950.02 Personvern og kontrolltiltak på arbeidsplassen

950.02 Personvern og kontrolltiltak på arbeidsplassen

Som arbeidsgiver må man ha et bevisst forhold til regelverket knyttet til kontroll og overvåking av ansatte i virksomheten. Ny teknologi gir også nye muligheter for nye kontrolltiltak i virksomheten, som må veies opp mot kravet til et godt arbeidsmiljø for de ansatte og personverninteresser.

Arbeidsmiljøloven av 17.06.2005, nr. 62, kapittel 9 med tilhørende forskrifter og personopplysningsloven/EU-forordringen av 15.06.2018, nr. 38 har regler for kontrolltiltak og krav til innsamling og bruk av personopplysninger.

Kontrolltiltak over ansatte i virksomheten kan bare iverksettes når tiltaket har saklig grunn i virksomheten og det ikke innebærer en uforholdsmessig belastning for de ansatte.

For virksomheter som er tariffbundet av Hovedavtaler, vil disse ha supplerende regler om kontrolltiltak i virksomheten, som må følges på lik linje med øvrig regelverk.

Ansvaret for å etterleve krav og regelverk påhviler i hovedsak daglig leder i virksomheten.

Kameraovervåking

For kameraovervåking av arbeidsplass og ansatte er dette regulært i Arbeidsmiljøloven med egen forskrift, i tillegg til reglene i personopplysningsloven om bruk av uekte kameraovervåkingsutstyr.

For å kunne kameraovervåke en arbeidsplass, må de generelle regler for kameraovervåking være oppfylt. Skal man overvåke områder der kun ansatte ferdes, kreves dessuten et særskilt behov. Dersom kameraovervåking er i strid med Arbeidsmiljøloven med forskrift, er også bruk av uekte kameraovervåkingsutstyr, skilting, oppslag eller lignende også ulovlig.

Før det besluttes å installere kameraovervåking, skal man informere og drøfte dette med de ansatte/tillitsvalgte.I vurderingen må følgende vurderes:

• Kameraovervåkingen må være forholdsmessig, dvs. at behovet for overvåking må veies opp mot ulempene som ansatte påføres.
• Overvåking av pauserom, toalettrom eller garderober er ikke tillatt.
• Formålet med kameraovervåkingen må være klart definert: hva virksomheten ønsker å oppnå eller unngå med overvåkingen.
• Ved overvåking av områder hvor det kun ferdes ansatte, må det foreligge et særskilt behov, for eksempel ivareta sikkerheten til de ansatte.
• Kameraovervåkingen i forhold til antall kameraer og hvilke områder som overvåkes må ikke bli for omfattende.

Varsel om overvåking skal skje ved skilting eller på annen måte, og utlevering av innsamlede personopplysninger kan kun utleveres til bestemte personer.

Opptak skal som hovedregel slettes etter 7 dager, men inntil 30 dager hvis det er sannsynlig at opptak vil bli utlevert til politiet i forbindelse med etterforsking av straffbare handlinger eller ulykker.

For nærmere informasjon se: Arbeidsmiljøloven § 9-6 og Forskrift om kameraovervåking av 02.07.2018, nr. 1107.

Innsyn i ansattes e-poster

Det er kun dataverktøy og datanettverk som virksomheten har stilt til rådighet for de ansatte som kan bli gjenstand for innsyn, mens utstyr som den ansatte selv eier ikke er omfattet av innsynsretten, selv om dette av og til benyttes i arbeidssammenheng.
Kun ved to tilfeller kan det foretas innsyn:

• når det er nødvendig for å ivareta den daglige driften, eller andre berettigede interesser ved virksomheten
• ved begrunnet mistanke om at ansattenes bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller når det kan gi grunnlag for oppsigelse eller avskjed.

Samtykke fra den ansatte gir ikke lovlig grunnlag for innsyn.

Før eventuelt innsyn kreves, bør dette så langt som mulig varsles og drøftes med den ansatte og eventuelt tillitsvalgt, og tillate at den ansatte er tilstede når e-poster og datafiler gjennomgås.

Innsyn må ikke medføre at opplysningene endres og at frembrakte opplysninger kan etterprøves. Videre må åpnede e-poster, dokumenter eller tilsvarende som viser seg å ikke være relevante eller nødvendige for formålet med innsynet straks lukkes, og eventuelle kopier skal slettes.

Ved ansattes opphør av arbeidsforholdet skal e-postkassen slettes, med mindre det foreligger særskilt behov for å holde e-postkontoen åpen i en kort periode etter opphøret.

Det er viktig at virksomheten lager gode rutiner for gjennomføring av slikt innsyn og at alle ansatte gjøres kjent med disse. Videre må reglene og prinsippene i Personopplysningsloven ivaretas.

For nærmere informasjon se: Arbeidsmiljøloven § 9-5 og Forskrift om arbeidsgivers innsyn i e-postkasse og annet lagret elektronisk lagret materiale av 02.07.2018, nr. 1108.

Adgangskontroll

Elektronisk adgangskontroll benyttes i stor grad på arbeidsplasser og vil normalt være saklig og lite inngripende tiltak for de ansatte. Virksomheten må uansett foreta en forsvarlig vurdering av logg­føring av passeringer, hvordan dette skal skje med soner og ­enkeltrom og tidspunkter på døgnet. I arbeidstiden kan det legges opp til ett loggsystem, mens på kveld/helger kan det legges opp til annen loggføring.

Formålet med adgangskontroll skal fremgå skriftlig i virksomhetens internkontrollsystem eller på annen måte. Dersom bedriften benytter adgangskontroll til fysisk sikring av lokaler, kan ikke adgangskontrollen benyttes til andre formål, som f.eks. kontrollere at ansatte er på jobb eller ikke.

Sikring av bygg, og oversikt over hvilke personer som beveger seg hvor til hvilke tider vil gi økt sikkerhet for virksomheten.

Skal slike opplysninger lagres, må dette skje på en forsvarlig og identifiserbar måte, slik at det er mulig å spore tilbake med god sikkerhet at korteier selv har brukt adgangskortet. Lagring inntil 90 dager vil iht. Datatilsynets praksis være maksimal lagringstid.

For nærmere informasjon se:
Datatilsynets hjemmeside: www.datatilsynet.no

Tidsregistrering

Bruk av tidsregistrering er svært vanlig og kan benyttes med ulike systemer og bruk av ulike koder. For ansatte som ikke møter på fast arbeidssted hver dag, men direkte på byggeplass eller andre steder, skal slik registrering skje på minst inngripende måte og kun innhentes nødvendig informasjon til formålet, dvs. å vite hvor de ansatte befinner seg og sikre rapportering av start og slutt for utførte arbeidsoppgaver.

For nærmere informasjon se:
Datatilsynets hjemmeside: datatilsynet.no

Tilgang til ansattes mobiltelefon - MDM

Ved bruk av egen programvare som installeres på ansattes mobiltelefon kan virksomheten få tilgang og kontroll over de ansattes mobiltelefoner, applikasjonen Mobile Device Management.

Bruk av MDM er normalt tillatt for sikkerhetsformål, og må skje iht. krav til gjennomsiktighet, informasjon og forhåndsdrøfting med de ansatte. Bruk av MDM gir virksomheten i praksis full tilgang til mobiltelefonen. Bruken av MDM må alltid være nødvendig og proporsjonal, og virksomheten må vurdere om sikkerhetsformålet kan oppnås på mindre inngripende måte i forhold til de ansatte.

Fjernsletting av innhold ved tyveri eller tap og restriksjoner mht. nedlastinger av programvare vil normalt være tillatt. Bruk av mobil­overvåking for å få innsyn i ansattes e-poster, sporing av ansatte, kontroll av ansattes private opplysninger er ikke tillatt, dersom dette gjøres ut fra annet enn sikkerhetsformål.

De ansatte skal informeres på klar og tydelig måte om virksomhetens tilgang til de ansattes mobiltelefoner og hvilke formål som begrunner tilgang, hva slag tilgang virksomheten rent faktisk har, og hvordan denne informasjonen kan brukes i praksis.

For nærmere informasjon se:
Datatilsynets hjemmeside: www.datatilsynet.no

GPS-sporing og annen lokalisering i yrkesbiler

Bruk av GPS-sporing av virksomhetens biler må baseres på en interesseavveining av fordeler og ulemper med bruk av person­opplysninger. For virksomheten vil normalt formål med slik ­GPS-sporing være elektronisk kjørebok eller såkalt flåtestyring.

Dersom virksomheten ønsker å bruke GPS-sporing til andre ­formål, må dette drøftes med og informeres overfor de ansatte på forhånd.

Med elektronisk kjørebok får virksomheten mulighet til å dokumentere yrkesrettet kjøring for de ansatte overfor ligningsmyndighetene. Flåtestyring gir virksomheten mulighet til å følge opp ­kunder på en rask og effektiv måte, som igjen gir reduserte ­kostnader og bedre service.

Sjekkliste for arbeidsgivere før overvåkingstiltak av biler kan ­innføres:

• Er kontrolltiltaket innført i samsvar med kravene i Arbeidsmiljøloven kapittel 9?
• Er innføringen vært gjennomsiktig for de ansatte, altså er det åpenhet omkring innføringen? Er informasjonsplikten til de ansatte oppfylt?
• Er tiltaket nødvendig? Kan samme resultat oppnås med mindre inngripende metoder?
• Er tiltaket lovlig? Hvilket rettslig grunnlag foreligger?
• Er krav til innebygd personvern oppfylt ved utformingen av systemet?
• Er det foretatt en vurdering av personvernkonsekvenser?
  Hvis nei, hvorfor ikke?

For nærmere informasjon se:
Datatilsynets hjemmeside: www.datatilsynet.no