Sjekkliste for arbeidsgiveren
Vi har laget en kort oppsummering / sjekkliste dere kan gå gjennom dersom dere er usikre på om tiltaket dere vurderer å innføre vil være omfattet av forbudet mot å overvåke arbeidstakeres elektroniske utstyr.
Kort sjekkliste
1. Innebærer tiltaket behandling av personopplysninger?
Hvis ja: Tiltaket må oppfylle de generelle kravene i personopplysningsloven og personvernforordningen. Gå videre til punkt 2.
Hvis nei: Reglene i personvernregelverket gjelder ikke.
2. Omfatter tiltaket:
- overvåking?
- arbeidstakeres bruk av elektronisk utstyr, herunder internett?
- at arbeidsgiveren får tilgang til opplysningene?
Hvis ja på alle disse: Gå videre til punkt 3.
Hvis nei på ett eller flere: Tiltaket omfattes ikke av forbudet mot overvåking i e-postforskriften, men må oppfylle de generelle kravene i personopplysningsloven med personvernforordningen.
3. Skjer overvåkingen for noen av disse formålene:
- Administrere virksomhetens datanettverk?
- Avdekke eller oppklare sikkerhetsbrudd i nettverket?
Hvis ja på et av disse: Unntaket er oppfylt. Tiltaket er lovlig, så lenge det oppfyller kravene i personvernforordningen.
Hvis nei: Tiltaket er ulovlig.
Annet regelverk og gode råd
Det kan være vanskelig for arbeidsgivere å orientere seg når de skal innføre tiltak som kan innebære overvåking. Det er fordi det finnes mange regelverk som kontrollerer forskjellige sider ved arbeidslivet og arbeidstakernes digitale rettigheter.
De mest relevante regelverkene er (lovdata.no):
- Personopplysningsloven med personvernforordningen (Datatilsynet fører tilsyn)
- Reglene om kontrolltiltak i arbeidsmiljøloven kapittel 9 (Arbeidstilsynet fører tilsyn)
For tiltak som kan innebære overvåking i e-postforskriften, vil vi særlig peke på følgende:
- Vurder om ny programvare er lovlig å ta i bruk, selv om det er hyllevare.
- Undersøk om dere må gjennomføre en vurdering av personvernkonsekvenser (DPIA) for arbeidstakerne.
- Dette er påbudt dersom virksomheten systematisk monitorererer ansatte, for eksempel overvåking av ansattes internettaktivitet, elektronisk kommunikasjon og kameraovervåking,
- En vurdering av personvernkonsekvensene innebærer blant annet å
- innhente synspunkter fra de ansatte eller deres representanter (artikkel 35 nr. 9)
- rådføre seg med personvernombudet, for de virksomhetene som har det (artikkel 35 nr. 2)
- Gjør deg kjent med de ansattes rettigheter etter personvernforordningen.
- Særlig retten til informasjon om hvilke personopplysninger som blir samlet inn og lagret
- Undersøk om drøfting med de tillitsvalgte er pålagt
- I tariffavtalen, dersom dere har inngått en
- I arbeidsmiljøloven, dersom tiltaket er et kontrolltiltak
Vi vil også trekke fram en veiledning vi har laget i samarbeid med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet, fra 2018. Veiledningen handler om andre krav enn overvåkingsforbudet i e-postforskriften § 2, andre ledd: Veileder om kontroll og overvåking i arbeidslivet – 2019 (arbeidstilsynet.no)
Et godt råd er dessuten å sette seg inn i ny teknologi og grunnleggende regler for personvern.
Arbeidstakere som mener at arbeidsgiveren har overvåket dem ulovlig eller brutt andre regler i personvernregelverket kan klage.