personvernutfordringer i arbeidslivet datatilsynets strategi for kt fokus l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus PowerPoint Presentation
Download Presentation
Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus

Loading in 2 Seconds...

play fullscreen
1 / 47

Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus - PowerPoint PPT Presentation


  • 231 Views
  • Uploaded on

Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus. Foredrag for LO – 29. mars 2011 Bjørn Erik Thon. Disposisjon. Kort om Datatilsynet og det lovverk vi forvalter Kort om regler som regulerer personvern i arbeidslivet Hva innebærer egentlig personvern

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Personvernutfordringer i arbeidslivet - Datatilsynets strategi for økt fokus' - cameo


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
personvernutfordringer i arbeidslivet datatilsynets strategi for kt fokus

Personvernutfordringer i arbeidslivet - Datatilsynetsstrategi for økt fokus

Foredrag for LO – 29. mars 2011

Bjørn Erik Thon

disposisjon
Disposisjon
  • Kort om Datatilsynet og det lovverk vi forvalter
  • Kort om regler som regulerer personvern i arbeidslivet
  • Hva innebærer egentlig personvern
  • ….og hvordan er ståa i arbeidslivet?
  • Det totale overvåkingstrykk – en oversikt
  • Enkelte særlige temaer
    • Innsyn i epost, fødseslnummer, adgangskontroll, kameraovervåking, sporingsteknologi…..
datatilsynet
Datatilsynet

Uavhengig forvaltningsorgan

Etablert i 1980

Kan ikke instrueres av Kongen eller departementet

Administrativt underlagt FAD

40 medarbeidere - Fire avdelinger

Juridisk

Tilsyns- og sikkerhet

Informasjon

Administrasjon

03.04.2014

Side 3

datatilsynet4
Datatilsynet
  • Håndhever personopplysningsloven, helseregisterloven, helseforskningsloven+ annet lovverk
    • Saksbehandling
    • Tilsyn/kontroll
    • Veiledning/informasjon
personvernretten
Personvernretten
  • Europeiske menneskerettighetskonvensjon artikkel 8
    • ”rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse”
  • EUs personverndirektiv (direktiv 95/46/EF)
  • Lov om behandling av personopplysninger av 14. april 2000 (personopplysningsloven)
  • Forskrift til personopplysningsloven
hva er personvern
Hva er personvern
  • Personvern handler ofte om et føre - var – prinsipp; vi jobber for at det personopplysninger ikke skal komme på avveie
  • Vi oppnår suksess når ikke noe går galt, og det er i mange sammenhenger en litt utakknemlig oppgav, fordi dette blir en veldig usynlig størrelse

03.04.2014

Side 7

hva er personvern8
Hva er personvern?

- Noen viktige ord – personverntanken.

- Samtykke

- Informasjon og innsyn

- Selvbestemmelse

- Sletting

- Korrekt informasjon og mulighet for retting av feil

- God informasjonssikkerhet som forutsetning for å kunne ivareta personvernet

- God internkontroll

- Etterprøvbarhet

03.04.2014

Side 8

parats unders kelsen fra h sten 2010
Parats undersøkelsen fra høsten 2010
  • 56% varsles ikke om kontrolltiltak
  • 55% har ikke evaluert behovet for kontrolltiltak
  • Kun 43% har fått informasjon om kontrolltiltak
  • 57% vet ikke hva som er registrert om dem i personalmappen
  • Og høy vet ikke - andel gjør tallene enda mer nedslående
en del spesielle forhold kjennetegner arbeidslivet
En del spesielle forhold kjennetegner arbeidslivet
  • Det angår nesten alle
  • Det har stor økonomisk og velferdsmessig betydning
  • Banalt, men: Vi bruker mye av livet vårt på arbeidsplassen
  • Et område der de aller fleste har en sjef som i stor utstrekning kan bestemme over oss
  • Det eksisterer et avhengighetsforhold som gjør at en del av de vanlige personvernkravene kommer under press
arbeidsmilj loven
Arbeidsmiljøloven
  • § 9-1.Vilkår for kontrolltiltak i virksomheten
  • Arbeidsgiver kan bare iverksette kontrolltiltak overfor arbeidstaker når tiltaket har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren.
  • (2) Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltak med mindre annet er fastsatt i denne eller annen lov.
grunnkrav til behandling av personopplysninger 11 jf personverntanken
Grunnkrav til behandling av personopplysninger, § 11 – jf personverntanken

Personopplysningene som behandles skal:

bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i arbeidsgivers virksomhet.

ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, med mindre arbeidstager samtykker.

er tilstrekkelige og relevante for formålet med behandlingen.

er korrekte og oppdaterte, og ikke lagres lenger enn nødvendig for å gjennomføre formålet med behandlingen.

03.04.2014

Side 13

krav om behandlingsgrunnlag
Krav om behandlingsgrunnlag

Ved all behandling av personopplysninger kreves et behandlingsgrunnlag, jf. § 8; samtykke, lov nødvendig for å ivareta en berettiget interesse som ikke overstiger hensynet til den enkeltes personvern

Tilleggskrav ved behandling av sensitive personopplysninger, jf. § 9.

Alternative grunnlag:

Samtykke

Lovhjemmel for behandlingen

Nødvendig for gjennomføringen av arbeidsrettslige plikter eller rettigheter

Den registrerte selv frivillig har gjort opplysningene kjent

03.04.2014

Side 14

samtykke 2 nr 7
Samtykke, § 2 nr. 7

Frivillig

uttrykkelig og

informert

…….erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv

Samtykke i arbeidsforhold

03.04.2014

Side 15

slide16

Sensitive personopplysninger - § 9

  • § 2 nr. 8 – uttømmende oppregning
  • Rasemessig eller etnisk bakgrunn
  • Politisk, filosofisk eller religiøs oppfatning
  • At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
  • Helseforhold
  • Seksuelle forhold
  • Medlemskap i fagforening

03.04.2014

Side 16

melde eller konsesjonsplikt
Melde eller konsesjonsplikt?

Utgangspunkt:

Sensitive personopplysninger = konsesjonsplikt § 33

Andre opplysninger = meldeplikt § 31

Unntak:

Personvernombud § 7-12

Unntak fra meldeplikt - men før intern oversikt

Personellregistre mv. § 7-16

Ikke-sensitive opplysninger: Hovedregel: Unntak fra meldeplikt

Sensitive personopplysninger: Hovedregel: Meldeplikt

Internkontroll § 14: Krav om oversikt over behandlinger

03.04.2014

Side 17

interesseavveiningen etter 8 bokstav f
Interesseavveiningen etter § 8 bokstav f

Arbeidsgivers

berettigede interesse

Hensynet til den registrertes personvern

Berettiget interesse

forskjellige typer bruk og muligheter for kontroll
Forskjellige typer bruk – og muligheter for kontroll

Adgangskontroll

Aktivitetslogger

Kontroll av e-post

Kontroll av Internettbruk

Kontroll av private filer

Kontroll av MSN

Kontroll av telefonbruk

Medlytting

Kameraovervåkning

Vandelsattest

Kredittvurdering

Referansekontroll

Veskekontroll

Ransaking

Kroppsvisitering

Personlighetstester

Brevåpning

Rusmiddelkontroll

Printerkontroll

Tidsregistrering

GPS

Produksjonskontroll

Plukklister på lager

Medarbeiderundersøkelser

Helseundersøkelser

Innhenting av helseopplysninger

Spørsmål om graviditet

Private etterforskere

Reiseregninger

….

03.04.2014

Side 20

rettigheter for arbeidstager
Rettigheter for arbeidstager
  • Innsyn
    • Unntak, § 23
  • Informasjon
    • Unntak, § 23
  • Retting
  • Sletting
innsyn i opplysninger hos arbeidsgiver
Innsyn i opplysninger hos arbeidsgiver
  • Enhver
    • Grunninformasjon om behandlingen
  • Den ansatte (og andre som er registrert)
    • Hva er registrert om meg?
    • Personalmappe, datasystem, opptak fra overvåkningskamera
  • Unntak for taushetsbelagte opplysninger (§ 23)
    • Utilrådelig ( helseopplysninger), rikets sikkerhet, taushetsplikt osv
  • 30 dagers frist til å svare på en innsynsbegjæring jf. § 16
  • Kan kreves skriftlig, jf. § 24
informasjon til arbeidstager 19 20
Informasjon til arbeidstager, §§ 19-20
  • Informasjonsplikten gjelder når det samles inn opplysninger:
  • fra den registrerte selv
  • fra andre enn den registrerte
  • Det skal gis opplysninger om:
  • den behandlingsansvarlige,
  • Hvorfor det samles in personopplysninger,
  • opplysningene vil bli utlevert, ev. til hvem,
  • det er frivillig å gi fra seg opplysningene, og
  • annet som gjør arbeidstager i stand til å ivareta sine rettigheter etter loven, for eksempel krav om innsyn, sletting.
sletting 28
Sletting, § 28
  • Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.
  • Ulike formål = ulike frister for sletting.
  • Unntak: lagring av opplysninger er regulert i annet regelverk, eksempelvis arkivloven, regnskapslovgivningen
  • Rutiner for gjennomgang av lagret informasjon:
    • Hva er nødvendig?
    • Hvor lenge?
hva kan og skal arbeidsgiver samle inn
Hva kan (og skal ?) arbeidsgiver samle inn?
  • Personalia;navn, adresse, fødselsdato og personnummer
  • Lønnsinformasjon;avtalt lønn, kontonummer, skattekort, bidragsstrekk, …
  • Opplysning om nærmeste pårørende;navn og telefonnummer i tilfelle skade eller lignende
  • Opplysning om ansvar for barn og evt. kronisk sykdom for beregning av sykedager
  • Avtaler om lån, hjemmekontor, …
  • Helseopplysninger innefor rammen av aml., særlovgivning og det som er nødvendig for å tilrettelegge arbeidsplassen
  • Vandelsopplysninger KUN dersom lovhjemmel
  • Kredittvurdering KUN ved stillinger med økonomisk ansvar
  • Opplysninger som er offentlig tilgjengelig for eksempel på Internett?
ved ansettelse
Ved ansettelse
  • Aml. § 13-4 Innhenting av opplysninger ved ansettelse
  • forbudt å spørre om seksuell orientering, politiske spørsmål, fagorganisering
  • Aml. §9-3 Innhenting av helseopplysninger ved ansettelse
  • forbudt å be om andre helseopplysninger enn dem som er nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen.
  • Aml. §9-4. Medisinske undersøkelser av arbeidssøkere og arbeidstakere
    • Når det følger av lov eller forskrift
    • Ved stillinger som innebærer særlig risiko
    • Når arbeidsgiver finner det nødvendig for å verne liv eller helse
f dselsnummer 12
Fødselsnummer - § 12
  • Ikke en sensitiv personopplysning
  • Arbeidsgiver trenger den ansattes fødselsnummer.
  • Må ikke fremkomme av postsendinger eller telekommunikasjon slik at det er tilgjengelig for andre enn adressaten (POF § 9-2)
    • ikke utenpå konvolutt eller i åpent kort
    • fortrinnsvis ikke som KID eller medlemsnummer på regning
    • kryptering ved bruk i Internettløsninger
    • sladding av dokumenter før de legges ut på Internett
hvem skal ha tilgang
Hvem skal ha tilgang?
  • Hovedregel: personopplysninger skal kun være tilgjengelig for personer med tjenstlig behov for slik tilgang.
  • Eksempler på tiltak mot uautorisert innsyn:
    • Tilgangsstyring
    • Taushetsplikt
    • Logging
    • Revisjon/kontroll av logger
adgangskontroll
Adgangskontroll
  • Behandlingsgrunnlag § 8f) – arbeidsgivers interesse overstiger arbeidstagers personvern
  • Formål: ivareta interne sikkerhetsmessige forhold
    • Bruk til andre (uforenlige) formål: krav om samtykke
    • Bedriftens system for tidsregistrering kan bruke samme leser og system, men kobling krever samtykke
  • Drøftingsplikt, jf. aml. kapittel 9
  • Informasjon til ansatte, jf. § 19
  • Meldeplikt til Datatilsynet, jf. § 31
kameraoverv king
Kameraovervåking
  • Definisjon: vedvarende eller regelmessig gjentatt personovervåkning
  • Ved overvåkning av sted der begrenset krets av personer ferdes oppstilles det et tilleggskrav om ”særskilt behov”, jf. § 38.
    • Hva er formålet? Nødvendig? I hvilket omfang?
    • Formål = setter grenser for hva opptak kan brukes til
  • Informasjonsplikt: varsle om at overvåking finner sted + meldeplikt til Datatilsynet.
  • Oppbevaring: maksimalt 7 dager
sporingsteknologi i kj ret y
Sporingsteknologi i kjøretøy
  • Formål: elektronisk kjørebok, flåtestyring, sikkerhet mv.
  • Kontrolltiltak etter aml. kapittel 9 = drøftingsplikt
  • Behandlingsgrunnlag: samtykke eller § 8 bokstav f
  • Informasjon
  • Sikkerhetstiltak
  • Noe ord om eCall
telefonkontroll
Telefonkontroll
  • Utgangspunkt: forbudt å avlytte samtaler man ikke selv deltar i
  • Straffeloven § 145
  • Særbestemmelser som skal motvirke hvitvasking
    • Arbeidsgiver må kunne vise til konkret hjemmel
  • Opplæring
  • Personopplysningsloven § 8 bokstav f
  • Bruk til nye uforenelige formål krever samtykke
  • Personopplysningsloven § 11 c
  • Husk informasjonsplikten!
nye regler om innsyn i e post mv
Nye regler om innsyn i e-post mv.
  • Nytt kapittel 9 i personopplysningsforskriften
  • vedtatt 29. januar 2009 - i kraft 1. mars 2009
  • Formål: klargjøre arbeidsgivers adgang til å gjøre innsyn, samtidig som den ansatte vernes mot urimelig kontroll
  • I stor grad kodifikasjon av tidligere praksis
    • skillet privat/virksomhetsrelatert e-post
    • varsling
  • Viktige regler som bl.a. fastsetter når det kan gis innsyn, hvordan og hvilke prosedyrer som skal følges
nye regler om innsyn i e post mv fortsettelse
Nye regler om innsyn i e-post mv. - fortsettelse
  • Personopplysningsforskriften § 9-1
  • Arbeidsgivers rett til innsyn i arbeidstakers e-postkasse
  • arbeidsgiver = den behandlingsansvarlige
  • Konkretisering av interesseavveiningen i POL § 8 f
vilk r for innsyn 1
Vilkår for innsyn - 1
  • Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post :
  • når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten
    • Ivareta den daglige driften – arbeidstakers fravær dersom det er god grunn til å tro at det er kommet virksomhetsrelaterte meldinger som arbeidsgiver trenger av driftshensyn.
    • Berettigede interesser – målestokken er hva man i alminnelighet anser som legitime hensyn ved en virksomhet.
vilk r for innsyn 2
Vilkår for innsyn - 2
  • POF § 9-2
  • Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post :
  • b) ved begrunnet mistanke om at arbeidstakerens bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed
    • Brudd på konkurranseklausul
    • Nedlastning av barneporno
prosedyrer for innsyn
Prosedyrer for innsyn
  • POF § 9-3
  • Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg
  • Krav til varslets innhold:
    • begrunnelse for hvorfor vilkår i § 9-2 anses oppfylt
    • orientere om arbeidstakers rettigheter etter bestemmelsen
  • Arbeidstakeren skal så langt som mulig gis anledning til å være tilstede… og har rett til å la seg bistå…
prosedyrer for innsyn fortsettelse
Prosedyrer for innsyn - fortsettelse
  • Innsyn uten forutgående varsel
  • arbeidstakeren skal gis skriftlig underretning så snart innsynet er gjennomført:
    • begrunnelse for hvorfor vilkår i § 9-2 anses oppfylt
    • opplysninger om hvilken metode for innsyn som ble benyttet
    • hvilke e-poster/dokumenter ble åpnet?
    • resultatet av innsynet
  • Unntak fra varsel og etterfølgende underretning – POL § 23
unntak fra retten til informasjon
Unntak fra retten til informasjon
  • POL § 23
  • - til skade for rikets sikkerhet, landets forsvar, forholdet til fremmede maker eller internasjonale organisasjoner
  • forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
  • utilrådelig av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær
  • lovhjemlet taushetsplikt
  • intern saksforberedelse
  • i strid med åpenbare og grunnleggende private eller offentlige interesser
hva kan man s ke etter
Hva kan man søke etter?
  • Krav om relevans – nødvendighet
  • Hva leter man etter?
  • Kvalitetssikring av søkestreng
  • hotmailadresse
  • navn på arbeidstaker
  • kontrakt
  • as
  • Velge en metode som kan etterprøves – notoritet, POF § 2-16
  • protokoll – hvem var til stede, hvilken metode ble brukt, søkestreng, hvilke dokumenter ble åpnet mv.
sletting mv ved opph r av arbeidsforholdet
Sletting mv. ved opphør av arbeidsforholdet
  • POF § 9-4
  • E-postkassen skal avsluttesoginnhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid
  • Den ansatte bør:
    • slette eventuelle private meldinger
    • overføre/arkivere virksomhetsrelatert e-post etter avtale med ledelsen
    • gi beskjed til sine kontakter om eventuell ny adresse for privat og virksomhetsrelatert e-post
sanksjoner
Sanksjoner
  • Pålegg om endring eller opphør av ulovlige behandlinger, jf. § 46 jf. 42, 3. ledd
  • Overtredelsesgebyr, jf. § 46
  • Tvangsmulkt, jf. § 47
datatilsynet anbefaler
Datatilsynet anbefaler
  • Arbeidsgiver:
  • Lag instruks for databruk
  • Involver de ansatte og tillitsvalgte i prosessen
  • Sørg for etterprøvbarhet ved eventuelt innsyn
  • Opprett egen e-post adresse for tillitsvalgte osv
  • Ansatt:
  • Unngå privat bruk av arbeidsgivers utstyr
  • Merk mapper og filer med privat innhold
  • Følg arbeidsgivers instruks for bruk av utstyret
oppsummering
Oppsummering
  • Arbeidsmiljøloven bestemmer i stor grad når kontroll kan iverksettes, mens personopplysningsloven bestemmer hvordan man kan behandle resultatene fra kontrollen.
  • Kontrolltiltak bør (skal) drøftes med de tillitsvalgte.
  • Informasjon til de ansatte er grunnleggende.
  • Samtykke bør benyttes med forsiktighet i arbeidslivet.
  • Interesseavveiningen etter § 8 f skal være konkret.
  • Lagringstiden avhenger av formålet med behandlingen.
hva n i datatilsynet
Hva nå i Datatilsynet?

Personvern i arbeidslivet blir en av hovedsatsingene våre i 2011

Vi vil bl.a. gjennomføre en kartlegging av overvåkningstrykket innen to til tre bransjer

Vi vil utarbeide veiledere og informasjonsmateriell

Vi vil utarbeide standardbrev arbeidstager kan bruke

Vi vil ha tettere samarbeid med partene i arbeidslivet