Rettslig grunnlag for bruk av LawAi som beslutningsstøtte for arbeidsrettslige spørsmål

Den andre problemstillingen i prosjektet gjelder arbeidsgiveres behandling av personopplysninger gjennom bruken av LawAi. Problemstillingen gjelder kravet om rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 samt de særlige kravene for behandling av personopplysninger som nevnt i artikkel 9 og 10. I tillegg vil vi gjennomgå artikkel 22 og grensene denne bestemmelsen oppstiller.

De planlagte behandlingsaktivitetene

For mange forespørsler til LawAi vil det normalt ikke behandles personopplysninger om de ansatte. For eksempel dersom man bare stiller generelle spørsmål om regelverket i arbeidsmiljøloven eller tilgrensede områder, eller ber LawAi utforme kurs for slike temaer.

Per i dag anbefaler og oppfordrer Juridisk ABC at brukerne ikke legger inn sensitive personopplysninger i forespørslene til LawAi, samt at de tilbyr opplæring i hvordan en kan sikre personvern ved bruk av KI-tjenesten. Juridiske problemstillinger kan imidlertid kreve at personopplysninger blir oppgitt i en forespørsel for å sikre korrekt svar på bakgrunn av gjeldende lovverk, og det er i den sammenheng ikke lagt inn noe hinder for at brukerne kan gjøre dette. Som standard lagrer ikke LawAi forespørslene for videre bruk utenfor den enkelte dialogen med brukeren, og inngåelsen av personopplysningene som kildegrunnlag for generering av et svar er derfor begrenset til den enkelte dialogen hvor personopplysningene først ble angitt i forespørselen.

Juridisk ABC ser imidlertid for seg fremtidige bruksområder for LawAi hvor det kan opplastes dokumenter for assistert saksbehandling som beslutningsstøtte i arbeidsrettslige spørsmål. Opplastningen av egne dokumenter vil derimot ikke inngå i det rettslige informasjonssystemet, og vil kun være lagret på brukerens avgrensede område for hver enkelt dialog. Personopplysninger som kan forekomme i opplastede dokumenter vil derfor kun bli brukt som kildegrunnlag for forespørsler i den dialogen som dokumentene har blitt lastet opp i.  

I slike sammenhenger er det arbeidsgiverne – kundene til Juridisk ABC – som er behandlingsansvarlige for behandling av personopplysninger om ansatte i forbindelse med bruken av LawAi. Kundene inngår en databehandleravtale med Juridisk ABC.

Det legges til grunn for vurderingene i det følgende at personopplysningene ikke utleveres til andre enn de som har et databehandlerforhold til arbeidsgiverne, og at behandlingene skjer innenfor rammene av disse databehandleravtalene. Behandlingsansvarlig er uansett ansvarlig for å vurdere verktøy man tar i bruk og dataflyten i dem, og dersom personopplysninger utleveres til andre behandlingsansvarlige må det også foreligge rettslig grunnlag for slik utlevering.

Rettslig grunnlag i artikkel 6 nr. 1 i arbeidsforhold

Arbeidsgivere behandler personopplysninger knyttet til sine ansatte i en rekke ulike sammenhenger.

Enkelte av disse behandlingene er nødvendige for å gjennomføre arbeidsavtalen med den registrerte og har dermed hjemmel i artikkel 6 nr. 1 bokstav b.

Behandling av personopplysninger i medhold av samtykke etter artikkel 6 nr. 1 bokstav a er normalt ikke lovlig i et arbeidstaker-arbeidsgiver forhold, ettersom maktskjevheten medfører at samtykke som hovedregel ikke anses å være gitt «frivillig», jf. artikkel 4 nr. 11.

Enkelte behandlinger av personopplysninger er nødvendig for rettslige forpliktelser som arbeidsgiver er pålagt gjennom arbeidsmiljølovgivningen eller annet regelverk, jf. personvernforordningen artikkel 6 nr. 1 bokstav c.

For øvrig må normalt behandlingen av personopplysninger ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f. Behandlingen av personopplysningene er lovlig dersom de behandles for et formål knyttet til en berettiget interesse som forfølges av arbeidsgiveren eller tredjeparter, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger.

Arbeidsgiveres behandling av særlige kategorier av personopplysninger

Behandling av særlige kategorier av personopplysninger må oppfylle et av unntaksvilkårene i personvernforordningen artikkel 9 nr. 2 for å være lovlig. Dette kravet kommer i tillegg til at behandlingen må ha et rettslig grunnlag i artikkel 6 nr. 1. Det vil i en del sammenhenger være aktuelt for arbeidsgivere å behandle slike kategorier av personopplysninger om ansatte, spesielt helseopplysninger og opplysninger om fagforeningstilknytning.

Etter artikkel 9 nr. 2 bokstav b gjelder ikke forbudet mot behandling av slike kategorier av personopplysninger dersom behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett. Dette gjelder i den grad dette er tillatt i nasjonal rett eller tariffavtaler i samsvar med nasjonal rett, og i personopplysningsloven § 6 er det fastsatt at slike personopplysninger kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. Dette gjelder også for artikkel 10-opplysninger i henhold til personopplysningsloven § 11.

Personopplysningsloven § 6 gir imidlertid ikke i seg selv supplerende rettslig grunnlag for å behandle artikkel 9 og 10-opplysninger, og arbeidsgiver må identifisere en konkret arbeidsrettslig plikt eller rettighet som behandlingen av slike personopplysninger er nødvendig for.

Artikkel 9- og 10-opplysninger kan også behandles dersom de er nødvendige for å fastsette, gjøre gjeldende eller forsvare rettskrav. Vi viser til gjennomgangen av dette unntaket i forrige kapittel og at det i ansettelsesforhold må være holdepunkter eller en viss sannsynlighet for at det vil oppstå en konkret tvist for at dette unntaket kommer til anvendelse.

Nødvendighetskravet og bruk av KI-verktøy

I nødvendighetsvurderingen, som tolkes strengt, er spørsmålet om behandlingen er nødvendig for formålet, eller om samme formålet med rimelighet kan oppnås like effektivt gjennom metoder eller midler som er mindre inngripende for personvernet.[1] Det er imidlertid ikke krav om at alle sider av behandlingen er absolutt påkrevd. Vilkåret må sees i sammenheng med dataminimeringsprisnippet i artikkel 5 nr. 1 bokstav c og at personopplysninger som behandles skal være adekvate, relevante og begrenset til det som er nødvendig for formålene. [2] Dataminimeringsprinsippet gir utrykk et forholdsmessighetsprinsipp.[3]

Bruken av et KI-verktøy kan etter omstendighetene bidra til at formålet oppnås mer effektivt enn gjennom alternativene. Det å bruke en KI-løsning som et hjelpemiddel og eventuell beslutningstøtte, for eksempel i forbindelse med et spørsmål knyttet til arbeidsrett, innebærer videre ikke nødvendigvis i seg selv at behandlingen av personopplysninger blir mer inngripende for den registrerte. Hvorvidt bruken av en KI-løsning er mer inngripende enn alternativene vil naturligvis avhenge av alternativene og de konkrete omstendighetene ved behandlingen. På generelt grunnlag vil forhold som kan øke risikoen for dette for eksempel være dersom behandlingen innebærer bredere tilgangskrets til personopplysningene, at det behandles flere personopplysninger, at personopplysningene utleveres til andre behandlingsansvarlige, eller dersom behandling innebærer profilering av de registrerte. Artikkel 22, som vi redegjør for under, setter noen absolutte grenser for profilering og automatiserte avgjørelser, men profilering kan være inngripende også utover anvendelsen av dette forbudet.[4]

I nødvendighetskravet ligger det også et krav om at behandlingen faktisk må være egnet for å oppnå formålet, og arbeidsgiver er som behandlingsansvarlig den som har ansvar for å vurdere dette. I dette ligger det at den behandlingsansvarlige må være bevisst på hvilke gjøremål verktøyet faktisk egnet til å brukes til. Hvorvidt et KI-verktøy er egnet for å oppnå et formål vil også være avhengig av kunnskap, bevissthet og opplæring hos de som bruker verktøyet.

For å kunne sikre at nødvendighetskravet vurderes og etterleves knyttet til ulike formål, behandlinger og rettslige grunnlag, er det blant annet viktig at den behandlingsansvarlige har egnede rutiner og opplæringstiltak i hvilke situasjoner verktøy kan brukes og hvilke personopplysninger som eventuelt brukes i verktøyet.

Retten til å ikke være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende

Etter personvernforordningen artikkel 22 nr. 1 har den registrerte rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende. I henhold til personvernforordningen artikkel 4 nr. 4, innebærer profilering alle former for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, blant annet å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, helse, økonomiske situasjon, pålitelighet, atferd og bevegelser.

EU-domstolen har i C-634/21 fastslått at denne bestemmelsen innebærer et forbud mot avgjørelser utelukkende basert på automatisert behandling som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker den registrerte, med mindre et av unntakene i artikkel 22 nr. 2 er oppfylt. Ingen av disse unntakene i artikkel 22 nr. 2 er imidlertid normalt relevante for arbeidsgiveres behandling av arbeidstakeres personopplysninger.

Mange former for avgjørelser i arbeidslivssaker har rettsvirkning for eller påvirker på tilsvarende måte de registrerte i betydelig grad. I slike tilfeller vil dermed avgjørelser som utelukkende er basert på automatisert behandling være forbudt.

Vurderingen av hva som utgjør en avgjørelse i henholdt til artikkel 22 skal tolkes vidt.[5] Normalt vil bruk av KI-verktøy innebære at det foretas en utelukkende automatisert behandling. I vurderingen av hvorvidt en avgjørelse utelukkende basert på automatisert behandling har rettsvirkning for eller påvirker på tilsvarende måte i betydelig grad de registrerte, må det vurderes om det er et menneske som tar den endelige vurderingen. Den menneskelige involveringen i avgjørelsen må være reell, og den utelukkende automatiserte vurderingen, for eksempel fra en KI-løsning, kan ikke spille en avgjørende rolle for utfallet.[6] Det er dermed i utgangspunktet en høy terskel for hva som omfattes av dette forbudet, men vurderinger kan rammes dersom beslutningstaker i realiteten lener seg blindt på KI-løsningen.

Desto mindre gjennomsiktig og forklarbar KI-løsningens vurderinger er for mennesket som skal ta beslutningen, jo vanskeligere er det å overprøve KI-løsningens vurderinger, og dermed er det større risiko for at KI-løsningens vurdering får en avgjørende rolle. For at overprøvingen av KI-løsningens avgjørelse skal være reell, er det også viktig at de som står for den menneskelige involveringen har den nødvendige kunnskapen og myndigheten til å gjøre dette.[7] Selv om forklarbare svar fra KI-løsningen er viktig, vil likevel ofte den største faktoren i hvorvidt bruken av KI-løsningen omfattes av forbudet i artikkel 22 ikke være KI-løsningen i seg selv, men hvordan løsningen brukes. For avgjørelser som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker den registrerte, må KI-løsningen være et beslutningsstøtteverktøy, og ikke et beslutningsverktøy. Den behandlingsansvarlige er ansvarlig for å påvise at behandlingen er i tråd med personvernforordningens krav, og det må utarbeides rutiner for bruk av slike verktøy.[8]

Eksempler på brukstilfeller

Hvilke rettslige grunnlag i artikkel 6, og eventuelle unntak for artikkel 9- og 10-opplysninger, som er aktuelle for arbeidsgivere å vurdere for behandlingen av personopplysninger gjennom bruken av LawAi, må vurderes konkret av arbeidsgiver i det enkelte tilfelle. Vi vil imidlertid gi litt nærmere veiledning om handlingsrommet og grensene personvernregelverket oppstiller gjennom eksempler på brukstilfeller nedenfor. Eksemplene er kun ment til illustrasjon.

I tråd med rammene for dette sandkasseprosjektet, tas det i eksemplene kun stilling til personvernforordningen artikkel 6 nr. 1, 9, 10 og 22 for arbeidsgivernes behandling av personopplysninger. Det forutsettes at behandlingsansvarlig har sikret at alle øvrige krav i relevante regelverk er etterlevd, og det er viktig at det utarbeides rutiner for bruk av slike verktøy. Det tas også forbehold om at flere av eksemplene gjelder fremtidig funksjonalitet knyttet til opplasting av dokumenter, og output fra LawAi derfor ikke er testet i prosjektet.

Bruksscenario 1: Krav på feriedager og feriepenger

En ansatt begynte i jobben i fjor sommer, og jobbet i perioder deltid. Vedkommende spør HR-avdelingen hvor mange feriedager vedkommende kan ta ut uten å trekkes i lønn, og dermed også hvor mange feriedager arbeidsgiver kan kreve at arbeidstakeren tar ut.

For å få et konkret svar fra LawAi knyttet til situasjonen til den ansatte, vil det være nødvendig å legge inn enkelte personopplysninger i forespørselen. HR-avdelingen får deretter et svar hvor beregninger av antallet feriedager den ansatte har opptjent ut ifra relevant regelverk vil fremkomme, samt kildehenvisninger til regelverket tatt i bruk av LawAi for å gjøre beregningene. Basert på dette svaret vil den ansvarlige i HR-avdelingen kunne gjøre en egen vurdering av hva den ansatte har krav på. Bruk av LawAi i en slik situasjon vil oppfylle kravet om rettslig grunnlag i artikkel 6 nr. 1 bokstav f. Inngrepet i den ansattes personvern er begrenset og nødvendig for formålet, og det behandles heller ikke særlige kategorier av personopplysninger. Svaret fra LawAi er heller ikke avgjørende for den ansattes rettigheter i henhold til artikkel 22 fordi den menneskelige involveringen i avgjørelsen er reell.

Bruksscenario 2: Krav på feriedager for ansatt som fyller 60 år

En annen ansatt, som fyller 60 år i år, begynte også i jobben i fjor. Denne ansatte ønsker å ta ut så mye ferie som mulig, uavhengig av om vedkommende må trekkes i lønn, og spør derfor HR-avdelingen hvor mange feriedager vedkommende har rett til å ta ut.

Den ansatte i HR-avdelingen legger inn enkelte begrensede personopplysninger om den ansatte og arbeidsforholdet, og får et konkret svar fra LawAi. Denne ansatte i HR-avdelingen har imidlertid ikke selv kjennskap til detaljene i ferieloven, og vet heller ikke at ansatte som fyller 60 år har krav på flere feriedager. Den ansatte i HR-avdelingen legger derfor heller ikke opplysningene om at den ansattes alder inn i forespørselen til LawAi, og får dermed heller ikke den korrekte informasjon om antall feriedager i svaret fra tjenesten. Den ansatte dobbeltsjekker heller ikke selv kildene som LawAi sitt svar bygger på og henviser til, og stoler blindt på svaret fra tjenesten. En slik situasjon illustrerer at for at et KI-verktøy skal være egnet, og dermed nødvendig, for å oppnå et formål, kreves det tilstrekkelig kompetanse og rutiner for dem som bruker verktøyet. Dersom den ansattes beslutning basert på svaret til LawAi i denne situasjonen også i praksis blir utslagsgivende for den ansattes rett til feriepenger, vil behandlingen av personopplysninger gjennom bruken av LawAi også rammes av forbudet i artikkel 22.

Bruksscenario 3: Sykefravær og oppfølging

En ansatt er langtidssykemeldt og har vært borte fra jobb i lang tid. Arbeidsgiveren ønsker å laste opp oppfølgingsplanen og annet begrenset og relevant dokumentasjon i et avgrenset område for den enkelte brukeren i LawAi-applikasjonen, og instruere LawAi om å komme med forslag til videre oppfølgingstiltak. Den ansatte i HR-avdelingen med ansvar for oppfølgingen av den sykemeldte, vurderer deretter ytterligere oppfølgingstiltak på bakgrunn av forslaget fra LawAi og andre kilder. Ingen andre enn den ansatte i HR-avdelingen vil få tilgang til personopplysningene i dokumentene som lastes opp, og bruken av LawAi som beslutningsstøtte i denne situasjonen vurderes ikke som mer inngripende for personvernet til den registrerte enn alternativene. En slik behandling vurderes dermed å ha rettslig grunnlag i artikkel 6 nr. 1 bokstav c ved å være nødvendig for at arbeidsgiver skal følge sine lovpålagte plikter til oppfølging av sykemeldte. På bakgrunn av disse lovpålagte pliktene, kan behandlingen av nødvendige og relevante helseopplysninger også ha grunnlag i artikkel 9 nr. 2 bokstav b og personopplysningsloven § 6.

Bruksscenario 4: Krav på sykepenger

En sommervikar på arbeidsplassen blir sykemeldt. Vikaren har jobbet med varierende hyppighet den siste tiden, og har også hatt noe ulønnet ferie. Det oppstår spørsmål om vedkommende har krav på sykepenger fra arbeidsgiver – og i så fall hvor mye.

Den ansatte som skal ta avgjørelsen om retten til sykepenger legger inn de relevante opplysningene om sommervikaren i LawAi, og ber LawAi vurdere hva sommervikaren eventuelt har krav på av sykepenger. Den ansatte har ikke selv særlig kunnskap til regelverket i en slik situasjon, og i stedet for å sjekke kildene i svaret fra LawAi, legger vedkommende i stedet svaret fra LawAi ukritisk til grunn og tar en tilsvarende avgjørelse knyttet til den ansattes rett til sykepenger. I et slikt tilfelle hvor den ansatte stoler blindt på LawAi uten å gjøre en egen vurdering, er ikke den menneskelige involveringen i avgjørelsen er ikke reell. Behandlingen av sommervikarens personopplysninger gjennom LawAi er dermed i strid med forbudet i personvernforordningen artikkel 22 nr. 1. Det er viktig at den behandlingsansvarlige har rutiner for bruk, og at brukerne har den nødvendige opplæringen eller faglige kompetansen til å overprøve LawAis vurderinger.

Bruksscenario 5: Varslingssak

En ansatt har varslet om seksuell trakassering fra en annen ansatt. Arbeidsgiver undersøker varselet, innhenter informasjon og kartlegger situasjonen innenfor lovens rammer og i tråd med virksomhets rutiner. En ansvarlige for oppfølgingen av varselet hos arbeidsgiver ønsker å laste opp den innhentede informasjonen i sitt avgrensede område i LawAi, og be om at det lages et utkast til rapport, med strukturering av faktum og sakens rettslige sider samt mulige tiltak for å ivareta plikten til et forsvarlig arbeidsmiljø – særlig for varsler. Utkastet og dokumentene vil deretter gjennomgås, og utkastet ferdigstilles av de ansatte med ansvar for oppfølgingen av varselet. Arbeidsgiver vurderer at en slik strukturering av informasjonen er nødvendig for å oppfylle de rettslige forpliktelsene som arbeidsgiver er pålagt i forbindelse med oppfølging av varsler i arbeidsmiljølovens kapittel 2 A, ettersom behandlingen ikke ansens som mer inngripende enn alternative midler for å oppnå formålet i denne situasjonen. Behandlingen av nødvendige særlige kategorier av personopplysninger i denne forbindelse, herunder eventuelle opplysninger om seksuelle forhold knyttet til trakasseringen og arbeidstakernes fagforeningstilknytning i forbindelse med bistand fra tillitsvalgte, vurderes å være nødvendig i henhold til pliktene i arbeidsmiljøloven til å følge opp varselet, og dermed oppfylle unntaket i personvernforordningen artikkel 9 nr. 2 bokstav b, jf. personopplysningsloven § 6.

Arbeidsgivers undersøkelser av varselet avdekket og konkluderte med kritikkverdige forhold. Den ansvarlige hos arbeidsgiver forespør deretter LawAi om de rettslige vilkårene for oppsigelse av den omvarslede er oppfylt med bakgrunn av funnene i den endelige rapporten. En slik behandling av personopplysninger vil normalt ikke kunne bygge på en rettslig forpliktelse den behandlingsansvarlige er pålagt, men kan imidlertid ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f om berettiget interesse og artikkel 9 nr. 2 bokstav f knyttet til å gjøre gjeldende et rettskrav. De ansvarlige i virksomheten gjør deretter en overprøving av hvorvidt vilkårene er til stede basert på rettskildene, og vurderer ulike fremgangsmåter og reaksjoner, inkludert hvorvidt de eventuelt ønsker å gå videre med drøftelsesmøte. Vurderingen fra LawAi får dermed ikke en avgjørende rolle i avgjørelsen knyttet til den ansattes ansettelsesforhold, og den menneskelige involveringen er reell i henhold til artikkel 22.