Sjefen ser deg? Overvåking og kontroll av arbeidstakeres digitale aktiviteter

Hvilke regler gjelder?

Et grunnleggende premiss, er at alle arbeidstakere har rett til personvern når de er på jobb. Det er derfor ikke fritt frem for en arbeidsgiver å ta i bruk kontrolltiltak som overvåker de ansatte.

Arbeidsgivers styringsrett innebærer likevel at virksomhetene i noen tilfeller har lov til å iverksette kontrolltiltak for eksempel for å verne virksomheten mot uønskede eller ulovlige handlinger, såfremt de holder seg innenfor lovens rammer.

Kontrolltiltak

Kontrolltiltak i arbeidslivet kan dreie seg om en rekke forskjellige forhold – fra fysisk kontroll til elektronisk overvåking. Fysisk kontroll kan være alt fra kontroll av innhold i vesker til rusmiddeltesting eller andre helseundersøkelser. Mest utbredt er likevel ulike former for elektronisk overvåking. Elektronisk overvåking kan for eksempel være kontroll av e-post og besøk på nettsider eller telefonbruk.

Datatilsynet har, sammen med Arbeidstilsynet, Petroleumstilsynet og partene i arbeidslivet, utarbeidet en veileder om kontrolltiltak i arbeidslivet.

Mange arbeidstakere bruker dessuten PC og mobiltelefon som arbeidsgiveren har stilt til deres disposisjon, til private gjøremål. Når en arbeidstaker i tillegg jobber hjemmefra viskes skillet mellom jobb og privatliv ytterligere ut.

Verktøy som overvåker arbeidstakere på hjemmekontor, vil være særlig inngripende fordi hjemmet er i kjernen av retten til privatliv. Verktøy som for eksempel gjør lydopptak eller filmer arbeidstakere for å kontrollere arbeidsinnsatsen deres når de er hjemme, vil også fange opp det som er en privat sfære. Dette kan være utfordrende med tanke på reglene i personvernforordningen.

Regelverket

Arbeidsgiverens adgang til å innføre kontrolltiltak, er et arbeidsrettslig spørsmål som først og fremst reguleres av arbeidsmiljøloven (kapittel 9).

Arbeidsgiverens adgang til å behandle personopplysningene som hentes inn gjennom kontrolltiltaket, er derimot et personvernrettslig spørsmål, og det reguleres først og fremst av personopplysningsloven og personvernforordningen. Det gjelder blant annet innsamling, lagring og videreformidling av opplysninger.

Dersom det innføres et kontrolltiltak, vil det i de aller fleste tilfeller også innebære en eller annen form for behandling av personopplysninger. Dermed vil bestemmelsene i arbeidsmiljøloven og personopplysningsloven gjelde parallelt. I tillegg finnes det spesialregler i forskriften om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (lovdata.no).

Rettslig grunnlag

Jo mer inngripende en behandling av personopplysninger er, desto vanskeligere er det for arbeidsgiveren å finne et rettslig grunnlag for behandlingen. Arbeidsgivere må alltid ha et rettslig grunnlag for behandling av personopplysninger før behandlingen starter.

Arbeidsgivere kan som den klare hovedregelen ikke bruke samtykke som et rettslig grunnlag for å innføre kontrolltiltak som innebærer å overvåke ansatte. Det er på grunn av det ujevne maktforholdet mellom arbeidsgiveren og de ansatte, og at de derfor kan derfor føle seg presset til å samtykke. Ifølge personvernforordningen er frivillighet en grunnleggende forutsetning for et gyldig samtykke.

Det mest relevante rettsgrunnlaget for å behandle personopplysninger gjennom kontrolltiltak, er interesseavveiing (personvernforordningen artikkel 6, bokstav f). En virksomhet kan også være underlagt særlovgivning som pålegger selskapet å innføre logging eller annen registrering av arbeidstakers adferd i datasystemer, for eksempel gjennom sikkerhetsloven. I slike tilfeller kan rettslig forpliktelse (artikkel 6, bokstav c) være et rettslig grunnlag.

Forbud mot overvåking av ansattes bruk av elektronisk utstyr

Det er et forbud mot "overvåking" av ansattes bruk av elektronisk utstyr, herunder bruk av internett, i epostforskriften § 2 annet ledd.

Overvåking av en arbeidstakers bruk av elektronisk utstyr er forbudt, og kan bare unntaksvis skje hvis formålet er å administrere virksomhetens datanettverk eller avdekke eller oppklare sikkerhetsbrudd i nettverket. Overvåkingstiltaket må være nødvendig for disse formålene.

Det finnes få rettskilder som sier noe om hva overvåking er, og vi får mange spørsmål om hva overvåking innebærer etter forskriften. Vi jobber for tiden med veiledning om dette temaet.

I denne rapporten bruker vi begrepet «overvåking» flere steder. Vi har imidlertid ikke vurdert om verktøyene vi har testet omfattes av forbudet i e-postforskriften eller om de oppfyller unntakene. Arbeidsgivere som vurderer å ta i bruk denne typen verktøy må i tråd med ansvarlighetsprinsippet alltid vurdere om tiltaket er lovlig før det starter.

Arbeidsgiverens forpliktelser

Når en arbeidsgiver innfører kontrolltiltak, vil virksomheten som hovedregel være behandlingsansvarlig for personopplysningene som samles inn gjennom tiltaket. Det er den behandlingsansvarlige som har ansvaret for å følge reglene i personvernforordningen.

Personvernforordningen inneholder noen grunnleggende prinsipper for behandling av personopplysninger. Disse må arbeidsgiveren som behandlingsansvarlig oppfylle når det skal innføres kontrolltiltak. Prinsippene regulerer også hva arbeidsgiveren kan bruke personopplysningene som samles inn til. Nedenfor fremhever vi noen av de mest sentrale prinsippene i forbindelse med kontrolltiltak.

Lovlighetsprinsippet og åpenhetsprinsippet innebærer at arbeidsgiveren aldri kan behandle personopplysninger uten rettslig grunnlag, og at arbeidsgiveren skal behandle personopplysninger på en åpen måte overfor de registrerte. Arbeidsgiveren har plikt til å gi arbeidstakeren informasjon om hvordan personopplysningene deres behandles, og informasjonen skal gis før tiltaket settes i gang.

Prinsippet om dataminimering setter grenser for hvilke opplysninger arbeidsgiveren kan samle inn om de ansatte. Ifølge dette prinsippet skal arbeidsgiveren aldri samle inn mer personopplysninger enn det som er nødvendig for å oppnå formålet med en behandling. Arbeidsgiveren må også begrense innsamlingen til de opplysningene som er egnede og relevante for å oppnå formålet.

Prinsippet om formålsbegrensing  innbærer at all behandling av personopplysninger skal ha spesifikke og uttrykkelige angitte formål. Disse skal være angitt før behandlingen starter. Grunnen til at formålene skal være spesifikke er blant annet at arbeidstakerne skal være beskyttet mot formålsutglidning – altså at opplysninger viderebehandles av arbeidsgiveren på en måte som er uforenlig med de opprinnelige formålene.

Dersom arbeidsgiveren innfører tiltak der formålet er å ivareta informasjonsikkerheten i virksomheten eller registrere arbeidstid, vil altså formålet med tiltakene sette begrensinger for hva arbeidsgiveren kan bruke personopplysningene til. I vurderingen av hva som er forenelige formål skal blant annet arbeidstakernes forventinger veie tungt. De ansatte vil for eksempel sjeldent ha en forventning om at et dataprogram for registrering av arbeidstid også vil brukes til å kontrollere hvor effektive de er på jobb.

Kravet til innebygd personvern og personvern som standardinnstilling er også sentralt når en arbeidsgiver skal innføre kontrolltiltak. Kravet til innebygd personvern innebærer blant annet at arbeidsgiveren må iverksette tilstrekkelige tekniske og organisatoriske tiltak, samt gi nødvendige garantier i behandlingen av personopplysninger for å sikre at personvernprinsippene og de registrertes rettigheter og friheter ivaretas på en effektiv måte.

Les mer om virksomhetens plikter

Arbeidstakernes rettigheter

Personvernforordningen gir de registrerte (arbeidstakerne) flere rettigheter når arbeidsgiveren behandler personopplysningene deres. Arbeidstakerne har blant annet rett til informasjon om hvordan og hvorfor arbeidsgiveren behandler opplysningene deres, rett til innsyn i egne opplysninger, og i flere tilfeller rett til å protestere på at arbeidsgiveren behandler personopplysningene deres. Arbeidsgiveren har også plikt til å legge til rette for at arbeidstakerne kan utøve rettighetene etter personvernregelverket.

Les mer om de registrertes rettigheter