GPS och anställda: så blir spårning lagligt utan övervakning

Föreställ dig skåpbilen som rullar ut klockan sju på morgonen. Tre montörer, fyra adresser, en närvarolista som någon ska fylla i på slutet av dagen och som alltid blir fel. Du som arbetsgivare vill bara veta en enda sak, nämligen vem som började jobba var och när, så att lönen stämmer och så att du kan bevisa det om en kund ringer och påstår att ingen dök upp. Och så, någonstans mellan idén och installationen, glider det iväg. Plötsligt sitter du med ett system som ritar en röd linje över hela staden, minut för minut, och du vet inte riktigt längre om du har byggt ett tidregistreringsverktyg eller en övervakningscentral.

Det är precis den glidningen som Integritetsskyddsmyndigheten har lagt allt mer krut på att stoppa. Under 2026 ligger geolokalisering av anställda högt på listan över vad IMY granskar, och budskapet i deras vägledning är obekvämt tydligt. Du måste ha ett konkret och lagligt syfte med varför du använder GPS i ett fordon, och normalt är det inte tillåtet att använda positionering för att kontrollera hur länge en anställd jobbar eller hur ofta hen tar rast. Logiken bakom kallas ändamålsbegränsning. Data som du samlar in för en sak får inte tyst omvandlas till bränsle för en annan. IMY har till och med ett eget ord för synden, ändamålsglidning, och det beskriver ungefär det som händer i skåpbilen ovan.

Och här blir det knepigt för många, för de tror att de har en utväg. Be bara de anställda om samtycke, så är saken löst. Men IMY är inte road av den genvägen. En anställds beroende av sin arbetsgivare gör att samtycket sällan är frivilligt på riktigt, och därför håller det normalt inte som rättslig grund i ett anställningsförhållande. Det du behöver är en verklig grund, oftast en intresseavvägning där nyttan för verksamheten väger tyngre än medarbetarens intresse av att inte bli bevakad, plus transparens. Den anställde ska veta vad som registreras, varför, hur länge det sparas och vem som har åtkomst. Hemlig spårning är uttryckligen förbjuden.

Det handlar om princip, inte om hur stor du är

Det är lätt att tänka att det här gäller andra, de riktigt stora, de med juridikavdelningar och miljardomsättning. Sanningen är att samma regel biter lika hårt oavsett storlek, och de stora får snarare lära sig det offentligt och dyrt. Ta den spanska dataskyddsmyndigheten AEPD, som dömde resejätten Amadeus IT Group till en sanktionsavgift på 14,4 miljoner euro i ärendet med diarienummer EXP202315175. Grundbeloppet låg på 18 miljoner och sänktes med 20 procent eftersom företaget betalade frivilligt. Felet var inte att de hade fel teknik, utan att de behandlade personuppgifter genom profilering utan en giltig rättslig grund enligt artikel 6 i dataskyddsförordningen, och utan att informera de berörda enligt artikel 14. Data som samlats in för ett ändamål 2019 återanvändes för ett annat 2022. Ändamålsglidning, fast i koncernformat.

Lägg märke till att inget i den domen handlar om antalet anställda eller hur många servrar företaget har. Skalan ändrades, inte själva principen. En enmansfirma med en skåpbil och en jättekoncern med flygbokningar världen över döms efter samma två frågor. Hade du en verklig rättslig grund, och berättade du ärligt för människorna vad du gjorde med deras uppgifter. Det är liten tröst att de stora åker dit också, men det säger något viktigt, nämligen att den lilla aktören inte är osynlig för att hen är liten. Hen är bara billigare att glömma bort tills någon klagar.

Det finns dessutom en seglivad missuppfattning om att en position på en karta inte är en personuppgift om det bara står en adress och inte ett namn. Den föreställningen håller inte. Doktrinen om indirekt identifiering är väletablerad. Om en uppgift går att koppla till en bestämd person genom rimliga medel, till exempel genom att korsa positionen med ett skift, en närvarolista eller ett fordon som du vet vem som kör, så är det en personuppgift fullt ut. En punkt på en karta klockan 14:32 vid samma adress där bara en montör var inbokad pekar lika tydligt på en människa som ett namn hade gjort.

Bygga för att vägra, inte för att samla på sig

Det var den här återkommande principen som GeoTapp utvecklades runt, och inte som en eftertanke när reglerna kom utan som själva utgångspunkten. Appen fångar position vid en enda punkt när arbetet börjar och vid en enda punkt när det slutar. En tryckning för att starta, en för att avsluta. Däremellan rullar skåpbilen vart den vill utan att någon ritar linjen, för verktyget följer ingen i realtid och lagrar inga koordinater på vägen. Den anställde vet om det, eftersom hen är den som trycker. Det är inte en bevakning som sker över axeln på någon, det är en handling som personen själv utför och förstår.

Det betyder att ändamålsbegränsningen är inbyggd i stället för bortförhandlad. Syftet är att registrera in och ut, och tekniken kan helt enkelt inte göra det där andra, det kontinuerliga kartläggandet som IMY ser med oblida ögon, eftersom den datan aldrig samlas in. Dataminimering blir inte en policy du måste minnas att följa, utan en konsekvens av hur appen är byggd. Du får din prov på vem som började och slutade var, lönen stämmer, och du har något att visa kunden som ringer och bråkar, utan att du behöver lova de anställda att du inte ska kika på var de åt lunch. Du kan inte kika. Det är liksom hela poängen.

Så frågan blir egentligen ganska enkel att ställa sig innan nästa kontrakt på ett positioneringssystem skrivs under. Vill du veta när arbetet startade och slutade, eller vill du veta allt som hände däremellan, och är du beredd att försvara skillnaden inför IMY den dag någon klagar?