Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Materielt innhold – sentrale avveininger

Materielt innhold – sentrale avveininger

Noen utgangspunkter for vurderingen av behovet for nye regler

Kontrolltiltak i arbeidslivet

Som det også fremgår under oversikten over rettstilstanden (kap. 5), representerer kontroll i arbeidslivet et meget vidt spekter av tiltak som kan være motivert ut fra en rekke forskjellige hensyn. Kontrolltiltak spenner fra den helt ”trivielle” kontroll som for eksempel registrering av oppmøtetidspunkt eller at arbeidstaker anvender påbudt verneutstyr til mer inngripende tiltak som kameraovervåking eller rusmiddelkontroll.

Formålet med å iverksette kontrolltiltak kan også være svært forskjellige, både mellom de enkelte kontrolltyper, men også innen samme kontrolltiltak. Formålet med å gjennomføre rusmiddeltesting kan for eksempelvis være alt fra det rent ”image-byggende” (fremstå med sunne verdier) til å forebygge katastrofe-lignende ulykker, f. eks. i forbindelse med passasjertransport. Rusmiddelkontroll og behandling av opplysninger som fremkommer gjennom slik kontroll er i seg selv inngripende i forhold til arbeidstakers personvern, likevel er det klart at formålet kan være av stor betydning for vurderingen av om tiltaket bør være lovlig eller ikke. Ved vurdering av behovet for nye regler om kontroll i arbeidslivet er det naturlig å ha særlig fokus på slike mer inngripende former for kontroll hvor konflikten med arbeidstakers personvern vil være mest fremtredende.

Problemstillinger

Kontrolltiltak i arbeidslivet reiser flere rettslige problemstillinger.

Misligheter som avdekkes ved kontrolltiltak kan medføre arbeidsrettslige konsekvenser for den aktuelle arbeidstakeren. Typiske konsekvenser kan være muntlig eller skriftlig advarsel, oppsigelse eller avskjed. Et eksempel kan være arbeidsgiveren som gjennom sjekk av dataloggen oppdager at en av arbeidstakerne har benyttet arbeidstiden og arbeidsgivers utstyr til ”privat” bruk av Internett og som reagerer med oppsigelse av arbeidstakeren (enten fordi arbeidstiden er benyttet til private formål eller at den aktuelle Internett-bruken anses særlig graverende).

En konflikt mellom partene må i et slikt tilfelle løses gjennom en fortolkning av arbeidsavtalen i vid forstand, dvs at det må søkes avklart i hvilken utstrekning arbeidstakers handlemåte representerer et mislighold av avtalen, samt om det konkrete misligholdet i tilfelle gir grunnlag for oppsigelse, avskjed eller andre reaksjoner etter arbeidsmiljølovens eller tjenestemannslovens regler. At arbeidsrettslige konsekvenser ved misligheter avdekket gjennom kontrolltiltak på denne måten styres av de alminnelige stillingsverns­bestemmelsene synes hensiktsmessig og det er neppe behov for særregler på dette området. Hvordan misligheter avdekkes, om dette skjer gjennom kontroll eller på annen måte, bør i prinsippet være uten betydning for hvilke stillingsvernsregler som anvendes på forholdet (Noe annet er at arbeidsgivers fremgangsmåte for å skaffe opplysningene kan ha stor betydning for sakens utfall, jf. f. eks. kjennelsen i Rt. 2001 s. 668, referert under punkt 5.3.2 (”hemmelig” videoopptak nektet ført som bevis i avskjedssak).

Også arbeidstaker som unndrar seg eller unnlater å medvirke til rettmessige kontrolltiltak kan risikere arbeidsrettslige reaksjoner. Det var f. eks. tilfellet i den svenske saken referert i AD 1991 nr. 45 hvor arbeidsgiver påla samtlige arbeidstakere å avgi urinprøve for å avsløre evt. misbruk av cannabis. To arbeidstakere som på prinsipielt grunnlag nektet å avgi prøve ble oppsagt for ordrenekt. Arbeidstakerne tapte oppsigelsessaken ettersom domstolen kom til at kontrolltiltaket i det konkrete tilfellet var hjemlet i styringsretten og at ordrenekten etter omstendighetene representerte et mislighold som ga grunnlag for oppsigelse. Det vises ellers til punkt 5.5.11 foran.

Også når misligholdet ligger i unnlatelse av å underkaste seg rettmessig kontroll, bør de arbeidsrettlige konsekvenser følge av de alminnelige stillingsvernsreglene og av arbeidsforholdets rett forøvrig. Særregler synes ikke hensiktsmessig.

En tredje viktig problemstilling er spørsmålet om når et kontrolltiltak er rettmessig, dvs. når foreligger det en rett for arbeidsgiver til å iverksette kontroll med en motsvarende plikt for arbeidstakerne til å underkaste seg kontrollen eller medvirke til gjennomføringen av denne?

Rettsgrunnlaget for arbeidsgivers adgang til å iverksette kontrolltiltak er sammensatt og fragmentarisk. Gjennom rettspraksis er det utviklet generelle arbeidsrettslige regler og prinsipper som at kontrolltiltak skal ha saklig grunn og være forholdsmessige. Det finnes til dels omfattende avtaleregulering av rettmessighetsspørsmålet, både i personlige arbeidskontrakter og i tariffavtaler som for eksempel Tilleggsavtale V til Hovedavtalen mellom LO og NHO. Det finnes også sporadisk lov- og forskriftsregulering som på avgrensede områder direkte behandler spørsmålet, samt noe lovgivning som gir føringer, f. eks. enkelte bestemmelser i arbeidsmiljøloven. Gjennomgangen av rettstilstanden i Norge, kap. 5, gir en mer detaljert oversikt over disse reglene.

De prinsippene som er utarbeidet gjennom rettspraksis, og som aktuelle tariffavtaler i vid utstrekning bygger på, synes å gi funksjonelle regler som i praksis er i stand til å ivareta avveiningene mellom arbeidsgivers kontrollinteresse og arbeidstakers personvern. Det er således neppe behov for vesentlige materielle endringer her, men andre hensyn kan tale for å kodifisere gjeldende rett på området. Hensynet til reglenes tilgjengelighet, særlig av hensyn til arbeidsgivere og arbeidstakere som ikke omfattes av relevante tariffavtaler, kan tale for en kodifisering. En kodifisering av gjeldende rett vil sannsynligvis innebære større bevissthet rundt kontrollspørsmål, noe som i seg selv kan bety en styrking av arbeidstakeres personvern. En lovfesting av disse normene vil dessuten gi anledning til eventuelt å klargjøre/presisere de domstolskapte reglene, dersom dette finnes hensiktsmessig. En kodifisering kan stille krav til saksbehandlingen (etter mønster av tilleggsavtale V og arbeidsmiljøloven § 12) og eventuelt regulere andre prosessuelle spørsmål.

Det kan også være behov for å harmonisere reglene om adgang til kontroll med reglene om adgang til å behandle personopplysninger om ansatte som fremkommer som resultat av kontrolltiltak. Selv om dette prinsipielt er to forskjellige spørsmål, er det i praksis svært nær sammenheng mellom regelsettene. Dette kan illustreres ved at dersom arbeidsgiver ikke har anledning til å anvende opplysninger som fremkommer som resultat av et kontrolltiltak, vil det i mange tilfeller heller ikke være saklig grunn til å iverksette tiltaket, som derved vil være urettmessig å gjennomføre. Formålet med mange kontrolltiltak vil nemlig ikke kunne nås med mindre det er adgang til å behandle de opplysninger som fremkommer som et resultat av kontrollen.

Det synes å være behov for ny regulering når det gjelder den fjerde hovedproblemstillingen som gjelder arbeidsgivers adgang til å behandle personopplysninger som fremkommer som resultat av et - forutsetningsvis - rettmessig kontrolltiltak. Dagens regulering av behandling av personopplysninger i personopplysningsloven er ikke tilpasset arbeidslivets særlige behov og gir partene liten praktisk veiledning. Det synes å være behov for å klargjøre rettstilstanden slik at partene gis større forutberegnelighet. Det bør være mulig å komme frem til enkle regler som partene i arbeidslivet klarer å forholde seg operativt til i praksis. I den utstrekning det er behov for å styrke arbeidstakernes personvern, bør dette lovteknisk kunne gjennomføres, samtidig som virksomhetenes behov for å behandle personopplysninger i forbindelse med kontrolltiltak kan ivaretas på en rimelig måte. Dette vil blant annet kunne gjøres ved å gradere vilkårene for behandling av opplysninger om ansatte ut fra hvilke formål og hvilken type opplysninger det er tale om. Det synes ikke å være like hensiktsmessig å anvende en slik teknikk når det gjelder det underliggende arbeidsrettslige spørsmål om rett til å iverksette og plikt til å underkaste seg kontroll. Dette spørsmålet synes i større grad å måtte bero på brede skjønnsmessige vurderinger i det konkrete tilfellet.

Det er de to sistnevnte problemstillingene som behandles i denne rapporten. Selv om det i prinsippet er tale om to klart atskilte problemstillinger, impliserer kontrolltiltak normalt også behandling av personopplysninger om de ansatte som kontrolleres. Et typisk eksempel kan være at opplysninger som fremkommer ved tidsregistrering benyttes som grunnlag for lønnsutbetaling eller som grunnlag for disiplinærforføyning dersom avtalt arbeidstid ikke overholdes. Det er likevel viktig å være oppmerksom på den nevnte sondringen når behovet for nye regler på dette området skal vurderes. Personopplysningsloven regulerer ikke direkte spørsmålet om arbeidsgivers kontrolladgang hvor kontrolltiltaket i første omgang ikke impliserer behandling av personopplysninger i lovens forstand, men har som sagt ovenfor stor indirekte betydning for arbeidsgivers adgang til å gjennomføre kontrolltiltak i bedriftene.

Hva kjennetegner kontrolltiltak i arbeidslivet

Begrepene ”kontroll” og ”overvåking” gir gjerne assosiasjoner til tiltak som gjennomføres i arbeidsgivers interesse, og som per definisjon står i konflikt til arbeidstaker(e)s interesser. I praksis vil kontrolltiltak ofte, i større eller mindre grad, være preget av interessemotsetninger mellom arbeidsgiver og arbeidstakere, dvs. motsetninger mellom bedriftens behov for kontrolltiltak på den ene side og arbeidstakernes ønske om vern av privatlivets fred og vern mot belastende overvåking på den annen side. Dette er imidlertid ikke en dekkende beskrivelse for alle de typer tiltak som dette området omfatter. I mange tilfeller vil partene ha sammenfallende interesser ut fra formålet med kontrolltiltaket, f. eks.. ved personaladministrative oppgaver som lønnskjøring og lønnsfastsettelse, bedriftsintern attføring av yrkeshemmede arbeidstakere eller ivaretakelse av sikkerhetshensyn og andre arbeidsmiljøhensyn.

Spørsmålet om regulering av kontroll og overvåking vil likevel ofte være et spørsmål om avveining av motstridende interesser. Personverninteresser og andre interesser på arbeidstakers side må ses i forhold til interessene som taler for tiltakene, dvs behovet for å sette i verk tiltak eller formålene med tiltakene. I det følgende drøftes de behov og formål som begrunner kontroll og overvåking. Disse sees så i forhold til personverninteressene og andre arbeidstakerinteresser.

Overordnede personverninteresser

Som nevnt ovenfor vil kontrolltiltak i arbeidslivet i mange tilfeller innebære en interessekonflikt mellom virksomhetens behov for kontrolltiltaket på den ene side og arbeidstakernes ønske om vern av privatlivet på den annen side. Denne interessekonflikten avdempes når kontrollen er i arbeidstakers interesse (f. eks. i forbindelse med særskilt tilrettelegging av arbeidet etter reglene i arbeids­miljøloven § 13 eller ved de årlige lønnsjusteringer), eller skal ivareta arbeidsfellesskapets eller samfunnets interesser mht sikkerhet og miljø. Også i slike tilfeller kan imidlertid interessekonflikten gjøre seg gjeldende, typisk fordi arbeidstakeren opplever kontrolltiltaket som uakseptabelt inngripende i seg selv, uavhengig av formålet med tiltaket. Dette kan f. eks. være situasjonen ved rusmiddeltesting eller kontroll av privat e-post motivert ut fra sikkerhetshensyn. Når nye lovregler skal vurderes er det viktig å ha med seg begge aspekter. Det vil si at det i de fleste virksomheter er nødvendig med en viss kontroll av hensyn til driften og oppfyllelsen av plikter og rettigheter i arbeidsforholdet, samtidig som hensynet til de ansattes personvern tilsier at bruken av kontrolltiltak begrenses så langt som mulig og i noen tilfelle også må anses som urettmessig etter sin art, eller fordi kontrolltiltaket vil virke for inngripende i forhold til de formål det er ment å ivareta. Ved vurderingen av hvordan rettstilstanden på området bør være vil alminnelig personvernrettslig teori stå sentralt. Det er derfor hensiktsmessig kort å gjøre rede for hovedpunktene i den såkalte interesseteorien.

Interesseteorien

Personvernrettslig teori kan danne et hensiktsmessig grunnlag for å vurdere om og eventuelt hvordan rettstilstanden bør endres på arbeidslivets område. Teorier om personverninteresser ligger i stor grad bak personopplysningslovens bestemmelser. Den interesseteorien som det gjøres rede for i det følgende er en videreføring av teori som har vært grunnlag for den norske personvernpraksis- og debatt i 20 år. 40Generelt om personverninteressene, se Dag Wiese Schartum og Lee Bygrave: Lærebok i personvern og personopplysningsrett (publ.:www.afin.uio.no/studier/grunnfag/litteratur.html)

Interesseteorien innebærer en identifisering og formulering av hvilke interesser som kan begrunner ulike krav for å beskytte den enkeltes personvern. Teorien avklarer ikke interessenes relevans i ulike situasjoner. Heller ikke sier teorien noe om hvilken vekt personverninteressene skal ha hvis de kommer i konflikt med andre interesser. Interesseteorien er en generell teori utviklet primært med sikte på forholdet mellom individ og stat.

Her nevnes personverninteressene kort og uten sikte på en uttømmende redegjørelse for de aktuelle interesser. I forhold til spørsmålet om kontroll og overvåking i arbeidsforhold knytter interesseteorien seg til innsamling og behandling av opplysninger om enkeltpersoner. Dette utgjør imidlertid bare en del av problemområdet, se nedenfor om integritetskrenkelser.

Personvern defineres i personopplysningsloven som hensynet til personlig integritet, privatlivets fred, tilstrekkelig kvalitet på opplysningene mv (§ 1). Se også NOU 1997: 19 s 21 flg og Ot prp nr. 92 (1998–99) s 19–20.

En av personverninteressene er individets interesse i å bestemme over tilgangen til opplysninger om egen person. Dette er ikke det samme som at den enkelte har interesse av å holde mest mulig for seg selv. Det er i stedet et spørsmål om egenkontroll. Personopplysningslovens vekt på det individuelle samtykke ivaretar denne interessen. Elementer her er krav om konfidensialitet ved behandlingen av opplysningene. Den som opplysningene gjelder skal være trygg på at opplysningene ikke tilflyter uvedkommende. Videre vil det være i den enkeltes interesse at behandlingen bygger på et etablert tillitsforhold mellom den som samler inn og behandler opplysningene og den som opplysningene bygger på. Et slikt tillitsforhold kan etableres for eksempel ved at tiltakene settes i verk på grunnlag av samarbeid eller forhandlinger med arbeidstaker eller representanter for arbeidstakerne. Et annet aspekt er ønsket om å beskytte privatlivet mot utenforståendes innsyn og inntreden. Dette gjelder ikke bare den enkelte selv, men også familie, andre nærstående samt deres felles bolig mv. Denne interessen taler for en begrensning i arbeidsgivers adgang til å avlytte de ansattes telefoner.

En annen interesse knytter seg til et krav om innsyn og kunnskap om behandling av opplysninger. Et aspekt er behovet for informasjon om hvilke regler som gjelder og om egen rettsstilling. Videre er det et behov for at den opplysningene gjelder skal gjøres kjent med at opplysninger samles inn og behandles, samt hvordan dette gjøres. En annen side er at den enkelte også må kunne kreve innsyn i de opplysninger som behandles. I sammenheng med dette vil det gjerne fremmes krav om at beslutninger begrunnes. Dette sikrer blant annet at arbeidstaker blir kjent med hvordan opplysningene blir brukt og gir mulighet til å gripe inn om opplysningene er feil eller blir brukt i strid med forutsetningene for eksempel for et samtykke. Regler om varslingsplikt, kunngjøring og begrunnelse er på denne bakgrunn stikkord som betegner fremgangsmåter for å skape kunnskap. Interessen i innsyn og kunnskap ligger bak for eksempel personopplysningslovens og straffelovens krav om at de ansatte skal vite om eventuell fjernsynsovervåking på arbeidsplassen.

Krav om opplysnings- og behandlingskvalitet er også en personverninteresse. Dette sikter til egnethet i forhold til bruksformål. Opplysningskvalitet handler om opplysningers egnethet for å oppfylle bestemte formål i tråd med behov og forventninger til en viss brukergruppe. Her kan man for eksempel utlede krav til opplysningenes relevans, presisjonsnivå og riktighet. Behandlingskvalitet dreier seg om en tilsvarende egnethet ved rutiner mv for behandling av opplysninger. Dette kan for eksempel bety at opplysninger om helse eller funksjonsevne skal være relevante og nødvendige i forhold til utførelsen av den ansattes arbeidsoppgaver.

Ut fra personverninteressene kan man videre utlede et krav om forholdsmessig kontroll. I dette ligger et ideal om at iverksettelse av tiltak skal bygge på en forholdsmessighet mellom blant annet veiledning og kontroll og mellom forhånds- og etterkontroll. Kontrolltiltak vil ofte være arbeidskrevende og dermed dyre å gjennomføre. Dette tvinger i seg selv frem en forholdsmessighet. Utviklingen av IKT gir imidlertid stadig nye muligheter til å øke kontrollomfanget til akseptable kostnader. Arbeidsgivere kan for eksempel enkelt bruke loggopplysninger fra PC-er for å kontrollere at innsatsen står i et rimelig forhold til bestemmelsene i arbeidsavtalen mv. Forholdsmessighet innebærer også at det bør stilles krav til type tiltak og måten tiltaket gjennomføres på. Virkemiddelet skal med andre ord stå i forhold til målet.

Et siste aspekt som skal nevnes her er krav til brukervennlig behandling av personopplysningene. Dette kan for eksempel bety at kontrolltiltakene skal utvikles, evalueres og eventuelt revideres i samråd med arbeidstaker eller arbeidstakerrepresentanter.

Særlige kjennetegn ved arbeidsavtalen

En rekke kontraktsforhold vil i praksis nødvendiggjøre en viss kontroll og behandling av personopplysninger. Typisk vil långiver før inngåelse av en kredittavtale kreve en rekke opplysninger om låntakers, og kanskje dennes ektefelles, inntekts- og formuesforhold, hvilken tilknytning kunden har til arbeidslivet, hvorvidt kunden er registrert som dårlig betaler osv. Det samme vil i større eller mindre utstrekning være tilfelle ved andre typer avtaler som kjøp av hus, hytte eller bil, i pensjonsforhold, forsikringsforhold, transportavtaler, ved behandling i helseinstitusjoner, kjøp av feriereiser osv.

Det kan reises spørsmål om det er aspekter ved arbeidsavtalen i seg selv som bør ha betydning for hvilke skranker som skal gjelde for adgangen til kontroll og behandling av personopplysninger. Problemstillingen er interessant fra to synsvinkler. For det første om det er særlige karakteristika ved arbeidsavtalen som taler for at en viss kontroll bør kunne finne sted, men også motsatt, hvorvidt det er særlige forhold som taler for at det bør settes begrensninger for kontrolltiltak i arbeidsforhold.

Karakteristisk ved arbeidsavtalen er at den etablerer et personlig forhold; arbeidstaker stiller sin arbeidskraft, kunnskap og person til disposisjon for arbeidsgiver. Ettersom selve kontraktsytelsen er så nært knyttet til arbeidstakeren som person, vil også kontroll med kontraktsoppfyllelsen innebære kontroll av den personlige sfære og således lett oppleves som integritetskrenkende.

Et annet særtrekk ved arbeidsavtalen er arbeidstakers særlige troskaps- og lojalitetsplikt overfor arbeidsgiver. Troskaps- og lojalitetsplikten setter skranker for arbeidstakers handlefrihet i den utstrekning arbeidstaker ved å handle – eller ved å la være å handle – opptrer i strid med arbeidsgivers interesser. Kravet til lojalitet og troskap gjelder ikke bare i forhold til oppfyllelse av arbeidsavtalen i snever forstand, dvs å utføre arbeidet på en måte som er i samsvar med arbeidsgivers interesser, men gjelder også i varierende grad utenfor arbeidstid og arbeidssted. Typisk vil arbeidstaker ikke stå fritt til å ha bierverv som innebærer konkurranse med arbeidsgiver eller fritt fremme private synspunkter om arbeidsgiver eller hans virksomhet.

Troskaps- og lojalitetsplikten er en grunnleggende forutsetning for alle arbeidsforhold. Lojalitetsplikten er imidlertid begrenset, f. eks. ved at den bare gjelder forhold som er relevante og av en viss betydning for arbeidsgivers virksomhet og for forholdet mellom partene. En arbeidsgiver kan således ikke føre kontroll med arbeidsgivers ytringer eller handlinger i sin alminnelighet. Han kan bare kreve tilbakeholdenhet – eller eventuell aktivitet – i den grad det er nødvendig pga. det særlige tilknytningsforhold som arbeidsforholdet etablerer. 41Arne Fanebust, Innføring i arbeidsrett, 1997 s. 114 Rekkevidden av troskaps- og lojalitetsplikten vil variere bl.a. ut fra virksomhetens og stillingens art. Generelt vil lojalitetskravet, med tilsvarende potensiell kontrollinteresse fra arbeidsgiver, være sterkere jo tydeligere arbeidstaker identifiseres med arbeidsgiver og hans interesser. Eksempelvis er valg av privatbil normalt en privat avgjørelse som arbeidsgiver ikke har noe med, men samtidig kan det vel eksempelvis tenkes at Volvo vil anse det svært uheldig om selskapets direktør i fritiden kjører rundt i en SAAB.

For å ivareta sine kontraktsmessige forpliktelser, vil arbeidsgiver nødvendigvis måtte behandle en rekke personopplysninger om arbeidstaker, for eksempel i forbindelse med lønnsfastsettelse og lønnsberegning, ivaretakelse av sykepengeforpliktelser, pensjonsforhold osv. Tilsvarende vil oppsigelse eller annen avvikling av arbeidsavtalen kunne betinge behandling av person­opplysninger, f. eks. ved å etterleve vedtatte utvelgelseskriterier ved en nedbemanningsprosess.

Disse særtrekkene ved arbeidsavtalen viser at elementer av kontroll/behandling av personopplysninger til en viss grad ligger ”innbakt” i avtaleforutsetningene, det kan således være grunnlag for å hevde at det å inngå en arbeidskontrakt i seg selv innebærer et visst avkall på personvern.

Det er imidlertid også sider ved arbeidsavtalen og arbeidsforhold som synes å trekke i motsatt retning. Et trekk ved arbeidsavtalen er at muligheten for vedvarende kontroll og innsyn er mer omfattende enn i de fleste andre kontraktsforhold. For det første legger IKT til rette for å gjennomføre visse kontrolltiltak i den forstand at kontrollen kan være enkel og lite ressurskrevende å gjennomføre (logging, lese e-post osv). Dernest skaper arbeidskontrakten et, ofte langvarig, sosialt forhold mellom kontraktspartene. Denne sosiale relasjonen, nærheten mellom partene i arbeidsforholdet, vil i seg selv gi større mulighet til løpende innsyn og kontroll enn i andre kontraktsforhold. Momentene taler i seg selv for restriktive regler på området.

Overordnede hensyn

Det kan etter underutvalgets syn stilles opp noen overordnede hensyn som åpenbart bør søkes ivaretatt når behovet for nye lovregler om kontroll og behandling av personopplysninger i arbeidslivet skal vurderes.

For det første synes det å være behov for å styrke og klargjøre arbeidstakernes personvern på området. De sentrale elementer i interesseteorien som er beskrevet ovenfor, bør danne utgangspunkt for overveielsene. Et særlig moment er den teknologiske utvikling som gir arbeidsgiver stadig økende mulighet til å utøve omfattende kontroll av arbeidstakerne, både med hensyn til kontrollområder og omfang; samtidig som det kreves mindre ressurser til å gjennomføre kontrollen. Det faktum at kontrollmulighetene er så velutviklet og tilgjengelige gjør det dessuten sannsynlig at de faktisk vil bli benyttet. Selv om arbeidsgiver i utgangspunktet ikke føler særlig behov for eksempelvis å kontrollere de ansattes Internett-bruk, kan den lille ressursinnsatsen som kreves (gjennomgå dataloggen) gjøre det fristende å sjekke ”for sikkerhets skyld”. Et forhold av relativt ny dato er dessuten at det er mulig å kontrollere et stort antall forskjellige forhold gjennom ett eller et meget begrenset antall medier. Som eksempel kan det vises til magnetkortet som brukes både som nøkkel, for å registrere tid og som betalingskort i kantinen, eller dataloggene som kan vise alt fra hvilke dokumenter det har vært arbeidet med, jobbmønster som pauser og tidsforbruk osv., til hvilke sider som er besøkt på Internett.

Et annet overordnet hensyn bør være å ivareta virksomhetens rimelige behov for kontroll og behandling av personopplysninger i forbindelse med kontrolltiltak. Som nevnt ovenfor vil kontrolltiltak ikke nødvendigvis være i konflikt med arbeidstakers interesser, men det generelle utgangspunkt vil likevel alltid være at det er et vilkår for rettmessig kontroll at arbeidsgivers kontrollinteresse må veie tyngre enn hensynet til arbeidstakernes personvern. Det er i denne sammenheng et viktig hensyn at eventuelle nye regler bør være egnet til å ivareta det tempo avgjørelser på dette området ofte må tas i innenfor arbeidslivet.

Et svært viktig hensyn i avveiningene er å sikre brukervennlige regler som sikrer tilgjengelighet og forutberegnelighet. Den kanskje største svakheten med dagens rettstilstand er nettopp at den dels er vanskelig å finne frem i og dels at den gir dårlig veiledning med hensyn til partenes rettigheter og plikter.

Et forhold som står i nær sammenheng med selve kontrolladgangen og behandling av arbeidstakeropplysninger, er måten tiltakene blir gjennomført på. Det er et svært viktig hensyn at avveiningene sikrer forsvarlig saksbehandling, særlig med hensyn til innsyn og annen arbeidstakermedvirkning.

Til slutt må det være et overordnet hensyn å sikre et hensiktsmessig regime for tilsyn og konfliktløsning. Stikkord i denne forbindelse vil kunne være personvern­ombud, tilsynmyndighet (Arbeidstilsyn/Datatilsyn), erstatnings- og/eller straffe­bestemmelser.

Formål med kontrolltiltak i arbeidslivet

Innledning

De ulike kontrolltiltak som gjennomføres i arbeidslivet kan ha svært forskjellige formål. En liste over en del typiske formål som kan ligge til grunn for arbeidsgivers kontrolltiltak kan grupperes slik:

  • Nødvendig administrativ kontroll
  • Kontroll som eksplisitt angår arbeidsinnholdet og virksomhetens formål
  • Kontraktsoppfyllelse
  • Personprofiler
  • Mistanke om mislige forhold
  • Kontroll for å etterprøve ideelle krav hos ansatte og overskudds­maksimering
  • Kontroll av nærstående
  • Særlige inngripende tiltak
  • Vedvarende overvåking

Arten av – og formålet med – kontrolltiltaket har i mange tilfeller betydning for hvor inngripende det vil virke for de ansatte, noe som igjen bør ha sentral betydning ved vurdering av behovet for nye regler på området. I det følgende gis noen korte kommentarer til listen over typiske kontrollformål.

Nødvendig administrativ ”kontroll”

Typiske, men absolutt ikke uttømmende, eksempler på nødvendig administrativ kontroll er tiltak i forbindelse med lønnsutbetaling og lønnsfastsettelse, f. eks.. der tariffavtalene gir anvisning på individuell evaluering ved de årlige lønnsforhandlinger og lønnsjusteringer 42Slike regler forekommer mer og mer i tariffavtalene og er standard i funksjonær- og lederoverenskomstene i privat sektor, men begynner også å vinne innpass i de tradisjonelle arbeideroverenskomstene, f. eks. offshoreavtalene og NKIF-overenskomsten (LO/NKIF – NHO/PIL), og videre ved registrering av fravær, innhenting av opplysninger i forbindelse med ansettelse, omorganisering, nedbemanning osv.

Tiltak i forbindelse med nødvendig administrativ kontroll må i vår sammenheng i prinsippet anses å være uproblematiske og det vil her som regel ikke være naturlig å tale om behandling av personopplysninger som følge av kontrolltiltak, men snarere om behandling av arbeidstakeropplysninger i forbindelse med ordinær personaladministrasjon. Kontrollaspektet vil med andre ord her sjelden være særlig fremtredende. Ny lovgivning bør klargjøre at behandling av personopplysninger som ledd i nødvendig personaladministrasjon kan finne sted uten eksplisitt samtykke fra de ansatte eller annen særskilt hjemmel, forutsatt at opplysningene ikke benyttes ut over formålet og at grunnleggende krav til forsvarlig saksbehandling etterleves, herunder krav til betryggende behandling når det gjelder hvem som har tilgang til opplysningene, sikring av konfidensialitet for øvrig, forsvarlig begrensning av videreformidling av arbeidstakeropplysninger, samt sletting når det ikke lenger er nødvendig å lagre opplysningene.

Kontroll som eksplisitt angår arbeidsinnholdet og virksomhetens formål

Eksempler på kontroll som angår arbeidsinnholdet og virksomhetens formål kan være kvalitetskontroll og annen produksjonskontroll, ivaretakelse av helse-, miljø- og sikkerhetshensyn, herunder kontrolltiltak og behandling av personopplysninger i forbindelse med gjennomføring av arbeidsgivers omsorgsansvar for enkeltansatte, f. eks. i tilknytning til tilrettelegging av arbeidet for yrkeshemmede ansatte. Slike kontrollformål reiser i prinsippet få problemer i forhold til gjeldende rett når det gjelder arbeidsgivers adgang til å foreta kontroll. Behandling av personopplysninger bør her i utgangspunktet være tillatt når selve kontrolltiltaket er berettiget, dvs når behandlingen er relevant eller nødvendig for en forsvarlig ivaretakelse av slike forpliktelser og formål. Det er i dag en viss rettslig uklarhet med hensyn til forholdet til personopplysningslovens regler og en klargjøring vil være ønskelig.

Kontraktsoppfyllelse

Arbeidsgivers kontroll med at ansatte oppfyller arbeids­kontrakten er kanskje det mest klassiske kontrollformålet. Eksempler på slik kontroll er tidsregistrering, kontroll av produksjon og måloppnåelse. Kontrollformålet ”tangerer” langt på vei forrige punkt og løsningen bør også være den samme. Forutsatt betryggende saksbehandling bør arbeidsgiver i utgangspunktet ha anledning til å behandle personopplysninger som fremkommer gjennom kontroll av denne art .

Personprofiler

Med personprofiler siktes det til ”opplysninger som er sammensatt for å beskrive preferanser, adferd, behov, evner m.v.” 43NOU 1997: 19 , s. 148 Poenget er altså at man, gjennom et mønster av personopplysninger trekker slutninger om personlige egenskaper eller personlig fremtidig handlingsmønster. I arbeidslivet er det særlig aktuelt å bruke personprofiler ved ansettelse eller forfremmelse for å trekke slutninger om for eksempel lederegenskaper eller om vedkommende vil kunne være en sikkerhetsrisiko. Det problematiske med personprofiler i et personvernperspektiv er ikke først og fremst at man sammenstiller opplysninger og derigjennom konkluderer om skikkethet osv. (Dette vil i større eller mindre utstrekning være tilfelle i enhver ansettelsessak). Problemet er særlig at modellene som benyttes ved personprofilering kan være upålitelige, samtidig som de fremstår som autoritative og vanskelig å forvare seg mot. Personopplysningsloven § 21 har generelle bestemmelser om informasjonsplikt ved bruk av personprofiler. Bestemmelsen er ikke særlig tilpasset arbeidslivet og det er mulig det bør vedtas særregler for dette.

Mislige forhold

Arbeidsgivers adgang til å foreta kontroll av ansatte ved mistanke om alvorlige mislige forhold og uregelmessigheter er i utgangspunktet klar. Det er imidlertid rettslig usikkerhet med hensyn til hvor vid adgangen er til å behandle opplysninger om de ansatte som fremkommer ved slik kontroll uten samtykke eller annen hjemmel, ut over det som kan utledes av arbeidsforholdets rett (lojalitetsplikt, styringsretten osv), jf. punkt 7.3. om forholdet mellom personopplysningsloven og de arbeidsrettslige prinsipper. Gode grunner tilsier at arbeidsgiver som hovedregel bør kunne behandle slike opplysninger. Arbeidsgiver som gjennom kontroll (eller på annen måte) avdekker misligheter vil regulært ha en beskyttelsesverdig interesse i å eksempelvis lagre en advarsel eller møtereferat på vedkommendes personalmappe. Hensynet til forsvarlig saksbehandling, som også ivaretar arbeidstakers interesse, tilsier også at dette må kunne gjøres.

Ideelle krav til ansatte og overskuddsmaksimering

Et eksempel her kan være undersøkelse av fritids- eller spisevaner for å forebygge fremtidige sykefravær eller kontroll ut fra rene disiplineringshensyn. Slike formål er i seg selv neppe beskyttelsesverdige og det er tvilsomt om det overhodet vil kunne være rettslig grunnlag for å gjennomføre kontrolltiltak ut fra slike formål alene. I den utstrekning kontrolltiltaket ikke er rettmessig, bør det i utgangspunktet heller ikke være grunnlag for å tillate behandling av person­opplysninger i samband med formål av denne art.

Kontroll av nærstående

Arbeidsgivers kontrollinteresse kan rekke videre enn til sine egne ansatte og kan etter omstendighetene også omfatte arbeidstakernes nærstående, for eksempel i forbindelse med kontroll av bierverv eller privatøkonomiske spørsmål. Problemstillingen er sammensatt og vanskelig å generalisere. I utgangspunktet har arbeidsgiver ikke noe med ”å legge seg opp i” nærståendes forhold, som arbeidsgiver jo ikke er i noe kontraktsforhold med. Samtidig er det klart at tungtveiende hensyn etter omstendighetene kan tale både for kontrolladgang og adgang til å behandle de opplysninger som fremkommer gjennom kontrollen. Forvaltningslovens habilitetsregler som gjelder for offentlig ansatte kan for eksempel gjøre det nødvendig for arbeidsgiver å foreta undersøkelser om nærståendes formuesforhold. Private arbeidsgivere vil kunne ha tilsvarende behov. Reglene i helsepersonelloven om legers bierverv kan i denne sammenheng tjene som eksempel.

Særlig inngripende tiltak

Eksempler på tiltak som må anses særlig inngripende, er kontroll av alkohol- og annen rusmiddelbruk, helseforhold, tidligere straffbare forhold eller tidligere mistanke om straffbare forhold, post/korrespondanse, jobbmønster, logging osv. Selv ved slike inngripende tiltak, vil det etter omstendighetene kunne foreligge tungtveiende grunner som både taler for at det bør være en viss adgang til å iverksette kontroll og til å behandle personopplysninger som fremskaffes gjennom kontrollen. Helsekrav eller krav til at arbeidstaker ikke er påvirket av rusmidler kan f. eks. være så viktige at de rettferdiggjør inngripende helsekontroll eller rusmiddelkontroll. Dette kan gjelde personell i særlig risikoutsatte virksomheter (offshorevirksomhet, flytrafikk, skipsfarten og annen transportvirksomhet), for helsepersonell, personell som er utsatt for særlig farlige stoffer, for arbeidstakere innen næringsmiddelindustrien, osv. Det må være en absolutt forutsetning at testmetodene gir sikre resultater og at den ikke gjennomføres på en krenkende måte jf. for så vidt Atomkraftverk-saken, referert i AD 1998, s 97, omtalt under pkt 5.3.2 Reguleringsteknisk vil det antagelig være tilstrekkelig å regulere adgangen til behandling av personopplysninger som fremskaffes gjennom kontrollen. Dersom det ikke er adgang til å behandle opplysningene, vil formålet med kontrollen regelmessig ikke kunne oppfylles og kontrolltiltaket vil da regulært måtte anses som urettmessig.

Uansett vil alle kontrollformer nevnt innledningsvis i avsnittet være av så inngripende art at det bør settes strenge vilkår for adgangen til å behandle opplysningene. Mye kan tyde på at slik behandling bør begrenses til tilfeller hvor den er nødvendig for å oppfylle nærmere angitte formål. Det kan med andre ord fastsettes nødvendighetskriterier, se nærmere under punkt 10.6.3 om dette.

Vedvarende overvåking.

At et kontrolltiltak er vedvarende gjør at det virker særlig inngripende for den som blir kontrollert og bør bare tillates i unntakstilfelle. Det typiske eksempelet på slik vedvarende kontroll er fjernsynsovervåking, og det kan for så vidt vises til personopplysningslovens omfattende regulering av dette (lovens kap. VII, se punkt 5.5.8). Selv om vedvarende overvåkingstiltak innebærer en særlig stor belastning, vil den likevel kunne være nødvendig av sikkerhetsgrunner, f. eks. i banklokaler, i forbindelse med kontroll av kritiske arbeidsoperasjoner i Nordsjøen eller i forbindelse med transportvirksomhet. Som ved andre tiltak av særlig inngripende karakter (jf. ovenfor), må det settes strenge vilkår.

Sum av tiltak

Etter generell personvernteori vil summen av flere kontrolltiltak kunne gjøre kontrollregimet inngripende, selv om hvert enkelt kontrolltiltak i seg selv kan fremstå som lite belastende. Hvert kontrolltiltak vil isolert kunne vurderes å være berettiget, dvs. være saklig begrunnet, forholdsmessig osv. Likevel vil den ”akkumulerte” belastning ved mange tiltak samtidig kunne være så stor at et kontrolltiltak av den grunn blir uakseptabelt. Det kan således være behov for ikke bare å stille vilkår i forbindelse med det enkelte (inngripende) kontrolltiltak, men at det også settes rammer for den samlede kontrollbelastning den ansatte utsettes for. Det samme gjelder i forhold til den totale mengde av arbeidstaker­opplysninger som behandles i virksomheten.

Foreløpig oppsummering - grunnvilkår

Innledning

Det er åpenbart behov for visse kontrolltiltak i alle virksomheter både i privat og offentlig sektor. Utgangspunktet bør være at det er adgang til å iverksette kontrolltiltak og til å behandle personopplysninger om arbeidstakere som fremkommer gjennom kontrollen dersom dette er nødvendig for en forsvarlig personaladministrasjon og for å ivareta sentrale krav til helse-, miljø og sikkerhet ved virksomheten. Det er neppe tungtveiende personvernhensyn som taler mot den dagligdagse løpende og – normalt – nødvendige kontroll som f. eks. tidsregistrering, adgangskontroll, kvalitets- og produksjonskontroll, lønnskjøring, lønnsjustering, fravær, tilrettelegging og tilpasning, kontroll med bruk av sikkerhetsutstyr og sikkerhetssystemer, kontroll ved saklig fundert mistanke om alvorlige misligheter osv. Tungtveiende mothensyn kan likevel gjøre seg gjeldende også her dersom det er tale om inngripende tiltak, f. eks.. der ivaretakelse av helse- og arbeidsmiljø gjør det nødvendig å innhente helseopplysninger eller lignende. Ved de mer inngripende former for kontrolltiltak og behandling av personopplysninger om de ansatte, er det behov for å klargjøre grensene for den rettmessige kontroll og behandling, f. eks.. med hensyn til når samtykke skal være nødvendig for å kunne behandle personopplysninger om de ansatte.

Det synes mulig å angi visse grunnleggende vilkår som generelt må antas å innebære en rimelig avveining av virksomhetens behov for kontroll og behandling av personopplysninger om de ansatte på den ene side og arbeidstakernes krav på vern av sin privatsfære på den annen side. Disse grunnkravene blir behandlet i det følgende.

Begrensning av behovet

Begrensning av behovet for kontrolltiltak og behandling av arbeidstaker­opplysninger bør gjelde som generell norm for alle kontrolltiltak og all behandling av personopplysninger i arbeidsforhold. Dette betyr at før et kontrolltiltak iverksettes skal mindre inngripende alternativer være vurdert. Eksempelvis kan arbeidsgiver i stedet for å kontrollere om de ansatte misbruker arbeidstida til å følge ”Reality-TV” på Internett, vurdere om informasjonstiltak kan være tilstrekkelig eller om tilgangen til aktuelle hjemmesider teknisk kan avskjæres. I stedet for kontinuerlig kameraovervåking som sikkerhetstiltak i en nattåpen bensinstasjon, kan det vurderes om det i stedet bør være flere på vakt osv.

Saklig begrunnet behov

Det enkelte kontrolltiltak eller behandling av personopplysninger bør være underlagt et alminnelig krav til saklighet, dvs at det må være saklig begrunnet ut fra virksomhetens forhold, samfunnshensyn eller av hensyn til den enkelte arbeidstaker. Videre må det kunne kreves at tiltaket/behandlingen skal være egnet til å fremme formålet, og at det ikke blir iverksatt vilkårlig overfor arbeidstakerne.

Det kan generelt legges til grunn at arbeidsgivers utøvelse av styringsretten begrenses av slike alminnelige saklighetsnormer, se ytterligere om dette under punkt 5.2.2. Langvarig rettspraksis konkretisert til spørsmålet om kontrolltiltaks rettmessighet krever det samme, se om de ulovfestede arbeidsrettslige prinsipper under punkt 5.3.2 og gjennomgangen av kasuistikken under punkt. 5.5. Alle aktuelle avtaler som Tilleggsavtale V til Hovedavtalen mellom LO og NHO slår fast det samme prinsippet og dette gjelder dessuten generelt for behandling av personopplysninger, jf. personopplysningsloven § 11.

Forholdsmessighet

Det bør stilles krav om forholdsmessighet mellom formålet og hvor inngripende tiltaket og behandlingen vil virke overfor den eller de ansatte. Forholdsmessighetskravet er slått fast gjennom rettspraksis, og i avtaler mellom arbeidslivspartene, som vilkår for arbeidsgivers kontrolltiltak, se f. eks. punkt 5.3.2. Dette kravet har dessuten nær tilknytning til kravet om begrensning av behovet, jf. ovenfor. Dersom behovet ikke kan fjernes eller begrenses må det i alle fall ikke være mer inngripende enn det som er nødvendig for å oppfylle formålet.

Det må dessuten være et absolutt krav at tiltaket ikke virker krenkende.

Forsvarlig saksbehandling og gjennomføring

Det må stilles krav til forsvarlig saksbehandling og gjennomføring av tiltakene.

Forvarlig saksbehandling og gjennomføring vil stille krav til:

  • Informasjon og drøftelser (forutgående og løpende)
  • Evaluering av behovet og avvikling når formålet er oppfylt
  • Forsvarlig gjennomføring og sikre resultater
  • Sletting av opplysningene når de ikke lenger er nødvendig å oppbevare
  • Rett til innsyn i hvilke opplysninger som behandles
  • Forsvarlig tilsyn og tvisteløsningsmekanismer

Disse punktene er i samsvar med de krav rettspraksis stiller til utøvelsen av arbeidsgivers styringsrett og harmonerer godt med det alminnelige saklighetskrav i arbeidsretten, samt med hovedhensynene i personopplysningsloven og de sentrale elementer i interesseteorien.

En særlig mulighet kan være at arbeidstakerorganisasjonene alltid skal kunne ta spørsmålet om alternative kontrollstrategier mv opp til drøfting med arbeidsgiver. Dersom det ikke er enighet om hva som er et akseptabelt kontrollnivå eller akseptabel kontrollstrategi i virksomheten, bør arbeidstakersiden ha rett til å få protokollført en begrunnet innsigelse mot tiltaket og kontrollmåten. Dersom det senere kommer til strid om lovligheten av kontrollen, eller det oppstår skade pga kontrolltiltaket, vil slike protokolltilførsler kunne ha relevans og telle med i en domstols vurdering av erstatningsplikt mv. For eksempel betinger arbeidsgiver seg at familieopplysninger om en person som søker arbeid som selger, blir tilgjengelig på arbeidsgivers nettsider. Dette kreves av "alle" i bransjen, og fremstår derfor for arbeidssøkende som et standard vilkår, til tross for at ingen av partene anser slike opplysninger som "nødvendige" og det derfor kreves samtykke fra den enkelte.

Nærmere om behovet for nye regler

De fleste av de hovedhensyn som er omtalt under forrige punkt, er som nevnt allerede langt på vei ivaretatt gjennom gjeldende regler i lov og avtaleverk og gjennom ulovfestede arbeidsrettslige regler og retningslinjer hvor også hensynet til vern av de ansattes integritet inngår som sentrale elementer.

Det er sannsynligvis ikke behov for lovfesting av selve kontrolladgangen. Det synes ikke å være behov for materielle endringer og spørsmålet synes ikke så godt egnet for særskilt regulering. Dette bl.a fordi det foreligger et så vidt spekter av mulige kontrollsituasjoner og at lovligheten bør avhenge av en skjønnsmessig vurdering av en lang rekke momenter. Som antydet under vurderingen av lovstrukturskissene (punkt 9.5) og gjennomgangen av hovedproblemstillingene (punkt 10.1.2), er det imidlertid andre grunner som kan tale for å lovregulere de generelle vilkår for arbeidsgivers adgang til å gjennomføre kontrolltiltak.

Etter underutvalgets oppfatning, er det imidlertid åpenbart behov for ny regulering når det gjelder adgangen til å behandle personopplysninger om de ansatte som fremkommer som resultat av kontrolltiltak. Gjennomgangen i foregående kapitler underbygger dette. Det er mye som taler for at det bør innføres generelle bestemmelser som angir de alminnelige vilkår for rett til å behandle opplysninger av denne art, som i Finland og som foreslått i Sverige. Slike generelle bestemmelser om behandling av personopplysninger i arbeidslivet, kan eventuelt suppleres med særregler på enkelte områder. Særlig hensynet til forutberegnelighet, brukervennlige regler og hensynet til å styrke og klargjøre arbeidstakernes personvern på dette området taler for ny og presiserende lovregulering her.

Alminnelige vilkår for behandling av personopplysninger om ansatte

Innledning

Alminnelige vilkår for behandling av personopplysninger kan angis på forskjellig måte og med forskjellig ”styrkegrad”. I det følgende gis en kort omtale av slike vilkår.

Relevanskrav

Den finske loven om integritetsvern i arbeidslivet oppstiller som alminnelig vilkår for behandling av personopplysninger om ansatte at opplysningene har direkte relevans for arbeidstakerens ansettelsesforhold, og for forhold som har å gjøre med håndteringen av rettigheter og plikter mellom arbeidsgiver og arbeidstaker eller med arbeidsoppgavenes særlige karakter. Vilkåret om relevans er absolutt og kan ikke fravikes ved samtykke. Som nevnt også under punkt 4.2 kan det umiddelbart synes som om et krav om ”relevans” alene ikke angir et tilstrekkelig strengt behandlingsvilkår i forhold til personverndirektivet som har et krav om ”nødvendighet” knyttet til nærmere angitte grunner (der behandlingen ikke baseres på lov eller samtykke). Finske myndigheter opplyser imidlertid som nevnt at relevanskravet ikke skal forstås som en innskrenkning i forhold til direktivets krav til nødvendighet, men at spesiallovens relevanskrav er ment å komplementere og presisere direktivets krav.

Nødvendighetskrav

Personverndirektivet (og personopplysningsloven) tillater generelt behandling av personopplysninger dersom nærmere angitte nødvendighetsgrunner er til stede. Også i evt. særregulering kan det stilles krav til nødvendighet, enten som et generelt nødvendighetsvilkår og/eller knyttet opp og kvalifisert til det enkelte tiltak. I det svenske forslaget til lov om beskyttelse av personlig integritet i arbeidslivet, stilles det således opp forskjellige nødvendighetskriterier som vilkår for å behandle private elektroniske opplysninger, helse- og rusmiddelopplysninger, og opplysninger om lovovertredelser. Til det siste foreslås det for eksempel at behandling av opplysninger om lovovertredelser betinger at behandlingen er nødvendig for å bedømme arbeidstakerens eller arbeidssøkerens pålitelighet av hensyn til ”säkerheten för det allmänna eller för arbetsgivarens verksamhet” jf. utkastets § 9”.

Også Breisteinutvalgets forslag til regulering av helseopplysninger i arbeidslivet (NOU 2001: 4) stiller krav om nødvendighet, f. eks. stilles det krav om at innhenting av helseopplysninger ved ansettelse skal være betinget av at opplysningene er ”nødvendige for å utføre de arbeidsoppgaver som knytter seg til stillingen.” 44NOU 2001: 4, s. 104, forslag til ny § 30 B i arbeidsmiljøloven.

Forbud

Det kan tenkes at et tiltak anses å være så inngripende at det ikke finnes nødvendighetsgrunner som i tilstrekkelig grad veier opp for integritetskrenkelsen, og at det derfor må forbys. For eksempel kan det være grunn til å fastsette at arbeidsgiver ikke skal ha adgang til å lese arbeidstakers private e-post. Et slikt forbud kan formuleres absolutt, eller – og som regel mer hensiktsmessig - at det gis unntak for tilfeller hvor arbeidstaker samtykker i tiltaket. Betenkeligheten ved å la arbeidsgiver lese privat e-post og lignende er åpenbart mindre dersom arbeidstaker eksplisitt samtykker til dette.

Konklusjon

Gjennomgangen av mulige vilkår for behandling av arbeidstakeres person­opplysninger, viser at det i en særregulering kan være hensiktsmessig å vurdere en kvalifisering av vilkår ut fra kontrolltiltakets formål og opplysningenes art. Det kan i den forbindelse for så vidt også vises til gjennomgangen under punkt 10.3 av de typiske formål som ligger til grunn arbeidsgivers ulike kontrolltiltak og behandling av personopplysninger i denne forbindelse.

Behov for særregulering på spesielle områder

Problemstilling

Etter underutvalgets syn er det mye som taler for at det er behov for å gi særregler for enkelte særlig inngripende tiltak, og hvor vilkårene kan kvalifiseres som nevnt under foregående punkt.

En særregulering av vilkårene for kontrolltiltak i arbeidslivet bør dessuten, uansett rekevidde, sannsynligvis følges av særlige saksbehandlingsregler og egne regler om tilsyn og konfliktløsning. I den utstrekning det blir foreslått nye lovregler på dette feltet bør det dessuten generelt vurderes å innføre en ordning med ”personvernombud”, se punkt 11.2.4.

Helseopplysninger og rusmiddelkontroll

NOU 2001:4 (Breisteinutvalget)

Breisteinutvalgets innstilling, ble avgitt til Sosial- og helsedepartementet 12. desember 2000. Utvalgets mandat var å kartlegge gjeldende regelverk og praksis vedrørende rettigheter og plikter i forbindelse med innhenting og bruk av helseopplysninger i arbeidslivet, samt foreslå eventuell endringer i regelverket.

Utvalget definerer helseopplysninger som informasjon som kan bidra til å kartlegge personers nåværende og mulige fremtidige helsetilstand. Det avgrenses mot såkalte ”personlighetstester” og helsekrav i forbindelse med sertifikater.

Et flertall i Breisteinutvalget kom til at det foreligger behov for ytterligere lovregler. Begrunnelsen er blant annet at gjeldende rettstilstand fremstår som uklar med spredt regelverk i diverse lover og forskrifter. Utvalget understreker at det har vært vanskelig å få fullgod oversikt over omfanget av bruk av helseopplysninger og helseundersøkelser. Flertallet legger likevel til grunn at de har fått dokumentasjon for at det forekommer en del uheldig praksis på dette området, og at dette er tilstrekkelig til å begrunne et lovforslag.

Et mindretall avga en generell merknad til innstillingen. Mindretallet hevder blant annet at flere arbeidsrettslige spørsmål i forslaget fortsatt er uklare, noe som gjør det vanskelig å konstatere om arbeidstakers helse og personvern vil bli bedre ivaretatt gjennom lovforslaget enn gjennom dagens praksis. Mindretallet poengterer imidlertid at de ser at det kan være behov for ytterligere reguleringer av bruk av helseopplysninger i arbeidslivet, og de er enige i at en slik regulering eventuelt hører hjemme i arbeidsmiljølovgivningen. I følge mindretallet må man komme tilbake til dette ved en nærmere dokumentasjon av behovet for slike reguleringer, og en grundigere utredning av de arbeidsrettslige spørsmål.

Av det samme mindretallet har to fremmet en særskilt dissens. Disse medlemmene anfører at de ikke finner det godtgjort at det foreligger behov for ytterligere lovregulering.

Etter utvalgsflertallets oppfatning bør spørsmålet om plikt til å utlevere helseopplysninger samt underkaste seg helseundersøkelser i arbeidsforhold ha en klar hjemmel i lov.

Utvalget påpeker at det etter gjeldende rett neppe foreligger adgang for arbeidsgiver til å gjennomføre helseundersøkelser eller kreve utlevert helseopplysninger mot arbeidstakers vilje uten lovhjemmel. Konsekvensen av å sette seg til motverge vil imidlertid ofte kunne oppleves som så betydelige at arbeidstaker/arbeidssøker likevel samtykker. I følge utvalgets flertall er bla. avhengigheten til arbeid og arbeidsgiver normalt så stor at det ofte kan være tvilsomt om kravet til frivillighet, som er et vilkår for gyldig samtykke, vil være oppfylt i et arbeidsforhold.

Utvalgsflertallet foreslår å sette strenge rammer i arbeidsmiljøloven for arbeidsgivers adgang til å innhente og bruke helseopplysninger fra arbeidstaker og arbeidssøker. Det foreslås at arbeidsgiver bare skal kunne pålegge medisinske undersøkelser av arbeidstakere, herunder rusmiddeltesting, der dette er bestemt i lov eller forskrift, ved stillinger som kan medføre særlig sikkerhetsrisiko, eller i tilfelle der det er skjellig grunn til mistanke om at arbeidstaker er påvirket av rusmidler og dette kan medføre fare for noens liv eller helse.

Utvalgets flertall er av den oppfatning at en arbeidssøkende bør ha tilsvarende rettslige vern ved innhenting og bruk av helseopplysninger som en arbeidstaker. Det antas at spørsmålet om innhenting og bruk av helseopplysninger er særlig aktuelt i forbindelse med en ansettelsesprosess. Flertallet viser til at arbeidsmiljøloven § 55 A allerede setter grenser for hva arbeidsgiver kan innhente av opplysninger fra arbeidssøker. En rekke av Arbeidstilsynets forskrifter som regulerer medisinske undersøkelser, omfatter tidsperioden før arbeidsstart. I annet regelverk finnes det en rekke krav om forutgående sertifisering og autorisering som også omfatter medisinske undersøkelser. Etter utvalgsflertallets syn bør derfor en lovregulering om helseundersøkelser og bruk av helseopplysninger i arbeidslivet også omfatte arbeidssøkende.

Som tidligere nevnt, påpeker utvalget at det har vært vanskelig å få fullgod oversikt over omfanget av bruk av helseopplysninger og helseundersøkelser. Det antas at en årsak til dette kan være mangelfull registrering hos arbeidsgivere og manglende krav til rapportering til en tilsynsmyndighet. Utvalgets flertall foreslår at arbeidsgivere skal registrere bruk av helseundersøkelser, og at de årlig og summarisk skal rapportere dette til Direktoratet for arbeidstilsynet. Flertallet antar dessuten at Arbeidstilsynet vil kunne ha nytte av en oversikt over utførte helseundersøkelser i arbeidslivet.

Flertallet foreslår at registreringen skal være tilgjengelig for virksomhetens arbeidsmiljøutvalg der slike finnes. Det antas at dette i seg selv vil kunne ha en viss dempende effekt på utbredelsen av bruken av helseundersøkelser.

Utvalgets flertall foreslår at arbeidstaker som mener at medisinske undersøkelser er pålagt uberettiget, kan påklage forholdet til Direktoratet for arbeidstilsynet. Arbeidstakeren skal dessuten kunne kreve erstatning etter samme regler som i arbeidsmiljøloven § 62 annet ledd andre punktum.

I forlengelsen av spørsmålet om det skal kunne kreves helseopplysninger av arbeidstaker/-søker oppstår spørsmålet om gjennomføringsmåte, oppbevaring og bruk av opplysningene. Her er det etter flertallets oppfatning viktig å ha klare regler slik at en arbeidstakers rettigheter og rettssikkerhet blir ivaretatt. Dette må gjøres gjennom lovgivning som tar høyde for den risiko for misbruk som alltid kan eksisterer når det gjelder sensitive opplysninger av denne art. Lovgivningen bør også gi klare vilkår og begrensinger både når det gjelder arten, omfanget og bruken av helseopplysningene og i størst mulig utstrekning knytte det nye lovverket til eksisterende pasient-, helse- og personvernlovgivning.

Etter utvalgets skjønn gir genetiske opplysninger et ufullstendig bilde av en persons/arbeidstakers mulige helserisikoer i fremtiden. Bruk av genetiske opplysninger kan utvilsomt være fordelaktig i noen situasjoner, men til bruk i arbeidslivet er genetiske opplysninger for usikre. Flere momenter, som for eksempel genenes samspill med miljøfaktorer, er ikke kartlagt. Det kan også være grunn til å frykte at man ved å tillate bruk av genetiske opplysninger i arbeidslivet, vil kunne komme til å flytte fokus fra arbeidsmiljøet til individet. Utvalget, med unntak av ett medlem, ønsker derfor å opprettholde gjeldende forbud mot bruk av genetisk informasjon i arbeidslivet, jf. lov om medisinsk bruk av bioteknologi § 6-7.

Innstillingen har vært på alminnelig høring med høringsfrist 1. oktober 2001. Det kom inn 59 eksterne høringssvar, hvorav 33 inneholdt vesentlige merknader til utredningen. I tillegg sa 9 høringsinstanser seg enig i konklusjonene til utvalgets flertall, uten å komme med synspunkter ut over dette.

Høringsinstansene er delt når det gjelder spørsmålet om behovet for lovregulering av innhenting, bruk og oppbevaring av helseopplysninger i arbeidslivet. Arbeidstakerorganisasjonene er, med unntak av Norsk helse- og sosialforbund, overveiende positive. Arbeidsgiverorganisasjonene finner det ikke godtgjort at det foreligger et reguleringsbehov. De fleste høringsuttalelsene kommer fra offentlige etater. I denne gruppen støtter de fleste utvalgets forslag om regulering. Også universiteter og høgskoler er positive til lovregulering.

Når det gjelder spørsmålet om videre oppfølging av NOU 2001: 4, har flere sentrale høringsinstanser uttrykt samme synspunkt. Både Direktoratet for arbeidstilsynet, Yrkesorganisasjonenes Sentralforbund, Finansnæringens hoved­organisasjon, Næringslivets Hovedorganisasjon, Handels- og servicenæringens hovedorganisasjon og Professor Stein Evju anser at forslagene bør følges opp som en del av arbeidslivslovutvalgets arbeid. Både det forhold at en mer omfattende lovutredning skal igangsettes, og at det her er snakk om revisjon av en lov som har sin tilhørighet utenfor Sosial- og helsedepartementet, taler for dette mener Evju.

Underutvalgets vurderinger av Breistein-utvalgets innstilling

Breistein-utvalgets forslag legger opp til en regulering både av adgangen til å kreve helsekontroll og av adgangen til å behandle helseopplysninger. Som underutvalget flere steder er inne på, er det en del momenter som kan tale mot en nærmere regulering av selve kontrolladgangen. Rettstilstanden tilsier at lovregulering av dette spørsmål ikke er nødvendig. Særlig aktuelt i denne sammenheng er det å vise til den svenske integritetsutredningen 45SOU 2002:18, særlig s. 189 flg. Se også punkt 9.5 hvor det redegjøres grundigere for dette. som forgjeves forsøkte å komme frem til en hensiktsmessig regulering av kontrollvilkårene, og til den finske loven om integritetsbeskyttelse i arbeidslivet hvor man så langt heller ikke har lykkes i å regulere dette. Det er i denne sammenheng igjen viktig å understreke den nære forbindelsen mellom spørsmålene om rett til å iverksette kontrolltiltak og rett til å behandle opplysninger som fremkommer som et resultat av kontrollen. Dersom arbeidsgiver f. eks. ikke tillates å behandle resultatene av en rusmiddeltest, vil den normalt ikke være rettmessig å gjennomføre etter de ulovfestede arbeidsrettslige regler. Testen vil være formålsløs og vil derfor regulært ikke kunne sies å ha forankring i et saklig grunnlag.

Når det gjelder de nærmere vilkår som bør kreves for arbeidsgivers behandling av helseopplysninger og rusmiddelkontroll, synes et nødvendighetsvilkår av den art flertallet i Breisteinutvalget har foreslått å være velegnet.

Spørsmålet om særlig regulering av rusmiddelkontroll og helseundersøkelser (og/eller behandling av opplysninger i den forbindelse) må ellers sees i sammenheng med totaliteten i den regulering som til syvende og sist måtte bli foreslått. Underutvalget nøyer seg med disse kommentarer. Underutvalget har for det første av tidsmessige årsaker ikke hatt mulighet til å gå nærmere inn på detaljene i Breisteinutvalgets innstilling. Underutvalget har dessuten ikke hatt tilgang til medisinsk ekspertise som er nødvendig for å foreta en forsvarlig vurdering.

Det vises for øvrig til underutvalgets merknader i gjennomgangen av gjeldende rett under punkt 5.5.3 hvor det også er knyttet enkelte rettspolitiske kommentarer til arbeidsgivers behov for å gjennomføre rusmiddelkontroll og helse­undersøkelser av ansatte.

Personprofiler og personlighetstester

Personprofiler er særlig aktuelt i arbeidsforhold, for eksempel i tilknytning til ansettelse og forfremmelse av arbeidstakere. Det kan av den grunn være behov for å fastsette særlige bestemmelser om bruk av personprofiler i arbeidslivet. For det første kan det være grunn til å definere klarere hva en mener med uttrykket personprofil. For det andre kan det tenkes bestemmelser som fastsetter hvorledes bruk av slike profiler overfor arbeidstakere (og arbeidssøkere) kan skje. For eksempel kan mye tale for å innføre et forbud mot å foreta personalmessige avgjørelser utelukkende på grunnlag av personprofiler, i kombinasjon med en rett til begrunnelse for avgjørelser der personprofiler er blitt anvendt, jf. person­opplysningsloven § 25 om rett til å kreve manuell behandling.

Når det gjelder personlighetstester, er det særlig to hensyn som kan gjøre at disse oppleves som særlig inngripende. For det første kan den konkrete testmetoden være upålitelig og gi usikre resultater. For det andre kan spørsmålene i slike tester være svært ”nærgående” og av privat natur og av den grunn oppleves særlig belastende. Det kan derfor være grunn til å vurdere en bestemmelse for eksempel etter mønster av § 8 i det svenske lovforslaget hvor det både stilles krav til metode og gjennomføring (”..på ett betryggande sätt med testinstrument som är tillförlitliga och av personer med adekvat utbildning”), samt at det stilles krav om samtykke fra abeidstakeren eller arbeidssøkeren.

E-post, Internett, bruk av datalogger

Arbeidsgivers adgang til å kontrollere arbeidstakers bruk av e-post, Internett og bruk av datalogger, er et felt hvor det kan være særlig vanskelig å foreta en hensiktsmessig avveining av arbeidsgivers og arbeidstakers behov. Både det faktum at det er svært enkelt og lite ressurskrevende å gjennomføre kontrolltiltak, at den kontrollerte ikke trenger å medvirke ved kontrollen, og at det kan dreie seg om svært private opplysninger (privat post) taler for strenge vilkår. Samtidig er det klart at arbeidsgiver etter omstendighetene kan ha svært gode grunner for å ”bryte seg inn” på en arbeidstakers ”private” område på en datamaskin, f. eks. ved mistanke om at arbeidstakeren benytter arbeidsgivers utstyr til straffbare handlinger eller for å beskytte virksomheten mot ”datainnbrudd” utenfra. Det antas at hovedregelen bør være samtykke, men at det også bør oppstilles et nødvendighetskrav for å imøtekomme arbeidsgivers behov.

Fjernsynsovervåking og, annen teknisk overvåking og kontroll

Et typisk trekk ved fjernsynsovervåking og annen teknisk overvåking er at den er vedvarende (se også pkt 10.3.10) og/eller at den muliggjør kontroll av et stort antall forskjellige forhold gjennom ett eller et meget begrenset antall medier. Begge momenter gjør at tiltaket virker særlig inngripende for den som blir kontrollert. Samtidig kan arbeidsgivere ha et berettiget behov for, i en viss utstrekning, å benytte slike kontrollformer. Etter omstendighetene kan dessuten arbeidstakernes interesser være sammenfallende med arbeidsgiverens. Dette kan være tilfellet ved fjernsynsovervåking der kontrollformålet eksempelvis kan være å beskytte virksomheten og den ansatte mot ran eller annen voldsutøvelse. Som ved andre tiltak av særlig inngripende karakter er det likevel særlig behov for å begrense rekkevidden av slik kontroll og bruk av personopplysninger i den forbindelse. Det kan for så vidt vises til personopplysningslovens omfattende og strenge generelle regler om fjernsynsovervåking.

Til toppen