Hvordan kan du som tillitsvalgt ivareta de ansattes personvern?

Vær kritisk, delta i drøftinger og sørg for gode rutiner når bedriften innfører sikkerhetssystemer som kan påvirke de ansattes personvern.

«Gode sikkerhetssystemer som skal beskytte virksomheten må ikke gå på bekostning av ansattes personvern»

Maria Østli og Ida Flaatten, advokater i Finansforbundet

I dagens arbeidsliv er datasikkerhet viktig. God datasikkerhet bidrar til å beskytte bedriften mot cyberangrep, interne trusler og menneskelige feil. Alt dette kan resultere i datalekkasjer.

Samtidig kan sikkerhetsprogrammer gi arbeidsgiver store mengder data om ansatte. Gode sikkerhetssystemer som skal beskytte virksomheten må ikke gå på bekostning av ansattes personvern. Vi oppfordrer tillitsvalgte til å kritisk vurdere nye sikkerhetssystemer og påvirkningen på ansattes personvern.

Delta i drøftinger

Når bedriften innfører tiltak med betydning for ansattes arbeidsforhold, så skal dette i utgangspunktet drøftes med tillitsvalgte (arbeidsmiljøloven kap. 8 og 9 og Hovedavtalen § 9-8 første ledd). Dette gjelder også for datasikkerhetsprogrammer.

Vårt inntrykk er at mange tillitsvalgte ikke har fått tilstrekkelig oversikt og innføring i hvilke sikkerhetssystemer virksomheten har, og at systemene ofte innføres uten drøfting med tillitsvalgte. Dette er problematisk, av særlig to grunner:

  1. Teknologien gjør det mulig å totalregistrere og overvåke ansattes arbeidshverdag, deriblant tidsbruk og handlingsmønstre.
  2. Arbeidsgiver kan senere ønske å bruke innsamlet data til andre formål, som måling av resultater eller oppsigelsessaker.

Be om oversikt, krev involvering og protokollfør innvendinger

Avansert teknologi er vanskelig å forstå omfang og rekkevidden av. Vi oppfordrer tillitsvalgte til å være proaktive, be om oversikt over sikkerhetssystemene som allerede er i bruk, kreve involvering i implementeringen av nye systemer, stille kritiske spørsmål og protokollføre kommentarer og innvendinger.

For sikkerhetssystemer er det spesielt viktig med tilgangsstyring, altså å tydelig definere hvem som har saklig behov for innsyn i dataene. Dette bør være forbeholdt en begrenset gruppe, typisk enkeltpersoner i IT og sikkerhetsavdelingen. Det er også viktig å begrense bruken av overskuddsinformasjon, slik at opplysninger om ansatte ikke brukes til andre formål enn det de er innhentet for.

E-postforskriften

Denne må du vite om: Innsyn i e-post og annet elektronisk materiale er regulert i e-postforskriften (lovdata.no):

  • Innsyn krever en særskilt begrunnelse og det er prosedyreregler som må følges. Arbeidsgiver har bare rett til innsyn der dette er nødvendig av hensyn til daglig drift eller andre berettigede interesser. Innsyn kan videre foretas ved begrunnet mistanke om grovt brudd på arbeidsforholdet.
  • Arbeidsgiver har ikke rett til å overvåke ansattes bruk av elektronisk utstyr, med mindre formålet er å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket.
  • Arbeidstaker skal som hovedregel varsles før innsyn gjennomføres. Arbeidstaker skal så langt mulig ha anledning til å være til stede under innsynet, og har rett på bistand fra tillitsvalgt.

Sikre gode rutiner

Både for virksomheten, tillitsvalgte og ansatte er det viktig å ha gode rutiner og retningslinjer for når og hvordan arbeidsgiver kan foreta innsyn i ansattes datanettverk. Dette vil gi ansatte informasjon om behandling av personopplysninger om seg selv, og samtidig sikre en god prosedyre og overholdelse av regelverket.

Spørsmål

Advokat

Ida Flaatten

Advokat

Advokat

Maria Østli (permisjon)

Advokat

Var dette nyttig?