaterar Datainspektionen efter en anmälan från HRF.
Anmälan som gjordes förra hösten handlade om rapporter från så kallade köpkontroller, gjorda av kontrollföretaget Precont. I sin anmälan skrev Hotell- och restaurangfacket att de anställda fått knapphändig info om kontrollerna. Det framgick inte heller hur och av vem rapporterna skulle hanteras. HRF hade även fått ta del av rapporter där kontrollanter bifogat smygtagna bilder på en anställd.
Nu har Datainspektionens beslut kommit. Myndigheten skriver att det finns risk att Wallmans hantering av personuppgifterna i rapporterna strider mot lagen.
– Vi har pekat på flera faktorer, som att ändamålen inte är tillräckligt preciserade. Det har inte framkommit att man har tagit hänsyn till personuppgiftslagen. Det finns en risk att man sprider den här informationen när det inte är klart vad som gäller, säger Katarina Högquist, jurist på Datainspektionen.
Myndigheten vill nu att Wallmans Group ska se över hanteringen av kontrollrapporterna. Det ska de också göra, berättar Eva Persson, affärsområdeschef på företaget.
– För att inte riskera en kränkning av våra medarbetares integritet kommer vi att vidta åtgärder tillsammans med Precont. Vi kommer att se över och förtydliga våra rutiner samt på ett tydligare sätt informera våra medarbetare om ändamålen med behandlingen av uppgifter, skriver hon i ett mejl.
Bakom anmälan låg HRF-ombudsman Cecilia Creutz. Hon tycker att beslutet är en påminnelse till arbetsgivare att de måste ta hänsyn till anställdas integritet.
– Det här visar att det är viktigt, att de inte bara kan hantera personuppgifter hur som helst. Det är ju faktiskt ett integritetsingrepp. Beslutet är bra att ha när jag träffar andra arbetsgivare som vill ta in kontrollföretag. Det är betydligt större än bara Wallmans.
Cecilia Creutz tycker att Datainspektionen även borde titta på hur kontrollföretagen förhåller sig till personuppgiftslagen.
– Det är ju de som samlar in och lämnar över uppgifterna.
Katarina Högquist på Datainspektionen utesluter inte att det kan komma att ske.
– I det här fallet valde vi att rikta tillsynen mot arbetsgivaren. Men det är absolut så att vi även kan behöva titta på behandlingen av uppgifter hos dem som utför kontrollerna. Det är jätteviktigt att de här företagen har koll på integritetslagstiftningen.