Forord
Alle virksomheter behandler personopplysninger om sine ansatte for ulike formål og i ulike sammenhenger. Kjennskap til hvilke regler som gjelder for dette, er derfor noe mange har behov for. Etter ikrafttredelsen av ny personopplysningslov i Norge i 2018 har det kommet flere bøker om emnet personvern, men så langt vi kjenner til, er det ingen som spesifikt tar for seg personvern i arbeidslivet og forholdet mellom personopplysningsregelverket og arbeidsretten.
Målet med denne boken har vært å gi en oversikt over de mest sentrale reglene og problemstillingene som gjelder personvern og de delene av arbeidsretten som gjelder kontroll i arbeidslivet. Temaet er omfattende, noe som medfører at enkelte problemstillinger nødvendigvis kun blir overfladisk behandlet. På noen områder har vi gått mer i dybden, det gjelder spesielt temaer som, slik vi ser det, er særlig aktuelle eller ikke tidligere er grundig behandlet i faglitteraturen.
Vi tror at bokens tema er relevant for mange, og vi håper derfor at både arbeidstakere og arbeidsgivere vil ha nytte av den. Vi håper også at advokater, tillitsvalgte, personvernombud og andre som arbeider med juridiske problemstillinger i krysningspunktet personvern og arbeidsrett, kan finne boken nyttig. Samtidig presiserer vi at den er forsøkt utformet slik at den skal være mulig å forstå uten spesielle juridiske forkunnskaper.
Det har vært vårt mål å fremstille reglene på en enkel og forståelig måte, og vi har også forsøkt å komme med praktiske råd. Det må likevel sies at dette ikke alltid har vært like enkelt. Personopplysningsregelverket gir i seg selv i liten grad uttrykk for klare forbud og påbud, men legger opp til at den behandlingsansvarlige, som her er arbeidsgiver, må gjøre konkrete vurderinger og følge bestemte fremgangsmåter
for å komme frem til hva som er lov. Det gjør at vi også i fremstillingen av reglene i boken i forholdsvis stor grad heller må vise til hva arbeidsgiver må vurdere, enn å si helt klart hva som er lov, og hva som ikke er det.
Vårt ønske med boken er at den både skal kunne leses fra perm til perm og som et oppslagsverk for å sette seg inn i konkrete temaer og problemstillinger. For at boken skal kunne fungere tilfredsstillende som et oppslagsverk, vil det nødvendigvis måtte bli noen gjentakelser enkelte steder.
Det er mange som har bidratt til denne boken, som diskusjonspartnere og i form av innspill og gode råd. Vi vil i den forbindelse takke våre tidligere og nåværende kolleger i Datatilsynet og KLP og ved Høgskolen Innlandet. Ingen nevnt, ingen glemt.
Vi vil rette en ekstra stor takk til advokat Kari Gimmingsrud, partner i Advokatfirmaet Haavind. Kari har lest gjennom manuset og kommet med mange nyttige innspill. Vi vil også få takke Lilian Kongshavn hos Gyldendal for oppmuntring og støtte gjennom hele skriveprosessen.
Sist, men ikke minst, vil vi få takke våre respektive familier for stor tålmodighet i forbindelse med arbeidet med boken.
Boken er forsøkt ajourført pr. 15. februar 2021.
Oslo/ Hamar, februar 2021
Signhild Blekastad og Marion Holthe Hirst
2.5.3
Innhold
2.8.5
2.10.6
2.10.7 Interesseavveiing – berettiget
2.11 Behandling av «særlige kategorier av personopplysninger», fødselsnummer
2.11.1
2.11.2 Tilleggskrav ved behandling av «særlige kategorier av personopplysninger»
2.12.4
2.12.8
2.18.4
kapittel
3.3.2
3.3.3
4.2.2
4.2.3
av opplysninger i ansettelsesfasen og personvernprinsippene
4.3.5
4.3.6
4.4 Innhenting av helseopplysninger og medisinske undersøkelser
4.4.1
4.4.2 Innhenting av helseopplysninger ved ansettelse
4.4.3 Medisinske undersøkelser
4.5.3
4.5.4
4.6
4.6.2
4.6.4 Behandling av personopplysninger i forbindelse med referanseintervju
4.6.5
4.7
4.8.4
4.9
5.3
5.2.2
5.2.3
5.2.4
5.2.6
5.2.7
5.2.8
5.2.9
5.3.1
5.3.2
5.3.3
5.3.4
5.4
5.4.1
5.4.2
5.4.3
5.5
5.6 Lagring og publisering av bilder av de ansatte
5.6.1
5.6.2
5.6.3
5.6.4 Nærmere om kravet til samtykke
5.7 Utstedelse av advarsler og ordensstraff
5.7.1
5.8
5.7.2
5.7.3
5.8.1
5.8.2
5.8.3
5.9
5.9.1
5.9.2
5.10 Sosiale
5.10.1
5.10.2
5.10.3
6.2
6.3.1
6.3.2
6.4 Hvilke personopplysninger skal slettes, og hva kan beholdes
7.2 Varslingsinstituttet og det arbeidsrettslige
7.2.2 Rett til å varsle om «kritikkverdige forhold» ..................
7.2.3 Krav til fremgangsmåten ved varsling – intern og ekstern varsling ... 216
7.2.4 Om arbeidsgivers aktivitetsplikt, forbud mot gjengjeldelse og ulovfestet omsorgsplikt ...............................
7.2.5 Rutiner for varsling 218
7.3 Behandling av personopplysninger i varslingssaker 219
7.3.1 Innledning 219
7.3.2 Generelt om behandling av personopplysninger i varslingssaker 219
7.3.3 Behandlingsgrunnlag 220
7.3.4 Retten til informasjon 221
7.3.5 Retten til innsyn .
7.3.6 Unntak fra retten til informasjon og innsyn ..................
7.3.7 Nærmere om rett til innsyn i opplysninger om varslerens identitet ...
7.3.8 Rett til retting av uriktige opplysninger ......................
7.3.9 Personopplysninger i varslingsrutiner og behandling i varslingskanaler ......................................
7.3.10 Sletting av personopplysninger ............................
kapittel 8 arbeidsgiveres rett til å innføre kontrolltiltak
8.1 Innledning
8.2 Hva er et «kontrolltiltak»? .....................................
8.3 Kontroll og overvåking i arbeidslivet – noen tall og fakta ..............
8.3.1 Innledning ...........................................
8.3.2 Fafo-rapport 2019: 21: Kontroll og overvåking i arbeidslivet 2019 ...
8.3.3 Fafo-rapport 2016: 05: Digital kontroll og overvåking av arbeid.
8.4 Nærmere om sammenhengen mellom personopplysningsregelverket og arbeidsmiljøloven ...........................................
8.5 Arbeidsgivers plikter etter regelverket for helse, miljø og sikkerhet (HMS)
8.6 Arbeidsmiljølovens krav til saklig formål og forholdsmessighet ..........
8.6.1 Innledning ...........................................
8.6.2 Krav til at kontrolltiltaket må ha en «saklig grunn» ............. 248
8.6.3 Kravet om at kontrolltiltaket ikke må medføre en «uforholdsmessig ulempe» 250
8.6.4 Kontrolltiltak begrunnet i mistanke om straffbare forhold
8.6.5 Konsekvensene av urettmessige kontrolltiltak
8.7 Krav til vurdering av lovlighet etter personopplysningsregelverket
8.7.1 Innledning
8.7.2 Kartlegging av faktiske forhold og vurdering av grunnkrav og personvernprinsipper ...................................
8.7.3 Krav til spesifisering av formål ............................
8.7.4 Krav til identifisering av behandlingsgrunnlag .................
8.7.5 Nærmere om behandlingsgrunnlaget «rettslig forpliktelse» .......
8.7.6 Nærmere om behandlingsgrunnlaget «berettiget interesse» ......
8.7.7 Krav til personvernkonsekvensvurdering ....................
8.7.8 Konsekvenser ved brudd på personopplysningsregelverket .......
8.8 Krav til drøfting med tillitsvalgte
8.8.1
8.8.2 Arbeidsmiljølovens krav til drøfting med tillitsvalgte
8.8.3 Krav til prosessen etter personopplysningsregelverket
8.9 Informasjon til de ansatte
8.9.1 Innledning
8.9.2 Arbeidsmiljølovens regler om informasjon til de ansatte .........
8.9.3 Personopplysningsregelverket – krav til åpenhet og informasjon ...
8.10 Evaluering av kontrolltiltaket ...................................
kapittel 9 kameraovervåking på arbeidsplassen ...........
9.2 Forskrift om kameraovervåking i virksomhet – virkeområde ............
9.3 Hva regnes som kameraovervåking? .............................
9.4 Grunnvilkår for kameraovervåking ..............................
9.4.1 Krav til spesifisering av formål ............................
9.4.2 Krav om at kameraovervåking er nødvendig ..................
9.4.3 Krav om behandlingsgrunnlag
9.4.4 Særlige kategorier av personopplysninger
9.4.5 Krav til personopplysningssikkerhet
9.5 Særlige regler for områder hvor «en begrenset krets av personer ferdes jevnlig»
9.6 Varsel om kameraovervåking
9.7 Utlevering av opptak
9.8 Sletting av opptak ...........................................
kapittel 10 arbeidsgivers innsyn i arbeidstakeres e-post, private filer og kommunikasjonsutstyr
10.1 Innledning
10.2 Forskrift om arbeidsgivers innsyn i e-postkasse mv. –bakgrunn og virkeområde
10.3 I hvilke situasjoner kan det gjøres innsyn?
10.3.1 «Nødvendig for å ivareta den daglige driften eller andre berettigede interesser» .................................
10.3.2 «Grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed» ..................
10.3.3 Videresending av e-post når en ansatt slutter
Avtale om innsyn
å protestere
10.4 Prosedyreregler
10.5 Gjennomføring av innsynet ....................................
10.6 Generell bestemmelse om forbud mot overvåking ...................
10.6.2 Bakgrunnen for bestemmelsen og om begreper
10.6.3 Hvilke applikasjoner, systemer og tjenester omfattes av bestemmelsen?
10.6.4 Unntak for overvåking som har som formål «å administrere virksomhetens datanettverk» eller «avdekke eller oppklare sikkerhetsbrudd i nettverket» .............................
10.7 Retningslinjer om innsyn og overvåking av de ansatte ................
kapittel 11 behandling av personopplysninger
11.2 Nærmere om logging og sikkerhetsovervåking ......................
11.3 Ivaretakelse av de ansattes personvern ............................
11.4 Arbeidsgivers rett til å gjøre innsyn i aktivitetslogg ...................
11.5 Har en person rett til innsyn i hvilke ansatte som har gjort oppslag på hans eller hennes sak? ............................................
Vurdering av om personvernforordningen § 15 gir
12.5
12.5.2 Adgangskontroll
12.5.3 Bruk av biometri i forbindelse med adgangskontroll og tilgangsstyring .....................................
Tidsregistrering .......................................
12.6 Smarte kontorbygg ..........................................
12.6.1 Innledning ...........................................
12.6.2 Forholdet til personopplysningsregelverket og reglene om kontrolltiltak .........................................
12.7 Lydopptak av telefonsamtaler og opptak av digitale møter
Innledning ...........................................
12.7.2 Lydopptak og krav etter personopplysningsregelverket ..........
12.7.3 Særskilt om lydopptak ved kundesenter .....................
12.7.4 Opptak av møter og foredrag som gjennomføres digitalt
Rettslig adgang til å foreta rusmiddeltesting
kapittel 13 viderebehandling av personopplysninger for nye formål ..............................................
13.2 Forbud mot viderebehandling for uforenlige formål
13.2.3 Relevant praksis i Personvernnemnda
13.2.4 Oppsummering – kravet til viderebehandling til forenlige formål
13.3 Hvorvidt opplysninger fra ulovlige kontrolltiltak kan legges frem i en rettssak – reglene om bevisavskjæring
kapittel 14 kollektive avtaler om kontrolltiltak og behandling av personopplysninger
14.1 Innledning
14.2 Generelt om tariffavtaler og regulering i norsk rett
14.3 Regulering av tariffavtaler i personvernforordningen
14.4 Nærmere om betydningen av kollektive avtaler som gjelder behandling av personopplysninger
14.5 Valg av behandlingsgrunnlag når grunnlaget for behandlingen er å finne i en tariffavtale .............................................
