Arbeidsrett og personvern

Spørsmålet om arbeidsgivers bruk av elektronisk kontroll- og overvåkningstiltak i arbeidslivet er et tema som har fått økt oppmerksomhet den siste tiden. Datatilsynet skal så langt i år ha mottatt rundt 8 500 henvendelser med spørsmål om data og overvåking i Norge. Av disse var hele 20 prosent knyttet til overvåking i arbeidslivet. I Dagens Næringsliv lørdag uttalte direktør Bjørn Erik Thon i Datatilsynet at det er bekymringsfullt at mange arbeidsgivere ikke setter seg inn i regelverket.

Innledning

Arbeidsgiver har i flere sammenhenger et legitimt behov for sikring av virksomheten mot uønskede eller ulovlige handlinger og i denne sammenheng et behov for kontroll av ansatte. Den teknologiske utviklingen har bidratt til at arbeidsgiver enklere kan samle inn og lagre informasjon om ansatte. På den andre siden er selvsagt vernet av arbeidstakers integritet en tungtveiende interesse som også er delvis beskyttet gjennom menneskerettighetskonvensjoner.

Bestemmelsene i arbeidsmiljøloven og personopplysningsloven regulerer forholdet mellom kontroll, overvåking og personvern for arbeidstakere. I dette nyhetsbrevet vil vi se litt nærmere på grensene for hva som er tillatt.

Kontrolltiltak i virksomheten

Arbeidsmiljøloven kapittel 9 regulerer arbeidsgivers adgang til å innføre kontrolltiltak, vilkårene for innføring av kontrolltiltak og hvilke saksbehandlingsregler arbeidsgiver plikter å følge. Begrepet "kontrolltiltak" er omfattende og omfatter blant annet kontroll av e-post og kontroll over hvilke internettsider som blir besøkt.

Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker dersom tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer enuforholdsmessig belastning for arbeidstakeren.

Ved igangsettelse av kontrolltiltak i virksomheten plikter i tillegg arbeidsgiver så tidlig som mulig å drøfte behov, utforming og gjennomføring samt vesentlig endring av kontrolltiltak med arbeidstakernes tillitsvalgte.

Behandling av personopplysninger

Dersom kontrolltiltaket i tillegg omfatter behandling av personopplysninger, kommer personopplysningslovens regler til anvendelse.

Med personopplysninger menes opplysninger som direkte eller indirekte kan knyttes til en person, som for eksempel navn, adresse og fødselsnummer. Enhver form for bruk av personopplysninger, som. f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, regnes som behandling i lovens forstand.

Personopplysninger som eksempelvis samles inn gjennom kontrolltiltaket skal ha såkalt behandlingsgrunnlag. Dette innebærer at det enten må foreligge;

  • samtykke,
  • lovhjemmel, eller
  • et klart og påviselig grunnlag om at behandlingen er nødvendig.

Ved samtykke stilles det krav om en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.

Behandling av opplysninger kan eksempelvis være nødvendig for å ivareta den registrertes interesser eller for å utføre offentlig myndighet. Behandlingen kan også anses nødvendig dersom den ivaretar en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

Et spørsmål av særlig aktualitet – gjenbruk av personopplysninger

I en dom avsagt i juli i år behandlet Høyesterett spørsmålet om arbeidsgiver kunne bruke opplysninger fra et GPS-system, som opprinnelig var innført til administrasjonsformål, til å kontrollere om en arbeidstaker hadde fått urettmessig overtidsgodtgjøring.

Vedkommende sjåfør var sagt opp på grunnlag av avvik mellom timelistene hans og bilens elektroniske logg. Sjåføren reiste søksmål med krav om at oppsigelsen skulle kjennes ugyldig, og at han skulle tilkjennes oppreisningserstatning.

Høyesteretts flertall konkluderte med at gjenbruk av allerede innsamlede personopplysninger til et annet formål - kontroll av arbeidstaker - enn det opprinnelige – administrasjon av kjøreruter - var ulovlig.

Høyesterett uttalte at personopplysningsloven oppstiller et tilleggskrav for gjenbruk av personopplysninger. Tilleggskravet innebærer at gjenbruken ikke må ha et formål som er uforenlig med det opprinnelige formålet. I praksis vil det si at opplysningene må slettes og eventuelt samles inn på nytt etter en vurdering av om den nye innsamlingen – med formål om å kontrollere arbeidstaker – tilfredsstiller lovens alminnelige vilkår for behandling av personopplysninger.

Selv om bruken av GPS-opplysningene var ulovlig, fant Høyesterett at det ikke var grunnlag for å tilkjenne arbeidstakeren oppreisningserstatning etter personopplysningsloven § 49. Dette fordi det ikke dreide seg om noen grov krenkelse.

Dommen er illustrerende for viktigheten av arbeidsgivers kjennskap til reglene for behandling av personopplysninger, og betydningen av gode rutiner ved gjennomføring av ulike tiltak i virksomheten.

Som arbeidsgiver har man et stort ansvar, og det er viktig at en er bevisst på at adgangen til å overvåke de ansatte er begrenset. Regelverket er imidlertid komplisert, og vi anbefaler derfor at arbeidsgiver søker juridisk bistand ved håndtering av saker hvor spørsmålet kommer på spissen.


Publisert

Vær oppdatert på hva som skjer innenfor forretningsjus:

Vi sender ut nyhetsbrev når det skjer noe vi mener det er verdt å få med seg.
Meld deg på vårt nyhetsbrev.

Artiklene blir også lagt ut på vår Linkedin-side og Facebook-side hvis du heller vil følge oss der.