Nye retningslinjer og anbefalinger for personvern på arbeidsplassen
Datatilsynet har nylig kommet med både oppdaterte retningslinjer for varsling og en interessant rapport om overvåking og kontroll av ansattes digitale aktiviteter. Begge disse nye initiativene angår personvern på arbeidsplassen og er relevante for alle virksomheter.
Lesetid 4 minutter
Mens Datatilsynets retningslinjer om varsling fokuserer på rettigheter til informasjon og innsyn, spesielt med hensyn til varslerens identitet, vektlegger rapporten om overvåkning og kontroll av ansattes digitale aktiviteter, blant annet at lovligheten av tiltak må vurderes før de innføres. Tilsynet fremhever bl.a. også at virksomheter ikke kan anta at programvaren er utformet for å oppfylle kravene etter norsk rett.
Denne artikkelen gir en oversikt over de viktigste problemstillingene som Datatilsynet har fremhevet i disse to nye publiseringene og som virksomhetene må være oppmerksom på.
Retningslinjer for varsling og personvern
Retningslinjene for varsling er ment å gi virksomhetene støtte og veiledning i sitt arbeid med håndtering av varslinger.
"Varsling" er når en ansatt sier ifra om kritikkverdige forhold på arbeidsplassen. I henhold til arbeidsmiljøloven er kritikkverdige forhold slikt som er i strid med rettsregler, virksomhetens skriftlige etiske retningslinjer eller etiske normer som har bred tilslutning i samfunnet. Slike situasjoner kan for eksempel oppstå der det er: (a) fare for liv eller helse; (b) fare for klima eller miljø; (c) korrupsjon eller annen økonomisk kriminalitet; (d) myndighetsmisbruk; (e) uforsvarlig arbeidsmiljø; eller (f) brudd på personlopplysningssikkerheten.
Det er uunngåelig at varslingssaker involverer personopplysninger, og både varsleren og personen nevnt i meldingen har rettigheter i henhold til personvernlovgivningen. Datatilsynets oppdaterte retningslinjer fokuserer på rettigheter til informasjon og innsyn, spesielt med hensyn til varslerens identitet.
Arbeidsgivere og arbeidstakere er ofte usikre og uenige i hvor langt slike rettigheter strekker seg, og i hvilken grad arbeidsgiveren kan fritas fra plikten til å informere og gi innsyn.
Arbeidsgiver plikter i utgangspunktet å informere både varsleren og den som er nevnt i meldingen. Et viktig spørsmål er om personen som er nevnt i meldingen har rett til informasjon om varslerens identitet. I henhold til artikkel 14/2(f) i personvernforordningen, inkluderer informasjonsplikten informasjon om "hvilken kilde personopplysningene kommer fra". Dette kan tyde på at arbeidsgiver har plikt til å informere den som er nevnt i varslingen om identiteten til varsleren.
Datatilsynet understreker imidlertid at rettighetene til informasjon og innsyn ikke er absolutte, og at det finnes unntak i personopplysningsloven og personvernforordningen. Hvorvidt en arbeidsgiver kan holde tilbake informasjon om varslerens identitet, avhenger derfor av om arbeidsgiveren kan benytte seg av noen av disse unntakene.
Arbeidsgiveren må begrunne ethvert slikt unntak. Unntakene i personopplysningsloven innebærer skjønnsmessige vurderinger som arbeidsgiveren må foreta i hvert enkelt tilfelle som oppstår. Datatilsynet opplyser i sin rettledning at det på grunn av forskjellene som kan oppstå i hvert enkelte tilfelle, ikke er mulig å fastsette en generell regel om at arbeidsgiveren kan fritas fra å gi informasjon eller innsyn. Ett unntak fra plikten til å gi informasjon og plikten til å gi innsyn som nevnes i personopplysningsloven, er dersom diskresjon kreves for forebygging, etterforskning, offentliggjøring og straffeforfølgelse av straffbare forhold.
Oppsummert betyr dette at bedrifter bør gå gjennom sine varslingsrutiner, inkludert prosedyrer knyttet til granskning der dette er aktuelt. De må sikre at de har klare rutiner og at de er klar over sine forpliktelser overfor varsleren og den det varsles om etter gjeldende personvernlovgivning, herunder at unntak fra informasjon og innsyn må vurderes og dokumenteres.
Veiledning om overvåking og kontroll av ansattes digitale aktiviteter
Datatilsynet publiserte videre nylig en rapport om ansattes erfaringer med digital overvåking og kontroll under spørsmålet om "sjefen ser deg?".
Arbeidsgivere har i dag mulighet til å samle inn store mengder data om sine ansattes digitale aktivitet. Populære tjenester fra teknologiselskaper som Google, Microsoft og Zoom har innebygde funksjoner som gir arbeidsgivere muligheten til å overvåke ansattes digitale aktivitet. Tiltakene som kan brukes inkluderer GPS-sporing, installering av programvare på mobile enheter, kontroll av tilstedeværelse gjennom pålogginger og gjennomgang av aktivitetslogg.
Datatilsynet understreker at utgangspunktet må være at alle ansatte har rett til personvern også i jobbsammenheng, noe som betyr at arbeidsgivere ikke står fritt til å innføre tiltak for å overvåke medarbeiderne. Tilsynet understreker likevel at arbeidsgiverne kan ha rett til å overvåke ansatte for å beskytte virksomheten mot uønskede eller ulovlige handlinger.
I lys av det foregående gir Datatilsynet følgende anbefalinger til arbeidsgivere:
- Undersøk lovligheten av tiltak før de introduseres;
- Unngå å bruke ansattes samtykke som juridisk grunnlag for bruk av slike tiltak: Ansatte kan føle seg presset til å godta slike tiltak, men samtykke må gis fritt;
- Husk at skjult overvåkning av ansatte er ulovlig. Ansatte har rett til å bli informert om hvordan deres personopplysninger behandles;
- Ikke gå ut fra at programvaren er utformet for å oppfylle kravene i norsk rett: Arbeidsgiver må foreta en uavhengig vurdering av om programvarefunksjonalitetene og verktøyene som registrerer den ansattes digitale aktiviteter er i tråd med norsk rett.
- Husk plikten til å bruke løsninger som respekterer innebygd personvern og personvern som standard;
- Diskuter de foreslåtte løsningene med personvernombudet hvis det er utnevnt, og med tillitsvalgte;
- Kontakt Datatilsynet eller Arbeidstilsynet for mer informasjon.
Virksomheter må vurdere hvilke tiltak de har på plass som faller eller kan falle inn under Datatilsynets rettledning. I den forbindelse er det viktig å være klar over at konseptet med kontrolltiltak er svært bredt og ikke begrenset til tiltak med kontrollformål som sådan. Virksomheter må studere Tilsynets anbefalinger og sørge for at deres prosedyrer er i samsvar med personopplysningsloven, personvernforordningen og gjeldende krav etter arbeidsmiljøloven med tilhørende forskrifter.
Wikborg Rein har omfattende erfaring og ekspertise innen personvern og personvern på arbeidsplassen. Kontakt gjerne våre eksperter for hjelp til de nye retningslinjene og anbefalingene eller for andre spørsmål om personvern i arbeidslivet.