Logo og hjelpeverktøy

Hovedmeny

Overvåking av ansattes bruk av elektronisk utstyr

Overvåking av ansattes bruk av elektronisk utstyr

Digitale arbeidsverktøy kan registrere store mengder opplysninger om arbeidstakerne. Overvåking av arbeidstakeres elektroniske utstyr er derfor i utgangspunktet ulovlig. Denne veiledningen går gjennom når forbudet gjelder og hvilke unntak som finnes.

Sist endret: 22.08.2023

Innledning

For arbeidstakere kan det være utfordrende å vite hvilke opplysninger som blir samlet inn, hva som lagres og hvordan opplysningene blir brukt. Arbeidsgivere kan også bruke muligheten som ligger i disse verktøyene til å følge med på de ansatte.

I Norge har vi en egen forskrift som gjelder for arbeidsgivers innsyn i ansattes e-postkasse og annet elektronisk lagret materiale (epostforskriften). 

Forskriften inneholder blant annet vilkår for når arbeidsgiveren har lov til å gjøre enkeltstående innsyn. Disse vilkårene står i forskriften § 2 første ledd og vi har laget en egen artikkel som går gjennom dette.

Det mindre kjente forbudet mot overvåking finner vi litt bortgjemt i denne bestemmelsens andre ledd.

E-postforskriften § 2, andre avsnitt

"Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, med mindre formålet med overvåkingen er

a. å administrere virksomhetens datanettverk eller

b. å avdekke eller oppklare sikkerhetsbrudd i nettverket."

Bestemmelsen inneholder altså et forbud mot overvåking, og to sentrale unntak.

I denne veiledningen vil vi ta for oss når forbudet mot overvåking gjelder og hvilke unntak som finnes.

Sist endret: 14.08.2024

Når gjelder forbudet?

E-postforskriften gjelder både for nåværende og tidligere arbeidstakere. Hvem som er arbeidstakere og arbeidsgivere er definert i arbeidsmiljøloven § 1-8.

Arbeidsmiljøloven § 1-8. Arbeidstaker og arbeidsgiver 

"Med arbeidstaker menes i denne lov enhver som utfører arbeid for og underordnet en annen. Ved avgjørelsen skal det blant annet legges vekt på om vedkommende løpende stiller sin personlige arbeidskraft til disposisjon, og om vedkommende er underordnet gjennom styring, ledelse og kontroll. Det skal legges til grunn at det foreligger et arbeidstakerforhold med mindre oppdragsgiver gjør det overveiende sannsynlig at det foreligger et selvstendig oppdragsforhold.

Med arbeidsgiver menes i denne lov enhver som har ansatt en arbeidstaker som nevnt i første ledd. Det som i denne lov er bestemt om arbeidsgiver, skal gjelde tilsvarende for den som i arbeidsgivers sted leder virksomheten."

Overvåking av oppdragstakere eller kunder, er ikke omfattet av dette regelverket, og blir regulert av personopplysningsloven med personvernforordningen.

Det er bare i to tilfeller det vil kunne være lovlig å overvåke de ansattes bruk av elektronisk utstyr. I alle andre tilfeller vil det være ulovlig overvåking. Før vi går nærmere inn på disse to tilfellene, vil vi se på hva som er omfattet av forbudet.

E-postforskriften § 2, andre avsnitt

"Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, med mindre formålet med overvåkingen er

a. å administrere virksomhetens datanettverk eller

b. å avdekke eller oppklare sikkerhetsbrudd i nettverket."

(våre uthevinger)

Forbudet består av tre deler:

  1. Tiltaket dreier seg om overvåking,
  2. Overvåkingen retter seg mot arbeidstakeres bruk av elektronisk utstyr
  3. Arbeidsgiver har tilgang til opplysningene.

Dersom et tiltak innebærer alle disse tre delene, er hovedregelen at tiltaket er forbudt.

Når vi bruker ordet "tiltak" i denne sammenhengen, mener vi alt en arbeidsgiver gjør som kan innebære overvåking. Dermed kan overvåkingen både foregå manuelt og automatisk. Vi går igjennom de tre punktene under.

Selv om tiltaket i utgangspunktet er forbudt, kan det likevel være lovlig hvis et av unntakene i neste kapittel er oppfylt. 

Rettskilder

Det er få rettskilder som belyser hvordan denne bestemmelsen skal forstås. Uttalelser fra lovgiveren i forbindelse med innføring og endringer av forbudet, er nyttige for å forstå hvilke tiltak og teknologier som lovgiveren har ment å forby:

1. Tiltaket dreier seg om "overvåking"

Hva som ligger i "overvåke" er ikke definert i forskriften. Siden begrepet er så skjønnsmessig og ladet, er det utfordrende å gi klar veiledning. Ut fra forarbeidene, vanlig språkbruk, praksis og juridisk teori, vil vi derfor her gi en retning for hva vi som tilsynsmyndighet legger i å overvåke arbeidstakeres bruk av elektronisk utstyr.

En vanlig språklig forståelse av overvåking, innebærer at arbeidsgiveren samler inn informasjon om ansatte for å kartlegge atferd eller holdninger. 

Bestemmelsen omfatter slik vi ser det både den innledende kartleggingen av bruken av elektronisk utstyr, og gjennomgangen av personopplysningene i ettertid. Dette betyr at også det å samle inn personopplysninger, for eksempel gjennom logging, er omfattet, selv om arbeidsgiveren ikke nødvendigvis går gjennom opplysningene.

Eksempel

Logging av aktivitet for sikkerhetsformål, er tiltak som samtidig gir arbeidsgiveren mulighet til å følge med på hva den ansatte gjør. Tiltaket regnes derfor som overvåking, som i utgangspunktet er forbudt.

Logging for å ivareta informasjonssikkerheten vil imidlertid ofte kunne være et lovlig tiltak, på grunn av unntaket for sikkerhetsformål (se senere i veiledningen).

Over en viss terskel

En teoretisk mulighet for at opplysningene kan brukes til å kontrollere de ansatte, er ikke tilstrekkelig for å kalle det overvåking. Tiltaket må være over en viss terskel.

Tiltak som ikke regnes som overvåking

Eksempel 1

En vanlig funksjon i samhandlingsverktøy er en indikator (for eksempel farge eller ikon) som viser om arbeidstakeren er pålogget, borte eller frakoblet.

I utgangspunktet er dette ikke overvåking. Dersom arbeidsgiveren aktivt går inn for å registrere den ansattes tilstedeværelse for å kontrollere vedkommende, kan det  imidlertid utgjøre overvåking.

Eksempel 2

En arbeidstaker trenger brukerstøtte og samtykker til å gi IT-personellet tilgang til skjermen. Selv om IT-personellet da kan se alt arbeidstakeren har på skjermen, ligger det under terskelen for overvåking. Årsaken er at det er arbeidstakeren som tar initiativet og blir enig med IT-personellet om når tilgangen skal skje. Altså skjer dette ved behov og ikke som en kontinuerlig aktivitet.

Vi nevner også at brukerstøtte uansett kunne vært lovlig på grunn av unntaket om å administrere virksomhetens datanettverk.

Når hovedformålet er å kontrollere arbeidstakerne

Tiltakene som har som hovedformål å kontrollere arbeidstakerne, er åpenbart lettest å kategorisere som overvåking. Det kommer for eksempel mye programvare fra land med en annen personvernlovgivning enn vår – programvare som er spesialutviklet for å samle inn, analysere og tilgjengeliggjøre data om den enkelte ansatte. Slik programvare kalles også for sjefsvare ("bossware"), og kunstig intelligens er et viktig element.
Les mer i Fafo-rapporten Digitalisering, personvern og tillitsvalgtes medvirkning 2023:12)

Sjefsvare kan måle arbeidstakernes følelser, tanker og meninger gjennom:

  • opptak fra webkamera
  • automatisk gjennomgang av meldinger i interne chattekanaler

Sjefsvare kan måle arbeidsutførelse gjennom:

  • antallet tastetrykk på datamaskinen i løpet av en bestemt tidsperiode
  • hvilke applikasjoner som er benyttet
  • bruk av sosiale media i arbeidstiden

De ansattes opplevelse av tiltaket

For tiltak som ikke har overvåking som hovedformål, er de ansattes opplevelse av å være overvåket et viktig moment i vurderingen av om tiltaket kan kalles overvåking.

Eksempel på tiltak som regnes som overvåking

En veiledningssak Datatilsynet hadde med LO og Abelia, gjaldt en virksomhet som arbeidet med kundeservice, og som gjorde skjermopptak av arbeidstakernes pc. Formålene med skjermopptakene var kompetanseheving og opplæring. Opptak ble bare gjort i 2,5 prosent av tiden, men de ansatte ble varslet om mulig opptak i 25 prosent av tiden.

I veiledningen la vi vekt på at det ikke var mulig for de ansatte å vite hvilke tidspunkt opptakene faktisk skjedde i. Vi la dessuten vekt på at den varslede tiden på 25 prosent utgjorde en betydelig del av arbeidsdagen. Siden tiltaket var utformet på en måte som kunne gi de ansatte en følelse av å være overvåket, mente vi at tiltaket ikke var i samsvar med e-postforskriften.

Tiltaket må ha en viss varighet

For at tiltaket skal defineres som overvåking, må det dessuten ha en viss varighet eller det må skje gjentatte ganger. Enkeltstående innsyn i e-post, vil derfor ikke defineres som overvåking. Dersom arbeidsgiveren gjør hyppige nok innsyn, kan det gli over i overvåking.

Eksempel på tiltak som regnes som overvåking

Automatisk videresending av e-post regnes som overvåking av elektronisk utstyr, fordi det er kontinuerlig. Formålet med videresendingen er ofte å ivareta kundeforhold når arbeidstakere er fraværende.

Det er viktig for arbeidsgivere å være klar over at kundeforhold ikke er ett av unntakene som gjør automatisk videresending lovlig. Kundeforhold kan derimot forsvare enkeltstående innsyn-

Les mer om dette i artikkelen om arbeidsgiverens innsyn i epost og filer.

2.  Tiltaket gjelder arbeidstakernes "bruk av elektronisk utstyr"

Forbudet er knyttet til "bruk av elektronisk utstyr, herunder bruk av internett". Dette henger sammen med e-postforskriftens virkeområde.

E-postforskriften § 1. Virkeområde

"Forskriften her gjelder arbeidsgivers rett til innsyn i opplysninger lagret i

  1. e-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet
  2. arbeidstakers personlige områder i virksomhetens datanettverk eller annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet.

Bestemmelsene gjelder tilsvarende for innsyn i opplysninger som er slettet fra områder som nevnt i første ledd som finnes på sikkerhetskopier eller tilsvarende."

Forbudet skal beskytte opplysninger om arbeidstakerne som kan hentes fra

  • elektronisk utstyr som arbeidstakeren har fått fra arbeidsgiveren for å bruke i arbeidet
  • måten arbeidstakeren bruker dette elektroniske utstyret på

Elektronisk utstyr kan for eksempel være:

  • Datamaskiner
  • Nettbrett
  • Mobiltelefoner
  • Printere

Bruk av denne typen utstyr gir arbeidsgiver mulighet til å overvåke for eksempel:

  • e-post
  • chattekanaler, som Zoom og Teams
  • hvilke internettsider arbeidstakeren besøker
  • hvor mye og ofte arbeidstakeren skriver ut

Tiltak vi ikke regner som overvåking av arbeidstakeres bruk av elektronisk utstyr

Når arbeidsgivere følger med på hva arbeidstakerne gjør, uten at det er knyttet direkte til hvordan arbeidstakerne bruker elektronisk utstyr, er vi utenfor forskriften.

Eksempler 

Sitteplassregistrering
Noen arbeidsgivere ønsker å registrere hvor stor del av dagen de ansatte bruker på kontorplassen som er dedikert til dem. Et slikt tiltak måler ikke hvordan de ansatte bruker elektronisk utstyr og omfattes ikke av forbudet.

Adgangskontroll
For å komme inn i kontorbygg, er det som regel nødvendig å vise et adgangskort, kanskje med kode. Den som driver bygget vil da få vite hvem som er i bygget til enhver tid, hver dag. Adgangskontrollen måler ikke hvordan arbeidstakeren bruker elektronisk utstyr, og forbudet gjelder ikke for adgangskontroll.

GPS-overvåking av kjøretøy
Mange arbeidsgivere har GPS og sporing av yrkesbiler. Disse verktøyene kan samle inn opplysninger både om selve kjøretøyet og om den enkelte ansatte som kjører bilen. Sporingen er først og fremst knyttet til hvordan arbeidstakeren bruker bilen, ikke hvordan han eller hun bruker GPS-verktøyet. Det er derfor bare de vanlige reglene i personvernforordningen gjelder for GPS-overvåking. Du kan lese mer om dette i en egen veiledning om GPS og sporing av yrkesbiler.

Lydopptak
Selv om mobiltelefon også er elektronisk utstyr, har vi vurdert lydopptak til å falle utenfor overvåkingsforbudet. Arbeidsgiveren må likevel ha et rettslig grunnlag etter personvernforordningen for å gjøre lydopptak. Vi har skrevet om lydopptak i arbeidslivet i en egen veiledning.

3. Arbeidsgiveren har tilgang til personopplysningene

Den tredje delen av forbudet går ut på at arbeidsgiveren må ha tilgang til personopplysningene som behandles gjennom tiltaket. Dersom tiltaket ikke gir arbeidsgiveren informasjon om arbeidstakeren, gjelder ikke overvåkingsforbudet for tiltaket.

Eksempel på situasjoner hvor arbeidsgiveren ikke har tilgang til personopplysningene

Individuelt tilpasset opplæring i sikkerhet
I sandkasseprosjektet Secure Practice vurderte vi hvordan et verktøy som skulle profilere ansatte med formål å gi tilpasset opplæring i informasjonssikkerhet, kunne utformes.

Det var Secure Practice som skulle gi de ansatte opplæring. Anbefalingen fra sandkassa var å hindre at arbeidsgiveren fikk tilgang til opplysningene om hver enkelt ansatt. Virkemidlene som ble anbefalt var:

  • skrive inn i kontrakten at Secure Practice ikke skulle gi opplysninger om enkeltansatte til arbeidsgiveren
  • tekniske tiltak, som for eksempel kryptering

Med disse tiltakene ville ikke arbeidsgiveren få tilgang til opplysninger om hver enkelt ansatts interesse og kunnskap om informasjonssikkerhet. Det var derfor klart at arbeidsgiveren ikke overvåket de ansattes bruk av elektronisk utstyr.

Generativ KI med tilbakemelding bare til den ansatte
En virksomhet tar i bruk generativ KI som er bygd inn i e-postsystemet. En arbeidstaker skriver en e-post til sjefen og får tilbakemelding fra verktøyet om at tonen i e-posten er aggressiv. Verktøyet foreslår andre formuleringer for å gjøre e-posten høfligere.

Vi anbefaler at slike personlige tilbakemeldinger bare går til den ansatte og ikke samtidig til en administrator. Vi anbefaler at det heller ikke registreres statistikk knyttet til den ansatte, som blir gjort tilgjengelig for en administrator eller andre representanter for arbeidsgiveren. Så lenge bare den enkelte arbeidstakeren har tilgang til tilbakemeldingene fra KI-verktøyet, gjelder ikke overvåkingsforbudet.

Fjernsletting av data
En bedrift installerer programvare på arbeidstakernes mobile enheter (mobiltelefon, nettbrett eller pc) som innebærer at arbeidsgiverne kan slette data på enheter som blir mistet eller stjålet. Arbeidstakerne melder fra til arbeidsgiverne dersom de mister enheten. Arbeidsgiver sletter deretter innholdet, uten å få tilgang til innholdet.

Sist endret: 14.08.2024

Unntak fra forbudet

I e-postforskriften er det som nevnt definert to tilfeller der tiltak som innebærer overvåking av ansattes bruk av elektronisk utstyr, vil kunne være lovlig.

De eneste tilfellene der overvåkingen vil være lovlig, er når:

  1. tiltaket skal administrere virksomhetens datanettverk, eller
  2. tiltaket skal avdekke eller oppklare sikkerhetsbrudd i nettverket.

Forskriften er tydelig på at overvåkingen bare er lovlig for disse to formålene. Dersom overvåkingen skjer for andre formål, uansett hvor aktverdige disse er, vil den være ulovlig.

Unntakene er ikke nærmere forklart i lovteksten, og må derfor forstås ut fra ordlyden og formålet med bestemmelsen. Unntakene må dessuten tolkes i lys av personvernforordningen, særlig prinsippene om dataminimering og formålsbegrensning.

Prinsippet om dataminimering innebærer at arbeidsgiveren alltid må vurdere hvilke opplysninger som er egnet og nødvendige for å oppnå et av de to lovlige formålene med overvåkingen. Prinsippet om formålsbegrensning forbyr arbeidsgiverne å bruke opplysningene til nye formål som er uforenelige med det opprinnelige.

Eksempel på dataminimering i tiltak for sikkerhetsformål

En arbeidsgiver bestemmer seg for å logge IP-adresser i stedet for å logge nettsider, fordi IP-adressene gir tilstrekkelig sikkerhetsnivå. På den måten kan arbeidsgiveren se at en arbeidstaker har vært inne på VG, men ikke hvilke nyheter arbeidstakeren har klikket på.  

Logging av IP-adresser gir et generelt bilde av trafikkmønstre i arbeidsgiverens datanettverk. Dette kan gi informasjon om hvilke enheter som kommuniserer med hverandre, men viser nødvendigvis ikke innholdet i kommunikasjonen eller hvilke spesifikke nettsider som er besøkt. Logging av IP-adresser er godt egnet til å overvåke og analysere nettverkssikkerheten, oppdage uvanlig trafikk, eller blokkere tilgang til utvalgte IP-adresser.

Til sammenligning gir logging av nettsider (URL-er) mye mer detaljert informasjon om nettleserhistorikken til en ansatt.

Eksempel på formålsbegrensning i tiltak for sikkerhetsformål

En arbeidsgiver har gjennom logging hentet inn opplysninger om hvilke IP-adresser de ansatte besøker. Formålet er å ivareta informasjonssikkerheten.

Det vil da være i strid med formålsbegrensingsprinsippet å bruke opplysningene som er samlet inn for å måle hvor mye tid en ansatt bruker på sosiale medier eller på nettaviser i løpet av en arbeidsdag.

1. "Å administrere virksomhetens datanettverk"

Det første unntaket gjelder overvåking av de ansattes bruk av elektronisk utstyr for å administrere virksomhetenes datanettverk.

Ut fra en språklig forståelse må vilkåret antas å omfatte alle praktiske og tekniske tiltak som er nødvendige for at systemene, nettverk, utstyr og programvare skal fungere.

Eksempel på tiltak for å administrere virksomhetens datanettverk

En ansatt opplever at søkefunksjonen i et fagsystem plutselig går veldig sakte. For å rette opp i feilen, må en administrator gjennomgå loggene for nettverkstrafikk. Slik kan administratoren identifisere hvor i virksomhetens datanettverk problemet oppstår og hvilke tiltak som kan gjøres.

Loggene for nettverkstrafikk viser båndbreddebruk, trafikkvolum, pakkehastighet og nettverkslatens, som kan identifisere flaskehalser i nettverksinfrastrukturen. Basert på disse opplysningene i loggene vurderer administratoren å sette i gang oppgraderinger, endre konfigurasjonen eller gjøre andre organisatoriske tiltak for å unngå flaskehalser.

2. "Å avdekke eller oppklare sikkerhetsbrudd i nettverket"

Med "sikkerhetsbrudd" forstår vi brudd på informasjonssikkerheten generelt. Det er vanlig å si at det handler om å sikre at informasjon i alle former:

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke blir endret utilsiktet eller av uvedkommende (integritet)
  • er tilgjengelig ved behov (tilgjengelighet)

Informasjonssikkerhet omfatter dermed mer enn personopplysningssikkerhet som er regulert i artikkel 32 til 34 i personvernforordningen.

For å oppnå informasjonssikkerhet, må virksomheten identifisere risikoer informasjonsverdiene er utsatt for, og planlegge og gjennomføre egnede tiltak som skal redusere risikoene til et akseptabelt sikkerhetsnivå for virksomheten.

Les mer om informasjonssikkerhet og personopplysningssikkerhet, slik det er regulert i personvernregelverket.

Begrepene å "avdekke" eller "oppklare" innebærer etter vårt syn verktøy som motvirker sikkerhetsbrudd, og bruk av logger og lignende til etterarbeidet med å oppklare sikkerhetsbrudd.

Nedenfor vil vi beskrive noen praktisk viktige tiltak, hvor arbeidsgivere kan bruke unntaket for å avdekke eller oppklare sikkerhetsbrudd. Andre typer teknologier og tiltak kan også være omfattet av unntaket, så lenge formålet er å avdekke eller oppklare sikkerhetsbrudd.

Screening av e-post

Moderne IT-sikkerhetssystemer er ofte utstyrt med funksjoner for screening av e-post. Dette inkluderer automatisk kontroll av flere elementer i både innkommende og utgående e-poster:

  • Automatisk analyse av lenker og vedlegg for å oppdage potensielle ondsinnede e-poster
    • For eksempel løsepengevirus

  • Screening for typiske kjennetegn brukt i ulike svindelteknikker
    • Screening for typiske kjennetegn brukt i «social engineering» teknikker
    • Screening av e-post domener, e-postheader og e-postinnhold for forsøk på etterligning og svindel. Se direktørsvindel

Disse systemene opererer hovedsakelig automatisk, uten menneskelig inngripen, basert på algoritmer eller fastsatte regelsett. Autorisert personell vil likevel ha mulighet for innsyn i e-poster.

Eksempel

En bedrift benytter seg av et sikkerhetssystem som automatisk skanner all innkommende e-post for å identifisere spam, skadevare, og phishing-forsøk. Enhver e-post som sendes til organisasjonens ansatte, blir gjennomgått av dette systemet, og e-poster som inneholder slike skadelige elementer blir midlertidig isolert i karantene før de når mottakers e-postboks.

Dette systemet vil være tilgjengelig for en eller flere administratorer. Derfor er det viktig å etablere klare retningslinjer for tilgang til og behandling av dataene

Logging

Logging er å holde oversikt over både pågående og tidligere hendelser i virksomhetens systemer. Det innebærer for eksempel at et selskap følger med på inn- og utgående trafikk i nettverket sitt for å avdekke unormal trafikk og potensielle angrep på nettverket.

Eksempler på logging kan være:

  • Brannmur. Her logges trafikken i virksomhetens nettverk. Det vil si alle IP-adresser en arbeidstaker er inne på. Innsyn i denne loggen kan utgjøre overvåking, fordi innsynet gir oversikt over arbeidstakers bruk av elektronisk utstyr over tid.
  • Loggføring av aktivitet/tilgangsstyring. Dette innebærer loggføring av hvem som går inn på tilgangsstyrte mapper i virksomhetens systemer, og når de har vært inne. For eksempel vil det være nødvendig i helsesektoren å overvåke når ansatte har vært inne i journaler.

Les mer om logging på Nasjonal sikkerhetsmyndighet sine nettsider (nsm.no)

Datatapsteknologi/Data loss prevention

Datatapsteknologi er en strategi og et sett med verktøy designet for å hindre at sensitiv eller virksomhetskritisk informasjon lekkes fra nettverket til en virksomhet. 

Slik informasjon kan omfatte personopplysninger, immaterielle verdier, finansielle opplysninger og annen type informasjon som virksomheten regner som sensitiv. Datatapsteknologi fungerer ved å overvåke, oppdage og blokkere overføringen av sensitiv informasjon over ulike kanaler, som e-post, nettverkstrafikk og fysiske enheter, for å sikre at data ikke blir mistet, misbrukt eller stjålet.

Dersom virksomheten har innført et slikt verktøy etter en forutgående risikovurdering, kan forskriften åpne for en slik bruk. En viktig forutsetning er at verktøyet er nødvendig for å oppnå et akseptabelt nivå av risiko for sikkerhetsbrudd.

Mobile Device Management (MDM)

Mobile Device Management beskriver programvare som installeres på arbeidstakernes mobile enheter (mobiltelefon, nettbrett og pc), og som kan gi arbeidsgiveren tilgang til å administrere enhetene, som for eksempel

  • sikkerhetsinnstillinger,
  • utrulling og oppdatering av programvare (for eksempel apper).
Sist endret: 14.08.2024

Sjekkliste for arbeidsgiveren

Vi har laget en kort oppsummering / sjekkliste dere kan gå gjennom dersom dere er usikre på om tiltaket dere vurderer å innføre vil være omfattet av forbudet mot å overvåke arbeidstakeres elektroniske utstyr. 

Kort sjekkliste

1. Innebærer tiltaket behandling av personopplysninger?

Hvis ja: Tiltaket må oppfylle de generelle kravene i personopplysningsloven og personvernforordningen. Gå videre til punkt 2.
Hvis nei: Reglene i personvernregelverket gjelder ikke.

2. Omfatter tiltaket: 

  • overvåking?
  • arbeidstakeres bruk av elektronisk utstyr, herunder internett?
  • at arbeidsgiveren får tilgang til opplysningene?

Hvis ja på alle disse: Gå videre til punkt 3.
Hvis nei på ett eller flere: Tiltaket omfattes ikke av forbudet mot overvåking i e-postforskriften, men må oppfylle de generelle kravene i personopplysningsloven med personvernforordningen.

3. Skjer overvåkingen for noen av disse formålene:

  • Administrere virksomhetens datanettverk?
  • Avdekke eller oppklare sikkerhetsbrudd i nettverket?

Hvis ja på et av disse: Unntaket er oppfylt. Tiltaket er lovlig, så lenge det oppfyller kravene i personvernforordningen.
Hvis nei: Tiltaket er ulovlig.

Annet regelverk og gode råd

Det kan være vanskelig for arbeidsgivere å orientere seg når de skal innføre tiltak som kan innebære overvåking. Det er fordi det finnes mange regelverk som kontrollerer forskjellige sider ved arbeidslivet og arbeidstakernes digitale rettigheter.

De mest relevante regelverkene er (lovdata.no):  

For tiltak som kan innebære overvåking i e-postforskriften, vil vi særlig peke på følgende:

  • Vurder om ny programvare er lovlig å ta i bruk, selv om det er hyllevare.
  • Undersøk om dere må gjennomføre en vurdering av personvernkonsekvenser (DPIA) for arbeidstakerne.
    • Dette er påbudt dersom virksomheten systematisk monitorererer ansatte, for eksempel overvåking av ansattes internettaktivitet, elektronisk kommunikasjon og kameraovervåking,
    • En vurdering av personvernkonsekvensene innebærer blant annet å
      • innhente synspunkter fra de ansatte eller deres representanter (artikkel 35 nr. 9)
      • rådføre seg med personvernombudet, for de virksomhetene som har det (artikkel 35 nr. 2) 
  • Gjør deg kjent med de ansattes rettigheter etter personvernforordningen.
    • Særlig retten til informasjon om hvilke personopplysninger som blir samlet inn og lagret
  • Undersøk om drøfting med de tillitsvalgte er pålagt
    • I tariffavtalen, dersom dere har inngått en
    • I arbeidsmiljøloven, dersom tiltaket er et kontrolltiltak 

Vi vil også trekke fram en veiledning vi har laget i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet, fra 2018. Veiledningen handler om andre krav enn overvåkingsforbudet i e-postforskriften § 2, andre ledd: Veileder om kontroll og overvåking i arbeidslivet – 2019 (arbeidstilsynet.no)

Et godt råd er dessuten å sette seg inn i ny teknologi og grunnleggende regler for personvern.

Arbeidstakere som mener at arbeidsgiveren har overvåket dem ulovlig eller brutt andre regler i personvernregelverket kan klage.

Veileder navigasjon

Innhold
Skriv ut alt innholdet
1. Innledning
Skriv ut alt innholdet