Presse

Nettstedskart

English

Ansatte med nedsatt funksjonsevne

Bedriftskultur

Bli synlig på intranettet

Helse, miljø og sikkerhet (HMS)

Likestilling

Midlertidig ansettelse, innleid arbeidskraft og vikarer

Samtaler - lær deg å takle dem

Seniorpolitikk

Sluttpakker

Taushetsplikt

Valg av ansattevalgte styremedlemmer

YS’ idehefte for en meningsfull og god pensjonisttilværelse

Søk i Compendia Ingen tilgang

Juridisk bistand

Inkluderende arbeidsliv (IA)

Pensjon

Jobb og karriere

Kurs og arrangementer

Om Finansforbundet

For tillitsvalgte

Min side

Forsiden > Dine rettigheter > Veiledninger > Personvern

Del/Tips

RSS

Skriv ut

Tips en venn		Del artikkelen
		Facebook Nettby Google bookmarks Del.icio.us
Mottakers e-post
Din e-post
Melding

Relaterte lenker

- Ja til klarere e-postregler

Aktuelt

Personvern

Hva har arbeidsgiver rett til å vite om deg? Hvem eier e-posten du mottar og hvordan skal du forholde deg til målinger? Få svar på disse og andre personvernrelaterte spørsmål her.

1. Hvor finner man regelverk som omhandler temaet personvern?

2. Kan arbeidsgiver foreta målinger av meg på jobben?

3. Kan arbeidsgiver offentliggjøre måleresultater på individnivå?

4. Hvilke krav stilles til et samtykke?

5. Er telefonovervåking av ansatte lovlig?

6. Hvilke regler gjelder for arbeidsgivers innsyn i den ansattes e-post?

7. Kan arbeidsgiver logge bruk av internett?

8. Finnes det regler for internkontroll?

9. Kan arbeidsgiver kreve helseopplysninger om meg?

10. Kan arbeidsgiveren kontrollere når jeg kommer og går fra jobb?

11. Hvor finner jeg mer informasjon om personvernrettslige tema?

Hvor finner man regelverk som omhandler temaet personvern?

Det sentrale regelverket på området er personopplysningsloven av 14. april 2000 nr. 31. I tillegg er det gitt en personopplysningsforskrift som utfyller og supplerer personopplysningsloven. Virkeområdet til loven / forskriften er å regulere de tema som oppstår i relasjon til behandling av personopplysninger.

Videre har arbeidsmiljøloven av 17. juni 2005 nr. 62 fått et eget kapittel 9, som omhandler kontrolltiltak i virksomheten. Kapittelet inneholder bestemmelser om vilkår for kontrolltiltak, saksbehandlingskrav ved innføring av kontrolltiltak samt vilkår for innhenting av helseopplysninger og gjennomføring av medisinske undersøkelser ( §§ 9-1 t.o.m. 9-4 ).

I tillegg har Hovedavtalen § 34 bestemmelser om personopplysninger om bedriftens ansatte. Videre skal bruken av eventuelle systemer for innhenting av arbeidsmengdestatistikk / volumstatistikk fastlegges i den enkelte Bedriftsavtale, jf. HA § 34 nr. 3.

Kan arbeidsgiver foreta målinger av meg på jobben?

Målinger kan f.eks. være på resultat ( hvor mye har man solgt for i kr/øre ) og på aktivitet ( antall gjennomførte kundemøter eller telefoner innenfor en gitt periode ). Målinger kan skje på individuelt grunnlag ( av den enkelte ansatte ), eller på grupper av ansatte / team.

Målinger på grupper som er så store at den enkelte ansatte ikke kan identifiseres, vil normalt ikke kunne betegnes som behandling av personopplysninger. Dette henger sammen med definisjonen på en ”personopplysning” i pol. § 2 nr. 1: ”opplysninger og vurderinger som kan knyttes til en enkeltperson”. Dermed vil ikke de krav som oppstilles i loven gjelde for denne typen målinger. Dette forutsetter imidlertid at man verken direkte eller indirekte kan ”spore” opplysningene til en enkeltperson.

Målinger på individnivå vil være en form for behandling av personopplysninger, og det kreves da at arbeidsgiver kan påvise et behandlingsgrunnlag. Før arbeidsgiver iverksetter slike tiltak må man enten kunne påvise en lovhjemmel som gir adgang til måling, man må ha et samtykke fra den enkelte berørte eller behandlingen må være nødvendig for å ivareta en berettiget interesse hos arbeidsgiver, jf. pol. § 8. Videre må grunnkravene til behandling av personopplysninger som fremgår av § 11 være oppfylt.

Ofte er det inntatt saksbehandlingsregler i den enkelte Bedriftsavtale i forbindelse med innføring av nye eller endring av allerede etablerte målesystemer.

Kan arbeidsgiver offentliggjøre måleresultater på individnivå?

Vårt og Datatilsynets utgangspunkt er at tilgangen til denne typen personopplysninger skal begrenses til de som har et saklig og tjenestelig behov for det.

Dette innebærer at nærmeste leder og ev. andre i ledernivået over denne vil kunne ha tilgang til opplysningene. Kollegaer og andre som ikke har behov for opplysningene i sin utøvelse av arbeidet, skal følgelig ikke ha tilgang til registrerte personopplysninger på individnivå.

Dersom arbeidsgiver mener at også kollegaer og andre bør ha tilgang til denne typen opplysninger, må det innhentes individuelle samtykker fra den enkelte berørte i forkant av offentliggjøringen. Her vil personverntrusselen være særlig stor, og fra et arbeidstakerståsted bør det argumenteres for at offentliggjøring av gruppemålinger vil være tilstrekkelig til å ivareta arbeidsgivers interesser.

Hvilke krav stilles til et samtykke?

Som tidligere nevnt er utgangspunktet at arbeidsgiver må ha en hjemmel for å kunne behandle personopplysninger, jf. pol. § 8. De ulike hjemmelsgrunnlagene som loven oppstiller er samtykke, lov eller at behandlingen fremstår som "nødvendig" etter en interesseavveining etter pol. § 8 bokstav f).

I pol. § 2 nr. 7 defineres et samtykke som "en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv". Dette innebærer at en ansatt ikke kan presses til å samtykke, at samtykket bør komme til uttrykk skriftlig eller på en annen klar måte og at man før samtykket bør være gjort kjent med konsekvensene og rekkevidden av samtykket. Dersom samtykket lider av noen mangler her, vil det være ugyldig som hjemmelsgrunnlag.

Datatilsynet har uttalt at samtykke ofte kan få et spesielt preg i arbeidsforhold, i og med at styrkeforholdet mellom partene ofte er noe skjevt i utgangspunktet. En ansatt vil ofte vegre seg mot å nekte å gi samtykke, da den enkelte ofte vil være redd for negative konsekvenser av dette. Den ansatte kan føle seg direkte/indirekte presset til å akseptere måling/offentliggjøring, f.eks. i frykt for manglende lønnsutvikling, endring av arbeidsoppgaver etc.

Datatilsynet har derfor uttalt at avtaler mellom ledelsen og de tillitsvalgte om målesystemer i mange sammenhenger vil kunne fremstå som en bedre løsning enn å bygge på samtykker, og at en slik avtale vil kunne bli et avgjørende argument for om behandlingen er "nødvendig" etter interesseavveiningen i pol. § 8 bokstav f).

Sekretariatets ansatte sitter på kunnskap om hva slike avtaler bør inneholde, og vi oppfordrer tillitsvalgte til å ta kontakt dersom man har spørsmål i forkant av avtaleforhandlinger med ledelsen om nye / endrede målesystemer.

Er telefonovervåking av ansatte lovlig?

Telefonovervåking innebærer et stort kontroll- og overvåkingspotensial, og krever i utgangspunktet samtykke fra den enkelte. Telefonovervåking som skjer uten varsel eller avtale er ulovlig. Overvåking i opplæringssituasjoner (medlytting) der den ansatte varsles om tiltaket vil normalt sett være legitimt og beskyttelsesverdig. Tredjemann bør normalt varsles om at medlytting foregår.

Hvilke regler gjelder for arbeidsgivers innsyn i den ansattes e-post?

I henhold til personopplysningsloven skal det foreligge regler eller instrukser for bruk av datasystemet på arbeidsplassen. Disse skal si noe om i hvilken grad det er lov å bruke systemet til private formål.

I tillegg må reglene eller retningslinjene si noe om i hvilke situasjoner de ansatte må forvente at arbeidsgiveren kan kikke i e-postkassen eller på filer som ligger på den enkeltes område på datamaskinen. Denne informasjonen skal inngå i virksomhetens internkontrollsystem. Det er viktig at de ansatte gjennom informasjon blir gjort godt kjent med retningslinjene slik at de kan innrette seg etter dem.

Arbeidsgiveren vil som hovedregel ikke ha noen saklig begrunnelse for innsyn i åpenbart private opplysninger i e-post og filer. Han har i utgangspunktet heller ikke rett til å be om samtykke til slikt innsyn.

Det største problemet er imidlertid som oftest å avgjøre om en e-post eller en fil er privat eller virksomhetsrelatert. For å avgjøre dette må det foretas en konkret helhetsvurdering av om det er mest sannsynlig at e-posten eller filen er privat eller virksomhetsrelatert. Momenter i vurderingen er blant annet om opplysningene er merket med privat eller lignende, hvem som er avsender eller mottaker og hva som står oppført som tittel.

Den ansattes påstand om at opplysningene er private, skal tillegges vekt i vurderingen, men vil ikke nødvendigvis være avgjørende der andre momenter trekker i motsatt retning. Dersom e-posten eller filen er merket som privat i tråd med virksomhetens interne reglement eller instruks, skal også dette tillegges vekt.

Forøvrig vil den konkrete situasjonen ha betydning i forhold til vektleggingen av de forskjellige momentene over.

Dersom det er laget regler eller retningslinjer for hvilke situasjoner arbeidsgiveren kan bruke innsynsretten, og de ansatte er klar over dette, er det i de fleste tilfeller tilstrekkelig for at arbeidsgiveren kan lese virksomhetsrelaterte e-poster og filer.

Finnes ikke slike regler eller retningslinjer må den ansatte gi samtykke.

Selv med regler eller retningslinjer er det viktig at arbeidsgiveren så langt det lar seg gjøre informerer den ansatte på forhånd om at innsyn er ønsket.

Hvis den ansatte er tilgjengelig bør vedkommende få anledning til å være tilstede under åpningen av e-poster og filer. Den ansatte kan da gis anledning til selv å sortere ut hvilke e-poster og filer som er virksomhetsrelaterte og hvilke som er private.

Dersom den ansatte er fraværende er det essensielt at vurderingen av om opplysningene er private foretas før e-posten eller filen åpnes. Dersom den fremstår som privat, skal den ikke åpnes.

Noen ganger kan det likevel skje at arbeidsgiver vurderer feil og ved et uhell åpner noe som viser seg å være privat. Da skal filen snarest lukkes.

Er en ansatt fraværende bør alltid en representant for den ansatte være tilstede ved åpningen av dennes e-post. Dessuten bør den ansatte i ettertid gis informasjon om hva det ble søkt innsyn i.

Kan arbeidsgiver logge bruk av internett?

Arbeidsgiver kan logge alle internettmeldinger som ledd i å oppklare sikkerhetsbrudd og å administrere bruken av internettet. Disse opplysningene skal kun benyttes i sikkerhetsøyemed. I forskrift til personopplysningsloven hjemles det en lagringstid på tre måneder.

Dersom arbeidsgiver ønsker å benytte internettlogg til andre formål, innebærer dette et overvåkingsmiddel som utløser samtykkekrav før behandling kan iverksettes.

Finnes det regler for internkontroll?

Personopplysningslovens §§ 13 og 14 samt forskriftens kapittel 2 og 3 regulerer dette. Alle bedrifter skal ha et internkontrollsystem for behandling av personopplysninger og et etablert informasjonssikkerhetssystem. Dette skulle vært etablert per 01.01.03. Vi anbefaler alle medlemmer å sjekke at dette systemet virkelig finnes, før en eventuell samtykke-erklæring signeres.

Kan arbeidsgiver kreve helseopplysninger om meg?

Dette reguleres nå av aml. § 9-3. Her heter det at arbeidsgiver verken i utlysningen etter nye arbeidstakere eller på annen måte kan be om at søkerne skal gi andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen.

Kravet til ”nødvendighet” skal knyttes til de oppgaver som gjelder for stillingen, og kun de strengt saklige formål skal ivaretas. I forarbeidene til bestemmelsen er det imidlertid sagt at arbeidsgiver ikke bare må kunne spørre om arbeidssøker er i stand til å greie fysiske oppgaver som stillingen innebærer.

Arbeidsgiver må for eksempel også kunne stille spørsmål om forhold som vil kunne ha betydning for å tilpasse arbeidsmiljøet og lignende, herunder om arbeidstaker lider av en sykdom som er uforenelig med den aktuelle stilling. Det vil imidlertid ikke være tillatt å stille generelle spørsmål om risiko for fremtidige sykdommer eller helseproblemer.

Nødvendige helseopplysninger som innhentes på denne måten vil være sensitive personopplysninger i henhold til pol. § 2 nr. 8. Det vil dermed gjelde særskilt strenge krav til innsyn og lagring av denne typen informasjon i den enkelte bedrift.

Kan arbeidsgiveren kontrollere når jeg kommer og går fra jobb?

Arbeidsgiveren kan kreve at de ansatte registrerer seg automatisk når de kommer på jobb om morgenen og når de går om ettermiddagen. Det kan også kreves at de registrerer seg ut på forskjellige koder dersom de forlater arbeidsplassen i avtalt arbeidstid, for eksempel for å gå til eksterne møter, tannlegen eller lignende.

Dette følger av arbeidsgivers styringsrett og arbeidsavtalen der de ansatte stiller sin tid til arbeidsgiverens disposisjon mot betaling.

Det er en forutsetning for all tidsregistrering at den ansatte gis god informasjon om registreringen og formålet med denne, og at opplysningene ikke benyttes til formål som er uforenelig med tidsregistreringen uten den ansattes samtykke.

Mange bedrifter benytter samme system for tidsregistrering og adgangskontroll. Dersom arbeidsgiveren har en teknisk løsning som gjør at opplysningene holdes fra hverandre, er dette greit. Da tidsregistrering og adgangskontroll anses å være uforenelige formål, må imidlertid ikke opplysningene kobles sammen uten samtykke fra de ansatte.

De ansatte skal alltid ha informasjon om hvordan opplysningene brukes. Dersom man er i tvil om den løsningen arbeidsgiveren ønsker å benytte er lovlig, bør enten den tillitsvalgte, rådgivere ved Finansforbundets sekretariat eller Datatilsynets svartjeneste kontaktes.

Hvor finner jeg mer informasjon om personvernrettslige tema?

Datatilsynet har oversiktelige og informative nettsider, se www.datatilsynet.no. Under temabolken ”Arbeidsliv” finnes det mange undertema, som gir svar på veldig mange spørsmål knyttet til personvern på arbeidsplassen.