Hvilke regler gjelder for overvåking av ansatte?
En grunnleggende forutsetning er nemlig at alle arbeidstakere har rett til personvern når de er på jobb. Det gjelder både hjemme og i virksomhetens lokaler. Det er derfor ikke fritt fram for sjefen å ta i bruk kontrolltiltak som overvåker de ansatte, poengterer tilsynet.
Arbeidsgivers styringsrett innebærer likevel at virksomhetene i noen tilfeller har lov til å iverksette kontroll – for eksempel for å verne virksomheten mot uønskede eller ulovlige handlinger, så lenge de holder seg til loven.
Mest utbredt er ulike former for elektroniskovervåking som kontroll av e-post, besøk av nettsider eller telefonbruk. Mange arbeidstakere bruker dessuten PC og mobiltelefon som arbeidsgiveren har stilt til deres disposisjon, til private gjøremål.
Hjemmekontor
Verktøy som overvåker arbeidstakere på hjemmekontor, vil være særlig inngripende fordi hjemmet er i kjernen av retten til privatliv, understreker Datatilsynet.
Overvåkingsverktøy, som for eksempel gjør lydopptak eller filmer arbeidstakere for å kontrollere arbeidsinnsatsen deres når de er hjemme, vil også fange opp det som er en privat sfære. Dette kan være utfordrende med tanke på reglene i personvernforordningen.
Arbeidsrett og personvern
Arbeidsgiverens adgang til å innføre kontrolltiltak, er et arbeidsrettslig spørsmål som først og fremst reguleres av arbeidsmiljølovens kapittel 9 (AML).
Arbeidsgiverens adgang til å behandle personopplysningene, som hentes inn gjennom kontrolltiltaket, er derimot et personvernrettslig spørsmål. Det reguleres først og fremst av personopplysningsloven og personvernforordningen. Det gjelder blant annet innsamling, lagring og videreformidling av opplysninger.
«Arbeidsgivere kan, som den klare hovedregelen, ikke bruke samtykke som et rettslig grunnlag for å innføre kontrolltiltak som innebærer å overvåke ansatte.»
Dersom det innføres et kontrolltiltak, vil det i de aller fleste tilfeller også innebære én eller annen form for behandling av personopplysninger. Dermed vil bestemmelsene i arbeidsmiljøloven og personopplysningsloven gjelde parallelt, poengterer tilsynet.
Rettslig grunnlag
Jo mer inngripende en behandling av personopplysninger er, desto vanskeligere er det for arbeidsgiveren å finne et rettslig grunnlag for behandlingen. Arbeidsgivere må alltid ha et rettslig grunnlag for behandling av personopplysninger før behandlingen starter.
Arbeidsgivere kan, som den klare hovedregelen, ikke bruke samtykke som et rettslig grunnlag for å innføre kontrolltiltak som innebærer å overvåke ansatte. Det er på grunn av det ujevne maktforholdet mellom arbeidsgiveren og de ansatte, og at de derfor kan føle seg presset til å samtykke, forklarer Datatilsynet. Ifølge personvernforordningen er frivillighet en grunnleggende forutsetning for et gyldig samtykke.
Arbeidsgiverens plikter
Når en arbeidsgiver innfører kontrolltiltak, vil virksomheten som hovedregel være behandlingsansvarlig for personopplysningene som samles inn gjennom tiltaket. Det er den behandlingsansvarlige som skal sørge for at reglene i personvernforordningen overholdes.
Personvernforordningen inneholder noen grunnleggende prinsipper for behandling av personopplysninger. Disse må arbeidsgiveren som behandlingsansvarlig oppfylle når det skal innføres kontrolltiltak. Prinsippene regulerer også hva arbeidsgiveren kan bruke personopplysningene til.
Nedenfor fremhever Datatilsynet noen av de mest sentrale prinsippene i forbindelse med kontrolltiltak.
- Lovlighetsprinsippet og åpenhetsprinsippet innebærer at arbeidsgiveren aldri kan behandle personopplysninger uten rettslig grunnlag, og at arbeidsgiveren skal behandle personopplysninger på en åpen måte overfor de registrerte. Arbeidsgiveren har plikt til å gi arbeidstakeren informasjon om hvordan personopplysningene deres behandles, og informasjonen skal gis før tiltaket settes i gang.
- Prinsippet om dataminimering setter grenser for hvilke opplysninger arbeidsgiveren kan samle inn om de ansatte. Ifølge dette prinsippet skal arbeidsgiveren aldri samle inn mer personopplysninger enn det som er nødvendig for å oppnå formålet med en behandling. Arbeidsgiveren må også begrense innsamlingen til de opplysningene som er egnede og relevante for å oppnå formålet.
- Prinsippet om formålsbegrensing innebærer at all behandling av personopplysninger skal ha spesifikke og uttrykkelige angitte formål. Disse skal være angitt før behandlingen starter. Grunnen til at formålene skal være spesifikke, er blant annet at arbeidstakerne skal være beskyttet mot formålsutglidning – altså at opplysninger behandles videre av arbeidsgiveren på en måte som er uforenlig med de opprinnelige formålene.
Dersom arbeidsgiveren innfører tiltak der formålet er å ivareta informasjonssikkerheten i virksomheten eller registrere arbeidstid, vil altså formålet med tiltakene sette begrensinger for hva arbeidsgiveren kan bruke personopplysningene til. I vurderingen av hva som er forenlige formål skal blant annet arbeidstakernes forventinger veie tungt. De ansatte vil for eksempel sjeldent ha en forventning om at et dataprogram for registrering av arbeidstid også vil brukes til å kontrollere hvor effektive de er på jobb, forklarer tilsynet.
Kravet til innebygd personvern og personvern som standardinnstilling er også sentralt når en arbeidsgiver skal innføre kontrolltiltak. Kravet til innebygd personvern innebærer blant annet at arbeidsgiveren må iverksette tilstrekkelige tekniske og organisatoriske tiltak, samt gi nødvendige garantier i behandlingen av personopplysninger for å sikre at personvernprinsippene og de registrertes rettigheter og friheter ivaretas på en effektiv måte.
Arbeidstakernes rettigheter
Personvernforordningen gir arbeidstakerne flere rettigheter når arbeidsgiveren behandler personopplysningene deres.
De har blant annet:
- rett til informasjon om hvordan og hvorfor arbeidsgiveren behandler opplysningene deres.
- rett til innsyn i egne opplysninger.
- og i flere tilfeller rett til å protestere på at arbeidsgiveren behandler personopplysningene deres.
Arbeidsgiveren har også plikt til å legge til rette for at arbeidstakerne kan utøve rettighetene etter personvernregelverket.
Kilde: Datatilsynet