1 / 47

Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus

Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus. Foredrag for LO – 29. mars 2011 Bjørn Erik Thon. Disposisjon. Kort om Datatilsynet og det lovverk vi forvalter Kort om regler som regulerer personvern i arbeidslivet Hva innebærer egentlig personvern

cameo
Download Presentation

Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Personvernutfordringer i arbeidslivet - Datatilsynetsstrategi for økt fokus Foredrag for LO – 29. mars 2011 Bjørn Erik Thon

  2. Disposisjon • Kort om Datatilsynet og det lovverk vi forvalter • Kort om regler som regulerer personvern i arbeidslivet • Hva innebærer egentlig personvern • ….og hvordan er ståa i arbeidslivet? • Det totale overvåkingstrykk – en oversikt • Enkelte særlige temaer • Innsyn i epost, fødseslnummer, adgangskontroll, kameraovervåking, sporingsteknologi…..

  3. Datatilsynet Uavhengig forvaltningsorgan Etablert i 1980 Kan ikke instrueres av Kongen eller departementet Administrativt underlagt FAD 40 medarbeidere - Fire avdelinger Juridisk Tilsyns- og sikkerhet Informasjon Administrasjon 03.04.2014 Side 3

  4. Datatilsynet • Håndhever personopplysningsloven, helseregisterloven, helseforskningsloven+ annet lovverk • Saksbehandling • Tilsyn/kontroll • Veiledning/informasjon

  5. Personvernretten • Europeiske menneskerettighetskonvensjon artikkel 8 • ”rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse” • EUs personverndirektiv (direktiv 95/46/EF) • Lov om behandling av personopplysninger av 14. april 2000 (personopplysningsloven) • Forskrift til personopplysningsloven

  6. Hva er personvern • Personvern handler ofte om et føre - var – prinsipp; vi jobber for at det personopplysninger ikke skal komme på avveie • Vi oppnår suksess når ikke noe går galt, og det er i mange sammenhenger en litt utakknemlig oppgav, fordi dette blir en veldig usynlig størrelse 03.04.2014 Side 7

  7. Hva er personvern? - Noen viktige ord – personverntanken. - Samtykke - Informasjon og innsyn - Selvbestemmelse - Sletting - Korrekt informasjon og mulighet for retting av feil - God informasjonssikkerhet som forutsetning for å kunne ivareta personvernet - God internkontroll - Etterprøvbarhet 03.04.2014 Side 8

  8. Parats undersøkelsen fra høsten 2010 • 56% varsles ikke om kontrolltiltak • 55% har ikke evaluert behovet for kontrolltiltak • Kun 43% har fått informasjon om kontrolltiltak • 57% vet ikke hva som er registrert om dem i personalmappen • Og høy vet ikke - andel gjør tallene enda mer nedslående

  9. Hvilke lover og regler gjelder?

  10. En del spesielle forhold kjennetegner arbeidslivet • Det angår nesten alle • Det har stor økonomisk og velferdsmessig betydning • Banalt, men: Vi bruker mye av livet vårt på arbeidsplassen • Et område der de aller fleste har en sjef som i stor utstrekning kan bestemme over oss • Det eksisterer et avhengighetsforhold som gjør at en del av de vanlige personvernkravene kommer under press

  11. Arbeidsmiljøloven • § 9-1.Vilkår for kontrolltiltak i virksomheten • Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren. • (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov.

  12. Grunnkrav til behandling av personopplysninger, § 11 – jf personverntanken Personopplysningene som behandles skal: bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i arbeidsgivers virksomhet. ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, med mindre arbeidstager samtykker. er tilstrekkelige og relevante for formålet med behandlingen. er korrekte og oppdaterte, og ikke lagres lenger enn nødvendig for å gjennomføre formålet med behandlingen. 03.04.2014 Side 13

  13. Krav om behandlingsgrunnlag Ved all behandling av personopplysninger kreves et behandlingsgrunnlag, jf. § 8; samtykke, lov nødvendig for å ivareta en berettiget interesse som ikke overstiger hensynet til den enkeltes personvern Tilleggskrav ved behandling av sensitive personopplysninger, jf. § 9. Alternative grunnlag: Samtykke Lovhjemmel for behandlingen Nødvendig for gjennomføringen av arbeidsrettslige plikter eller rettigheter Den registrerte selv frivillig har gjort opplysningene kjent 03.04.2014 Side 14

  14. Samtykke, § 2 nr. 7 Frivillig uttrykkelig og informert …….erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv Samtykke i arbeidsforhold 03.04.2014 Side 15

  15. Sensitive personopplysninger - § 9 • § 2 nr. 8 – uttømmende oppregning • Rasemessig eller etnisk bakgrunn • Politisk, filosofisk eller religiøs oppfatning • At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling • Helseforhold • Seksuelle forhold • Medlemskap i fagforening 03.04.2014 Side 16

  16. Melde eller konsesjonsplikt? Utgangspunkt: Sensitive personopplysninger = konsesjonsplikt § 33 Andre opplysninger = meldeplikt § 31 Unntak: Personvernombud § 7-12 Unntak fra meldeplikt - men før intern oversikt Personellregistre mv. § 7-16 Ikke-sensitive opplysninger: Hovedregel: Unntak fra meldeplikt Sensitive personopplysninger: Hovedregel: Meldeplikt Internkontroll § 14: Krav om oversikt over behandlinger 03.04.2014 Side 17

  17. Interesseavveiningen etter § 8 bokstav f Arbeidsgivers berettigede interesse Hensynet til den registrertes personvern Berettiget interesse

  18. Forskjellige typer bruk – og muligheter for kontroll Adgangskontroll Aktivitetslogger Kontroll av e-post Kontroll av Internettbruk Kontroll av private filer Kontroll av MSN Kontroll av telefonbruk Medlytting Kameraovervåkning Vandelsattest Kredittvurdering Referansekontroll Veskekontroll Ransaking Kroppsvisitering Personlighetstester Brevåpning Rusmiddelkontroll Printerkontroll Tidsregistrering GPS Produksjonskontroll Plukklister på lager Medarbeiderundersøkelser Helseundersøkelser Innhenting av helseopplysninger Spørsmål om graviditet Private etterforskere Reiseregninger …. 03.04.2014 Side 20

  19. Rettigheter for arbeidstager • Innsyn • Unntak, § 23 • Informasjon • Unntak, § 23 • Retting • Sletting

  20. Innsyn i opplysninger hos arbeidsgiver • Enhver • Grunninformasjon om behandlingen • Den ansatte (og andre som er registrert) • Hva er registrert om meg? • Personalmappe, datasystem, opptak fra overvåkningskamera • Unntak for taushetsbelagte opplysninger (§ 23) • Utilrådelig ( helseopplysninger), rikets sikkerhet, taushetsplikt osv • 30 dagers frist til å svare på en innsynsbegjæring jf. § 16 • Kan kreves skriftlig, jf. § 24

  21. Informasjon til arbeidstager, §§ 19-20 • Informasjonsplikten gjelder når det samles inn opplysninger: • fra den registrerte selv • fra andre enn den registrerte • Det skal gis opplysninger om: • den behandlingsansvarlige, • Hvorfor det samles in personopplysninger, • opplysningene vil bli utlevert, ev. til hvem, • det er frivillig å gi fra seg opplysningene, og • annet som gjør arbeidstager i stand til å ivareta sine rettigheter etter loven, for eksempel krav om innsyn, sletting.

  22. Sletting, § 28 • Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. • Ulike formål = ulike frister for sletting. • Unntak: lagring av opplysninger er regulert i annet regelverk, eksempelvis arkivloven, regnskapslovgivningen • Rutiner for gjennomgang av lagret informasjon: • Hva er nødvendig? • Hvor lenge?

  23. Hva kan (og skal ?) arbeidsgiver samle inn? • Personalia;navn, adresse, fødselsdato og personnummer • Lønnsinformasjon;avtalt lønn, kontonummer, skattekort, bidragsstrekk, … • Opplysning om nærmeste pårørende;navn og telefonnummer i tilfelle skade eller lignende • Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager • Avtaler om lån, hjemmekontor, … • Helseopplysninger innefor rammen av aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen • Vandelsopplysninger KUN dersom lovhjemmel • Kredittvurdering KUN ved stillinger med økonomisk ansvar • Opplysninger som er offentlig tilgjengelig for eksempel på Internett?

  24. Ved ansettelse • Aml. § 13-4 Innhenting av opplysninger ved ansettelse • forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering • Aml. §9-3 Innhenting av helseopplysninger ved ansettelse • forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen. • Aml. §9-4. Medisinske undersøkelser av arbeidssøkere og arbeidstakere • Når det følger av lov eller forskrift • Ved stillinger som innebærer særlig risiko • Når arbeidsgiver finner det nødvendig for å verne liv eller helse

  25. Fødselsnummer - § 12 • Ikke en sensitiv personopplysning • Arbeidsgiver trenger den ansattes fødselsnummer. • Må ikke fremkomme av postsendinger eller telekommunikasjon slik at det er tilgjengelig for andre enn adressaten (POF § 9-2) • ikke utenpå konvolutt eller i åpent kort • fortrinnsvis ikke som KID eller medlemsnummer på regning • kryptering ved bruk i Internettløsninger • sladding av dokumenter før de legges ut på Internett

  26. Hvem skal ha tilgang? • Hovedregel: personopplysninger skal kun være tilgjengelig for personer med tjenstlig behov for slik tilgang. • Eksempler på tiltak mot uautorisert innsyn: • Tilgangsstyring • Taushetsplikt • Logging • Revisjon/kontroll av logger

  27. Adgangskontroll • Behandlingsgrunnlag § 8f) – arbeidsgivers interesse overstiger arbeidstagers personvern • Formål: ivareta interne sikkerhetsmessige forhold • Bruk til andre (uforenlige) formål: krav om samtykke • Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke • Drøftingsplikt, jf. aml. kapittel 9 • Informasjon til ansatte, jf. § 19 • Meldeplikt til Datatilsynet, jf. § 31

  28. Kameraovervåking • Definisjon: vedvarende eller regelmessig gjentatt personovervåkning • Ved overvåkning av sted der begrenset krets av personer ferdes oppstilles det et tilleggskrav om ”særskilt behov”, jf. § 38. • Hva er formålet? Nødvendig? I hvilket omfang? • Formål = setter grenser for hva opptak kan brukes til • Informasjonsplikt: varsle om at overvåking finner sted + meldeplikt til Datatilsynet. • Oppbevaring: maksimalt 7 dager

  29. Sporingsteknologi i kjøretøy • Formål: elektronisk kjørebok, flåtestyring, sikkerhet mv. • Kontrolltiltak etter aml. kapittel 9 = drøftingsplikt • Behandlingsgrunnlag: samtykke eller § 8 bokstav f • Informasjon • Sikkerhetstiltak • Noe ord om eCall

  30. Telefonkontroll • Utgangspunkt: forbudt å avlytte samtaler man ikke selv deltar i • Straffeloven § 145 • Særbestemmelser som skal motvirke hvitvasking • Arbeidsgiver må kunne vise til konkret hjemmel • Opplæring • Personopplysningsloven § 8 bokstav f • Bruk til nye uforenelige formål krever samtykke • Personopplysningsloven § 11 c • Husk informasjonsplikten!

  31. Nye regler om innsyn i e-post mv. • Nytt kapittel 9 i personopplysningsforskriften • vedtatt 29. januar 2009 - i kraft 1. mars 2009 • Formål: klargjøre arbeidsgivers adgang til å gjøre innsyn, samtidig som den ansatte vernes mot urimelig kontroll • I stor grad kodifikasjon av tidligere praksis • skillet privat/virksomhetsrelatert e-post • varsling • Viktige regler som bl.a. fastsetter når det kan gis innsyn, hvordan og hvilke prosedyrer som skal følges

  32. Nye regler om innsyn i e-post mv. - fortsettelse • Personopplysningsforskriften § 9-1 • Arbeidsgivers rett til innsyn i arbeidstakers e-postkasse • arbeidsgiver = den behandlingsansvarlige • Konkretisering av interesseavveiningen i POL § 8 f

  33. Vilkår for innsyn - 1 • Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post : • når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten • Ivareta den daglige driften – arbeidstakers fravær dersom det er god grunn til å tro at det er kommet virksomhetsrelaterte meldinger som arbeidsgiver trenger av driftshensyn. • Berettigede interesser – målestokken er hva man i alminnelighet anser som legitime hensyn ved en virksomhet.

  34. Vilkår for innsyn - 2 • POF § 9-2 • Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post : • b) ved begrunnet mistanke om at arbeidstakerens bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed • Brudd på konkurranseklausul • Nedlastning av barneporno

  35. Prosedyrer for innsyn • POF § 9-3 • Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg • Krav til varslets innhold: • begrunnelse for hvorfor vilkår i § 9-2 anses oppfylt • orientere om arbeidstakers rettigheter etter bestemmelsen • Arbeidstakeren skal så langt som mulig gis anledning til å være tilstede… og har rett til å la seg bistå…

  36. Prosedyrer for innsyn - fortsettelse • Innsyn uten forutgående varsel • arbeidstakeren skal gis skriftlig underretning så snart innsynet er gjennomført: • begrunnelse for hvorfor vilkår i § 9-2 anses oppfylt • opplysninger om hvilken metode for innsyn som ble benyttet • hvilke e-poster/dokumenter ble åpnet? • resultatet av innsynet • Unntak fra varsel og etterfølgende underretning – POL § 23

  37. Unntak fra retten til informasjon • POL § 23 • - til skade for rikets sikkerhet, landets forsvar, forholdet til fremmede maker eller internasjonale organisasjoner • forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger • utilrådelig av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær • lovhjemlet taushetsplikt • intern saksforberedelse • i strid med åpenbare og grunnleggende private eller offentlige interesser

  38. Hva kan man søke etter? • Krav om relevans – nødvendighet • Hva leter man etter? • Kvalitetssikring av søkestreng • hotmailadresse • navn på arbeidstaker • kontrakt • as • Velge en metode som kan etterprøves – notoritet, POF § 2-16 • protokoll – hvem var til stede, hvilken metode ble brukt, søkestreng, hvilke dokumenter ble åpnet mv.

  39. Sletting mv. ved opphør av arbeidsforholdet • POF § 9-4 • E-postkassen skal avsluttesoginnhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid • Den ansatte bør: • slette eventuelle private meldinger • overføre/arkivere virksomhetsrelatert e-post etter avtale med ledelsen • gi beskjed til sine kontakter om eventuell ny adresse for privat og virksomhetsrelatert e-post

  40. Sanksjoner • Pålegg om endring eller opphør av ulovlige behandlinger, jf. § 46 jf. 42, 3. ledd • Overtredelsesgebyr, jf. § 46 • Tvangsmulkt, jf. § 47

  41. Datatilsynet anbefaler • Arbeidsgiver: • Lag instruks for databruk • Involver de ansatte og tillitsvalgte i prosessen • Sørg for etterprøvbarhet ved eventuelt innsyn • Opprett egen e-post adresse for tillitsvalgte osv • Ansatt: • Unngå privat bruk av arbeidsgivers utstyr • Merk mapper og filer med privat innhold • Følg arbeidsgivers instruks for bruk av utstyret

  42. Oppsummering • Arbeidsmiljøloven bestemmer i stor grad når kontroll kan iverksettes, mens personopplysningsloven bestemmer hvordan man kan behandle resultatene fra kontrollen. • Kontrolltiltak bør (skal) drøftes med de tillitsvalgte. • Informasjon til de ansatte er grunnleggende. • Samtykke bør benyttes med forsiktighet i arbeidslivet. • Interesseavveiningen etter § 8 f skal være konkret. • Lagringstiden avhenger av formålet med behandlingen.

  43. Hva nå i Datatilsynet? Personvern i arbeidslivet blir en av hovedsatsingene våre i 2011 Vi vil bl.a. gjennomføre en kartlegging av overvåkningstrykket innen to til tre bransjer Vi vil utarbeide veiledere og informasjonsmateriell Vi vil utarbeide standardbrev arbeidstager kan bruke Vi vil ha tettere samarbeid med partene i arbeidslivet

More Related