Over halvparten av norske arbeidstakere har liten eller ingen oversikt over hvilken informasjon arbeidsgiver samler inn om dem. Det viser en undersøkelse Datatilsynet gjennomførte i 2022. GPS-logger, kameraopptak, e-postarkiver, nettlogg og adgangskontrollsystemer samler kontinuerlig data om ansatte, ofte uten at de vet om det.
Spørsmålet er ikke om teknologien kan gjøre dette. Det kan den. Spørsmålet er om arbeidsgiver har lov.
Svaret er at norsk lov starter med et forbud. Arbeidsgiver må begrunne at overvåking er nødvendig. Ikke omvendt. Det er annerledes enn i mange andre land, og det er viktig å forstå for både ansatte og arbeidsgivere.
Utgangspunktet: overvåking er forbudt
To regelverk gjelder parallelt på norske arbeidsplasser.
Arbeidsmiljøloven kapittel 9 regulerer arbeidsgivers adgang til kontrolltiltak. Kontrolltiltak kan bare innføres dersom det er saklig begrunnet i virksomhetens art eller i forhold knyttet til den ansatte, og tiltaket ikke er mer inngripende enn nødvendig. Ansatte eller tillitsvalgte skal som hovedregel drøftes med før tiltak innføres.
GDPR regulerer all behandling av personopplysninger som kontrolltiltakene genererer. GPS-logger, kameraopptak og nettlogger er personopplysninger. Arbeidsgiver trenger et behandlingsgrunnlag i GDPR for å samle inn og lagre dem. Vilkår, formål og lagringstid må dokumenteres.
De to regelverkene forsterker hverandre. Et tiltak som er saklig begrunnet etter arbeidsmiljøloven, kan likevel være ulovlig etter GDPR dersom dokumentasjonen mangler eller personopplysningene behandles feil.
Vi i Judicia bistår jevnlig virksomheter med å etablere lovlige kontrolltiltak og rette opp praksis som er i strid med regelverket. Les mer om personvern.
5 plikter arbeidsgiver har under GDPR i arbeidsforhold
1. Informasjonsplikt. Ansatte skal informeres om hvilke personopplysninger som behandles om dem, hva de brukes til, hvem som har tilgang og hvor lenge de lagres. Informasjonen skal gis i klart og forståelig språk.
2. Behandlingsgrunnlag. All behandling av personopplysninger krever et rettslig grunnlag. I arbeidsforhold er de vanligste grunnlagene oppfyllelse av arbeidsavtalen, rettslig forpliktelse eller berettiget interesse etter en konkret interesseavveining.
3. Dataminimering. Arbeidsgiver kan bare samle inn opplysninger som faktisk er nødvendige for det angitte formålet. Overvåking som genererer mer data enn nødvendig er ikke lovlig, selv om formålet i seg selv er saklig.
4. Begrenset lagringstid. Personopplysninger skal ikke lagres lenger enn nødvendig. Kameraopptak fra en butikk skal for eksempel normalt slettes etter 7 dager, med mindre det er konkret grunn til å bevare dem lenger.
5. Innsynsrett for ansatte. Ansatte har rett til innsyn i de personopplysningene arbeidsgiver behandler om dem, inkludert elektroniske spor, metadata og adgangskontrollogger. Arbeidsgiver plikter å svare på innsynskrav innen én måned.
Kameraovervåking: strenge regler
Kameraovervåking på arbeidsplassen er et inngripende tiltak og krever klar hjemmel. Arbeidsgiver kan overvåke innganger, utganger, varelagre og arealer med reelt sikkerhetsbehov. Arbeidsgiver kan ikke overvåke ordinære arbeidsplasser, pauserom, toaletter eller garderober.
Ansatte skal informeres om at kameraovervåking pågår, og det skal være synlig skilting. Datatilsynet har pålagt norske virksomheter å fjerne kameraer etter tilsyn der nødvendighets- og forholdsmessighetsvurderingen manglet. Overvåking uten skikkelig vurdering kan medføre bøter.
GPS-sporing av ansatte og kjøretøy
Arbeidsgiver kan spore kjøretøy med saklig begrunnelse, typisk for å administrere ruteplanlegging, dokumentere kjøretid eller sikre utstyr. Ansatte skal informeres om sporingen, om formålet, og om hvem som har tilgang til dataene.
GPS-sporing av ansattes private bevegelser er ikke tillatt, og heller ikke kontinuerlig sporing utenfor arbeidstid. Dersom kjøretøyet også brukes privat, kreves det særskilt regulering og klare rutiner for når sporingen er aktiv.
E-post og digitale verktøy: kan sjefen lese meldingene dine?
Som utgangspunkt er det forbudt. En egen forskrift til arbeidsmiljøloven regulerer arbeidsgivers innsyn i ansattes e-postkasse og elektronisk lagret materiale. Innsyn er bare tillatt i to situasjoner.
Den første er at innsyn er nødvendig for å ivareta den daglige driften av virksomheten, typisk fordi den ansatte er fraværende og e-poster med virksomhetsrelevant innhold ikke er tilgjengelig på annen måte. Den andre er at det foreligger begrunnet mistanke om at den ansatte har brutt sine plikter overfor virksomheten, eller at innsyn er nødvendig for å avdekke andre straffbare forhold.
Prosedyrekravene er strenge. Arbeidsgiver skal varsle den ansatte på forhånd, gi vedkommende anledning til å uttale seg, og dokumentere prosessen. Innsynet skal skje i den ansattes nærvær der det er mulig.
Logging av hvilke nettsteder ansatte besøker er langt mer begrenset enn mange arbeidsgivere tror. Datatilsynet har i sin praksis vist en streng tolkning av hva som er tillatt, og slått fast at slik overvåking ikke kan skje rutinemessig. Les mer om databehandleravtaler.
Personvern på hjemmekontor
Utstrakt bruk av hjemmekontor reiser nye personvernspørsmål. Arbeidsgiver kan ikke installere overvåkingsprogramvare på den ansattes private utstyr. Dersom arbeidsgiver ønsker å logge aktivitet eller bruke skjermopptak på tjenstlig utstyr brukt hjemmefra, gjelder de samme kravene som på arbeidsplassen: saklig begrunnelse, forholdsmessighet, informasjon til ansatte og dokumentert behandlingsgrunnlag.
Keystroke monitoring og skjermopptak er særlig inngripende tiltak som sjelden vil være forholdsmessige. Les mer om personvernkonsekvensvurdering (DPIA), som er påkrevd ved høyrisiko behandling.
Varsling og personvern
En ansatt som varsler om kritikkverdige forhold på arbeidsplassen har krav på vern. Arbeidsgiver plikter å ha rutiner for varsling og behandle varslet forsvarlig. Personopplysninger om varsleren og den det varsles om skal behandles konfidensielt og med nødvendig diskresjon. Les mer om arbeidsrett.
Ansattes rettigheter
Ansatte har rett til innsyn i alle personopplysninger arbeidsgiver behandler om dem. Det inkluderer opplysninger i personalmappe og lønnssystem, men også elektroniske spor, metadata, adgangskontrollogger og eventuelle personprofiler.
Arbeidsgiver skal svare på innsynskrav skriftlig innen én måned. Opplysninger som er feil kan kreves rettet. Opplysninger som ikke lenger er nødvendige kan kreves slettet innenfor det regelverket tillater.
Ofte stilte spørsmål om personvern i arbeidslivet
Som utgangspunkt nei. Innsyn i ansattes e-postkasse krever hjemmel i forskrift til arbeidsmiljøloven, og er bare tillatt ved klart definerte behov: ivaretakelse av den daglige driften ved fravær, eller begrunnet mistanke om brudd på ansettelsesforholdet eller straffbare forhold. Prosessen er strengt regulert og den ansatte skal varsles og gis anledning til å uttale seg på forhånd.
GPS-sporing av kjøretøy i tjeneste er tillatt med saklig begrunnelse og forutsatt at ansatte er informert. Sporing av private bevegelser eller kontinuerlig sporing utenfor arbeidstid er ikke tillatt. Bruker ansatte kjøretøyet privat, kreves egne rutiner som skiller arbeidstid fra fritid.
Rutinemessig logging av nettbruk og aktivitet på ansattes PC er svært begrenset og krever klar hjemmel og saklig begrunnelse. Datatilsynet har i praksis tolket adgangen strengt. Tiltak som keystroke monitoring og skjermopptak er normalt ikke forholdsmessige og vil sjelden være lovlige uten meget konkret og godt begrunnet formål.
Du kan kontakte Datatilsynet med en klage. Datatilsynet kan pålegge stans av ulovlig behandling og ilegge bøter. Norske virksomheter har fått bøter på alt fra 500 000 kroner til 3 millioner kroner for brudd. Du kan også ta kontakt med advokat dersom du mener du har lidt et tap eller at bruddet er alvorlig nok til å gi grunnlag for erstatning.
Er du arbeidsgiver som vil sikre at kontrolltiltakene er lovlige, eller er du ansatt som mener dine personvernrettigheter er brutt? Ta kontakt med Judicia for en uforpliktende samtale.