Et kontrolltiltak vil kunne medføre at arbeidsgiver behandler arbeidstakers personopplysninger. Vi har skrevet om arbeidsgivers behandling av kontrolltiltak. Under, og i denne artikkelen, redegjør vi kort for den personvernmessig delen som oppstår, såfremt kontrolltiltaket medfører behandling av personopplysninger.
Konsekvensen for arbeidsgiver ved å trå feil, kan være store. Det er derfor viktig at arbeidsgiver går korrekt frem. For arbeidstaker er det viktig at rettighetene ivaretas i slike type situasjoner. I slike type saker er det derfor relativt ofte at partene innhenter relevant bistand.
Innledende bemerkninger
En personopplysning er en opplysning eller vurdering som kan knyttes til en enkeltperson. Eksempler på personopplysninger kan være navn, telefonnummer, adresse, fødselsnummer, bilde, lydopptak, fingeravtrykk osv.
Enkelte personopplysninger defineres som sensitive personopplysninger. Dette vil opplysninger det vi ofte tenker på som spesielt private opplysninger, herunder opplysninger om rase, etnisitet, politisk eller religiøse oppfatninger, helsemessige forhold, fagforeningstilknytning mm. For behandling av slike opplysninger gjelder egne regler, se under.
Videre vil bruk av fødselsnummer og andre entydige identifikasjonsmidler bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for dette, jf. personopplysningsloven § 12.
Behandlingsgrunnlag av personopplysninger innhentet ved kontrolltiltak
Såfremt kontrolltiltaket innebærer behandling av personopplysninger, kreves det et juridisk grunnlag for behandlingen. Personvernforordningen åpner her for ti behandlingsgrunnlag.
De mest aktuelle behandlingsgrunnlaget vil som regel være interesseavveining etter GDPR artikkel 6 nr. 1 pkt. f:
- Arbeidsgiver har en berettiget interesse i behandlingen som både er nødvendig og anses viktigere enn beskyttelseshensynene av personopplysningene for den registrerte.
I forarbeidene til arbeidsmiljøloven (ot.pr. nr. 49 (2004 -2005) s. 146) er det lagt til grunn at vilkåret normalt vil være oppfylt dersom vilkårene for å gjennomføre kontrolltiltaket etter arbeidsmiljøloven er tilstede. Selv om uttalelsene gjelder tidligere personopplysningslov, er nok ikke rettstilstanden akkurat når det gjelder dette, endret noe særskilt.
For behandling i henhold til interesseavveingsgrunnlaget, må det redegjøres for at behandlingen er nødvendig for formålet knyttet til de berettigede interessene. Interessene må da også tilkjennegis og konkretiseres. Det må videre redegjøres for hvorfor hensynet til den registrert må vike for disse interessene.
I tillegg åpner for personopplysningsloven for andre behandlingsgrunnlag. Disse vil nok ha liten selvstendig betydning ved siden av interesseavveiningsgrunnlaget, som angitt over. Tre av de mer aktuelle behandlingsgrunnlagene, nevnes likevel:
- Samtykke fra arbeidstakeren for behandlingen.
Samtykke må i så fall være dekkende for behandlingen som gjennomføres. Det må videre være frivillig avgitt, informert og uttrykkelig.
Samtykke anses generelt sett som et lite egnet behandlingsgrunnlag i arbeidsforhold, da arbeidstaker ofte vil stå i et avhengighetsforhold til arbeidsgiveren. Dette gjelder i desto større grad for kontrolltiltak. Trolig vil det her kreves at arbeidstaker uoppfordret og på eget initiativ gir arbeidsgiver tilgang.
- Overholdelse av lover og regler gjør behandlingen av personopplysninger nødvendig.
Visse type kontrolltiltak vil kunne forankres i arbeidsgivers plikt til å overholde av lover og regler. For eksempel er det vanlig med GPS-sporing eller annen lokaliseringsteknologi av yrkes- eller tjenestebiler for overholdelse av lovpålagt kjøre- og hviletid. Mistenkes en ansatt for å ikke overholde disse bestemmelsene, vil sporing kunne foretas som et kontrolltiltak, idet arbeidsgiver har selvstendig plikt til å påse at bestemmelsene overholdes.
- Behandlingen av personopplysningene er nødvendig for oppfyllelse av avtale med den registrerte.
Skal dette behandlingsgrunnlaget benyttes, kreves det at avtalen gir tilstrekkelig grunnlag for behandlingen. Dette medfører at behandlingsgrunnlaget nok har liten praktisk betydning som behandlingsgrunnlag for personopplysninger innhentet ved kontrolltiltak. Det er verd å merke seg at en tariffavtale vil kunne anses som en avtale med den registrerte i bestemmelsens forstand.
Særlig om sensitive personopplysninger
Såfremt behandlinger vedrører sensitive personopplysninger, kan disse personopplysningene behandles såfremt det er nødvendig for gjennomføring av arbeidsrettslige rettigheter og plikter. Dette følger av personopplysningsloven § 6, som lyder:
«Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter og rettigheter.»
Det skal bl.a. iverksettes særskilte sikkerhetstiltak for behandlingen for å begrense spredningsfare, f.eks. ved tilgangsbegrensninger og ved kryptering ved overføringer mellom medium.
Formålsbegrensningen ved behandling av personopplysninger
Behandling av personopplysninger skal bare skje til det formålet som opplysningene ble innhentet for. Dette omtales som formålsbegrensningen.
Personvernlovgivningen operer samtidig med et viktig prinsipp om dataminimering. Det betyr at personopplysninger bare innsamles og behandles i den utstrekning det er nødvendig for å oppnå formålet med innsamlingen. Dette stiller bl.a. krav til at det ikke innhentes flere personopplysninger enn nødvendig samt at det ikke innhentes personopplysninger om flere personer enn nødvendig.
Arbeidstakers rettigheter når kontrolltiltaket innebærer behandling av personopplysninger
Arbeidstaker innrømmes bestemte rettigheter ved behandling av personopplysninger. For det første oppstilles det bestemte informasjonsplikter, slik at arbeidstaker kan ivareta sine personvernrettigheter. For det andre har den registrerte rett til å protestere, kreve innsyn, retting og sletting av personopplysninger. Sletteplikt foreligger generelt sett når det ikke lenger er saklig behov for oppbevaring av opplysningene. Det foreligger til slutt klagemuligheter til Datatilsynet og arbeidsgiver må utarbeide rutiner for behandlingen. Dette for å nevne noe.
Særskilt om fremgangsmåten for innsyn i arbeidstakers epost og annet elektronisk materiale.
Et særlig praktisk forhold er der arbeidsgiver ønsker å gjøre innsyn i arbeidstakers e-post, private filer eller personlig brukerområde på arbeidsgivers datanettverk. Vilkår og fremgangsmåte for innsyn i epost er regulert i en egen forskrift – Forskrift om innsyn i epostkasse og annet elektronisk lagret materiale).
Som det fremkommer av forskriftens § 2, er arbeidsgivers rett til å foreta innsyn er begrenset til to type situasjoner:
- Når det er nødvendig for å ivareta driften av virksomheten eller andre berettigede interesser.
- Når det foreligger begrunnet mistanke om at arbeidstaker har begått grovt pliktbrudd.
Ettersom innsyn i eposten er et kontrolltiltak må vilkårene for kontrolltiltak, herunder saklig grunn og at det ikke er uforholdsmessig tyngende være oppfylt, jf. arbeidsmiljøloven § 9-1.
Forhåndssamtykke, enten det måtte være ved særskilt erklæring, nedfelt i arbeidsavtale eller IT-retningslinjer, personalhåndbok oa, vil ikke gi grunnlag for innsyn. Det er videre tvilsomt at andre samtykker enn uoppfordret tilgjengeliggjøring fra arbeidstaker, uten påvirkning fra arbeidsgiver, gir grunnlag for innsyn og gjennomgang.
Såfremt vilkårene for innsyn foreligger, skal arbeidsgiver, så langt praktisk mulig, sende varsel om innsyn til arbeidstakeren. Varselet skal inneholde;
- redegjørelse for hvorfor innsyn er nødvendig og hvorfor arbeidsgiver mener at vilkårene etter § 2 er oppfylt, samt
- informasjon om hvilke rettigheter arbeidstaker har.
Arbeidstaker har, så langt det lar seg gjøre, rett til uttale før innsynet gjennomføres samt å være tilstede under gjennomføringen av innsynet. I forbindelse med innsyn har arbeidstaker rett til bistand fra tillitsvalgt eller annen tillitsperson.
Dersom innsyn er gjort uten varsel, skal arbeidstaker skriftlig orienteres så snart som mulig etter gjennomført innsyn. Arbeidstaker skal da skriftlig informeres om;
- begrunnelsen for innsynet,
- hvilke rettigheter arbeidstaker har i forbindelse med innsynet,
- metoden for innsyn, herunder bruk av søkeord, hvilke foldere som er åpnet, om filer er slettede filer er gjenopprettet, samt
- Resultatet av innsynet, herunder hvilke eposter eller filer som er åpnet samt hvilke av disse som er kopiert eller videresendt.
Brudd på reglene om epostinnsyn kan bl.a. lede til overtredelsesgebyr fra Datatilsynet. I tillegg vil bevis innhentet ved tilsynet kunne avskjæres som bevis, da de vil kunne anses som fremskaffet på utilbørlig vis, jf. tvl. § 22-7. Dersom bevisene fremskaffet ved innsynet er sentrale i saken, vil avskjæring kunne være bestemmende for utfallet.