Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Skisse til noen hovedregler

Skisse til noen hovedregler

Noen grunnbegreper og vurderingstemaer

Innledning

Ved eventuell særlig regulering av kontroll og/eller behandling av arbeidstaker­opplysninger i arbeidslivet utenfor personopplysningsloven, bør det undersøkes om reguleringen bør bygge på de samme begreper som i denne, eller om det vil være mulig og hensiktsmessig å etablere ”spesialtilpassede” begreper og avgrensninger.

Personopplysning

Personopplysningsloven § 2 nr. 1 har følgende legaldefinisjon :

”personopplysning: opplysninger eller vurderinger som kan knyttes til en enkeltperson”

Begrepet er helt sentralt i oppbyggingen av lovteksten. Selv om definisjonen av begrepet ”personopplysning” kan se enkel ut, reiser den i praksis mange vanskelige tolkningsspørsmål. Vanskelighetsgraden er så stor at det kan hevdes å være uhensiktsmessig å bruke definisjonen dersom målsettingen er å sikre etterlevelse av rettslige reguleringer vedrørende personvern og kontroll innen arbeidslivet. I en særlovgivning bør det kunne vurderes å innføre et avvikende, klarere og ”smalere” begrep, som samtidig ligger innenfor rammene av definisjonene i personopplysningsloven og personverndirektivet. Et slikt snevrere innhold kan fastsettes i en ny legaldefinisjon. For å skape akseptabel sammenheng mellom personopplysningsloven og personverndirektivet, bør den nye legaldefinisjonen være et underbegrep av ”personopplysning”, og må gis en avvikende betegnelse. Det synes nærliggende å bytte ut ”person” og erstatte dette med en betegnelse på den bestemte persongruppe som skal omfattes av reguleringen. Betegnelser som ”arbeidstakeropplysninger” eller ”opplysninger om arbeidstakere” kan således benyttes. Dette er en noe annen løsning enn den som er valgt i helseregisterloven, der ”helseopplysninger” betegner en gruppe av personopplysninger. Her knyttes altså begrepet til innholdet av opplysningene, i stedet for vedkommende persongruppe (jf. ”pasientopplysninger”).

Flere aspekter ved personopplysningsbegrepet skaper tolkingsproblemer som det kan være ønskelig å få redusert:

Definisjonen av ”personopplysning” inneholder både ”opplysninger” og ”vurderinger”. Skillet viser til ulike grader av vurderingspreg, slik at ”opplysninger” innebærer en mer objektiv betegnelse, mens ”vurderinger” gjelder subjektive oppfatninger. Arbeidsgiver vil imidlertid alltid ha et formål og en målsetting som i utgangspunktet kan komme til å farge de fleste opplysningstyper og gjøre dem vurderingspregede. Selv om alder, kjønn og ekteskapelig status er eksempler på opplysninger som normalt er objektive, kan det også her i ytterste fall være usikkerhet og vurderinger knyttet til dem (fødselsattest mangler, strid om gyldigheten av et tidligere ekteskap). I en fremtidig særregulering vedrørende kontroll mv i arbeidslivet synes det å være unødvendig å synliggjøre dette skillet. Etter underutvalgets oppfatning bør derfor kun begrepet ”opplysning” inngå i definisjonen.

”Personopplysning” gjelder enhver opplysning som direkte eller indirekte kan knyttes til en person. Dette gir en meget vid definisjon, som kan innebære at det er mange ledd mellom en person (identitet) og opplysningen som kan knyttes til denne personen. Slik må det i utgangspunktet også være i arbeidslivet. Sjåføren som blir avbildet i automatisk trafikkontroll og som blir identifisert via arbeidsgivers personaloversikt, er eksempel på slik indirekte identifikasjon. Et slikt forhold synes å være aktuelt for særlig klargjøring.

Begrepet ”personopplysning” i personopplysningsloven forutsetter en noenlunde sikker identifikasjon av personene. Dersom det for eksempel er opplysninger som kun er knyttet til et IP-nummer som gjelder en maskin som mange har tilgang til, kan usikkerheten være så stor at opplysningen ikke lenger regnes som ”personopplysning” og således faller utenfor personopplysningsloven. I den utstrekning opplysninger om arbeidstakere faktisk behandles, bør imidlertid ikke usikkerhet mht identifikasjon medføre at forholdet faller utenfor en eventuell lovregulering av kontroll mv i arbeidslivet. Dersom for eksempel alle ti ansatte i en bedrift kunne være den som har lastet ned musikkfiler på en felles maskin og usikkerheten derfor er stor, bør forholdet likevel komme inn under særreguleringen. Arbeidsgiver kan for eksempel være av den oppfatningen at det ”sikkert” er Pettersen som er synderen, fordi han er den eneste som liker sånn musikk. 46I virkeligheten var det imidlertid personaldirektørens sønn som var synderen. Han var utplassert en uke i bedriften som ledd i ungdomsskolens bedriftsprosjekt!

Den siste usikkerheten knyttet til definisjonen av ”personopplysning” som skal nevnes her, er begrensningen knyttet til den ressursinnsats som skal til for å etablere sammenhengen mellom en person og en opplysning. Dersom denne innsatsen er uforholdsmessig stor, sett i relasjon til de personvernmessige implikasjonene, vil opplysningen kunne falle utenfor definisjonen i personopplysningsloven. Dette gjenspeiler også bruken av ”kan” i definisjonen. For å være en ”personopplysning” er det nok at opplysningen kan knyttes til en fysisk enkeltperson. Når det er en uforholdsmessig stor ressursinnsats som skal til, anser en imidlertid at denne muligheten ikke er så reell at den går inn under definisjonen. Det kan være grunn til å vurdere om ordet ”kan” bør utelates fra definisjonen, slik at det avgjørende vil være om opplysningen faktisk er forsøkt knyttet til en arbeidstaker for å bli omfattet av definisjonen. Arbeidsgiver kan på den måten selv avgjøre i hvilken grad han skal behandle opplysninger på en måte som innebærer at den spesielle lovreguleringen kommer til anvendelse.

I henhold til ovennevnte drøftelser, kan en legaldefinisjon i en særregulering antydes slik:

  • Arbeidstakeropplysning: opplysning som er knyttet til en arbeidstaker eller arbeidssøker, og som arbeidsgiver eller noen på hans vegne behandler på grunnlag av lovhjemmel, samtykke eller nødvendighetsgrunn, jf. §?.

Henvisningen til slutt i skissen gjelder referanse til det sted i en lovtekst der eventuelle nødvendighetsgrunner er angitt. Teksten i denne definisjonen er lengre enn den i personopplysningsloven § 2 nr. 1. Imidlertid er mange av de tolkingsspørsmålene som er knyttet til bestemmelsen i personopplysningsloven gitt en eksplisitt løsning i denne skissen til definisjon. Dette må antas å gi en langt enklere rettsanvendelse.

Behandling av personopplysning og lovens saklige virkeområde

Personopplysningsloven gjelder ”behandling av personopplysninger” som defineres som ”enhver bruk av personopplysninger” sammen med en eksemplifisering på bruk. Loven kommer således til anvendelse når behandlingen skjer ved hjelp av elektroniske hjelpemidler eller når opplysningene er eller skal inn i et personregister. I tillegg gjelder lovens kap VII om fjernsynsovervåking uansett om denne er elektronisk eller gjelder "personregistre", dersom opplysninger om enkeltpersoner kan gjenfinnes.

Etter underutvalgets mening kan det være nærliggende at en særregulering, i likhet med det svenske lovforslaget, skal gjelde all bruk av arbeidstaker­opplysninger som er dokumentert i en eller annen form. Det vil i tilfelle ikke være avgjørende om bruken er elektronisk eller knyttet til et register, og det vil ikke være avgjørende hva slags medium eller uttrykksform opplysningene gjelder, så lenge den forefinnes i dokumentert form. Både skrift, bilde, lyd mv bør således være omfattet, alene eller i kombinasjon 47Dette er også tilfellet etter personopplysningsloven dersom opplysningene behandles elektronisk.

Underutvalget er videre av den oppfatning at kriteriene for behandling av arbeidstakeropplysninger bør gjelde selv om opplysningene ikke brukes direkte av arbeidsgiver selv. Dersom for eksempel et vaktselskap eller en samarbeidende virksomhet bruker arbeidstakeropplysninger, må samme kriterier gjelde for disse som for arbeidsgivers egen behandling. I personopplysningsloven betegner ”databehandler” den virksomhet eller person som på denne måten behandler personopplysninger på vegne av arbeidsgiver. Det kan være grunn til å ta høyde for at "databehandler" innen arbeidslivet etter omstendighetene kan være en ”hovedaktør”, nærmest på linje med arbeidsgiver. Gjennom den definisjon av "arbeidstakeropplysning" som skisseres ovenfor, vil loven umiddelbart også gjelde for slike aktører. Likevel kan det være behov for å regulere forholdet mellom arbeidsgiver og "databehandlere" særskilt. Underutvalget er imidlertid i tvil om "databehandler" er det mest hensiktsmessige begrep å benytte, bl.a fordi det er lite treffende for hva et vaktselskap eller en organisasjonskonsulent gjør (og oppfatter seg selv som).

Det synes imidlertid ikke hensiktsmessig la en særregulering gjelde arbeidstakeres bruk av opplysninger om andre arbeidstakere. For slike tilfelle bør personopplysningslovens bestemmelser gjelde på vanlig måte.

Personopplysningsloven har unntaksbestemmelser for bruk av opplysninger for ”rent personlige eller andre private formål” (§ 3 annet ledd), og for ulike formål som gjelder ytringsfriheten (§ 7). I en lovregulering om bruk av arbeidstaker­opplysninger, er det neppe behov for lignende avgrensinger. Arbeidsgivers bruk av arbeidstakeropplysninger for rent private formål, er neppe praktisk dersom man legger til grunn definisjonen av arbeidstakeropplysninger slik den er skissert ovenfor.

Arbeidsgivers ytringsfrihet kan åpenbart ha betydning for hvor stramme grenser en kan sette for bruken av arbeidstakeropplysninger. Det dreier seg likevel om så spesielle situasjoner at det neppe er behov for å fastsette særbestemmelser om dette. Lovbestemmelsene må i stedet tolkes innskrenkende i samsvar med EMK art. 10.

Det geografiske virkeområdet

Hovedregelen etter personopplysningsloven § 4 er at loven gjelder for alle ”behandlingsansvarlige” (se nedenfor) som er etablert i Norge eller når den behandlingsansvarlige er etablert utenfor EØS-området og det blir benyttet hjelpemidler i Norge. Dersom en behandlingsansvarlig ikke er etablert i Norge, men i et annet EØS-land, gjelder vedkommende lands lov for behandling av personopplysninger som skjer i Norge.

Underutvalget mener at en særlov om arbeidsgivers bruk av arbeidstaker­opplysninger og kontroll med arbeidstakere, bør gjelde for alle arbeidstakere som arbeider i Norge, på norsk kontinentalsokkel og eventuelt på norske skip. Alle arbeidstakere med arbeidssted i Norge vil således komme inn under loven, uavhengig av hvor arbeidsgiveren har hovedkontor.

Behandlingsansvarlig

”Behandlingsansvarlig” er i personopplysningsloven § 2 nr. 4 betegnelsen på den instans eller person som har bestemmelsesretten over formålet for behandling av personopplysninger, og som kan bestemme hvilke hjelpemidler som skal brukes. Det er den behandlingsansvarlige som primært har plikter etter loven, og begrepet er derfor av stor betydning. Behandlingsansvarlig vil normalt være styret eller eier av den virksomhet hvor arbeidstaker er ansatt. Denne plasseringen av ansvaret kan etter omstendighetene gjøre at det ikke fremstår noen konkret person å forholde seg til. For å avhjelpe dette, fremgår det av personopplysningsloven § 32 bokstav c at det i tilfelle meldeplikt til Datatilsynet etter § 31 skal oppgis hvem (hvilken person) som har det daglige ansvaret for den behandling av personopplysninger som meldingen gjelder. Det er grunn til å forstå loven slik at også i tilfelle av konsesjonsplikt og når det gjelder unntak fra melde- eller konsesjonsplikt, skal være utpekt en slik person. Dette fremgår imidlertid ikke klart av loven.

"Behandlingsansvarlig" er etter underutvalgets oppfatning et unødig vanskelig uttrykk som det ikke synes behov for å beholde i en særregulering for arbeidslivet. Det primære pliktsubjektet i en slik regulering bør være ”arbeidsgiver”. Arbeidsgiver bør forpliktes til å ha en representant som har det daglige ansvaret for alle IKT-systemer og rutiner ellers der arbeidstakeropplysninger inngår. På hver arbeidsplass (enten den er knyttet til et bestemt sted eller ikke), bør det med andre ord være en person som er arbeidsgivers representant og som kan ta i mot (og eventuelt videreformidle) henvendelser som gjelder bruk av arbeidstakeropplysninger. Vedkommende bør være kjent med de lokale forholdene, men det er sannsynligvis ikke realistisk å kreve "stedlige" representanter.

Tilsvarende bør rettighetssubjektene i en særregulering ikke benevnes ”den registrerte”, ”datasubjektet” eller lignende, men simpelthen ”arbeidstaker”, evt ”arbeidssøker”, sml. personopplysningsloven § 2 nr. 6 og definisjonen av ”registrert”.

Forholdet til grunnleggende krav om nødvendighet og samtykke

Etter personopplysningslovens og personverndirektivets system, må alle som behandler personopplysninger kunne vise til et rettslig grunnlag for behandlingen. Det må således enten foreligge en lovhjemmel, være gitt et samtykke fra den registrerte eller foreligge en nødvendighetsgrunn som anvist i loven selv. Et sentralt punkt ved fortolkningen av personopplysningsloven §§ 8 og 9 er i hvilke situasjoner det er nødvendig å innhente samtykke, og i hvilken grad den behandlingsansvarlige direkte kan vise til en av de nødvendighetsgrunner som loven gir anvisning på, se f. eks. § 8 bokstavene a – f. En særlovgivning for arbeidslivet må bygge på et tilsvarende krav til rettslig grunnlag for arbeidsgiveres rett til å behandle arbeidstakeropplysninger. Det er imidlertid behov for at lovteksten avklarer de tolkningsspørsmål som personopplysningsloven skaper på dette punktet.

Ovenfor skisseres en definisjon av ”arbeidstakeropplysning” som innbefatter elementet ”…og som arbeidsgiver eller noen på hans vegne behandler på grunnlag av lovhjemmel, samtykke eller nødvendighetsgrunn”. Dette legger til rette for at det på hver arbeidsplass eller innen bransjer gjennomføres drøftelser mellom partene i arbeidslivet der det fastsettes hvilke arbeidstakeropplysninger som etter partenes mening for det første er lovhjemlet og for det andre er nødvendig for vedkommende virksomhet/bransje. Arbeidsgiver pålegger for eksempel arbeidstakere å ha mobiltelefon i arbeidet og tillater privat bruk som arbeidstakeren selv skal betale for. Arbeidsgiver betinger seg imidlertid rett til å få tilsendt og gjennomgå spesifiserte regninger for å avgjøre hvilke samtaler som skal gå til fratrekk på lønnsutbetalingene. Arbeidstakerne mener på sin side at regningen bør sendes direkte til den enkelte arbeidstaker som gjennomgår spesifikasjonene og eventuelt stryker ut det de mener er private samtaler. Det vil i et slikt tilfelle foreligge to motstridende standpunkter til hva som er ”nødvendig” for arbeidsgiver å behandle av arbeidstakeropplysninger.

De fleste opplysningstyper som hevdes å være lovhjemlede eller nødvendige å behandle, vil det trolig kunne oppnås enighet om. Enkelte andre vil det være strid om, for eksempel fordi en lovhjemmel er uklar eller fordi det er uenighet om hva som er nødvendig for å inngå eller oppfylle en arbeidsavtale. Slike drøftinger kan konkludere i form av en protokoll der en dels fastslår hva partene er enige om, og dels redegjør for eventuell uenighet. Det vil da foreligge tre hovedsituasjoner:

1)

2)

3)

Enighet om at det foreligger lovhjemmel eller nødvendig­hetsgrunn

Uenighet om det foreligger lovhjemmel eller nødvendighetsgrunn

Enighet om at det ikke foreligger lovhjemmel eller nødvendighetsgrunn, og at samtykke derfor er nødvendig.

Situasjonene 1 og 3 er i utgangspunktet ikke konfliktsituasjoner, jf. dog det som sies nedenfor om krav til samtykke. Situasjon 2 er en situasjon med reell uenighet der spørsmålet om den lovlige adgangen til å behandle arbeidstakeropplysninger senere kan komme på spissen i en klage- eller kontrollsak for tilsynsmyndigheten, eventuelt som en erstatningssak (og i helt spesielle tilfeller som straffesak). Partenes protokollanførsler i spørsmålet om lovlighet vil derfor kunne ha direkte innvirkning på den rettslige bedømmelsen, særlig på spørsmålet om arbeidsgiver kan sies å ha opptrådt aktsomt. Generelt kan et system med drøftinger om det rettslige grunnlaget for å behandle arbeidstakeropplysninger også være positivt for å styrke saksforberedende funksjoner hos arbeidsgiver, og for å bidra til demokratiske og bevisstgjørende prosesser blant partene.

Særlig om samtykke

Det tas for gitt at arbeidsgivers bruk av opplysninger om arbeidstakere delvis vil være basert på samtykke. Underutvalget mener at kravet til frivillighet, uttrykkelighet og informasjon (jf. personopplysningsloven § 2 nr. 7) bør være gjenstand for særlig regulering innen arbeidslivet.

Det vanskeligste her er frivillighetskravet, der ”tvang” ikke nødvendigvis er individuell i vanlig forstand, men virker strukturelt. Med det menes at alle arbeidsgivere kan ha innrettet seg på samme måte, slik at det ikke er noen reell valgmulighet mellom arbeidsgivere. Konkurranse om arbeidskraft vil her kunne være en ”motkraft” og således føre til varierte arbeidsvilkår og valgfrihet. Det er imidlertid grunn til å tro at mange kontrolltiltak innen arbeidslivet er resultat av generelle internasjonale endringer i organisering og gjennomføring av arbeid, der det sjelden vil skje avvik i et omfang som betyr nevneverdig for valgfriheten.

Konsekvenser av å nekte å gi – eller trekke tilbake - særskilt samtykke

Etter personopplysningsloven kan et samtykke i utgangspunktet trekkes tilbake når som helst, med det resultat at den behandlingsansvarlige mister retten til å behandle opplysningene. I et arbeidsforhold vil spørsmålet om behandling av arbeidstakeropplysninger ofte være tett sammenvevd med utførelsen av arbeidet. Det er derfor ikke alltid uproblematisk å trekke tilbake samtykke til å behandle arbeidstakeropplysninger. Det bør muligens overveies om stillingsvernet her bør styrkes, slik at nekting/tilbaketrekking av samtykke til å behandle arbeidstaker­opplysninger som ikke er nødvendig for utførelsen av arbeidet eller for å ivareta lovpålagte og andre sentrale formål i virksomheten, som hovedregel ikke skal kunne få negativ betydning for arbeidstakerne.

Arbeidstakeropplysninger som er integrert med andre vilkår

Ofte vil et samtykke til å behandle arbeidstakeropplysninger henge sammen med andre vilkår i en ansettelseskontrakt og/eller stillingsbeskrivelse. Det vil i slike tilfelle ikke alltid være en klart definert samtykkeerklæring vedrørende arbeidstakeropplysninger som kan trekkes tilbake (jf. ovenfor). Det kan reises spørsmål om en ansatt i slike tilfelle bør kunne bestride at han er bundet av deler av kontrakten/avtalen ved å vise til at det ikke forelå noen reell frivillighet (for eksempel fordi det kan påvises at det ikke finnes selgerjobber som vedkommende person er kvalifisert for, der slike krav ikke stilles).

Internkontroll og sikring av personopplysninger

Internkontrollbestemmelsen i personopplysningsloven § 14 pålegger den behandlingsansvarlige (arbeidsgiver) å etablere og holde ved like tiltak som er nødvendige for å oppfylle krav som er fastsatt i eller i medhold av person­opplysningsloven. Kravet til internkontroll omfatter således loven selv, forskrifter i medhold av loven, og enkeltvedtak som er truffet av Datatilsynet eller Person­vernnemnda (herunder konsesjonsvedtak). Personopplysningsloven §14 gir anvisning på en bred og vurderingspreget prosess der arbeidsgiver skal finne frem til hva som er ”nødvendig”. En mulig kilde til medbestemmelse og styrket personvern, oppstår dersom lovgiver etablerer en bredere deltakelse i denne internkontrollvurderingen enn det loven direkte forutsetter for så vidt gjelder arbeidstakeropplysninger.

Kravet til internkontroll har ingen parallell i direktivet, og foreskriver bare en aktivitet for å sikre at lovens øvrige (og dermed direktivets) krav blir etterlevet. En nærmere detaljering i nasjonal lovgivning av hvordan sentrale aktører bør gå frem for å sikre lovlydig praksis, må så vidt underutvalget kan forstå, være helt uproblematisk i forhold til forpliktelsene etter direktivet.

En tilpasning av § 14 til arbeidslivsområdet kan ha minst tre hovedelementer. For det første kan loven fastsette at arbeidsgiver skal gjennomføre internkontroll i samarbeid med tillitsvalgte. Tillitsvalgte kan være personvernombud, eller intern­kontrollarbeidet kan legges til arbeidsmiljøutvalgene eller et underutvalg av disse.

For det andre kan loven fastsette at partene ved uenighet om hva som er ”nødvendig” for å etterleve loven mv skal gjennomføre drøftinger. Det bør kreves at det føres protokoll fra drøftingene, og at uenighet om hva som er nødvendige tiltak protokollføres. Personopplysningsloven sier ingen ting om hva slags metodikk som skal følges for å vurdere behovet for tiltak. Den sier heller ingen ting om hvor ofte vurderinger skal gjennomføres, eller hvordan tiltak skal dokumenteres. En mulighet er gjennom særregulering å gjøre slike (og andre) prosessuelle spørsmål til gjenstand for drøftinger. Slike drøftinger vil i alle fall kunne ha betydning i tre henseender:

· Drøftinger vil kunne være bevisstgjørende for begge parter.

· Drøftinger med krav om protokollføring av uenighet vil kunne skjerpe aktsomheten, ettersom protokoller og dokumentasjon fra prosessen for øvrig, vil være relevant materiale ved vurdering av erstatningsansvar etter personopplysningsloven § 49. Det kan også tenkes at protokollførsler blir gjort direkte relevant for erstatningsansvaret, for eksempel fordi kravet til aktsomhet skjerpes dersom skaden har oppstått pga av forhold der arbeidstakersiden har protokollført krav om retting.

· Det kan innvendes at drøftingsplikt om internkontroll sannsynligvis vil innebære at internkontrollarbeidet blir mer omfattende og tidkrevende. I den sammenheng er det grunn til å fremheve at internkontrollen er knyttet til ”nødvendighet”, og at arbeidet både kan og skal tilpasses de konkrete behov for personvernbeskyttelse. For det andre vil drøftingsplikten bare gjelde arbeidstakeropplysninger. Det innebærer at store deler av personopplysningene ellers (kundeopplysninger mv), ikke vil være gjenstand for særskilt regulering.

Arbeidet med informasjonssikkerhet etter personopplysningsloven § 13 skal være omfattet av virksomhetens internkontroll. Sikring av konfidensialitet, integritet og tilgjengelighet, er imidlertid så sentralt at det kan være grunn til å regulere dette særskilt, dvs eksplisitt gjøre spørsmål om sikring av arbeidstakeropplysninger til gjenstand for drøftinger.

Innsyn mv

Kontroll kan ses som arbeidsgivers ”innsyn” i arbeidstakeres forhold. Arbeidstakeres innsyn kan tilsvarende ses som ”motkontroll”, dvs som en mulighet for arbeidstakere til å ettergå arbeidsgiver og kontrollere at denne ikke har gått ut over sin kompetanse til å behandle opplysninger om arbeidstakere mv. Underutvalget antar at styrken i arbeidstakeres innsynsrettigheter vil kunne være av stor betydning for i hvilken grad arbeidstakere vil akseptere kontrolltiltaket. Det er derfor grunn til å spørre om arbeidstakeres innsynsrettigheter til arbeidstakeropplysninger bør styrkes i forhold til de rettigheter som følger av personopplysningsloven § 18.

Styrkede innsynsrettigheter vil eventuelt gjelde arbeidstakeropplysninger, og ikke andre personopplysninger i virksomheten (dvs ikke om kunder, eiere o.a.). For det første kan en tenke seg at området for innsyn kan utvides i forhold til dagens generelle regler i § 18. Disse bestemmelsene er omfattende og trolig langt på vei tilfredsstillende for arbeidstakerne. Det kan imidlertid være grunn til å bedre situasjonen ved mer eksplisitt å legge til rette for "kontroll av kontrolløren". Det bør således vurderes å pålegge arbeidsgiver å føre en fortegnelse over alle systematiske kontrolltiltak som er rettet mot arbeidstakere. Videre bør arbeidstakere få en eksplisitt rett til å få innsyn i slike opplysninger. En slik rett bør ikke være unntaksfri, og det kan for eksempel være behov for unntak dersom innsynet vil motvirke kontrolltiltaket. Etter underutvalgets mening, er det likevel grunn til å tro at informasjon om kontrolltiltak som oftest vil ha en preventiv effekt. Faren for omgåelse, og dermed en svekkelse av kontrolltiltak, vil alltid måtte inngå i arbeidsgivers risikovurdering, og mottiltak for å hindre omgåelse av arbeidsgivers kontroll vil alltid måtte vurderes iverksatt.

For det andre kan en tenke seg at det blir etablert en plikt for arbeidsgiver til å utarbeide statistikk og andre sammenstilte opplysninger som viser et samlet bilde av kontrolltiltakene. Arbeidsgiver kan med andre ord pålegges å gjøre visse hovedresultater fra kontrollrutiner allment kjent blant virksomhetens ansatte.

For det tredje kan en tenke seg innsynsrettighetene styrket ved å endre kriteriene for å få tilgang til de aktuelle opplysningene. Etter personopplysningsloven § 18 er innsynsrett betinget av at dette begjæres av den innsynsberettigede. En mulighet er at alle arbeidstakere skal ha tilgang til opplysninger om dem selv uten slik begjæring. Dette kan for eksempel skje ved at det opprettes en ”konto” for hver arbeidstaker, og at de respektive personer skal ha tilgang til opplysningene på ”deres” konto. Teknisk kan dette la seg gjøre ved å bruke ”nettbankteknologi”, dvs med forholdsvis strenge beskyttelsesrutiner. Forutsetningene må være at alle opplysninger som er registrert om en arbeidstaker i rutiner som arbeidsgiver anvender for kontrollformål, normalt må være tilgjengelig for de arbeidstakere det gjelder. Heller ikke en slik rettighet kan være unntaksfri, for eksempel bør en unnta opplysninger som gjelder etterforskning av en arbeidstaker, jf. personopplysningsloven § 23 bokstav b.

En innvending som kan reises mot å lovfeste de plikter som her er skissert, er at de kan virke (unødig) ressurskrevende å etterleve, særlig for mindre virksomheter. Det er imidlertid grunn til å forutsette en viss grad av forholdsmessighet mellom kontrolltiltak på den ene side og innsyns-/åpenhetstiltak knyttet til kontrollen på den annen side. En mulighet er å angi at tiltakene for å skape innsynsrettigheter skal stå i et rimelig forhold til den ressursinnsats som selve kontrolltiltaket krever, og at spørsmålet skal være gjenstand for forhandlinger. Dersom partene ikke når enighet, kan spørsmålet for eksempel avgjøres av Datatilsynet eller Arbeidstilsynet.

Etter det underutvalget kan forstå, oppstår det ingen konflikt mellom nevnte muligheter for regler og bestemmelsene i personverndirektivet. Forutsetningen er at reglene gir arbeidstakere minst like godt vern som etter de generelle reglene, noe de forslagene som er beskrevet ovenfor åpenbart vil innebære. Det er ikke anledning til å vedta særregler som i praksis kan gi dårligere innsynsrettigheter enn etter de alminnelige bestemmelsene i personopplysningsloven § 18. De bedringer i innsynet som måtte følge av interne drøftinger på den enkelte arbeidsplass, vil normalt innebære en fleksibel tilpasning til praktiske behov.

Saksbehandlingsregler og tilsyn

Innledning

En lovregulering av adgangen til kontroll og behandling av arbeidstaker­opplysninger i arbeidslivet bør også inkludere særlige regler om saks­behandlingen. Det bør her vurderes å ”kodifisere” de vel utprøvde saksbehandlingsreglene som er fastsatt i de særlige avtalene om kontroll i arbeidslivet, f. eks. etter mønster av Tilleggsavtale V til Hovedavtalen mellom LO og NHO, se punkt 5.3.3.

Tilsyn og konfliktløsning

En helt avgjørende del av et fremtidig regime som kan ivareta arbeidstakeres personvern og legge til rette for akseptabel kontroll og styring fra arbeidsgiver, er det tilsynssystem som kan bli etablert for å sikre at arbeidsgiver etterlever sine plikter og som legger til rette for realisering av arbeidstakeres rettigheter. I det følgende vil underutvalget gi noen korte vurderinger av muligheter for tilsyn og kontroll med arbeidsgivers behandling av arbeidstakeropplysninger. Underutvalget vurderer ikke alle enkeltheter i slike tilsynsordninger, og kommer således ikke inn på viktige momenter som tilsynsmyndighetenes adgang til bygninger, informasjonssystemer, tilgang til assistanse, taushetsplikter, adgang til å ilegge tvangsmulkt mv. Disse og andre spørsmål er det imidlertid nødvendig å komme tilbake til i en eventuell senere lovutredning.

Datatilsynets og andre tilsynsmyndigheters rolle

I følge personopplysningsloven er Datatilsynet den myndighet som skal føre det daglige tilsynet med at denne loven med forskrifter blir etterlevet, se § 42 nr. 3. Datatilsynet skal også behandle enkeltsaker i første instans (herunder konsesjoner), og kan som ledd i gjennomføringen av sine vedtak i enkelte tilfelle ilegge tvangsmulkt (se §§ 42 nr. 2 og 46, jf. § 47). Personopplysningsloven angir også en lang rekke andre oppgaver som Datatilsynet skal utføre, herunder vedrørende spørsmål om informasjon, veiledning, rollen som "vaktbikkje", premissleverandør, høringsinstans mv, se § 42.

I tillegg til å ha oppgaver etter personopplysningsloven har Datatilsynet oppgaver etter flere andre lover, herunder helsepersonelloven, helseregisterloven, lov om Schengen informasjonssystem og lov om elektronisk signatur. Det er grunn til å tro at Datatilsynet gradvis vil få ytterligere oppgaver i henhold til særlovgivning. Dette skyldes særlig den økte oppmerksomhet rundt spørsmål om behandling av personopplysninger, og behov for særregulering på andre områder, lignende de vi her har argumentert for på arbeidslivsområdet.

Datatilsynet har i dag 30 ansatte, herunder 5 teknologer, 4 informasjonsfaglig ansatte og 14 jurister. Da personopplysningsloven ble vedtatt var det en hovedmålsetting å frigjøre mer tid for Datatilsynet, slik at tilsynsorganet i langt større grad enn tidligere kunne ha kapasitet til å kontrollere at lovgivningen, konsesjonsvilkår mv faktisk ble etterlevet. Dette var en hovedårsak til at konsesjonsplikten ble vesentlig redusert ift personregisterloven, og til at meldepliktordningen ikke ble forutsatt å innebære faste krav til saksbehandling fra Datatilsynets side.

Etter underutvalgets syn er det grunn til å peke på at Datatilsynet må antas å ha begrenset kapasitet og i fremtiden trolig fortsatt ikke vil være i stand til fullt ut å utføre de tilsyns- og informasjonsoppgaver som bør kreves. Det er også grunn til å anta at den faglige kompetansen i Datatilsynet vil være for begrenset ift de særlige behov som eksisterer innen arbeidslivet. Som denne utredningen på flere punkter har vist, kan ikke personvernrettslige spørsmålene innen arbeidslivet ses isolert fra de arbeidsrettslige spørsmålene. Det er derfor avgjørende å etablere tilsynsordninger der en sikrer tilstrekkelig kompetanse innen begge felt. En mulighet kan selvsagt være å gjøre Datatilsynet i stand til å spesialisere seg innen det arbeidsrettslige feltet. Datatilsynet har imidlertid allerede i dag meget vide oppgaver, som omfatter flere felt der det kreves spesialisert fagkunnskap i kombinasjon med personvernfaglig kompetanse.

Datatilsynets oppgaver er knyttet til ”behandling av personopplysninger”, mens Arbeidstilsynets oppgave er knyttet til ivaretakelsen av ansattes arbeidsmiljø. Etter underutvalgets syn vil det verken være mulig eller ønskelig å konstruere et strengt skille mellom de to myndighetenes arbeidsområder. Det er åpenbart at personvernet på en arbeidsplass kan ha stor betydning for arbeidsmiljøet, samtidig som ikke alle personvernspørsmål kan sies å være knyttet til behandling av personopplysninger.

Innen arbeidslivet bør Arbeidstilsynet gis en rolle i arbeidet med å vareta personvern og å forhindre urimelig kontroll av arbeidstakere. I den grad arbeids­givere behandler helseopplysninger, bør det også vurderes å gi Helsetilsynet en slik rolle. Underutvalget går med andre ord inn for en tilsynsordning som er basert på en arbeidsdeling og et samarbeid mellom flere involverte tilsynsmyndigheter, i det minste mellom Datatilsynet og Arbeidstilsynet. Underutvalget ser det dessuten som avgjørende at de organisasjonsmessige og prosessuelle løsningene for dette samarbeidet er slik at det innebærer en bred og forsvarlig saksbehandling både av enkeltsaker og av saker av generell karakter (forskrifter mv).

Personverndirektivets art. 28 nr. 1 stiller krav om at tilsynsmyndigheten etter direktivet fullt ut skal være uavhengig av nasjonale myndigheter. Direktivet gir imidlertid rom for at det er flere myndigheter innenfor dette området. Kravet til uavhengighet innebærer for det første at verken departementer eller regjeringen kan instruere de tilsynsmyndigheter som arbeider med saker i henhold til direktivet. Dersom Arbeidstilsynet (eventuelt Helsetilsynet) skal treffe avgjørelser i saker som er omfattet av direktivets bestemmelser, må denne saksbehandlingen med andre ord skje i full uavhengighet. En ytterligere effekt er at klageinstansen må være uavhengig på samme måte. Etter arbeidsmiljøloven kan avgjørelser som er truffet av de lokale arbeidstilsyn klages til Direktoratet for arbeidstilsynet, og vedtak der Direktoratet for arbeidstilsynet er førsteinstans kan klages videre til departementet (se aml § 77 nr. 6). Ingen av disse klageordningene vil være i overensstemmelse med personverndirektivet. Det betyr at i saker der arbeids­tilsynsmyndighetene eventuelt treffer vedtak innen personverndirektivets område, må det gjøres bruk av en annen klageordning enn dagens.

En mulig løsning er å oppnevne en ny uavhengig klageinstans. Etter under­utvalgets syn vil det imidlertid være åpenbart problematisk å ha to uavhengige klageinstanser innen personvernområdet. En annen mulighet som underutvalget spesielt vil fremheve, er å gi Personvernnemnda kompetanse til å avgjøre alle saker som ligger innenfor personverndirektivets område, uavhengig av om vedtak i første instans treffes av Datatilsynet, arbeidstilsynsmyndighetene eller Helsetilsynet. Det bør således vurderes å gjøre Personvernnemnda til klageinstans også i henhold til særlovgivning innen arbeidslivet. Nemnda tilfredsstiller person­verndirektivets krav til uavhengighet, og består av 7 medlemmer, hvorav leder og nestleder er oppnevnt av Stortinget, se personopplysningesloven § 43. Representantene i Nemnda kan eventuelt oppnevnes slik at det sikres en tilfredsstillende spredning av kompetansen. Det bør også utredes nærmere om partene i arbeidslivet kan bli representert i Personvernnemnda, eventuelt i kombinasjon med et økt antall nemndsmedlemmer.

Personvernombud og egenkontroll

Personvernombud etter personopplysningsloven

Forskriften til personopplysningsloven forutsetter at det kan opprettes ”personvernombud”, se personopplysningsloven § 7-12. Personvernombudet er ikke omtalt i loven, men det følger av personverndirektivet art. 18 nr. 2 annet strekpunkt at slike ordninger kan etableres, jf. ot. prp. nr. 92 (1998-99) s 57. I forskriftene til loven er personvernombud nevnt i samband med regler for unntak fra meldeplikt etter personopplysningsloven § 31 første ledd. Forskriften fastsetter at Datatilsynet kan gi unntak fra meldeplikten dersom den behandlingsansvarlige (arbeidsgiver) utpeker et uavhengig personvernombud. I tillegg til det som fremgår av selve forskriftsteksten, er enkelte punkter nærmere belyst i forarbeidene til forskriften i departementets kommentarer til § 7-12.

Personvernombudet skal være en fysisk person som skal være uavhengig av den behandlingsansvarlige, det vil i vår sammenheng si av den arbeidsgiver som har bestemmelsesrett over behandlingen av personopplysninger. Kravet til uavhengighet er formodentlig ikke til hinder for at det foreligger et ansettelsesforhold. Poenget er at arbeidsgiver ikke skal kunne instruere ombudet, verken generelt eller i konkrete saker. Forskriften forutsetter også at arbeidsgiver (den behandlingsansvarlige) utpeker personvernombudet. Dette kan synes å stå i et noe anstrengt forhold til kravet om uavhengighet, og det er neppe i tråd med forskriften å peke ut en person som er spesielt lojal mot arbeidsgiver. Uansett er det neppe i strid med forskriften at arbeidsgiver delegerer kompetansen til å peke ut en ombudsperson, for eksempel i henhold til avtale med de ansattes organisasjoner.

Forskriften forutsetter at Datatilsynet gir sitt samtykke og konkret godkjenner en ombudsperson. Forarbeidene til forskriften forutsetter at Datatilsynet kan stille vilkår for å gi sin godkjenning og kreve at bestemte opplysninger skal overføres Datatilsynet. Videre forutsettes det at Datatilsynet kan trekke sitt samtykke tilbake. En godkjenning av et personvernombud må imidlertid regnes som et enkeltvedtak der forvaltningslovens omgjøringsbestemmelser kommer til anvendelse. Data­tilsynet står med andre ord ikke fritt med hensyn til å gjøre om sitt vedtak om å gi samtykke.

I forskriften er det bestemt at personvernombudet skal

  • sikre at den behandlingsansvarlige følger personopplysningsloven med forskrifter og
  • føre en oversikt over de opplysninger som normalt inngår i en melding til Datatilsynet etter personopplysningsloven § 32.

Første kulepunkt må trolig forstås på samme måte som internkontroll­bestemmelsen i personopplysningsloven § 14, dvs slik at kontrollen også må omfatte etterlevelse av eventuelle konsesjoner og andre enkeltvedtak som er fattet av Datatilsynet eller Personvernnemnda.

På en måte kan personvernombudet ses som Datatilsynets ”forlengede arm”. Det er imidlertid ingen tvil om at slike ombud ikke på noen måte er underlagt tilsynsmyndigheten, og må kunne opptre uavhengig av dette, innenfor det rammene av lov, forskrift mv. gir rom for. Innenfor de skjønnsmessige rammer som lov og forskrift stiller opp, må det således være mulig for personvernombudet å foreta vurderinger som avviker fra Datatilsynets, uten at tilsynet av den grunn kan omgjøre vedtaket om å godkjenne ombudet.

Forholdet til arbeidsmiljøutvalg og verneombud

Som det går frem av fremstillingen ovenfor, er ordningen med personvernombud forholdsvis åpen og ubefestet. Innen arbeidslivet er det derfor meget nærliggende å se nærmere på muligheten for å innpasse, utbygge og konkretisere en slik ordning innenfor rammene av etablerte medbestemmelsesordninger. Særlig kan det være aktuelt å se nærmere på muligheten for å innpasse funksjonen som personvernombud med de lovfestede ordningene med arbeidsmiljøutvalg og verneombud. En mulig modell kan være at verneombudet også fungerer som personvernombud i små virksomheter, og at det skal være et eget personvernombud i større virksomheter. Oppgaver etter en revidert lovgivning vedrørende kontroll, kan dels legges til verneombudet og dels til arbeidsmiljøutvalgene, eventuelt særlige underutvalg. Arbeidsmiljøutvalget kan tenkes å få tillagt vedtakskompetanse i enkelte særlige spørsmål, for eksempel slik at utvalget skal godkjenne tiltak og dokumentasjon av virksomhetens rutiner for informasjonssikkerhet og internkontroll etter personopplysningsloven §§ 13 og 14. Også spørsmål som i dag ikke er lovregulert i henhold til personverndirektivet, for eksempel vedrørende medvirkning ved utvikling av informasjonssystemer, kan tenkes lagt til utvalget.

En åpenbar fordel ved å bruke eksisterende lovfestede ordninger er at det vil være lettere å få frem sammenhengene mellom det tradisjonelle arbeidet med arbeidsmiljø og spørsmål vedrørende personopplysningsvern. Spørsmål som gjelder personopplysningsvernet er likevel så spesielt og omfattende (og krever forholdsvis stor teknologiinnsikt), at det vil være ønskelig med noen grad av spesialisering i større virksomheter, jf. behovet for egne personvernombud. Heller ikke disse bør imidlertid bare arbeide med IKT-relaterte spørsmål, men det er nærliggende at slike spørsmål i vesentlig grad vil prege deres virke.

Avsluttende vurderinger - Tilsyn

Uavhengig av hvilken konkret tilsynsordning en kommer frem til, bør en tilsynsordning vedrørende ivaretakelse av personvern innen arbeidslivet etter underutvalgets mening være basert på to supplerende prinsipper; nemlig ”nærhetsprinsippet” og ”prinsippet om likhet og minste vernenivå”. Disse to prinsippene er igjen knyttet til hvert sitt styringsnivå. Sammen representerer de en kombinasjon av lokal medbestemmelse og statlig styring.

For det første er det grunn til å fremheve at diskusjonen om personvern og arbeidsgivers kontroll med arbeidstakere, i stor grad bør føres i virksomhetene selv, i en dialog mellom partene i arbeidslivet. Det er særlig to hensyn som begrunner dette ”nærhetsprinsippet”:

For det første er partene i den enkelte virksomhet den som ofte:

  • kjenner begrunnelser for de konkrete kontrolltiltakene best,
  • opplever følgene av kontrollen mest direkte,
  • har gode forutsetninger for å identifisere hensyn som taler for å dempe eller fjerne kontrolltiltak,
  • eventuelt kan foreslå alternative løsninger ved dempe kontrollbehovet eller å foreslå alternative, mindre belastende kontrollmåter.

Dette hensynet kan kalles ”utredningshensynet”, dvs hensynet til at flest mulig aspekter og argumenter knyttet til kontroll i arbeidslivet blir belyst.

For det andre er nærhetsprinsippet dessuten begrunnet i et demokratihensyn:

Prinsippet innebærer at arbeidstakerne får større grad av innvirkning på sin egen situasjon enn om hensynet til personvern kun blir ivaretatt gjennom statens lover. Ikke bare forhandlingsrett, men også drøftingsrett i personvern- og kontroll­­spørsmål, må etter underutvalgets syn anses å gi betydningsfulle demokratigevinster.

Nærhetsprinsippet og arbeidstakeres involvering og engasjement i kontrollstrategier og ivaretakelse av personvern på arbeidsplassene, vil kunne innebære en generell skolering og oppmerksomhet mot kontrollspørsmålene. Kunnskaper fra arbeidsplassen vil videre kunne danne grunnlaget for et sterkere engasjement i relevante politiske spørsmål også utenfor arbeidsplassen.

For det andre er det grunn til å trekke frem prinsippet om likhet og minste vernenivå. Samtidig som underutvalget peker på betydning av at nærhets­prinsippet blir lagt til grunn ved en fremtidig regulering av arbeidsgiveres kontroll med ansatte, minner utvalget på at dette skal skje innenfor rammene av den felles europeiske reguleringen på området; personverndirektivet (46/95/EU). Direktivet og den norske personopplysningsloven utgjør således både en basis og en ramme som en særlovgivning for arbeidslivet må forholde seg til. Underutvalget ønsker å fremheve betydningen av at nærhetsprinsippet blir kombinert med en særregulering som inneholder klare grenser for hva som kan aksepteres innenfor den enkelte virksomhet. For eksempel kan perioder med overskudd på arbeidskraft gjøre at arbeidstakere kan se seg tjent med å godta kontrollordninger som de ellers ikke ville ha akseptert, men som det vil være vanskelig å reversere senere. Personverndirektivet må representere det minimumsvern som partene i arbeidslivet ikke kan forhandle bort.

Det er dessuten av vesentlig betydning å ha nasjonale tilsyns- og kontrollorganer som gjennom innsyn i og dialog med den enkelte virksomhet (og deres personvernombud) kan håndheve grensene for handlefriheten på den enkelte arbeidsplass, og ta generelle initiativ når de registrerer uønskede utviklingstrekk.

Nærhetsprinsippet i kombinasjon med prinsippet om likhet og minste vernenivå, vil etter underutvalgets syn ha tre viktige effekter:

  • For det første vil det gi en regulering som i større grad er knyttet til de konkrete forhold på hver arbeidsplass, og som således vil være enklere å skaffe kunnskap om.
  • For det andre vil den gi en mer fleksibel regulering, som kan gi bedre respons på lokale forhold i virksomhetene.
  • For det tredje vil den gi mulighet for et høyere vernenivå enn det som ville ha fulgt av å praktisere personopplysningslovens alminnelige bestemmelser på arbeidslivet.
Til toppen